GDPR/RODO – Czy czeka Cię biznesowy Armagedon?

gdpr-rodo-giodoGDPR/RODO – Czy czeka Cię biznesowy Armagedon? Odcinek 1: „Przedsiębiorco, nie ucieszysz się…”

 

Spis treści

Jeśli jeszcze nie wiesz co Cię czeka po 25.05.2018r.
3 lata więzienia i do 20 mln Euro?
Czy to realne zagrożenie?
Ale, o co chodzi i co mi grozi, tak naprawdę?
Co mogę, a co muszę zrobić?
Od czego zacząć, jak i kiedy?
Zastrzeżenie prawne.

 

Jeśli jeszcze nie wiesz co Cię czeka po 25.05.2018r.

Przedsiębiorco – myślałeś, że ostatnie podwyżki kosztów oraz dodatkowe ‘baty’ fiskusa (jak np. JPK), to już szczyt złych informacji i kolejnych obowiązków? To, niestety mamy dla Ciebie złą informację, bo kolejne problemy przed Tobą. Otóż, wkrótce zacznie obowiązywać nowa ustawa o ochronie danych osobowych (GDPR/RODO), diametralnie zmieniająca zasady gry.

Myślisz, że Ciebie to nie dotyczy? Otóż, z dużym prawdopodobieństwem jesteś w błędzie, albowiem w dzisiejszych czasach dotyczy to 99% przedsiębiorców. Wystarczy, że zatrudniasz, wysyłasz maile, masz stronę internetową, masz jakikolwiek formularz kontaktowy, stronę lądowania (Landing Page) lub korzystasz z hostingu. Czy też wykorzystujesz social media, wystawiasz faktury, masz choć jedną wizytówkę lub numer telefonu (również w formie papierowej), itd., itp. Musiałbyś prowadzić naprawdę wyalienowany biznes, aby ta ustawa Cię nie obejmowała.

Czym jest GDPR/RODO? To akronimy ogólnego rozporządzenia o ochronie danych osobowych, wprowadzonego poprzez regulacje unijne i, którego nadrzędnym celem jest możliwie jak największe ujednolicenie ochrony danych na terytorium UE. Plus ustawa[i] polskiego regulatora (i analogicznych w całej Unii), która precyzuje wiele szczegółów na gruncie krajowym. Oznacza to również, że jeśli ktoś chce prowadzić działalność gospodarczą na przykład w Irlandii, może mieć pewność, że podobny system prawny będzie istniał w innym państwie członkowskim. A, jeśli na przykład prowadzi e-sklep, wówczas ma pewność, że nie popadnie w kłopoty prawne przy obsłudze klienta zagranicznego. To regulacje, które  dostosowują, stojące przed nami wyzwania współczesnego świata.

Mogłoby się wydawać, że to dobra wiadomość. W kontekście niespełniającej swoich zadań dotychczasowej ustawy o ochronie danych osobowych, kiedy to z jednej strony, na każdym kroku musieliśmy wyrażać różne zgody. A z kolei, z drugiej strony, tajemnicą poliszynela było, że nasze dane są przedmiotem nieustającego handlu na ogromną skalę. Kiedy to w rękach wielkich koncernów oraz platform społecznościowych, głównie amerykańskich, znajdują się bardzo szczegółowe dane o co najmniej połowie populacji Europy. Tak, to bardzo dobra wiadomość.

Problem jednak polega na tym, że praktycznie cały koszt wdrożenia tychże regulacji został przerzucony na podatnika i przedsiębiorcę. I to, niestety Ty (Twoja firma) musisz wykonać oraz sfinansować wdrożenie tych zmian. W przeciwnym razie możesz spodziewać się całkiem realnego ryzyka poniesienia dotkliwych, bardzo dotkliwych kar.

 

3 lata więzienia i do 20 mln Euro?

