Odliczamy dni do wejścia RODO
Na stronie GIODO już od dłuższego czasu odlicza zegar, wskazując dni do wejścia w życie nowego europejskiego prawa dotyczącego przetwarzania danych osobowych. Dziś, gdy to piszę wskazuje 21 dni. Wygląda to trochę tak, jakby za 20 dni nastąpił co najmniej koniec świata. Pamiętacie rok 2000? Wtedy też tak było. Odliczaliśmy i gdy wreszcie wybiła godzina 00, zwyczajnie nic się nie stało. Pamiętam zawód, jaki towarzyszył mi, gdy okazało się, że zwyczajnie mój Windows się włączył, a giełdy pracowały dalej. Czy teraz będzie podobnie?
Wycena
Chcesz wiedzieć jaki będzie koszt wdrożenia w Twojej firmie? Wypełnij formularz lub skontaktuj się z nami.
Ze względu na dużą ilość zamówień, czas przedstawienia oferty może wydłużyć się do 5 dni roboczych a czas realizacji do 2 miesiecy. Za utrudnienia przepraszamy.
Co zmienia RODO?
Aby odpowiedzieć na to pytanie należałoby napisać osobny artykuł. Zmian jest naprawdę dużo, ale niekoniecznie dotyczą one każdego przedsiębiorcę w stopniu równym. To co jest istotne, zmiany nie wprowadzają nowych podstaw prawnych do przetwarzania danych osobowych, czyli jeśli zbierałeś/aś dane do realizacji usługi, to dalej możesz to robić. Co więcej wszystkie dane zebrane przed wejściem RODO dalej możemy przetwarzać. Nie zmienił się też zakres zbieranych danych. Powinniśmy zbierać tylko te dane, które są nam niezbędne.
Czas przechowywania danych
Co się, więc zmieniło? Przede wszystkim czas przetwarzania danych. Od wejścia RODO każde dane jakie zbieramy, powinny być zbierane i przechowywane przez określony przez nas lub prawo czas. Sposób określenia czasu powinien być logiczny i wynikać z uzasadnionych potrzeb Administratora danych osobowych. To powoduje oczywiście konieczność zastosowania środków technicznych lub organizacyjnych, pozwalających kontrolować czas przetwarzania danych.
Klauzule informacyjne RODO
Kolejna zmiana to konieczność stosownego informowania osób, od których zbieramy dane o sposobie ich przetwarzania, podstawie prawnej, czasie przetwarzania, prawach i naszych danych (administratora) itp.. Informacja taka powinna być napisana prostym językiem i nie powinna być zakamuflowana, np. w polityce prywatności do której prowadzi link. Dlatego też na stronach sklepów internetowych przy zakładaniu kont, robieniu zakupów i innych usługach powinny pojawić się informacje wymagane przez RODO.
Analiza ryzyka naruszenia praw lub wolności osób fizycznych.
Analiza ryzyka jest jedenym z filarów RODO. Mianowicie każdy z podmiotów przetwarzających dane powinien, zarówno obecnie jak i w przyszłości, chcąc zacząć przetwarzać dane, oceniać ryzyko ich przetwarzania. Dodatkowo jeśli ryzyko jest duże lub np. przetwarzamy dane szczególne, powinniśmy przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W zasadzie, gdy Twój sklep internetowy zbiera wyłącznie dane niezbędne do zrealizowania umowy, nie zapisujesz danych kart kredytowych, to raczej mało prawdopodobne będzie, że z analizy ryzyka wyjdzie Ci duże niebezpieczeństwo naruszenia praw Twoich klientów.
Prawo do “zapomnienia” i kopia danych
Kolejna największa zmiana nastręczająca problemów technicznych to prawo osób do bycia zapomnianym i przenoszenia swoich danych. W pierwszym wypadku, powinniśmy tak dostosować nasz system informatyczny, by na żądanie danej osoby móc dokonać usunięcia jej danych. Moglibyśmy, ponieważ nie zawsze mamy obowiązek wykonania takiego żądania. Tak samo sytuacja wygląda w przypadku przenoszenia danych. Jeśli dane są zbierane w sposób automatyczny (sklep internetowy) to powinniśmy udostępnić klientom możliwość pobierania przekazanych nam danych - a sama czynność powinna przebiegać w sposób automatyczny.
Rejestry czynności przetwarzania danych osobowych
To, co jeszcze pozostaje, to prowadzenie rejestrów czynności przetwarzania danych osobowych. Jest to w zasadzie prosty dokument opierający się o przeprowadzoną analizę przetwarzanych danych oraz sposobu i miejscu ich przetwarzania. Nie wszyscy są zobligowani do ich prowadzenia, lecz jeśli Twoja działalność do świadczenia usług wykorzystuje dane klientów, to nie ma od tego ucieczki.
