Mamy 11 258 opinii naszych Klientów
Zadaj pytanie » Zadaj pytanie »

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.

(zadanie pytania do niczego nie zobowiązuje)

Czy wdrożenie RODO polega tylko na posiadaniu dokumentacji zgodnej z RODO?

Autor: Monika Wycykał • Opublikowane: 23.02.2018

Wiele osób będących administratorami danych osobowych lub podmiotami przetwarzającymi dane osobowe, ale również prawników, którzy dopiero zaczynają uczyć się nowych przepisów o ochronie danych osobowych, wychodzi z mylnego założenia, że wdrożenie RODO to wyłącznie posiadanie dokumentacji związanej z RODO. Innymi słowy: jak kupię gotową politykę ochrony danych lub zlecę jej przygotowanie prawnikowi, to mam święty spokój i Prezes Urzędu Ochrony Danych Osobowych nie nałoży na mnie kary, ponieważ pokażę mu dokumenty.

Niestety, takie podejście co do wdrożenia RODO może skończyć się przykrą, a przede wszystkim kosztowną, „niespodzianką”.



Masz podobny problem? Kliknij tutaj i zadaj pytanie.

Aby wyjaśnić, na czym polega niebezpieczeństwo, posłużę się plastycznym scenariuszem.

 

Pan Jan Kowalski prowadzi przedsiębiorstwo budowlane, które wykonuje głównie roboty dla osób prywatnych, np. w postaci wybudowania domu jednorodzinnego czy przeprowadzenia remontu. W zakresie swojej działalności współpracuje z dostawcami materiałów budowlanych oraz różnymi podwykonawcami w przypadku dużych zleceń. Zatrudnia jedną osobę do biura, a poza nią pracowników do wykonywania prac na budowach. Obsługę kadrowo-płacową zapewnia zewnętrzne biuro rachunkowe. Oprócz tego pan Kowalski posiada stronę internetową, za pomocą której reklamuje swoje usługi i przesyła klientom różne informacje drogą e-mailową.

 

Pan Kowalski usłyszał o histerii, jaką wywołało przyjęcie RODO. Uznał, że to kolejny wymysł Brukseli i utrudnianie życia uczciwym przedsiębiorcom przez niewyżytych biurokratów, którzy wymyślają problemy tam, gdzie ich nie ma, a to całe RODO będzie sprowadzało się do wyprodukowania kolejnej makulatury i trzymania jej w biurze. Z drugiej strony jednak nie chce płacić kary do 20 milionów euro, więc postanowił zakupić gotową dokumentację w Internecie — najtańszą, jaką znalazł (choć i tak podana cena w przekonaniu pana Kowalskiego jest zbójecka…). Polecił pracownikowi biurowemu wpisanie danych swojego przedsiębiorca, po czym stwierdził, że „wdrożenie RODO” jest załatwione.

 

Mija kilka miesięcy. Któregoś dnia pan Kowalski dowiaduje się, że będzie kontrola z Urzędu Ochrony Danych Osobowych — bo ktoś złożył skargę. Nasz przedsiębiorca nie jest zachwycony tą wizją, ale przeżył już wiele kontroli i wie, że taka dola osób prowadzących działalność gospodarczą. Polecił pracownikowi wydrukować dokumentację RODO, żeby pokazać ją kontrolującym.

 

Kiedy zjawił się kontroler przysłany przez Urząd Ochrony Danych Osobowych, pan Kowalski miał przygotowany na biurku plik papierów, w tym politykę ochrony danych. Od razu w progu przekazał go kontrolerowi, a tymczasem kontroler nie jest w ogóle zainteresowany czytaniem dokumentów. Zaczyna za to domagać się strasznie dziwnych rzeczy: pokazania pomieszczeń, gdzie przetwarza się dane osobowe; pokazania programów komputerowych, które są wykorzystywane do przetwarzania danych osobowych; zademonstrowania, jak jest zabezpieczony dostęp do danych osobowych w komputerach; wskazania osób, które mają dostęp do danych osobowych w firmie; pokazania, jak wyglądają klauzule informacyjne i klauzule zgody na stronie internetowej; przedstawienia umowy zawartej z biurem rachunkowym.

 

Pan Kowalski w toku czynności kontrolera coraz bardziej oblewa się zimnym potem, nie pojmując, co się dzieje. Przecież wdrożył RODO, jest dokumentacja, wszystko zostało opisane czarno na białym fachowym prawniczym językiem, więc o co chodzi?! I czy naprawdę grozi mu ta nieszczęsna kara?!

