Nie ma wyjątków. RODO nakłada na wszystkie firmy jednakowe obowiązki w zakresie ochrony danych osobowych. Czy to międzynarodowa korporacja, czy działający jednoosobowo przedsiębiorca – wszyscy muszą przestrzegać tych samych regulacji. Co nie znaczy jednak, że wszyscy muszą stosować takie same rozwiązania. Elastyczna formuła unijnego rozporządzenia umożliwia dopasowanie wykorzystywanych zabezpieczeń do specyfiki i warunków działania konkretnego przedsiębiorstwa. W efekcie mali nie muszą robić tego samego co duzi, aby pozostać w zgodzie z przepisami.

Oczywiście byłoby prościej i łatwiej, gdyby sektor MŚP został ustawowo potraktowany inaczej niż duże firmy. Na początku prac nad RODO w UE były nawet plany zastosowania zwolnień od niektórych wymogów dla przedsiębiorstw zatrudniających do 250 pracowników. Ostatecznie jednak unijny ustawodawca z nich zrezygnował.

Co prawda ostało się jedno wyłączenie, ale jest sformułowane w ten sposób, że w zasadzie nie ma firmy, która mogłaby z niego skorzystać – mówi dr Paweł Litwiński, adwokat, wspólnik w kancelarii radców prawnych i adwokatów Barta Litwiński.

Chodzi o art. 30, który nakłada obowiązek prowadzenia tzw. rejestru czynności przetwarzania danych. Tego obowiązku nie mają firmy zatrudniające mniej niż 250 osób. Wystarczy jednak, że choćby jeden z pracowników będzie musiał wykonać badania wstępne albo przyniesie zwolnienie lekarskie i już jego pracodawca nie będzie mógł z tego wyłączenia skorzystać.

Nie udało się też, mimo propozycji ówczesnego Ministerstwa Rozwoju, zapisać zwolnień dla MŚP w polskiej ustawie o ochronie danych osobowych regulującej stosowanie RODO w Polsce. Żadne wyłączenie brane pod uwagę podczas prac nad projektem ustawy nie weszło do uchwalonej 10 maja 2018 i obowiązującej obecnie wersji. Wprowadzenie ulg dla sektora MŚP nie udało się zresztą w żadnym państwie Unii Europejskiej, chociaż wiele z nich takie próby podejmowało.

 

dr Paweł Litwiński

adwokat, wspólnik w kancelarii radców prawnych i adwokatów Barta Litwiński

W rozwiązaniu problemów MŚP pomógłby czytelny poradnik, napisany prostym, zrozumiałym językiem. Przedsiębiorcy potrzebują wiedzy zero-jedynkowej. Dobrym przykładem jest „Dekalog rekrutera” opracowany jeszcze przez GIODO. Takich poradników potrzeba jednak zdecydowanie więcej. Przydałby się także prosty program komputerowy, który pozwoliłby przedsiębiorcom łatwo, za pomocą „przeklikania” kilku punktów, ocenić ryzyko. Dostępne obecnie metody analizy zagrożeń są bardzo skomplikowane, nie do zastosowania w małych czy nawet średnich firmach. To zatem obszar do zagospodarowania. Może jakaś firma, korzystając z funduszy unijnych, mogłaby taki program napisać.

 

 

Zasady znane nie od dzisiaj

Nie wolno mieć nonszalanckiego podejścia do danych, trzeba dbać o ich ochronę – to podstawowa zasada, która obowiązywała jeszcze przed RODO. W tym zakresie nic się nie zmieniło. Integratorzy i resellerzy mogą pomóc klientom zapanować nad przechowywaniem i przetwarzaniem danych chociażby przez upowszechnianie podstawowych zasad polityki bezpieczeństwa.

Aby nie doprowadzać do absurdów, które wynikają z braku wiedzy albo ze strachu przed karami, warto uświadamiać przedsiębiorcom, że nie potrzebują od swoich klientów zgody na przetwarzanie danych, gdy wykonują dla nich usługę lub coś im sprzedają. Dane nabywców są do tego potrzebne. Nie trzeba zatem mieć zgody klienta na przetwarzanie danych, by zameldować go w hotelu lub sprzedać mu polisę ubezpieczeniową. Co innego, gdyby firma chciała wysłać do klienta ofertę kolejnego noclegu albo namówić go w kolejnym roku do przedłużenia umowy OC lub AC – wtedy zgoda na przetwarzanie danych może być potrzebna.

Rozwiązania skrojone na miarę

Co więc może zrobić właściciel zakładu fryzjerskiego, warsztatu samochodowego, czy agencji ubezpieczeniowej, aby zapewnić sobie zgodność z wymogami RODO, nie ponosząc przy tym jednocześnie dużych, niepotrzebnych kosztów?

Unijne rozporządzenie o ochronie danych osobowych daje duże pole manewru. Wymaga to jednak dokładnego przeczytania i zrozumienia jego przepisów. Nie jest to oczywiście proste, gdyż zastosowany przez autorów język jest trudny i niejednoznaczny. To bariera, która odstrasza wielu przedsiębiorców. Firmy mają z tym problem – ocenia Paweł Litwiński.

Fachowa pomoc ze strony znającego przepisy integratora czy resellera w przeprowadzeniu analizy i znalezieniu właś-
ciwego rozwiązania byłaby w tej sytuacji nieoceniona. Pomogłoby to klientom odpowiednio podejść do ochrony danych osobowych, w zależności od zagrożeń, na które są narażeni, oraz wagi przetwarzanych informacji. Na przykład przedsiębiorstwo świadczące usługę zdalnego monitoringu pojazdów (dysponujące wiedzą o trasach aut i danymi ich właścicieli) jest bardziej narażone na kradzież informacji niż firma zajmująca się wymianą tłumików lub zakład krawiecki. I każdemu z tych podmiotów gospodarczych integrator najpewniej zaproponuje inne zabezpieczenia. Firmy mogą korzystać z gotowych rozwiązań oferowanych przez zewnętrznych dostawców, na przykład wyspecjalizowanego w obsłudze danego systemu usługodawcy lub usług w chmurze.

 

Najgorsze jest zaniechanie

Jak można zabezpieczyć się na wypadek kontroli z Urzędu Ochrony Danych Osobowych? W tym zakresie RODO również nie daje żadnych konkretnych wskazówek ani nie stawia wyraźnie określonych wymagań. To znowu jednak pozwala działać elastycznie, dostosować się do sytuacji konkretnej firmy i specyfiki jej działania.

W przypadku RODO nie ma żadnych sformalizowanych wymogów dowodowych. Zatem firma ma prawo wykazać zgodność z przepisami w dowolny sposób – wyjaśnia mecenas Litwiński. – To może być zarówno umowa z dostawcą usług przetwarzania danych, jak i uzasadnienie wyboru przyjętego rozwiązania przedstawione przez przedsiębiorcę. Przykładowo, wyjaśnieniem braku dodatkowych zabezpieczeń biura może być fakt wynajmowania go w budynku z całodobową ochroną i monitoringiem.

Najgorszym podejściem do RODO jest nierobienie niczego. Każda firma powinna, na miarę własnych potrzeb i możliwości, podjąć trud zabezpieczenia danych, którymi dysponuje. Dlatego resellerzy i integratorzy, którzy są blisko swoich klientów z sektora MŚP i znają specyfikę ich działania, powinni im pomóc. Dobrym punktem wyjścia jest spisanie, czym klient dysponuje i jak można te zasoby zabezpieczyć (np. kiedy ma dane na dysku, potrzebuje antywirusa). Taki spis stanowi również dowód w postępowaniu przed UODO, gdyż nie każda firma potrzebuje od razu zaawansowanego programu informatycznego, aby sprostać wymogom RODO.

Trzeba do zagadnienia podchodzić spokojnie, żeby nie straszyć przedsiębiorców, tylko wyjaśniać i edukować – podkreśla Paweł Litwiński.

Ważne jest, aby w każdym przypadku dokonać rzetelnej oceny sytuacji i wybrać rozwiązania adekwatne do ryzyka, które prowadzony biznes stwarza. To dla przedsiębiorców z branży IT również szansa na zaoferowanie MŚP rozwiązań szytych na miarę. Zrozumienie uwarunkowań poszczególnych rodzajów biznesów i przygotowanie dopasowanej do konkretnego przypadku oferty stanowi klucz do sukcesu rynkowego.

 

Certyfikat pomoże w biznesie

W interesie dostawców usług przetwarzania danych leży staranie się o certyfikaty przewidziane w ustawie o ochronie danych osobowych. Już niedługo takie dokumenty zaczną być wydawane w Polsce. Mogą stanowić atut w negocjacjach z klientami. Certyfikat będzie bowiem zabezpieczeniem dotyczącym świadczonych usług. Jeżeli lekarz w swym gabinecie będzie korzystał z certyfikowanej dokumentacji w chmurze, w przypadku wycieku danych powoła się na odpowiedni dokument i w ten sposób ograniczy albo nawet wyłączy swoją odpowiedzialność. Bo on dopełnił swoich obowiązków i wybrał godnego zaufania dostawcę z certyfikatem. Prawdopodobnie w przetargach publicznych oferty z certyfikatami będą lepiej oceniane lub wręcz będzie wymóg posiadania certyfikatów przez oferentów.