Źle wdrożone RODO to straty dla firm

Z najnowszych danych Urzędu Ochrony Danych Osobowych wynika, że od 25 maja , czyli dnia w którym zaczęło być stosowane RODO, wpłynęło 2400 skarg.   – Ponad trzykrotny wzrost liczby kierowanych skarg - w całym 2017 r. wpłynęło ich 2950 - pokazuje, że kwestie prywatności i ochrony danych zyskały większą rangę – mówi Arwid Mednis, partner w PwC Legal. I dodaje, że w innych krajach jest podobnie. W Niemczech odnotowano czterokrotny wzrost liczby skarg - z 344 do 1380 w w tym samym okresie w 2017.  – To są skargi osób, które niekoniecznie są uzasadnione, ale domagają się jakiejś interwencji od organu – dodaje Mednis.  Tymczasem według PwcC blisko połowa polskich przedsiębiorców nie poradziła sobie z wdrożeniem unijnego rozporządzenia o ochronie danych osobowych albo zrobiła to źle, przez co naraziła się lub naraża na straty.

Czytaj: Już tysiące skarg na stosowanie RODO >>

Obsługa żądań

- Moim zdaniem pod koniec roku liczba skarg przekroczy 4 tys. Dojdzie fala tych, od osób, którym różne podmioty nie udzieliły odpowiedzi – szacuje Arwid Mednis. A okazuje się, że chętnie korzystamy z nowych praw - duży podmiot z rynku mediów dostał 6 tys. żądań. – To incydentalny przypadek, choć inna firma otrzymała ich 1000 – mówi Mednis. Jeśli firma nie zdąży odpowiadać – ma na to 30 dni - można poskarżyć się do UODO, a to może rodzić kolejne komplikacje.
- Nie chcemy straszyć karami, bo te najwyższe są zarezerwowane dla największych graczy. Każda skarga może jednak  skutkować kontrolą.  Dlatego firmy muszą zadbać o stałe monitorowanie przestrzegania ustalonych procedur zarządzanie komunikacją z klientami, weryfikowanie żądań – dodaje Gerard Karp, partner w kancelarii PwC Legal,
Nie każdy sprzeciwu wobec przetwarzania danych, przeniesienia danych czy prawem do wycofania zgody, nie każde żądanie usunięcia lub ograniczenia przetwarzania danych musi być uzasadnione. Z danych PwC wynika, że bardzo dużo żądań dotyczy prawa do zapomnienia. Tymczasem nie zawsze można je spełnić.

Prawo do zapomnienienia nie zawsze uzasadnione

- Realizacji  prawa do sprzeciwu i usunięcia danych trzeba  odmówić w dwóch przypadkach. Po pierwsze, gdy istnieje przepis prawa, który nakazuje przetwarzanie/przechowywanie danych osobowych przez określony czas - dotyczy to, np. dokumentacji medycznej, kadrowej, księgowej. Po drugie, dane są niezbędne do realizacji umowy, ustalenia, dochodzenia lub obrony roszczeń, np. przez internet kupiliśmy telefon komórkowy, i sprzedawca nie może od razu usunąć danych, bo przysługuje nam prawo do reklamacji – tłumaczy Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi, Koordynator reformy ochrony danych osobowych w Ministerstwo Cyfryzacji.

Administrator może nam jeszcze jednak odmówić podając, że ma inny uzasadniony interes. Zdaniem Katarzyny Szymielewicz z Fundacji Panoptykon ten powód może być wykorzystywany.-  Może bowiem twierdzić, że dane mogą być przetwarzane, np. po to, żeby ulepszać działanie serwisu, przeciwdziałać awariom albo prowadzić statystyki strony, a nawet w interesie publicznym, np. żeby monitorować, czy nie wrzuca ktoś na portal społecznościowy nielegalnych treści – tłumaczy Szymielewicz. I taka sprawa może trafić do UODO.

Zgłaszanie naruszeń

Zgodnie z art. 33 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin zgłasza je organowi nadzorczemu. Do UODO trafiło ich już 1120.  Dla porównania w Niemczech od maja do lipca zgłoszono 111 incydentów. – Poinformowanie UODO to potencjalne postępowanie i kara, poinformowanie osób, których dane dotyczą to potencjalne postępowanie w sądzie i ryzyko odszkodowań – ostrzega Gerard Karp, partner w PwC Legal. -  Tu trzeba być roztropnym Nie sztuką jest zgłaszać każdy incydent. Sztuką jest ocena ryzyka związanego z incydentem – podkreśla Karp. Dlatego zdaniem ekspertów trzeba mieć wypracowane procedury zarządzania incydentami.

Ocena ryzyka

Źle wdrożone RODO ogranicza również możliwość działań marketingowych i sprzedażowych, a tym samym wzrost i przychodów firm. – Nie można na przykład przesadzać ze zgodami – mówi Arwid Mednis. – Do mojego klienta  mam prawo wysłać ofertę. Nie muszę go prosić o zgodę. Tyle, że on z kolei ma prawo zgłosić sprzeciw – podkreśla Mednis. I dodaje, że RODO to też liberalizacja podejścia do ochrony danych, choć nie zawsze.

Za sprawą RODO trzeba się też przygotować na wydłużenie niektórych procesów. - Wpływ na tempo rozwoju przedsiębiorstw może mieć, np wydłużony proces uruchomienia nowych usług czy sprzedaży produktów” – mówi Michał Mastalerz, partner w PwC. Dlaczego? Zgodnie z RODO już na etapie projektowania aplikacji, działałań, kampanii trzeba pomyśleć o ochronie danych. – Jeśli więc prowadzi się nową kampanię trzeba przeprowadzić tzw. oceny skutków dla ochrony danych (danych  z ang. Data Protection Impact Assessment, DPIA). W przypadku kontroli jej brak, może mieć poważne skutki.

Czytaj również: Kto nie uniknie oceny skutków dla ochrony danych >>

Dlatego zdaniem ekspertów przygoda z RODO dopiero się zaczęła. - Minął 25 maja, mamy  przygotowane niezbędne rzeczy, ale ważne aby cały proces dbałości o przetwarzanie danych osobowych był ciągły. Ludzie się zmieniają, ale model ochrony danych powinien pozwalać funkcjonować bez względu na to, kto w firmie za to odpowiada– mówi  Gerard Karp.

Pod koniec sierpnia Edyta Bielak - Jomaa, prezes UODO zapowiedziała, że okres przejściowy kończy się we wrześniu. Potem UODO zacznie kontrole. Na pierwszy cel pójdzie monitoring wizyjny.