Fakty i mity na temat RODO

Fakty i mity na temat RODO

Już w przyszłym miesiącu zacznie obowiązywać RODO, znane również pod nazwą GDPR. W mojej pracy w ostatnim czasie spotykam się z szeregiem błędnych przekonań na ten temat, które prawdopodobnie służą wyłącznie straszeniu firm i łapaniu klientów w sieć sprzedaży. Dlatego wezmę teraz „na grilla” trzynaście najczęściej powtarzających się mitów dotyczących RODO.

1. GDPR to głównie drakońskie kary za każdy wypadek

Owszem, RODO daje narzędzia do karania organizacji, które z ochroną danych są na bakier. Prawda jest jednak taka, że żadne prawo nie służy wyłącznie temu, żeby kogoś ukarać. Zakładam, że kary nie będą częstsze niż te nakładane na podstawie obecnie obowiązującej Ustawy o Ochronie Danych Osobowych, a w większości wypadków będą oscylować wokół dolnych granic widełek. Górne założenia, czyli 20 milionów euro lub 4% rocznych obrotów, to straszak na wielkie korporacje, które mogą mieć luki w systemie ochrony danych osobowych. Kary mają mieć charakter edukacyjny, a nie „likwidacyjny”, i będą dostosowane do faktycznych możliwości karanych podmiotów – inną karę dostanie wielka korporacja, a inną jednoosobowa działalność gospodarcza.

2. Na przetwarzanie danych osobowych trzeba mieć zgodę

Powyższe zdanie jest częściowo prawdziwe. RODO wprowadza kilka przesłanek legitymizujących przetwarzanie danych osobowych. Zgoda osoby, której dane dotyczą, jest jedną z takich przesłanek. Inną natomiast jest uzasadniony interes przetwarzającego, kolejną – realizacja umowy lub czynności prowadzących do jej zawarcia, następną – realizacja przez przetwarzającego obowiązków prawnych. Z tego wynika, że prowadząc rekrutację, nie musimy pozyskiwać zgody na przetwarzanie CV (możemy założyć, że składając CV, ktoś wyraża chęć przetwarzania danych na potrzeby rekrutacji), sprzedając nasze produkty przez Internet, nie musimy pozyskiwać zgody na wysyłkę towaru (przecież musimy znać adres i dane do wysyłki). Jednocześnie należy pamiętać, że musimy mieć taką zgodę na przechowywanie CV po zakończeniu rekrutacji lub na wysyłanie informacji marketingowych byłym klientom.

3. Nie trzeba myśleć o RODO, mając certyfikat ISO/IEC 27001…

ISO/IEC 27001 na pewno pomaga dobrze podejść do tematu RODO, ale nierzadko skupia się na zupełnie innych obszarach. Terminy RODO i ISO nie są zamienne, wymagają innego podejścia i innych narzędzi do zapewnienia zgodności. Warto pamiętać też, że żadne zapisy wewnętrzne czy standardy (nawet te międzynarodowe) nie stoją ponad obowiązującym prawem oraz że zgodność z przepisami prawa jest ponad zgodnością z politykami.

4. Każda organizacja musi powołać Inspektora Ochrony Danych

Nie, ale każda organizacja powinna zastanowić się, czy taka osoba jest konieczna w jej przypadku. Jest kilka przesłanek, które wskazują na konieczność powołania IOD, ale w większości firm z sektora MŚP taka funkcja jest jedynie opcjonalna.

5. GDPR jest tylko niepotrzebnym obciążeniem dla organizacji

W przypadku Polski RODO nie jest rewolucją, a jedynie ewolucją. Organizacje, które stosowały się do zapisów poprzedniej (to znaczy – jeszcze obecnie obowiązującej Ustawy) muszą poczynić dosłownie kilka kroków w celu spełnienia nowych wymagań – przeprowadzić analizę ryzyka, wprowadzić procedurę notyfikacji i badania incydentów. Jest to zadanie, które można zrobić w dosłownie kilka dni, a odpowiednie zapisy nie zmienią diametralnie codziennej pracy w organizacji. Należy też pamiętać, że RODO chroni dane osobowe (w tym również klientów tych małych organizacji), a z punktu widzenia poszkodowanego nie ma różnicy, czy jego dane wyciekną z bazy danych dużego sklepu, czy z bazy danych taksówkarza, czy może dostawcy pizzy, a indywidualne skutki mogą być te same w każdym przypadku.

6. RODO jest zbędne w dobie Facebooka, Google’a i Microsoftu

Wręcz przeciwnie – to właśnie w dzisiejszych czasach RODO jest tak bardzo potrzebne. Wymusza ono na korporacjach pewną kontrolę nad danymi osobowymi. Facebook będzie musiał prowadzić rejestr partnerów, którym przekazuje dane osobowe, Google będzie musiało mieć rejestr danych, które profiluje, a Microsoft będzie musiał odznaczyć domyślnie włączone opcje śledzenia. Zadaniem RODO nie jest jednak myślenie za użytkowników portali dostarczanych przez te korporacje. W dalszym ciągu będzie można „sprzedać” swoje dane w zamian za konto na Facebooku czy personalizowane reklamy. Różnica jest taka, że korporacje będą teraz miały kontrolę nad tymi danymi.