GDPR/RODO wprowadza szereg możliwych kar za przetwarzanie danych wbrew prawu, w tym również karę pozbawienia wolności do lat trzech. Przestępstwo może popełnić każdy, kto w firmie przetwarza dane, również nieumyślnie. Obejmuje to zarówno władze danej organizacji (właściciel, zarząd, pełnomocnik/prokurent, etc.), ale również wielu pracowników. Każdego, kto dopuścił się naruszenia przepisów ustawy. I, niestety, nie będą to już tylko martwe przepisy. Również dlatego, że usprawniają działania w rodzaju ‘uprzejmie informuję…’.

Sama regulacja unijna (źródło dla poszczególnych krajów) nie zawiera przepisów karnych. W art. 84 oraz w motywie 149 Preambuły zezwala jednak na to, aby poszczególne państwa decydowały, czy wprowadzić sankcje karne za ich naruszenie. Zgodnie z art. 101 projektu ustawy, 2 lata więzienia, ograniczenie wolności albo grzywna do miliona zł., grożą każdemu, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których nie jest uprawniony. Lub do 3 lat więzienia, jeśli wyciekną tzw. dane wrażliwe, np. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, o stanie zdrowia, seksualności lub orientacji seksualnej. Zagrożenie karą do 2 lat więzienia istnieje również w przypadku udaremnienia lub utrudnienia kontroli. Już nie będzie opłacalna decyzja o wyborze kilku tys. zł. grzywny, zamiast wielomilionowej kary. Zgodnie z art. 83 kara finansowa może wynosić do 20 milionów EURO lub 4% całkowitego rocznego światowego (całego) obrotu firmy. (kliknij, jeśli chcesz wiedzieć więcej nt. kar)

Niestety, to nie wszystko. Kolejną, a może nawet ‘gorszą’ karą może być utrata wiarygodności Twojej firmy lub płynności finansowej. Co zrobisz, jeśli – poza konsekwencjami finansowymi, administracyjnymi lub karnymi – zostaniesz zmuszony do zawieszenia przetwarzania danych na kilka tygodni lub miesięcy? Nie martwisz się, bo nie prowadzisz e-sklepu? To wyobraź sobie, że nagle zostaniesz pozbawiony dostępu do swojego komputera, laptopa, smartfonu, systemu CMS/CRM/itp., serwera, systemu księgowego, itd.

Czy to realne zagrożenie?

Mimo że GDPR/RODO jest już właściwie faktem (czekamy jedynie na ‘dopieszczenie’ i start), wiele osób wciąż jeszcze nie zrozumiało jego znaczenia i dotkliwości. Pamiętaj, że przestępstwo popełnia zarówno ten, kto nie miał prawa przetwarzania danych (wg nowych regulacji: bo np. nie uzyskał zgody zainteresowanego). Jak również ten, kto ma podstawę, ale robi to z naruszeniem innych zasad (rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, czy integralności i poufności).

Jeśli ustawa w tym brzmieniu wejdzie w życie, to wysokimi karami ryzykuje nie tylko sama firma (np. spółka kapitałowa). Do osobistej odpowiedzialności mogą zostać pociągnięte również osoby odpowiedzialne za wdrożenie i utrzymywanie systemu ochrony danych, jak również wykorzystywanie danych w codziennej pracy.

„Dotychczasowa ustawa o ochronie danych osobowych zawierała aż dziewięć przepisów, których naruszenie stanowiło przestępstwo. Przepisy te okazały się jednak całkowicie martwe. W ciągu 20 lat organy ścigania wszczynały około 300 spraw rocznie, z których zdecydowaną większość umarzano. Przez ten czas skazano niespełna 300 osób. Większość z nich ukarano niewielką grzywną (do 3000 zł. lub niższą). Nikt nigdy nie został skazany na karę więzienia, mimo, że najsurowsze zagrożenie to aż trzy lata. Większość przedsiębiorców działała i działa nadal bez jakiejkolwiek świadomości, że każdego dnia narażają się na zarzuty i oskarżenie.”[ii] (Źródło: kliknij). Tym razem ma się to zmienić. GDPR/RODO wymaga nie tylko deklaracji i spisania dokumentów (jak to de facto miało miejsce dotąd), ale bardzo konkretnych działań. Jednocześnie organ nadzorczy (Urząd Ochrony Danych, następca obecnego GIODO) wyposażony zostanie w – o wiele bardziej efektywne – narzędzia kontroli i karania.

