„Zły potwór RODO”. Brzmi znajomo? Przyznaj się ile razy tak właśnie pomyślałaś o tej regulacji? Pocieszę Cię, że nie jesteś w tym odczuciu odosobniona. Chciałabym Ci jednak pokazać nieco inną perspektywę, nieco inne spojrzenie na RODO. Dlaczego? Jest kilka powodów. Po pierwsze, w społeczeństwie nadal funkcjonuje wiele mitów, dotyczących ochrony danych osobowych i samego RODO. Po drugie, w internecie krąży na ten temat wiele fake newsów, a samo zagadnienie przez ostatnie dwa lata było na tyle popularne, że każdy zdążył już sobie wyrobić własną opinię. Często niestety w oparciu o nieprawdziwe informacje. Do tego, RODO bywa wykorzystywane przez osoby, które celowo straszą administratorów swoich danych osobowych skargami do Prezesa Urzędu Ochrony Danych Osobowych, często licząc na uzyskanie odszkodowania. W mojej opinii kierowanie skarg do PUODO jest właściwym działaniem wówczas, gdy widzimy jakieś nieprawidłowości w przetwarzaniu danych lub jest ono nieuprawnione. Jednak, gdy motywacją do kierowania skarg jest zwyczajne cwaniactwo, bo „a nuż się uda coś uzyskać”, to jest to zwyczajnie nieuczciwe.
Uważam więc ten artykuł za ważny i potrzebny. Mam nadzieję, że pomoże Ci trochę lepiej zrozumieć, o co właściwie chodzi w całym tym RODO szaleństwie, które trochę ucichło, ale u wielu osób nadal budzi strach. Postaram się wyjaśnić, co tak naprawdę jest ważne w kontekście ochrony danych osobowych i samego RODO, a co zupełnie niepotrzebnie zostało uznane za kluczowe dla istnienia wielu firm i organizacji.
Spis treści
RODO szaleństwo
W maju 2020 roku minęły dwa lata odkąd „zły potwór” RODO stał się dla nas obowiązującym prawem. Tuż przed wejściem w życie nowych przepisów o ochronie danych osobowych zapanowała powszechna panika. Zwiastowanie legislacyjnej apokalipsy dodatkowo nasilały przewidziane w polskim prawie kary finansowe, które są nakładane w przypadku braku właściwej polityki ochrony danych osobowych w organizacji. Wiele przedsiębiorstw w strachu przed swoją finansową przyszłością, gotowe było zapłacić każde pieniądze, aby uchronić siebie i swoją firmę przed wizją bankructwa.
Potrzebna refleksja
Niestety w tym całym szaleństwie, zabrakło jednak najważniejszego – refleksji na temat celu, dla którego w ogóle te nowe przepisy powstały. Wbrew przerażeniu niektórych, tym celem na pewno nie były i nie są milionowe kary. Nie jest też nim napędzanie strachu wśród przedsiębiorców. Wręcz przeciwnie. Chodzi przede wszystkim o budowanie i rozwijanie świadomości, że nasze dane osobowe są ważne i powinniśmy je chronić.
Żyjemy przecież w cyfrowym i zglobalizowanym świecie, w którym na każdym kroku dzielimy się swoimi danymi osobowymi. Robimy to chociażby kupując rzeczy przez internet, idąc ulicą, gdzie jest zamontowany monitoring wizyjny, czy też instalując aplikacje mobilne lub korzystając z social mediów. Tym samym godzimy się na to (świadomie lub nie), aby nasze dane były przetwarzane przez inne podmioty.
Kto jest odpowiedzialny za ten chaos?
Za całe to RODO szaleństwo, a tym samym brak pogłębiania świadomości społeczeństwa w tym zakresie, można by winić zarówno państwo, w szczególności publiczne podmioty odpowiedzialne za wprowadzenie RODO do polskiego porządku prawnego, ale też wielu straszących tematem dziennikarzy, którzy nie do końca wiedzieli o co w tym właściwie chodzi. Oczywiście nie chcę generalizować, bo byli też tacy, którzy doskonale wypełniali swoją pracę i rzetelnie podeszli do tematu. Jednak był on na tyle popularny, że pisali o tym wszyscy. Zarówno ci, którzy się na tym znają, jak i ci, dla których ochrona danych osobowych to totalna nowość. Za RODO szaleństwo odpowiadają też wszyscy ci, którzy zauważyli w tym okazję, aby nakręcając strach innych, zarobić na swoich usługach bardzo dużo, wielokrotnie przebijając swoje ceny sprzed okresu RODO. Nie mówiąc już o powszechnie sprzedawanych w sieci urządzeniach biurowych, meblach i tym podobnym opatrzonych informacją „zgodne z RODO”, które to „certyfikaty RODO” można było sobie między bajki włożyć.
