Jeszcze przed wejściem w życie (25 maja 2018 roku) RODO, Ipsos, na zlecenie Microsoft, przeprowadził badanie wiedzy o Ogólnym rozporządzeniu o ochronie danych osobowych*. I choć 100% firm z Polski, które wzięły udział w badaniu (52 podmioty) miało świadomość samego istnienia Rozporządzenia, to jednocześnie jedynie 38% respondentów było w stanie określić na przykład to, jakie sankcje wiążą się z nieprzestrzeganiem nowych wytycznych. Warto przy tym zauważyć, iż badanie objęło jedynie duże (czyli zatrudniające ponad 250 pracowników) firmy, w których z natury rzeczy świadomość związana z tego typu zmianami w prawie jest większa, niż ma to miejsce w przypadku chociażby firm jednoosobowych.
W dzisiejszym wpisie omówimy siedem rozpowszechnionych mitów, które przyczyniają się do tego, że część przedsiębiorców wciąż jeszcze stosunkowo beztrosko podchodzi do kwestii związanej z przetwarzaniem danych osobowych i odpowiednim ich zabezpieczeniem. Na podstawie często spotykanych “tłumaczeń” spróbujemy pokazać dlaczego jest to stąpanie po kruchym lodzie.
Mit 1: Odpowiednim zabezpieczeniem przetwarzanych danych osobowych powinny martwić się jedynie duże firmy.
Przez pewien czas projekt ustawy o ochronie danych osobowych rzeczywiście zakładał możliwość zwolnienia z tego obowiązku małych i średnich przedsiębiorców (czyli w tym przypadku podmioty zatrudniające do 250 osób), jednak ostatecznie Komitet Stały RP zrezygnował z tego pomysłu. Co za tym idzie, nowa ustawa obejmuje wszystkie przedsiębiorstwa, a także osoby, które prowadzą działalność gospodarczą (również jednoosobową). RODO pozwala natomiast na dostosowanie niektórych wymogów do skali i rodzaju działalności, z czego można i należy umiejętnie korzystać.
Mit 2: Moja firma jest na tyle mała, że nie muszę obawiać się kontroli.
Prawdopodobieństwo kontroli z urzędu w dużych firmach jest zapewne większe, jednak małe firmy nie są tu bynajmniej wyłączone z odpowiedzialności – zgodne z prawem, przetwarzanie danych osobowych i ich należyte zabezpieczenie to również ich obowiązek. Kontrola może zatem mieć miejsce zawsze – niezależnie od wielkości organizacji. Pierwsza kara RODO w wysokości 250 tys. EUR została nałożona przez francuski organ nadzoru na sklep internetowy sprzedający okulary przeciwsłoneczne…
Mit 3: Zaczną od dużych graczy, mam jeszcze czas.
Stwierdzenie takie, podobnie jak to, które przedstawiliśmy w poprzednim punkcie, jest zupełnie pozbawione podstaw. Nowa ustawa o ochronie danych osobowych (UODO) w żaden sposób nie określa tego, firmy jakiej wielkości i w jakiej kolejności mogą zostać skontrolowane.
Mit 4: Jeśli nawet coś będzie nie tak, dostanę przecież czas na wprowadzenie poprawek.
Rzeczywiście – takie sytuacje dość często miały miejsce przed wprowadzeniem ustawy o RODO. Jednak zgodnie z nowymi regulacjami czas na wprowadzenie poprawek nie jest tutaj opcją i najprawdopodobniej, w przypadku kontroli, udzielony nie zostanie. Brak jest jakichkolwiek przepisów, które definiowałyby taki obowiązek lub możliwość.
Mit 5 Przecież nikomu nie będzie się chciało zgłaszać, że otrzymał ode mnie niechcianego e-maila.
W ciągu niecałego miesiąca od wejścia w życie RODO, do do Prezesa UODO wpłynęło ogółem około 600 skarg i ponad 240 zgłoszeń dotyczących naruszeń ochrony danych**. W przypadku skarg oznacza to stuprocentowy wzrost w stosunku do poprzednich miesięcy i jest ewidentnym dowodem na to, że w społeczeństwie nastąpił w tej kwestii duży wzrost świadomości.
Mit 6: Jeśli już trafi na mnie, to najwyżej zapłacę karę.
Nie wszyscy przedsiębiorcy zdają sobie sprawę z faktu, że po wejściu w życie RODO sankcje za nieprzestrzeganie przepisów urosły do ogromnych rozmiarów. Wcześniej kara maksymalna wynosiła 50 tys. zł. Obecnie jest to 10 mln euro lub 2 procent rocznego obrotu firmy (w przypadkach szczególnych dotyczących rażących naruszeń 20 mln euro lub 4 procent obrotu). Co więcej, kary nakładane są według dotkliwości (wybierana jest ta, która jest wyższa – procentowo lub kwotowo). Jak nietrudno się domyśleć, dla dużej części organizacji są to kwoty, których nałożenie oznaczać może konieczność zamknięcia firmy.
Mit 7: Jestem w posiadaniu wyłącznie adresów e-mail, a to jeszcze nie dane osobowe.
I tak, i nie. Konkretnie zależy to od tego, jakie dane ustalić możemy przy pomocy takiego adresu. Jeśli nie występuje w nim imię i nazwisko osoby, a za znakiem “@” mamy na przykład “wp.pl” to rzeczywiście – nie jest to jeszcze dana osobowa. Jeśli jednak adres rozpoczyna się od imienia i nazwiska, a za znakiem pojawia się nazwa firmy, zupełnie zmienia to postać rzeczy, bowiem na podstawie tych danych jesteśmy w stanie bardzo łatwo zidentyfikować osobę, chociażby jako pracownika danej organizacji. Wątpliwe jest przy tym, by przedsiębiorca był w posiadaniu wyłącznie adresów e-mail, które uniemożliwiałyby taką identyfikację.
Nie ryzykuj – jeśli masz jakiekolwiek wątpliwości dotyczące tego, czy dane osobowe w Twojej organizacji są przetwarzane zgodnie z prawem i należycie chronione, skorzystaj z pomocy ekspertów z ESKOM. Przeprowadzimy kompleksowy przegląd Twojej organizacji pod kątem zgodności prowadzonych działań przetwarzania danych osobowych z wymaganiami zarówno UODO, jak i RODO, zaproponujemy proste i efektywne kosztowo rozwiązania i razem je wdrożymy. Dowiedz się więcej na temat naszej usługi “Audyt RODO” i skontaktuj się z nami: zapytania@eskom.eu
* https://news.microsoft.com/pl-pl/2018/02/05/badania-na-temat-rodo-w-polsce-pelna-swiadomosc-niepelna-wiedza/
** http://samorzad.pap.pl/depesze/wiadomosci_pap/184350/