Ale, o co chodzi i co mi grozi, tak naprawdę?

Jak zwykle, również o kasę. Więc a’propos odpowiedzialności, weź pod uwagę jeszcze dwa aspekty:

  1. UE będzie naciskała na kraje członkowskie, bo ma serdecznie dosyć rozpanoszenia amerykańskich gigantów.
  2. Polska będzie naciskała, bo panicznie potrzebuje wszelkich źródeł pieniędzy.

Sam oceń ryzyko… (nota bene: właśnie zacząłeś ćwiczenia. Twoim głównym zadaniem na początek będzie ocena ryzyka, na każdym etapie prowadzenia biznesu).

Jest też drobna, ale dobra wiadomość. Niewykluczone, że będziesz miał troszkę więcej czasu i termin wdrożenia nowych przepisów (25 maja) zostanie nieco przesunięty. 9-go lutego Ministerstwo Cyfryzacji skierowało projekt ustawy o ochronie danych osobowych na Komitet do Spraw Europejskich Rady Ministrów. Teoretycznie więc, ustawodawca powinien zdążyć, ale może jednak nie? Natomiast, nawet jeśli samo procesowanie nie ulegnie poślizgowi, wdrożenie przepisów w praktyce może trochę potrwać. Realizacja zadań GIODO związanych z przygotowaniem urzędu do stosowania ogólnego rozporządzenia o ochronie danych (RODO) jest poważnie zagrożona – alarmuje Generalny Inspektor Ochrony Danych Osobowych.[iii] Zapewne wszystko zostanie poukładane, ale – jak to zazwyczaj w naszym pięknym kraju – początkowo z dużymi problemami organizacyjnymi lub opóźnieniami.

Podczas oceny ryzyka, możesz wziąć pod uwagę również statystyczne prawdopodobieństwo, że akurat Twoja firma zostanie poddana weryfikacji. Skoro, do tej pory skontrolowano zaledwie ułamek firm… Oczywiście, w żadnym wypadku nie traktuj tego jako zachęty, wręcz przeciwnie, nie proponujemy takiego podejścia. Chociażby z uwagi na fakt, że teraz kontrole w Twojej firmie będzie mogła wywołać każda osoba, która poczuje się w jakikolwiek sposób skrzywdzona lub zagrożona. Jednocześnie, weź pod uwagę, że europejskie rozporządzenie podkreśla, iż do każdego przypadku kontroler ma podchodzić indywidualnie. Przy czym, kara ma być skuteczna, proporcjonalna i odstraszająca (!). No i, Urząd Ochrony Danych będzie mógł nałożyć kary już w chwili stwierdzenia naruszenia, a nie dopiero po wydaniu decyzji administracyjnej.

Co mogę, a co muszę zrobić?

RODO nie wskazuje żadnych konkretnych działań i rozwiązań. W wielkim skrócie i uproszczeniu, RODO mówi: „Rób tak, aby było dobrze. Wszelkie środki dozwolone, aby tylko osiągnąć cel, ale ty sam zdecyduj.” My dodamy jeszcze: „I rób to w taki sposób, żebyś mógł udowodnić, że zrobiłeś to dobrze.”. W jaki sposób przedsiębiorstwa mogą udowodnić, że działają w zgodzie z przepisami? Albowiem, to obowiązkiem firmy jest udowodnienie, że spełnia ona wymogi. W każdej chwili musi być zdolna, aby udowodnić, że działa w zgodzie z RODO.