 

Nasz przedsiębiorca w przedstawionym przykładzie wpadł w pułapkę własnego myślenia — od początku błędnie założył, że jego obowiązek w zakresie RODO ogranicza się do posiadania dokumentacji i nie ma znaczenia, czy ta dokumentacja rzeczywiście opisuje jego przedsiębiorstwo, czy też nie. W konsekwencji nie podjął żadnych faktycznych działań mających na celu realne dostosowanie działalności do nowych przepisów: nie przeanalizował, jakie dane osobowe posiada (pracowników, dostawców, podwykonawców, klientów, odbiorców newslettera), nie zastanowił się, co dzieje się z tymi danymi w trakcie normalnych codziennych czynności, nie poświęcił uwagi kwestii, jak te dane są zabezpieczone — nie wspominając już o takich abstrakcjach, jak zapewnienie właścicielom danych osobowych wykonania ich praw wskazanych w RODO.

 

Przy wdrażaniu RODO we własnej organizacji należy mieć świadomość, że prawodawca unijny nie wymaga wyłącznie posiadania dokumentacji — wręcz przeciwnie, wprost umniejsza jej znaczenie i pozostawia do decyzji administratora danych osobowych, jak ta dokumentacja będzie wyglądać i co zawierać: „Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych” (art. 24 ust. 2 RODO).

 

W konsekwencji np. osoba prowadząca stronę internetową dla fanów danego pisarza lub muzyka nie będzie musiała obligatoryjnie posiadać dokumentacji RODO (może powiedzieć, że wprowadzenie polityki ochrony danych jest nieproporcjonalne do czynności przetwarzania), natomiast osoba prowadząca sklep internetowy, w którym realizuje kilka tysięcy zamówień rocznie, już raczej tak. I jedna, i druga musi jednak — niezależnie od obowiązku posiadania odpowiednich polityk — przestrzegać przepisów RODO, a w szczególności zapewnić, aby dane osobowe były przetwarzane zgodnie z prawem i w sposób bezpieczny. System ochrony danych osobowych musi działać naprawdę, nie na papierze!

 

Reasumując: każdy administrator danych osobowych, podejmując się „wdrożenia RODO”, powinien wyrzucić z głowy myśl, że wystarczy posiadać dokumentację zgodną z RODO i to jest jego jedyny obowiązek. Musi skoncentrować się przede wszystkim na tym, jakie czynności podjąć, aby naprawdę zmienić sposób funkcjonowania organizacji i dostosować działania swoje, pracowników, podmiotów współpracujących do wymagań, jakie w zakresie ochrony danych osobowych stawia prawodawca unijny.

———


Stan prawny obowiązujący na dzień 23.02.2018


Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.

(zadanie pytania do niczego nie zobowiązuje)

Komentarze (0):

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

  • IV + siedem =

 

»Podobne materiały

Kogo dotyczy RODO?

Kogo dotyczą obowiązki przewidziane w RODO? W dotychczas obowiązującej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz. U. 2016 r., poz. 922, z późn. zm. — dalej: u.o.d.o.) polski ustawodawca wyraźnie wskazał, do kogo stosuje się przepisy ustawy.

 

Inspektor ochrony danych

Kim jest inspektor danych osobowych w świetle RODO?  W ustawie o ochronie danych z 1997 r., wdrażającej unijną dyrektywę 95/46/WE, występuje podmiot zwany „administratorem bezpieczeństwa informacji”, którego może powołać administrator danych osobowych dla zapewnienia lepszego pozio

 

Definicja i rodzaje danych osobowych w RODO

Najważniejszym pojęciem pojawiającym się w RODO jest oczywiście pojęcie „danych osobowych” — ich ochrona stanowi istotę przyjętego rozporządzenia. Z uwagi na brak katalogu podmiotów, które mogą być uznane za administratorów danych osobowych lub podmioty przetwarzające dane osobowe,

 

RODO – rewolucyjne zmiany w ochronie danych osobowych

Co to jest RODO i czy trzeba się bać? Od jakiegoś czasu w mediach pojawia się tajemniczo brzmiące słowo „RODO”. Niewiele osób zdaje sobie sprawę, że sprawa RODO to nie kolejna ciekawostka w środowisku prawników, lecz prawdziwa rewolucja, która dotknie setki tysięcy przedsiębiorstw w cał

 

Kto jest kim w systemie RODO?

W systemie ochrony danych osobowych występuje wiele podmiotów, które wykonują różne zadania i mają różne obowiązki nałożone przez prawodawcę unijnego w RODO. W związku z powyższym pozostaje rzeczą niezwykle istotną, aby administrator danych wiedział o kręgu podmiotowym oraz jeszcze przed dniem

 

Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:
Prawnicy

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
wizytówka Szukamy ambitnego prawnika »