Trwa eskalacja niepokoju wśród przedsiębiorców, którzy obowiązkowo mają posiadać wdrożoną politykę ochrony danych osobowych najpóźniej z dniem 25 maja 2018 roku. Przedsiębiorcy w natłoku spraw wysyłają na szkolenia w zakresie RODO wytypowanych pracowników, którzy często nie tylko nie znają obszaru i zakresu przetwarzanych danych w swoich firmach (często oddelegowane księgowe lub kadrowe znają zaledwie zakres danych swoich pracowników), ale również niezupełnie, nie orientują się jakie środki techniczne należy zastosować, w tym również jaki ujarzmić system informatyczny, w którego zasobach znajdują się dane kontrahentów, kontakty do dostawców, przeróżne mailingi, korespondencja mailowa itp. Ba, sami właściciele zapytani jakie dane są przetwarzane w ich systemach informatycznych i kto ma do nich dostęp, nie mają takiej wiedzy. Są i tacy, którzy na to samo pytanie odpowiadają: mnie to nie dotyczy. Czy jednak mają podstawy, aby spać spokojnie?
Kto nie powinien bać się RODO?
25 maja 2018 roku to data, która od wielu miesięcy dzwoni w uszach każdemu właścicielowi firmy, tym bardziej, że im bliżej do wejścia unijnego rozporządzenia RODO w życie, tym więcej interpretacji, wątpliwości i dylematów pojawia się w odpowiedzi na pytanie, jak rozporządzenie wpłynie na politykę prowadzenia firmy.
Za 3 miesiące proces przetwarzania danych w każdej firmie będzie podlegał surowszym niż dotychczas regulacjom, obowiązującym we wszystkich krajach UE. Jednak dla tych, którzy posiadają choćby ramową Politykę Bezpieczeństwa Informacji oraz dbają o ochronę danych (nie tylko osobowych), stosują dobre praktyki w firmie w zakresie bezpieczeństwa, poufności informacji, nadchodzące zmiany nie powinny być ani rewolucją, ani powodem do większych zmartwień.
Co jednak jeśli dotychczas właściciel firmy nie tylko nie zadbał o wdrożenie Polityki Bezpieczeństwa Informacji lub nawet świadomie działał na granicy prawa i naruszał zasady etyki biznesu? W praktyce dane osobowe przetwarza niemal każdy przedsiębiorca, który zatrudnia (nawet na umowach cywilno-prawnych) choćby jednego pracownika lub świadczy usługi na rzecz osób fizycznych. Nie wspominając już o każdym, kto stosuje do pracy komputer, gdzie odbiera lub wysyła pocztę elektroniczną. I nawet jeśli w gąszczu interpretacji dziś trudno się odnaleźć, to warto zaufać zdrowemu rozsądkowi i uznać, że proces ten obejmuje po prostu każdą operację dokonywaną na tych danych.
Obecna zmiana w przepisach to z pewnością przełom w samym podejściu do zagadnienia ochrony danych osobowych, w szerszym ujęciu do przetwarzania i ochrony wszelkich danych w przedsiębiorstwie. Inaczej mówiąc to zmiana, która nie tylko wymusza opis i uszczelnienie systemów IT, ale przede wszystkim zmianę naszego myślenia. Z czasem restrykcyjne przepisy i konsekwentna egzekucja w przypadkach naruszenia ochrony danych osobowych przełoży się w wielu przypadkach na bardziej rzetelne i uczciwe prowadzenie biznesu, które oparte jest na poszanowaniu partnerów i odbiorców detalicznych naszego biznesu.
Polityka Bezpieczeństwa Informacji
Przedsiębiorcy, którzy posiadają systemy informatyczne, stale dążą do zmian technicznych usprawniających pracę, wydajność pracowników, jakość obsługi klienta końcowego. Generalnie więc wdrażaniem nowych rozwiązań systemowych zajmujemy się na bieżąco i doskonale wiemy, że zmiany starego sposobu działania najpierw spotykają opór, który znika z chwilą dostrzegania korzyści wynikających ze zmian. Należy zatem położyć nacisk na budowanie świadomości pracowników, użytkowników systemów oraz osób przetwarzających dane (nie tylko osobowe). Należy budować postawy odpowiedzialności za powierzone dane na wzór powierzenia mienia (środków technicznych, takich jak samochody, komputery, wyposażenie). Dane to dobro firmy. Jeśli w przedsiębiorstwie zdefiniowano Tajemnicę Przedsiębiorstwa i wskazano pracownikom, gdzie jest ona „ulokowana” to łatwo wskazać sposoby jej zabezpieczenia. Jeśli więc w prawidłowo opisanej Polityce Bezpieczeństwa Informacji opiszemy, gdzie są zdeponowane dane osobowe oraz ustalimy zasady ochrony danych (instrukcja opisująca system informatyczny oraz zasady bezpieczeństwa danych), to przestrzeganie zasad opisanych w RODO oraz wszelkich przepisach polskiego prawa, które w najbliższym czasie będą się zmieniały (należy spodziewać się zmian ponad stu aktów prawnych w następstwie zmian GIODO), nie będzie ani rewolucją, ani większym problemem w naszych przedsiębiorstwach. Oczywiście przy założeniu, że firmy nie tylko wdrożą własną Politykę Bezpieczeństwa Informacji, ale i następnie wykażą dbałość w zakresie m.in. gromadzenia zgód na przetwarzanie danych, monitorowania przetwarzanych danych oraz skuteczności zabezpieczeń, które obowiązkowe będą już za kwartał. Wydaje się, że najwięcej stracić mogą ci przedsiębiorcy, którzy świadomie (lub przez przysłowiowy brak czasu) ignorowali dotąd przygotowanie do RODO, co jest też wynikiem wielu lat zaniedbań związanych z ich bierną postawą wobec różnych przepisów, w tym ochrony danych osobowych, ale też i wobec technologii, które mogły rozwijać ich legalny i uczciwy biznes.
Ireneusz Burek
za zdjęciu:
Jak wzmacniać wiarygodność firmy poprzez wdrożoną Politykę Bezpieczeństwa Informacji. Podczas spotkania biznesowego Izby Gospodarczej w Wodzisławiu Śl. przedsiębiorcy mogli wysłuchać ciekawej prelekcji w zakresie compliance oraz RODO. Bogna Zaborowska-Smagacz omówiła historię powstawania aktów prawnych w zakresie ograniczania praktyk korupcyjnych. Wdrażanie programu Compliance świadczy o działalności firmy zgodnej ze standardami prawnymi, wzrostem wiarygodności firm wobec kontrahentów, banków czy inwestorów. Podobne przełożenie na wzmocnienie wizerunku i wiarygodności firmy posiada wdrożona polityka Ochrony Danych Osobowych, o której mówił radca prawny Martyna Michna.