Niby prosta sprawa, jak zwykle jednak ‘diabeł tkwi w szczegółach’. Działania powinieneś zacząć się od audytu zgodności z RODO i powinny one polegać na dogłębnym przejrzeniu lub stworzeniu map wszelkich procesów w Twojej organizacji, które mają związek z danymi. Taki przegląd / audyt powinien dać jasny obraz, co należy zrobić, aby wdrożyć procedury lub mechanizmy kontroli, na przykład prawa dostępu do niektórych danych.

 

Od czego zacząć, jak i kiedy?

Kiedy? Jak najszybciej, bo zostało naprawdę niewiele czasu, a pracy i kosztów mnóstwo. Wiele większych firm rozpoczęło już ten proces, przy współudziale wewnętrznych inspektorów do spraw zgodności lub dostawców zewnętrznych. W małych i średnich przedsiębiorstwach, działania powinny rozpocząć się jak najszybciej i od najwyższego poziomu (kadry zarządzającej), a następnie muszą zostać delegowane niżej, we wszystkie struktury.

 

Hosting zgodny z RODO

 

Niestety, nikt nie zrobi tego za Ciebie (Twoją firmę). Twoja organizacja, więc Ty wiesz najlepiej, jak informacje „przepływają” wokół Ciebie (Twojej firmy). I to jest chyba największa zmiana, w stosunku do dotychczasowych przepisów. Do tej pory istniał z grubsza zamknięty i jednoznaczny katalog punktów, które musisz spełnić, aby żyć w zgodzie z GIODO. Mało tego – praktyka wytworzyła i opublikowała wiele gotowych wzorców, które można było wręcz kopiować, wprowadzając jedynie niewielkie zmiany. Tym razem ustawa powie Ci jedynie: „Zrób tak, aby – w Twojej sytuacji – spełnić wymogi”. Na początek musisz więc sam siebie zapytać:

  1. W jaki sposób otrzymujemy dane osobowe?
  2. Kto odpowiada za te dane?
  3. Jaka jest fizyczna lokalizacja danych?
  4. Kto (w tym jakie oprogramowanie, systemy) ma dostęp do tych informacji i czy dane te są ujawniane komukolwiek innemu (w tym: hosting, księgowość, itd.)?

Musisz zidentyfikować wszystkie zagrożenia, występujące (bądź mogące wystąpić) w Twojej organizacji, a następnie stworzyć wszelkie możliwe schematy procesów. Mapowanie procesów pozwala również na wyraźniejsze wizualizowanie kierunków przepływu informacji w Twojej firmie. Głównym celem RODO jest ochrona ludzi przed organizacjami, które mogą niewłaściwie wykorzystywać dane osobowe, a więc tego typu mapowanie ma ogromne znaczenie dla przygotowania się do zgodności z przepisami. Jeśli Twoja firma nie wie, gdzie dokładnie znajdują się np. e-maile i co dokładnie dzieje z nimi, systemami, użytkownikami, itd., to skąd możesz wiedzieć, czy dane te są uzyskiwane zgodnie z prawem i przepisami?

Każdy podmiot gospodarczy, przetwarzający jakiekolwiek dane (czyli większość organizacji), musi z ręką na sercu ocenić, czy są one odpowiednio chronione przed wszelkimi szkodami, jak np. utrata, kradzież, zniszczenie i atak ze strony cyberprzestępców oraz, czy podobne wymagania na pewno spełnia oprogramowanie informatyczne wykorzystywane przez firmę. Dopiero na tej podstawie przedsiębiorca może określić, ile należy zrobić, jak określić koszty i czas potrzebny do wdrożenia zmian.

