Więcej pytań niż odpowiedzi. Potrzebna RODOpomoc

Wróć

RODO obowiązuje od prawie trzech miesięcy. To unijne przepisy, o których w ostatnich miesiącach chyba mówiło się najwięcej. Analizowano, co po 25 maja zmieni się dla konsumentów i dla firm przetwarzających ich dane osobowe. Mówiono, jak dużo firm jest na to przygotowanych, a właściwie nieprzygotowanych, i jak duże będą kary za nieprzestrzeganie nowych przepisów. W ostatnich tygodniach mówi się głównie o absurdach RODO i pierwszych karach, które się pojawiły, ale także o pojawiających się wątpliwościach. Słowem – w ochronie danych osobowych wciąż jest zdecydowanie więcej pytań niż odpowiedzi.

Absurdy RODO

Przedstawiciele przedsiębiorstw przyznają, że wiele z nich uległo panice związanej z RODO i zrobiło więcej niż było to potrzebne, co kosztowało je nie tylko sporo środków finansowych, lecz również wysiłku organizacyjnego. Część firm na bok odłożyła poważne projekty, żeby zająć się przygotowaniami do nowych regulacji. Pieniądze i wysiłek koncentrowały się wokół audytów, analizy wszystkich umów i obszarów działalności firmy związanych z przetwarzaniem danych osobowych, szkoleń, dostosowywania systemów informatycznych, pozyskiwania zgód od klientów, zatrudniania firm zewnętrznych lub tworzenia stanowisk do spraw obsługi RODO. Mimo dwóch lat przygotowań i licznych publikacji na ten temat wątpliwości wciąż są – i to zarówno po stronie firm, jak i osób, których dane są przetwarzane.

W ostatnich tygodniach w mediach roi się od artykułów i informacji o tym, jak nowe unijne przepisy dotyczące ochrony danych osobowych utrudniają życie. Podatnicy skarżą się na to, że urzędnicy skarbowi boją się przekazywać jakiekolwiek informacje telefonicznie, więc zmuszeni są do wizyt osobistych w urzędach. Podobnie jest w szpitalach. Głośno było o sprawie poszkodowanego w wypadku dziecka, którego rodzice nie mogli się dowiedzieć, do jakiej placówki trafiła ich pociecha. Personel zasłaniał się RODO. Również MEN przyznaje, że dostaje ogromną ilość informacji o nadinterpretacji nowych przepisów i panicznych działaniach ze strony szkół. Zdarzały się sytuacje, że nauczyciele przestali np. przekazywać dzieciom ich klasówki, wyczytywać listę obecności czy wręczać publicznie świadectwa z wyróżnieniem.

Rozwiązywaniem problemów w poszczególnych sektorach ma zająć się Grupa ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji, złożona z przedstawicieli różnych ministerstw, Urzędu Ochrony Danych Osobowych i ekspertów zajmujących się tą tematyką. Pierwsze spotkanie odbyło się 2 lipca. Grupa ma być forum wymiany doświadczeń związanych z wdrażaniem RODO i ochrony prywatności, a także pomóc w rozwiązaniu problemów wynikających z błędnego zrozumienia przepisów.

W walkę z RODOabsurdami zaangażowało się też Ministerstwo Inwestycji i Rozwoju, które uruchomiło cykl konsultacji „Na co dzień z RODO” kierowany do samorządowców, przedstawicieli biznesu i instytucji. Zamierza też opublikować bezpłatny cykl poradników dla poszczególnych branż oraz prowadzić dalsze liczne spotkania i konsultacje. Firmy mogą się też zwracać do pełnomocnika rządu ds. małych i średnich przedsiębiorstw, działającego przy resorcie, z pytaniami i wątpliwościami dotyczącymi RODO. W ciągu dwóch dni wpłynęło ich ok. 700. RODO.