Ile kosztuje wdrożenie RODO?
Przechodzimy wreszcie do głównego tematu tego artykuły. Ile kosztuje wdrożenie RODO? Na to pytanie nie sposób odpowiedzieć jednoznacznie. Na cenę wdrożenia składają się dwa główne koszty:
- koszt pracy specjalisty ds. danych osobowych
- koszt zastosowania technicznych rozwiązań
Specjalista ds. ochrony danych osobowych - kim jest i ile kosztuje jego praca?
Celowo napisałem specjalisty ds. ochrony danych osobowych czyli certyfikowanego eksperta w tej dziedzinie, bo nie każdy pracownik kancelarii prawniczej ma doświadczenia w tym temacie, choć ostatnio to właśnie kancelarie mówią o RODO najgłośniej. Niestety w wyniku wyrastających jak grzyby po deszczu kancelarii, które “od zawsze” zajmowały się tematyką danych osobowych, przeciętny przedsiębiorca ma wrażenie, że to jedyna właściwa instytucja do której należy się zgłosić po poradę. Ponieważ obraz taki zakiełkował już w naszych głowach, to nic dziwnego, że zgłaszają się do mnie firmy, których zwyczajnie nie stać wydać od dwóch do nawet kilkunastu tysięcy złotych na tzw. wdrożenie. Możecie pomyśleć sobie, że kilkanaście tysięcy to zapewne jakieś duże firmy. Otóż nie. Pamiętam klienta, któremu złożono taką właśnie ofertę a ma kilkuosobową firmę, dane przetwarza głównie w formie papierowej, a nowych klientów rocznie ma mniej niż 40. Dlatego też w mojej ocenie do przeprowadzenia procedury wdrożenia RODO najlepiej przygotowani są Inspektorzy Ochrony Danych Osobowych. Godzina ich pracy jest zazwyczaj dużo tańsza niż radcy prawnego, adwokata czy programisty.
Jak wygląda współpraca z inspektorem ochrony danych osobowych?
Warto w tym momencie opisać krótko pracę osoby, która zajmuje się danymi osobowymi i przeprowadza tzw. wdrożenie. Otóż czynność taka zaczyna się od rozmowy z klientem, podczas której uzyskujemy jak najwięcej informacji o organizacji firmy, operacjach przeprowadzanych na danych, systemach informatycznych z których korzysta klient i o wielu innych rzeczach, które czasem wychodzą podczas rozmowy. Następnie klient proszony jest o przesłanie wzorów wszelkich dokumentów, na których przetwarzane są dane osobowe (np. umów z klientami), skanów zawartych umów na przetwarzanie danych osobowych, wskazania adresu strony www, regulaminów sklepu interentowego, polityki prywatności, dokumentów wewnętrznych dotyczących danych osobowych np. polityki bezpieczeństwa informacji. Następnie bez udziału klienta analizuję ich zgodność z obecnymi przepisami i wprowadzam poprawki (w porozumieniu z klientem) dostosowujące je do nowych przepisów. W między czasie, przed utworzeniem polityki bezpieczeństwa danych osobowych lub poprawieniu obecnie posiadanej przez klienta, dokonuje analizy ryzyka w oparciu o wiedzę na temat zakresu przetwarzanych danych, stosowanych środkach technicznych, celach do których były zbierane itp.. Następnie na podstawie analizy przygotowuje zalecenia techniczne do zastosowania przy przetwarzaniu danych osobowych - często już podczas pierwszej rozmowy wskazuję, że coś trzeba zmienić (zazwyczaj dostawcę danego rozwiązania), by móc sprostać przepisom. Na tym w zasadzie moja praca się kończy. Średni czas poświęcony jednemu projektowi to ok 10 godzin, lecz przy małych sklepach lub innego rodzaju firmach gdzie ilość danych osobowych jest mała, może być krótszy, stąd też cena naszych usług w tym wypadku nie przekracza w zasadzie 700 zł. Przy większych projektach, szczególnie w przypadku większych sklepów, dużej ilości zatrudnionych pracowników czy skomplikowanych procesów cena ta będzie odpowiednio wyższa.
Koszt środków technicznych
W tym momencie pojawia się koszt i czas potrzebny na wdrożenie środków technicznych, czyli np. dostosowanie swojej strony internetowej. Tu koszt może być różny w zależności od sposobu, zakresu i celu przetwarzania danych. Generalnie jeśli np. korzystasz z woocommerce, będziesz musiał poczekać na nową aktualizacją, która prawdopodobnie pozwoli Ci prowadzić sklep w zgodzie z RODO. Czy jednak tak będzie - przekonamy się po 15 maja, kiedy zapowiedziana jest dana aktualizacja. Sprawa komplikuje się, kiedy przetwarzasz dane w chmurze prywatnej, a stronę wykonywałeś na indywidualne zamówienie, nie korzystając z powszechnie dostępnych modułów. Wtedy będziesz musiał na własną rękę i koszt dostosować posiadane rozwiązania do nowych przepisów. Ten koszt nie jest łatwy do przewidzenia.
Czy warto zapłacić za wdrożenie?
Choć w swojej opinii nie będę zapewne obiektywny, zważywszy na to, że pomagam przy wdrażaniu, to jednak postaram się odpowiedzieć na to pytanie jak najbardziej merytorycznie. Przede wszystkim pomyśl, czy Twoja główna działalność opiera się na przetwarzaniu danych osobowych. Dla przykładu, jeśli jedynymi danymi jakie posiadasz są to dane osób, którym wystawiasz rachunki imienne w swoim punkcie usługowym, to myślę, że bez większych nakładów czasu jesteś w stanie samemu dostosować się do nowych przepisów. Jeśli zaś prowadzisz sklep internetowy, agencję zatrudnienia, przedszkole, firmę cateringową czy inną firmę, w której wykorzystujesz dane osobowe klientów do świadczenia usług, to w mojej ocenie, o ile nie poświęcisz ok 30-60 godzin na zaznajomienie się z przepisami, orzeczeniami, instrukcjami grupy roboczej i nie masz zielonego pojęcia o stosowaniu środków technicznych do zabezpieczeniu danych osobowych (nie interesujesz się tematem), to powinieneś skorzystać z pomocy specjalistów. Możesz też oczywiście przeczytać ten lub inny bardziej szczegółowy artykuł na temat wdrożenia, pobrać lub wymienić się z innymi użytkownikami internetu wzorami na klauzule informacyjne, umowy powierzenia danych, rejestry czynników przetwarzania i myśleć, że to wystarczy. Możesz, lecz parafrazując możesz też samemu się ostrzyc, więc zastanawiam się po co chodzisz do fryzjera. Czy nie łatwiej i taniej będzie wziąć nożyczki i samemu dokonać eksperymentu na swojej głowie? Oczywiście gdyby fryzjer za strzyżenie inkasował 1000 zł wzwyż, to dwa razy bym się zastanowił nad tym, czy nie warto kupić golarkę i ogolić się na łyso. Jednakże nigdy nie pozostawiłbym fryzury samej sobie. Czy zatem stać Cię na wdrożenie RODO? Może lepiej zapytaj się, czy w przypadku kontroli lub donosu, stać Cię na to by nie RODO wdrażać?
Kary za nieprzestrzeganie przepisów lub nieadekwatną ochronę danych osobowych oraz ich nieuchronność
20 milionów EURO lub 4% rocznego obrotu
Sławny już Art. 83 RODO wskazuje górny pułap kar, które mogą wynieść nawet 20 milionów EURO lub w przypadku korporacji nawet do 4% ich rocznego obrotu. Jednocześnie w tym samym artykule jest mowa o tym, że kary te powinny być “w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”. W projekcie naszej ustawy o ochronie danych osobowych, ustawodawca dodał jeszcze kary więzienia do lat dwóch w przypadku zwykłych danych i trzech w przypadku danych szczegółowych, za przetwarzanie danych osobowych bez podstawy prawnej lub których gromadzić nie mógł.
Kary, karami, ale spotykam się ciągle ze stwierdzeniem, że przecież nie znam nikogo do kogo GIODO przyszło z kontrolą, więc nie mam się czym przejmować. Po pierwsze twierdzenie takie jest nieetyczne i wskazuje na świadome łamanie przepisów. Za to zaś mają grozić najwyższe kary, łącznie z karą więzienia. Po drugie, czy faktycznie osoby takie, są świadome tego, że już w pierwszym roku funkcjonowania nowy Urząd otrzymał czterokrotnie większe fundusz niż poprzedni, a kary przez niego nałożone będą stanowić dochód Skarbu Państwa? Sami sobie musicie odpowiedzieć na to, czy warto przejmować się tematem, czy też bezrefleksyjnie prowadzić swój biznes bez kalkulacji kosztów przetwarzania danych osobowych, choć RODO wprost wskazuje, że już na etapie projektowania biznesu powinno się uwzględnić proces ich przetwarzania - Art. 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych.
Wycena wdrożenia RODO
Jeśli jesteś zainteresowany tym, by prowadzić własny biznes w zgodzie z przepisami i z poszanowaniem swoich klientów, wypełnij poniższy formularz i uzyskaj wycenę na maila. Zapraszam również do kontaktu pod numerem 577 994 888
Ze względu na dużą ilość zamówień, czas przedstawienia oferty może wydłużyć się do 5 dni roboczych a czas realizacji do 2 miesiecy. Za utrudnienia przepraszamy.