  1. Po pierwsze, zastanów się, czy możliwe jest samodzielne spełnienie nowych wymagań, czy też trzeba skorzystać z pomocy ekspertów zewnętrznych. Nie są to usługi tanie, specjalistów jest jeszcze niewielu, a zbliżająca się presja czasu z pewnością wymusi znaczący wzrost kosztów. A co będzie, gdy większość nieświadomych dzisiaj przedsiębiorców obudzi się w ostatniej chwili? W chwili, gdy media podchwycą np. pierwszy przypadek upadku firmy, wskutek donosu niezadowolonego klienta.
  2. Dokładnie oszacuj swoje zbiory danych, a także postaraj się przewidzieć w jaki sposób mogą one ewoluować.
  3. Stwórz własny katalog zagrożeń oraz sposobów ich monitorowania i reagowania.
  4. Sprawdź, jakie obecnie stosujesz zabezpieczenia dostępu do danych, używanych systemów informatycznych.
  5. Zweryfikuj z kim Twoja firma współpracuje i w jakim zakresie podmioty / osoby trzecie mają dostęp do danych. Jeżeli powierzasz przetwarzanie niektórych danych firmie zewnętrznej (np. hosting, księgowość, marketing), sprawdź jej rzetelność, a następnie zweryfikuj, czy umowa dokładnie przewiduje zasady współpracy.
  6. Sprawdź jakie nowe obowiązki nakłada na Ciebie ustawodawca, a następnie określ zadania, które musisz zrealizować (np. informacje w formularzach o celu i czasie przetwarzania danych, zmiany w treściach zgód na przetwarzanie danych, itp.)
  7. Opracuj procedury postępowania w przypadku zgłoszenia chęci przeniesienia danych, skorzystania z prawa do bycia zapomnianym (co de facto oznacza usunięcie danych z wszelkich systemów).
  8. Sporządź ocenę, czy konieczna jest wymiana lub modyfikacja systemów informatycznych, w tym ochrona przed atakami cybernetycznymi. Zaplanuj scenariusz stałego monitorowania i aktualizacji wszelkich systemów i aplikacji, które mogą mieć dostęp (również nie bezpośrednio) do danych lub innych systemów.
  9. Pamiętaj, że zazwyczaj najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek. Zaplanuj cykl szkoleń dla pracowników oraz zadbaj, aby zastosowali się do wszelkich ustaleń.
  10. Dowiedz się, czy Twoja organizacja musi powołać inspektora ochrony danych osobowych. Dotyczy to m.in. podmiotów przetwarzających dane na dużą skalę.
  11. Dokonaj analizy i oszacuj potencjalne straty spowodowane zniszczeniem lub kradzieżą danych, a następnie rozważ, czy nie okaże się opłacalne zawarcie odpowiedniej polisy ubezpieczeniowej.
  12. Naszkicuj nową strategię bezpieczeństwa, porównaj poszczególne punkty z obecnie stosowanymi mechanizmami i opracuj scenariusz dostosowania do nowych przepisów. Rozpocznij jej wdrażanie najszybciej, jak tylko będzie to możliwe i trzymaj kciuki, aby zakończyć prace, zanim do Twoich drzwi zapuka kontroler.
  13. Skorzystaj z pakietu RODO dla Klientów Servizza.

 

Servizza Team, przy wsparciu Stefana stefan-servinski-servizza

 

Zastrzeżenie prawne

Pragniemy podkreślić, że wszystkie informacje podane w tej publikacji służą wyłącznie do celów ogólnoinformacyjnych. Autorzy nie składają żadnych oświadczeń co do dokładności, kompletności, aktualności, stosowności informacji zawartych w niniejszym dokumencie. W zakresie zgodności z GDPR/RODO, zalecamy konsultacje z odpowiednimi specjalistami, w szczególności z prawnikiem specjalizującym się w tych zagadnieniach.

 

 

[i] https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow
[ii] Źródło: https://lexdigital.pl/3-lata-wiezienia-za-niewlasciwie-przetwarzanie-danych-osobowych-nowy-projekt-ustawy
[iii] https://giodo.gov.pl/pl/1520281/10380