Katarzyna Szymielewicz, prezeska Fundacji Panoptykon, na łamach „Gazety Wyborczej” przestrzegała przed sprowadzaniem RODO do absurdów. Zajmowanie się takimi efektami nowych przepisów, które wynikają głównie z niewiedzy przedsiębiorstw i organizacji lub obawy przed karami, odwraca uwagę od głównego założenia rozporządzenia, a mianowicie przestawienia usług cyfrowych „na zasady minimalizacji, adekwatności i domyślnej ochrony prywatności”.

Obawy i niewiedzę wykorzystują również nieuczciwe podmioty, które próbują w ten sposób wyłudzić pieniądze, np. oferując niepełnowartościowe szkolenia. Do Urzędu Ochrony Danych Osobowych zaczęły także spływać informacje o próbach fałszywych kontroli, rzekomo ze strony urzędu. Firmy powinny w takich sytuacjach zachować czujność, bo na pierwszy rzut oka wszystko może wyglądać wiarygodnie. Oszuści są wyposażeni w identyfikatory, ale są one podrobione. Nazwiska i numery legitymacji kontrolerów można łatwo zweryfikować na stronie urzędu. Poza tym UODO co do zasady informuje najpierw o planowanej kontroli.

Kary straszakiem?

Ministerstwo Cyfryzacji zapewniało, że przedsiębiorcy nie powinni obawiać się kar. Te mają być ostatecznością, przynajmniej na początku obowiązywania nowej ustawy. A teoretycznie jest się czego bać. Rozporządzenie przewiduje bowiem, że maksymalne kary mogą sięgnąć 20 mln euro lub 4 proc. globalnego rocznego obrotu danej firmy.

Pierwsze kary już są. Sklep Optical Center sprzedający okulary przeciwsłoneczne zgodnie z decyzją francuskiego urzędu ds. ochrony danych osobowych (CNIL) będzie musiał zapłacić 250 tys. euro za niewłaściwe zabezpieczenie danych swoich klientów kupujących online. Przez to dla postronnych osób dostępne były dane personalne (imię, nazwisko, adres), lecz także dotyczące stanu zdrowia czy numeru ubezpieczenia zdrowotnego. Firma ta została ukarana za nieprzestrzeganie bezpieczeństwa danych klientów w 2015 roku, czyli długo przed wejściem w życie nowych, zdecydowanie bardziej rygorystycznych przepisów. Jak podkreślili przedstawiciele CNIL, nałożona kara ma być przestrogą dla innych przedsiębiorców, którzy do tematu ochrony danych osobowych podchodzą z lekceważeniem.

W toku są kolejne sprawy, niektóre opiewające na znacznie wyższe kwoty. Te dotyczą praktyk takich gigantów jak Facebook, WhatsApp, Google czy Instagram, a konkretnie wymuszania zgód na przetwarzanie danych. Już pierwszego dnia obowiązywania nowego prawa roszczenia opiewały na kilka miliardów euro. To pokazuje, że po 25 maja konsumenci zaczęli chętnie korzystać z praw, jakie daje im RODO. Zgodnie z dyrektywą każdy ma prawo wniesienia skargi do właściwego urzędu nadzorującego przestrzeganie nowego prawa. Pierwsze zaczęły wpływać jeszcze w piątek 25 maja.

Podobnie było w Polsce. W ciągu dwóch pierwszych miesięcy do UODO wpłynęło ponad 750 skarg w związku z naruszeniem nowych przepisów, a także ponad 500 zgłoszeń naruszeń (chodzi np. o nieuprawnione lub przypadkowe ujawnienie danych czy wprowadzenie nieuprawnionych zmian podczas zapisu lub transmisji danych, na razie dotyczyły pojedynczych osób lub niewielkich grup) i ponad 600 pytań w sprawie stosowania nowego prawa. Wiele z nich dotyczyło nieprawidłowości w kierowaniu korespondencji, np. do osób nieuprawnionych, przesyłania zbiorczych baz mailingowych do adresatów, braku anonimizacji dokumentów przed ich opublikowaniem. Jak podkreślali przedstawiciele urzędu, brano pod uwagę wzrost liczby spływających pism, ale skala przerosła oczekiwania urzędników. W początkowym okresie zgłoszeń było o 100 proc. więcej niż przed obowiązywaniem nowych przepisów. W wywiadzie z PAP Agnieszka Świątek-Druś, rzecznik UODO, powiedziała, że po wstępnej analizie pism widać, że znaczna ich część może być niezasadna. Wiele osób słyszało bowiem o nowych regulacjach, ale nie zna ich szczegółów. Nie wiedzą, np. jakie są ograniczenia związane z prawem do bycia zapomnianym. To pokazuje, że potrzebne jest zwiększanie świadomości zarówno konsumentów, jak i osób przetwarzających dane.

