Myślisz, że wdrożyłeś RODO? Sprawdź, czy na pewno
Pamiętasz wiosnę 2018 roku? Jeśli jesteś polskim przedsiębiorcą, to z pewnością zapisała Ci się w pamięci, bo od 25 maja 2018 roku zaczęło obowiązywać ogólne rozporządzenie o ochronie danych osobowych znane jako RODO.
Okres ten można podsumować następująco: dezorientacja we wprowadzaniu nowych procedur, widmo wysokich kar pieniężnych za naruszenie przepisów i sporo absurdów.
Dziś, pisząc ten artykuł, mam za sobą doświadczenie we wdrożeniach RODO oraz audytach powdrożeniowych w wielu firmach. Współpracowałem z organizacjami różnej wielkości – od mikroprzedsiębiorstw po duże przedsiębiorstwa przemysłowe.
Wnioski? Krajobraz po 3 latach od wprowadzenia RODO nie napawa optymizmem. W każdym przypadku spotkałem się albo z niedociągnięciami, albo z nadgorliwością w realizacji wymogów RODO.
Być może w Twojej firmie procedury RODO działają bez zarzutu i możesz spać spokojnie. A może zaliczasz się do jednego z opisanych niżej przypadków? Przeczytaj i przekonaj się.
Mikroprzedsiębiorstwo bez RODO
Jesteś mikroprzedsiębiorcą i myślałeś, że RODO Cię nie dotyczy, a UODO nie interesuje się tak małymi podmiotami jak Ty? Być może uznałeś, że całe to RODO jest niezrozumiałe i z braku czasu i pieniędzy nie wdrożyłeś go?
Mam dla Ciebie dobrą i złą wiadomość. Zła jest taka, że RODO dotyczy również Ciebie.
Podobnie jak wysokie kary pieniężne. A to nie wszystkie konsekwencje braku RODO w firmie. Wyobraź sobie, że osoby, których dane przetwarzasz, wytaczają przeciwko Tobie powództwo o odszkodowanie w razie naruszenia ich wolności związanych z przetwarzaniem danych osobowych. Nie brzmi to dobrze.
Czas na dobrą wiadomość: wdrożenie RODO w mikroorganizacji wcale nie musi być skomplikowane, czasochłonne ani drogie. Wszystkie czynności, dokumenty i procedury postępowania można (a nawet należy) dostosować do skali Twojego biznesu.
RODO wdrożone pozornie
A może żyjesz w przeświadczeniu, że system ochrony danych osobowych działa w Twojej organizacji bez zastrzeżeń? Kupiłeś gotowe szablony dokumentów, procedury zostały opracowane – czego chcieć więcej? Czy jednak procedury te zostały faktycznie wdrożone, a dokumenty są stosowane w praktyce? Czy na pewno rozumiesz, na czym polega zapewnienie zgodności z RODO?
Częsty scenariusz jest taki, że niezrozumiała dokumentacja leży w szufladzie i czeka na kontrolę, bo nikt nie ma chęci ani czasu, by faktycznie zająć się sprawą. Rejestr czynności nie jest aktualizowany (o ile w ogóle został wypełniony), rejestr naruszeń świeci pustkami. RODO w firmie ma się dobrze, bo pracownicy opowiadają o nim kawały, ale tak naprawdę nie mają o niczym pojęcia.
Oto najczęstsze zaniedbania, które zaobserwowałem: brak osoby odpowiedzialnej, której zapewniono by choćby podstawowe szkolenie z RODO; przerzucenie odpowiedzialności za RODO na barki księgowej czy księgowego, ewentualnie specjalisty od HR-u albo – i tak już przeciążonego – działu compliance. Wzory klauzul lub umów nadal leżą w szufladach i nie są załączane do umów. Pracownicy opowiadają kawały o RODO, ale nie wiedzą, które z procedur RODO dotyczą ich stanowiska, jak powinna wyglądać dokumentacja wychodząca z ich stanowisk, które klauzule i umowy trzeba załączać do dokumentów.