Społeczeństwo popadło w skrajności, przechodząc z systemu, w którym specjalnie nie przejmowało się ochroną danych osobowych, chociaż funkcjonowała ona już od dawna (przypomnę, że poprzednia ustawa o ochronie danych osobowych funkcjonowała już od 1997 roku, a unijna dyrektywa od 1995 roku), do systemu, w którym nagle zaczęto robić wszystko, co tylko możliwe. Nie dostosowując tym samym swoich działań do rozmiaru i zakresu swojej firmy, organizacji, czy projektu.
Ze strony ustawodawcy, zdecydowanie zabrakło edukacji oraz pokazywania tego, co naprawdę ważne i dawania właściwych wzorców.
RODO to baza korzyści – zwłaszcza dla przedsiębiorstw
Baza korzyści? Pewnie myślisz sobie teraz, że raczej problemów i stresu. Jakie korzyści mogą nieść za sobą dodatkowe RODO obowiązki? Spójrz więc na to z innej perspektywy. Jeśli przekazujesz jakiemuś podmiotowi swoje dane osobowe, a na pewno to robisz, bo obecnie jest to niemożliwe, aby nikt nigdzie nie przetwarzał Twoich danych osobowych, to w pewnym sensie tracisz nad nimi kontrolę. Bezpieczeństwo Twoich danych osobowych zależy więc od tych właśnie podmiotów. Od administratorów danych osobowych. Mogą to być na przykład: banki, przychodnie lekarskie, sklepy internetowe, portale internetowe, media społecznościowe i wiele innych.
Zatem, jako osoba działająca online i gromadząca dane swoich odbiorców/klientów to właśnie Ty odpowiadasz za bezpieczeństwo ich danych. Wykorzystaj to, jako formę budowania relacji ze swoimi odbiorcami. Pokaż swoim klientom, że właściwie, z odpowiednią troską opiekujesz się ich danymi. Wyjaśnij dokładnie dlaczego zbierasz ich dane, co z nimi zrobisz i jakie mają prawa. Ale zrób to tak, aby nie mieli problemu ze zrozumieniem. Jest to forma budowania zaufania klienta do marki, którą budujesz.
Na pewno to wiesz, ale pozwolę sobie przypomnieć, że nie jest sztuką, aby zdobyć klienta raz i za chwilę go stracić. Sztuką jest, aby go do siebie przekonać. Przekonać możliwie najlepszym towarem lub usługą, wiedzą merytoryczną, profesjonalizmem i dbaniem o dobro klienta. Czym więc jest zapewnienie bezpieczeństwa danych osobowych klientów, jeśli nie dbaniem o ich dobro? Jest to szansa na pozyskanie klientów, którzy nam zaufają i w poczuciu bezpieczeństwa zostaną z nami na dłużej.
Tylko nie przesadź!
Pamiętaj jednak, że liczy się nie ilość mechanizmów ochrony danych osobowych w Twojej firmie, a zdecydowanie ich jakość.
Na przykład zamknięcie na klucz każdego pokoju w biurze, w którym znajdują się dane osobowe i zamontowanie drzwi antywłamaniowych zda się na nic, jeśli brakuje właściwej polityki wydawania kluczy, a wszystkie klucze i tak trzymamy w recepcji, do której dostęp ma każdy. Łącznie z osobami trzecimi. Na nic się też zda zamontowanie czytnika linii papilarnych do drzwi pokoju z serwerem firmy, jeśli dla wygody pracowników i łatwiejszego dostępu przez cały dzień pracy te drzwi będą otwarte.
Podobnie jest z umiejscowieniem Twojej firmy w sieci. Jeśli dostęp do Twoich firmowych kont pocztowych, WordPressa, systemu mailingowego, w tym bazy kontaktów ma każdy, kto chociaż przez chwilę z Tobą współpracował, a Ty nie zmieniasz regularnie haseł, to tysiące różnych zaawansowanych zabezpieczeń technicznych i tak nie spełnia swojej funkcji.
