Od 25 maja 2018 r. będą obowiązywać przepisy RODO, czyli unijnego rozporządzenia ogólnego o ochronie danych osobowych. Skala zmian w porównaniu z obecnym stanem prawnym jest ogromna. Na dostosowanie się do nich pozostało zaledwie kilka miesięcy.

Zgodnie z RODO pracownicy mają przetwarzać dane osobowe na polecenie pracodawcy - administratora danych. – Pracownicy będą musieli przestrzegać wewnętrznych polityk ochrony danych, ponieważ ich pracodawca może ponieść poważne konsekwencje finansowe w związku z incydentem i utratą danych – podkreśla adwokat Marcin Zadrożny, ekspert ds. ochrony danych z ODO 24.

Człowiek najsłabszym ogniwem systemu

Jak się okazuje, obecnie w większości przypadków pracownicy nie znają wewnętrznych procedur z zakresu ochrony danych osobowych zawartych w polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym. – To człowiek jest najsłabszym ogniwem każdego systemu zabezpieczeń, więc pracodawca powinien przeprowadzać systematyczne szkolenia i egzekwować od pracowników stosowanie nowych procedur określonych w politykach ochrony danych dostosowanych do RODO, które będą uwzględniać również kontekst organizacji i ryzyka w niej występującego – wylicza mec. Zadrożny.

Pracodawcy powinni pamiętać, nie tylko o szkoleniu osób, które bezpośrednio odpowiadają za bezpieczeństwo danych osobowych w firmie, ale też zwykłych pracowników, bowiem przepisy RODO mogą mieć zastosowanie także np. do firmowych wizytówek czy korespondencji uzyskanej za pośrednictwem poczty elektronicznej.

Adwokat Marcin Zadrożny zwraca uwagę, że na wizytówkach znajdują się dane osobowe. Ich administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić ich bezpieczeństwo odpowiadające ryzyku – wyjaśnia ekspert. - Niestety dotychczas przedsiębiorcy nie przywiązywali dostatecznej uwagi do bezpieczeństwa danych służbowych klientów, kontrahentów czy dostawców lub ich przedstawicieli – dodaje.

Jego zdaniem, obecnie trudno jednoznacznie wskazać, jakie obowiązki firmy i ich pracownicy będą mieli po wejściu w życie RODO w zakresie zabezpieczenia wizytówek. Przy czym zaznacza, że to sama organizacja na gruncie RODO ma określić wewnętrzne polityki i wdrożyć odpowiednie zabezpieczenia techniczne i organizacyjne odpowiadające ryzyku dla zasobu informacyjnego w konkretnej organizacji.

Przykładowo w firmie Jana Kowalskiego prowadzącego zakład stolarski będą inne ryzyka, a inne w dużej spółce handlowej – wskazuje adwokat. - W przypadku wizytówek większym problemem jest realizacja obowiązku informacyjnego wobec osoby, od której otrzymujemy wizytówkę, niż sposób jej zabezpieczenia – podkreśla ekspert.

Drugi aspekt codziennej działalności firm, z którym po wejściu w życie RODO będą musieli zmierzyć się przedsiębiorcy to prowadzenie korespondencji e-mail. W tym zakresie mec. Zadrożny wskazuje na co najmniej trzy problemy.

Po pierwsze, dopełnienie obowiązku informacyjnego wobec osoby, z którą prowadzi się korespondencję. Chodzi o sytuacje, gdy pracownik otrzymuje na służbową skrzynkę e-mail wiadomość od osoby, z którą wcześniej nie prowadził korespondencji, jego pracodawca staje się administratorem tych danych. Osoba, której dane dotyczą musi mieć szansę zapoznać się z informacjami. - Najprościej dodać w stopkach naszych pracowników link do strony www, na której znajdują się odpowiednie informacje – radzi ekspert ODO 24.

Drugi problem to okres przechowywania wiadomości e-mail w skrzynkach pocztowych. Zgodnie z wytyczną Grupy roboczej art. 29 Dyrektywy 95/46/WE z 29 listopada 2017 roku Opinion on some key issues of the Law Enforcement Directive (EU 2016/680) - okresy przechowywania danych powinny odnosić się do poszczególnych kategorii osób, których dane dotyczą. Po trzecie dane ze skrzynek e-mail będą podlegały prawu do usuwania ich.

Magiczna wysokość kary administracyjnej

Za nieprzestrzeganie przepisów nowej dyrektywy mają grozić dotkliwe kary. Mec. Marcin Zadrożny przyznaje, iż organ nadzorczy każdego kraju członkowskiego będzie miał szerokie uprawnienia korekcyjne i naprawcze, w tym będzie uprawniony do nakładania wręcz „magicznej wysokości kary administracyjnej". – Administrator danych powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Jeżeli tego nie zrobi mogą go czekać kary do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kara wyższa – wyjaśnia ekspert.

Jak jednocześnie podkreśla, kary pieniężne będą zależne od okoliczności indywidualnego przypadku. – Przy wymierzaniu kary organ nadzorczy będzie zobowiązany do kierowania się (nieostrymi) 11 przesłankami ustalania wysokości kary administracyjnej, m.in. chodzi o rozmiar poniesionej szkody przez osobę, której dane dotyczą, wagę, charakter, czas trwania naruszenia, stopień współpracy z organem nadzorczym – wylicza mec. Zadrożny.

Uprawnienia organu nadzorczego według RODO:

- nakazuje administratorowi i podmiotowi przetwarzającemu dostarczać informacje potrzebne do wykonania zadań,

- prowadzi postępowania w formie audytu,

- zawiadamiania administratora lub podmiot przetwarzający o podejrzeniu naruszenia RODO,

- ma prawo dostępu do wszelkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do wszelkiego sprzętu i środków służących do przetwarzania danych.