Dane będą bezpieczniejsze?

Badanie przeprowadzone przez amerykańską firmę TrustArc wśród 600 firm z UE i USA wykazało, że tylko co piąta uważa się za przygotowaną do funkcjonowania pod reżimem RODO. Ponad połowa deklaruje, że jest w fazie wdrożenia zmian, a 27 proc. – że nawet jej nie rozpoczęła. Mimo wielomiesięcznych przygotowań, które deklarowały firmy, w ciągu ostatnich tygodniu doszło do spektakularnych wpadek. W Wielkiej Brytanii w należącej do Dixons Carphone sieci sklepów z elektroniką ujawniono dane prawie 6 milionów kart kredytowych. Również osoby, które korzystały z Ticketmastera między lutym a czerwcem br. mogły paść ofiarą ataku – z serwisu mogły wyciec dane kart kredytowych, dlatego radzi on swoim użytkownikom zmianę hasła, monitorowanie stanu konta bankowego, a w razie nieprawidłowości zgłoszenie ich do banku.

Od takich sytuacji firmy mogą się ubezpieczyć. Eksperci ubezpieczeniowi od dawna wieszczyli gwałtowne przyspieszenie rozwoju segmentu cyberpolis, obejmującego nie tylko ryzyka związane z przetwarzaniem i przechowywaniem danych osobowych, lecz także inne cyberzagrożenia. Produkt ten chroni firmę przed stratami finansowymi w konsekwencji ataków hakerskich, awarii infrastruktury czy wycieku danych. Ten wzrost zainteresowania widać było jeszcze przed majem i cały czas rośnie. Rekordowa liczba zapytań o cyberubezpieczenia nie przekłada się jednak na ich równie wysoką sprzedaż, mimo że na rynku pojawia się coraz więcej ofert w tym segmencie. Eksperci podkreślają, że firmy ruszą do ubezpieczycieli, kiedy dojdzie do pierwszych poważnych naruszeń, a także kar nakładanych przez UODO.

Poprzedni artykuł Przemysł 4.0. i elektromobilność wśród najważniejszych trendów dla gospodarki Następny artykuł Start-upy do piaskownicy! [WIDEO]

Podobne posty

Posadź drzewo… po śmierci

Jak mawiał Benjamin Franklin, tylko dwie rzeczy na świecie są pewne: śmierć i podatki. A skoro każdy z nas umrze, każdy dostanie też swoje miejsce na cmentarzu. Czy to znaczy, że miasta będą stopniowo zamieniać się w ogrodzone murami…

Czytaj więcej

Rynek, który leży prawie odłogiem

Siedem spośród dziesięciu podmiotów z sektora MSP kupuje polisy majątkowe. Zainteresowanie pozostałymi produktami jest wśród nich marginalne. Z jednej strony jest to wynik braku świadomości ubezpieczycieli odnośnie…

Czytaj więcej

TOP 6 upadłych magazynów

Kiedyś stanowiły jedno z podstawowych źródeł informacji, relaksu i określeń statusu społecznego. Zwinięte w rulon pod pachą pozycjonowały właściciela wysoko na drabinie atrakcyjności. Czasopisma znane, czytane i kolekcjonowane w…

Czytaj więcej