Czy któryś z tych przypadków brzmi znajomo? Jeśli tak, znów mam dobrą i złą wiadomość. Zła jest taka, że – nazwijmy rzecz po imieniu – nie wdrożyłeś RODO, przez co narażasz się na odpowiedzialność administracyjną oraz cywilną.
Ryzykujesz także utratą dobrego wizerunku wśród Twoich klientów. Świadomość ochrony danych osobowych rośnie, a wraz z nią oczekiwania. Szkoda byłoby je zawieść.
Dobra wiadomość jest taka, że jeśli na pewnym etapie podjąłeś trud w celu wdrożenia w swojej organizacji RODO, to połowę pracy masz za sobą, nawet jeśli proces nie został zakończony.
Teraz wystarczy przeanalizować to, czym dysponujesz, i co należy zrobić, by dokończyć wdrożenie RODO. Przy tej okazji warto oczywiście przeprowadzić ponowny audyt i dostosować wdrożenie do aktualnego stanu przetwarzania. Dokumenty przygotowane w maju 2018 roku z dużym prawdopodobieństwem są przynajmniej
częściowo nieaktualne.
Dokumentacja RODO na wyrost
A może – co nierzadkie – dokumentacja RODO jest niedostosowana do skali Twojego biznesu? Zbyt długie i skomplikowane dokumenty pełne są nic nieznaczących frazesów, bo wiadomo – im dłużej, tym lepiej.
W takim przypadku opracowane procedury przerastają możliwości zastosowania ich w Twojej firmie. Chyba że specjalizujesz się we wdrażaniu RODO… A jeśli nie, to prawdopodobnie żaden z pracowników nie chce zbliżyć się do niezrozumiałych materiałów, pochłaniających mnóstwo energii.
Efekty? Całkowity brak stosowania procedur RODO. Taka sytuacja naraża Cię na odpowiedzialność administracyjną i cywilną. Dokumentacja i procesy RODO powinny być użyteczne. Nawet najlepsze dokumenty nie uchronią Cię przed konsekwencjami, jeśli nie są stosowane niezależnie od przyczyny.
Rozwiązaniem jest uproszczenie i skrócenie dokumentacji tak, by oddawała specyfikę Twojego biznesu. Skomplikowane, nieżyciowe papiery trzeba zamienić w praktyczne narzędzie, które realnie pomoże Ci dochować zgodności z zasadami ochrony danych osobowych. Zapewniam, że to prostsze, niż się spodziewasz.
RODO w rękach firmy zewnętrznej
Wreszcie może jest tak, że nie mogąc poradzić sobie z RODO we własnym zakresie, zleciłeś usługę wdrożenia firmie zewnętrznej? Takie rozwiązanie jednak nie zawsze gwarantuje realne wsparcie w zakresie dopełnienia obowiązków związanych z ochroną danych osobowych.
Co może stać na przeszkodzie? Słaba komunikacja między Tobą a usługodawcą lub nieodpowiednio dobrany zakres usług. W konsekwencji o pełnym wypełnieniu ciążących na Tobie obowiązków wynikających z RODO często nie może być mowy, gdyż zewnętrzny inspektor ochrony danych (IOD) nie stanowi dla Ciebie realnego wsparcia.
Przyjrzyj się szczegółom współpracy ze specjalistą wdrażającym RODO w Twojej firmie, abyś nie funkcjonował w złudnym poczuciu bezpieczeństwa.
A więc co dalej z tym RODO?
Choć kurz po wprowadzeniu w życie RODO opadł, wciąż wiele jest do zrobienia w tym zakresie.
Jak widzisz, niezależnie od tego, czy jesteś mikroprzedsiębiorcą, czy większym podmiotem gospodarczym, w każdym przypadku niewdrożenia RODO ryzykujesz utratą reputacji wśród klientów, administracyjnymi karami finansowymi lub innymi sankcjami.
Nigdy nie jest jednak za późno, aby zapewnić zgodność własnej działalności z RODO, a proces wdrożenia wcale nie musi być trudny i czasochłonny.
Masz pytania albo potrzebujesz wsparcia? Z przyjemnością odpowiem i pomogę.