Mieć RODO czy stosować RODO – oto jest pytanie

Od pewnego czasu nie daje mi spokoju gorzka myśl – czy przedsiębiorcy naprawdę rozumieją po co im RODO? Uprzedzam, odpowiedź w stylu „żeby nie dostać kary” – jest nie tylko niewystarczająca, co wręcz niebezpieczna dla prowadzonego biznesu. W związku z powyższym w tym wpisie postaram się przybliżyć biznesowy sens REALNEGO wdrożenia przepisów o ochronie danych osobowych. Sens, którego zrozumienie – w chwili próby – zadecyduje, czy nasza firma okaże się zgodna z RODO, czy nie.   

O ile z faktem, że dane osobowe należy chronić raczej mało kto polemizuje, to już przejście do bardziej szczegółowych kwestii i praktycznych wyborów pokazuje, że w temacie zrozumienia oraz właściwego stosowania RODO wiele jeszcze pozostaje do zrobienia…

Firmowi decydenci na ogół deklarują, że „RODO już mamy wdrożone”. Jednak rzeczywistość nie wygląda tak różowo. Zaś całościowy obraz ochrony danych osobowych w polskich firmach jest znacznie bardziej ponury niż wynikałoby to ze wspomnianych deklaracji.

Oczekiwania vs. rzeczywistość

Wdrożenie wdrożeniu nierówne. I nie mam tu na myśli tego, że w jednej firmie łatwiej jest osiągnąć zgodność z RODO, a w innej jest to trudniejsze (choć to też prawda). Mam tutaj na myśli główną motywację, którą kierują się decydenci pragnący wdrożyć RODO. Ta motywacją, jak sądzę, ma kluczowe znaczenie dla sensowności całego projektu.

Motywacja decyduje o formie wdrożenia. Forma, z kolei o tym, że w czasie kontroli bądź realnego problemu związanego z zarządzaniem przetwarzanymi danymi część firm sobie poradzi, zaś inne (formalnie też „posiadające RODO”) – nie.

Obserwując firmy wdrażające RODO zazwyczaj mamy do czynienia z dwoma przeciwstawnymi postawami, między którymi rozciąga się cała paleta postaw pośrednich.

Postawa 1: Firma opracowuje, zleca opracowanie lub po prostu ściąga z Internetu dokumenty stanowiące owo mityczne RODO. Fakt ich posiadania uznaje za równoznaczny z osiągnięciem zgodności z wymaganiami stawianymi przez Ogólne Rozporządzenie.

Postawa 2: Firma, własnym bądź „wynajętym” wysiłkiem określa czego do osiągnięcia zgodności z RODO jej brakuje, a następnie systematycznie uzupełnia zidentyfikowane braki. Efektem wdrożenia jest nie tylko zestaw odpowiedniej dokumentacji, ale przede wszystkim wpisanie ochrony danych osobowych w codzienną działalność firmy. A następnie sprawdzenie czy owo wpisanie zakończyło się sukcesem. Innymi słowy – czy RODO działa.

Nie trudno domyślić się, która z tych dwóch postaw świadczy o zrozumieniu potrzeby przystosowania firmy do nowego prawa ochrony danych. Łatwo również zgadnąć, gdzie to wdrożenie okaże się skuteczne, a więc doprowadzi do wykazania się zgodnością oraz zapewni realną ochronę praw i wolności osób, których dane przedsiębiorstwo przetwarza.

Przyjrzymy się zatem biznesowym korzyścią jakie daje nam przyjęcie postawy drugiej, świadczącej o realnym zrozumieniu sensu wdrożenia RODO.

Korzyści biznesowe wynikające z realnego wdrożenia RODO

Zauważalny dowód na to, że autentycznie dbamy o naszych klientów i pracowników

Chęć osiągnięcia zgodności z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych powinna przede wszystkim wynikać z pragnienia ochrony prywatności naszych klientów. Wiem, brzmi idealistycznie. Ale nie zapominajmy – troska o naszych klientów leży w naszym dobrze pojętym interesie!

Wizerunek profesjonalnej firmy

Jak trudno wypracować odpowiednią reputację i jak łatwo ją zniszczyć wie w zasadzie każdy. Dlatego, współczesnej firmy (szczególnie takiej która bazuje na przetwarzaniu danych osobowych) po prostu nie stać na reputacyjne problemy związane z ochroną danych. Ponadto, wizerunek profesjonalnej firmy pozwala często przegonić mniej świadomą tego problemu konkurencję.   

Minimalizacja ryzyka kar administracyjnych (czyli głównie kar finansowych)

„Oczywista oczywistość”. Tak, ale pod warunkiem realnego wdrożenia i stosowania przepisów Ogólnego Rozporządzenia. Sama, nawet najbardziej profesjonalna dokumentacja, nic nie da, jeśli tylko leży w szafie. 

Ograniczenie ryzyka odpowiedzialności cywilnej

Osoba której dane dotyczą i która ucierpiała w wyniku naruszenia przepisów RODO ma prawo dochodzić swoich praw przed sądem. Nawet jeśli wyrok szybko nie zapadnie bądź przed roszczeniami osoby uda się obronić, to samo postępowanie będzie z pewnością kosztowne, choćby w wymiarze wizerunkowym.  

Pozbawienie agresywnych konkurentów możliwości wykorzystania RODO do nieuczciwych działań

Konkurencja nie zawsze działa uczciwie. Zaś samo RODO jawi się, niestety, jako użyteczny instrument w nieuczciwej walce konkurencyjnej. Wykorzystanie przepisów RODO do tego typu celów może pociągnąć za sobą znaczące problemy o zróżnicowanym charakterze. Dobrze działający system zarządzania danymi osobowymi sprawi, że tego typu próby co najwyżej będę małą uciążliwością.

Minimalizacja ryzyka naruszenia ochrony danych, a więc prawdopodobieństwa wystąpienia w firmie sytuacji kryzysowej

Temat naruszeń ochrony danych jest bardzo problematyczny (potrzeba obsługi naruszenia, zgłoszenia go do organu nadzorczego, poinformowanie osób pokrzywdzonych). Wszystko to sprawia, że naruszenia ochrony danych mogą wywołać w organizacji mniejszy bądź większy kryzys. Prawdopodobieństwo takiego rozwoju wypadków jest minimalne przy dobrze działającym systemie obsługi naruszeń, lecz by takowy zaistniał, trzeba wdrożenie RODO potraktować na serio.

Ograniczenie problemów z nastawionymi roszczeniowo klientami  

Roszczeniowe nastawienie niektórych klientów jest wręcz przytłaczające. W erze RODO, tego typu osoby otrzymały zestaw praw, których wykonania mogą się domagać. Z kolei administrator musi te prawa obsługiwać (nie zawsze wykonać!). Aby proces obsługi żądań osób fizycznych przebiegał sprawnie potrzebne są procedury, ich przegląd i doskonalenie. Innymi słowy – niezbędne jest poważne podejście do kwestii wdrożenia RODO.        

Podsumowanie

Skracając główną myśl zawartą w tym wpisie, mogę tylko życzyć firmowym decydentom właściwego rozeznania sensu przystosowania firmy do nowego prawa ochrony danych. A co za tym idzie  właściwej do tego motywacji. Jeśli ona zaistnieje, jestem przekonany, że to wystarczy by właściwie zarządzać przetwarzaniem danych osobowych oraz chronić prawa osób, których te dane dotyczą. Aby więc osiągnąć zasadniczy cel, jakim jest zgodność działań organizacji z RODO.  

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

17 − 16 =