7. Dane firmowe są publicznie dostępne i RODO ich nie chroni

Częściowa prawda – można sprawdzić rejestr KRS i poznać całkiem dużo danych osobowych. W polskim systemie prawnym występuje unikatowa forma jednoosobowych działalności gospodarczych, które w nazwie muszą mieć imię i nazwisko osoby prowadzącej działalność. Posiadając jej numer KRS, możemy często poznać jej adres i inne dane. Jednak z punktu widzenia pracodawcy zatrudniającego kontraktorów na zasadzie B2B – dane tych firm muszą być chronione na równi z danymi osobowymi pracowników.

8. RODO obowiązuje wyłącznie w Europie

Nieprawda. RODO swoim zasięgiem działania obejmuje każde przetwarzanie danych obywateli Unii Europejskiej. Regulator przewidział możliwość przetwarzania danych osobowych na obszarze poza UE, obejmując swoim działaniem duże, międzykontynentalne korporacje oraz eliminując praktyki ‘wywożenia’ danych osobowych poza jej teren. Tak więc wynajęcie serwerowni w Indiach nie pozwoli uniknąć odpowiedzialności za przetwarzane dane.

9. RODO będzie karać za każdy wyciek danych osobowych

Nie, wyciek danych nie będzie podstawą do nałożenia kary. Będzie on jedynie przesłanką do wszczęcia postępowania wyjaśniającego. Jeśli administrator danych świadomie dopuścił się rażących zaniedbań, które doprowadziły do wycieku – wtedy te zaniedbania będą podstawą do nałożenie kary. Jednorazowe incydenty się zdarzają, nie sposób przewidzieć wszystkiego, a technologia pędzi do przodu w tempie uniemożliwiającym skuteczne śledzenie i wdrażanie odpowiednich zabezpieczeń. Najważniejsza podczas kontroli jest współpraca z organem kontrolującym, granie w otwarte karty, udostępnianie odpowiednich dokumentów i – przede wszystkim – chęć uzupełnienia luk.

10. RODO wymaga olbrzymich nakładów finansowych

RODO nie wymaga od nikogo żadnych konkretnych rozwiązań czy – tym bardziej – zakupów. Ten brak precyzyjnych zapisów często jest traktowany jako wada Regulacji, ale jednocześnie jest jej największą zaletą – nie daje nikomu drogi na skróty. Rynek jest pełen bezpłatnych – często otwartych – rozwiązań pozwalających zapewnić bezpieczeństwo danych, a i wdrożenie ich powinno być dostosowane do możliwości i profilu administratora.

11. Wdrożenie odpowiedniej aplikacji zapewni zgodność z RODO

Nie można rozpatrywać zgodności z GDPR posiadaniem (lub nie) konkretnego rozwiązania. Ogłoszenia „kup program i zapewnij sobie zgodność z RODO” są tylko tanim – i nieprawdziwym – hasłem reklamowym. Najczęściej programy te pozwalają usprawnić jakiś proces (często w niespodziewanie dużym zakresie), a ich wdrożenie na pewno nie przyniesie szkody w organizacji, ale też nie należy stawiać znaku równości pomiędzy wdrożeniem jednego programu a zgodnością z RODO. Powiem więcej – da się – przy odrobinie wysiłku i odpowiedniej wiedzy technicznej – zapewnić zgodność z Regulacją bez wydawania ani jednej złotówki.

12. RODO jest akcją jednorazową, trzeba zdążyć do 25 maja i „z głowy”

RODO nie jest sprawą punktową. To nie jest bug millenijny (czyli problem roku 2000), gdzie w pewnej chwili nastąpi globalne sprawdzenie systemu i można sprawę włożyć do szuflady czy segregatora opisanego ‘zrobione’. GDPR jest procesem, mającym zapewnić stałą i ciągłą ochronę danych osobowych. Nie skończy się za miesiąc, za rok czy za dziesięć lat – jest sprawą, do której będzie trzeba przywyknąć, oswoić się z nią.

13. Na początku GIODO zapewne będzie traktować firmy ulgowo

Obawiam się, że nie. Po pierwsze – nie będzie to już GIODO tylko PUODO (Prezes Urzędu Ochrony Danych Osobowych), a po drugie – organizacje miały dwa lata na przygotowanie się do regulacji. Owszem, polski ustawodawca spóźnił się z wprowadzeniem konkretnych wytycznych, ale ogólne zalecenia i zapisy znane są od 2016 roku, a te nie będą zmieniane.

 

Autor: Marcin Baranowski, IT Security Expert w firmie Onwelo.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *