Nagłówki prasowe i internetowe straszące wielomilionowymi karami sprawiają, że nowe unijne Rozporządzenie Parlamentu Europejskiego i Rady 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, tzw. RODO albo GDPR (ang. General Data Protection Regulation) zaczęło obrastać w mity w lawinowym tempie. Moja osobista praktyka wskazuje, że dla większości przedsiębiorców RODO jest jak góra lodowa, z którą nieuchronnie zderzy się ich działalność i prawdopodobnie na skutek tego zderzenia zatonie jak Titanic.
Prawdą jest, że najbardziej nieodpowiedzialną postawą, jaką przedsiębiorca może przyjąć w stosunku do Rozporządzenia, jest postawa ignoranta, czyli rezygnacja z wdrożenia RODO w prowadzonej działalności. Mitem jest natomiast twierdzenie, że w praktyce RODO jest aż tak straszne, jak je „malują”. Na potwierdzenie tej tezy poniżej odniosę się do pięciu mitów na temat RODO.
MIT 1: RODO to totalna rewolucja
Nieprawda.
Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony danych osobowych postrzegane jest jako absolutna rewolucja w ochronie danych osobowych – regulacja, która wszystko wywraca do góry nogami i nakłada na przedsiębiorców obowiązki zupełnie nowe, dotąd nieznane.
Faktem jest, że ochrona danych osobowych nie jest w Polsce żadnym novum. Obecnie obowiązuje w naszym porządku prawnym ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Zatem od ponad 20 lat w Polsce istnieje prawo regulujące zasady ochrony danych osobowych. Problem jest tylko taki, że na gruncie wskazanych przepisów nie wykształciła się w naszym kraju tzw. kultura ochrony danych osobowych. Jedną z przyczyn takiego stanu rzeczy jest brak w przywołanej ustawie o ochronie danych osobowych skutecznych instrumentów egzekwowania obowiązków nią przewidzianych. Jeśli napiszę teraz, że jeszcze przed okresem obowiązywania RODO każdy przedsiębiorca, który posiadał bazę danych np. osób zamawiających za pośrednictwem strony internetowej wiadomości newsletter, miał prawny obowiązek zarejestrować ją w GIODO, większość czytelników okaże zapewne zdziwienie. Co więcej, w przypadku przekazywania tych danych innym podmiotom, np. profesjonalnie zajmującym się mailingiem tego typu wiadomości, obowiązujące w Polsce przed wprowadzeniem RODO prawo wymagało zawarcia od przedsiębiorcy z tym podmiotem umowy o powierzenie danych osobowych. Jeśli dodam, że krajowe rozporządzenia wykonawcze do tej ustawy wskazywały enumeratywnie szereg zabezpieczeń technicznych i organizacyjnych, które przedsiębiorca posługujący się taką bazą powinien w firmie wdrożyć, oraz że za brak rejestracji bazy groziła kara grzywny, ograniczenia wolności albo pozbawienia wolności do roku, to mogę zostać posądzona o to, że mylę zapisy RODO z którąś z krajowych ustaw. Nie, nie mylę. Po prostu większość małych i średnich przedsiębiorców nie wywiązywała się z nałożonych na nich przez polskie prawo obowiązków w zakresie ochrony danych osobowych – po części z powodu niewiedzy, a po części z tego, że ryzyko kontroli czy otrzymania kary finansowej było znikome. W dużym uproszczeniu można wskazać, że RODO jest rewolucyjne o tyle, że ryzyko kontroli i odpowiedzialności finansowej za nieprzestrzeganie przepisów o ochronie danych osobowych ze stopnia „znikome” urasta do stopnia „bardzo realne”, a po dodaniu do tego wysokości przewidywanych przez RODO kar (najniższe z nich to 10 mln euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa) ignorancja przepisów o ochronie danych osobowych od 25 maja 2018 r. jest w praktyce „bardzo, ale to bardzo dotkliwa”.
Pozostałe 72% artykułu dostępne jest dla zalogowanych użytkowników serwisu.
Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.
Zaloguj Zamów prenumeratę Kup dostęp do artykułuMożesz zobaczyć ten artykuł, jak i wiele innych w naszym portalu Controlling 24. Wystarczy, że klikniesz tutaj.