Zasada proporcjonalności
W tym kontekście warto pamiętać o zasadzie proporcjonalności, o której mówi samo rozporządzenie. To RODO ma służyć ludzkości, a nie ludzkość RODO. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym, które stałoby ponad wszystkimi innymi prawami. W każdym przypadku trzeba je rozważać w kontekście jego funkcji społecznej.
Przykładem pominięcia zasady proporcjonalności może być drukowanie klauzul informacyjnych i zbieranie pod nimi podpisów z adnotacją „Zapoznałam/em się w dniu…”. Ze strony właścicieli danych może być to na przykład żądanie zaprzestania przetwarzania dotyczących ich danych zgromadzonych w Urzędzie Miasta lub Urzędzie Skarbowym. Ten drugi przykład pokazuje jednocześnie żądanie sprzeczne z samym RODO, gdyż ta regulacja przyznaje prawo przetwarzania naszych danych osobowych, gdy jest to „niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze” lub „ niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”. Tak właśnie działa Urząd Miasta i Urząd Skarbowy.
Pominięcie zasady proporcjonalności może też nieść za sobą bardzo duże koszty. Np. zastosowanie w małej, kilkuosobowej firmie technologii, mechanizmów i procedur przeznaczonych do ogromnych korporacji. Koszt ich opracowania i zastosowania jest nieporównywalnie wysoki w stosunku do zysków, jakie osiąga ta mała firma. Przesadne jest posiadanie przez Ciebie własnego serwera, a w konsekwencji zatrudnienie informatyka do jego obsługi, jeśli prowadzisz portal internetowy, a jedyną bazą danych osobowych jaką posiadasz jest baza odbiorców newslettera.
Mogę się pokusić o stwierdzenie, że RODO wzbudza niechęć nie dlatego, że w ogóle istnieje, ale dlatego, że uważamy, że wymaga od nas ponadprzeciętnego wysiłku i poniesienia ogromnych kosztów. Prawdą jest jednak, że wymaga jedynie koniecznego wysiłku, proporcjonalnego do stopnia wykorzystywania przez nas danych naszych klientów. Kluczem jest jednak zrozumienie tematu i wiedza. Bez tego łatwo dać się „naciągnąć” na coś, czego nie potrzebujesz.
Lepiej zrobić coś, niż nic
Jeśli należysz do grupy osób, które popadły w RODO szaleństwo, to to też jest ok. Moim celem nie jest spowodowanie u Ciebie wyrzutów sumienia, bo włożenie nadmiernego wysiłku w ochronę danych osobowych naszych klientów jest zdecydowanie lepsze, niż nie zrobienie niczego w tym zakresie. To jasne, że popadanie w przesadę tylko niepotrzebnie powoduje stres i niechęć do tematu, ale warto podjąć chociażby minimalny, niezbędny wysiłek, aby zadbać o naszych klientów. Bez nich nasza firma nie będzie istnieć, więc ich bezpieczeństwo powinno stanowić priorytet.
Nie chodzi tylko o RODO. Problem jest dużo szerszy
Mimo, że RODO szaleństwo w dużej mierze już za nami, to artykuł pozostanie aktualny na długo. Możesz go bowiem odnieść do każdego innego zagadnienia prawnego. Zwłaszcza, jeśli jesteś przedsiębiorcą i prowadzisz własną firmę. Zmian w prawie dot. przedsiębiorstw jest cały czas tak dużo, że nie sposób za nimi nadążyć. Ustawodawca natomiast nie zdaje sobie sprawy z odpowiedzialności za te wszystkie, zdecydowanie zbyt częste zmiany. Przerzuca ją na podmioty, których dane przepisy dotyczą.
Niestety na ustawodawcę i jego podejście nie mamy bezpośredniego wpływu (pośredni już tak, np. udział w wyborach), dlatego między innymi stworzyłam tego bloga. Chciałabym, aby stał się Twoim przewodnikiem, po tym nieco skomplikowanym świecie prawa. Zachęcam Cię więc, abyś zaglądała tu regularnie i zapisała się na mój newsletter. Zapraszam Cię też do kontaktu i zostawiania komentarzy pod artykułami. Jestem ciekawa jakie jest Twoje zdanie na ten temat. 😊
Karo