O obowiązkach, karach i … wyłudzeniach związanych z RODO rozmawialiśmy ostatnio z mec. Tomaszem Klemtem z Kancelarii CZUBLUN TRĘBICKI. Wszystko to przy okazji nagrywania pierwszego odcinka Akademii Insly, w którym obalaliśmy mity związane z RODO.

Głównym tematem było oczywiście Rozporządzenie o Ochronie danych osobowych, słusznie jednak nasz gość zarysował szerszy kontekst nadchodzących zmian prawnych.

– Dzisiaj rozmawiamy o RODO, ale inne regulacje też się na to nakładają i niestety trzeba patrzeć na to wszystko bardzo szeroko – przekonywał Tomasz Klemt.

Tomasz Klemt RODO

Naszym gościem był mec. Tomasz Klemt (Kancelaria CZUBLUN TRĘBICKI)

Skąd właściwie wzięło się RODO?

W gorączce przygotowań i dostosowywania się do regulacji w zakresie ochrony danych osobowych często zapominamy o faktycznym powodzie wprowadzenia nowych regulacji prawnych. Okazuje się, że to nie “widzimisię” ustawodawcy (a przynajmniej nie do końca) tylko odpowiedź na zmiany, które zachodzą dynamicznie w naszym świecie w ostatnich kilkunastu latach.

– To rozporządzenie jest bardzo ważne, ponieważ stanowi pewnego rodzaju odpowiedź Unii Europejskiej na zmiany technologiczne jakie nadeszły i jakie z pewnością nadejdą. – wyjaśnia prawnik z Kancelarii CZUBLUN TRĘBICKI. – Słyszeliśmy ostatnio o dużej sprawie związanej z Facebookiem, z handlem naszymi danymi, z wglądem do tych danych. Takie rzeczy się dzieją nie od dziś. Nasze dane osobowe – często bardzo łatwo je przekazujemy, rejestrując się na różnych portalach czy też uczestnicząc w różnego rodzaju konkursach, akcjach – one są tak naprawdę towarem. Towarem, który ma określoną cenę i który jest bardzo pożądany w wielu działalnościach. – przywołuje ostatnie wydarzenia związane z aferą Cambridge Analytica.

Załóż darmowe konto w Insly i przechowuj bezpiecznie dane klientów

Ochrona danych osobowych w polskim prawie to nie nowość

Warto zauważyć, że RODO to nie całkowita nowość, a dostosowanie przepisów z roku 1997 do panującej obecnie rzeczywistości. Wiele osób zapomina, że polscy przedsiębiorcy także byli do tej pory zobowiązani do przestrzegania ścisłych reguł dotyczących ochrony danych osobowych. Niestety, w przeciwieństwie do innych krajów członkowskich UE, niewielu zdecydowało się na ten krok. Efektem tego jest konieczność przeskoczenia w krótkim czasie dwóch poziomów ochrony danych osobowych i zgodności z unijnym prawem.

– Niestety do tej pory bardzo często była to „wolna amerykanka”. Nikt się za bardzo nie przejmował uzyskaniem zgód od użytkowników czy klientów. Handel danymi osobowymi był dość nieuregulowane. Kary były dość niskie i tym samym ochrona takiego zwykłego Kowalskiego była na bardzo niskim poziomie – tłumaczy obecny stan rzeczy Tomasz Klemt.

W teorii polskie przedsiębiorstwa, w tym agenci i brokerzy ubezpieczeniowi, powinny być od wielu lat przygotowane na świadczenie usług ochrony danych osobowych na wysokim poziomie. Szczegółowe procedury w tym zakresie wprowadziła Ustawa o ochronie danych osobowych z 1997 roku.

– W Polsce do tej pory mieliśmy, i mamy, dość wysoki standard wymagany prawem tej ochrony. Problem polega na tym, że nie było egzekucji tychże obowiązków i nikt się za bardzo tym nie przejmował. Nawet  prawdopodobieństwo kontroli było dość niskie. – celnie zauważa mec. Tomasz Klemt.

Receptą na bolączki związane z zachowaniem prawidłowych procedur i stosowania dobrych praktyk w zakresie ochrony danych osobowych ma być Rozporządzenie o Ochronie danych osobowych, które z całą mocą ma zacząć obowiązywać już za niecałe cztery tygodnie – 25 maja 2018 roku.

A co, jeśli nie będzie krajowej ustawy?

Okazuje się, że dostosowanie się do RODO jest problemem nie tylko dla przedsiębiorców. Także prawo krajowe i organy ustawodawcze mają problem z wdrożeniem polskiej ustawy. Co to oznacza dla pośredników ubezpieczeniowych?

– Wiele osób pyta, co jeżeli sejm nie wyrobi się na czas z uchwaleniem tych ustaw? Ryzyko jest bardzo duże. Ja jestem wręcz przekonany, że tak będzie. To nic nie zmienia. W sensie – nadal trzeba będzie stosować RODO od 25 maja. – Tomasz Klemt stanowczo obalił jeden z najgroźniejszych mitów związanych z RODO.

Nie ma jednak powodu do paniki. Szansa na masowe kontrole i nakładanie kar już od 25 maja jest bardzo znikoma. Nie oznacza to, że należy zamieść sprawę pod dywan i liczyć na łut szczęścia.

– Oczywiście 25 maja nie będzie tak, że nagle do wszystkich firm w Polsce zapukają kontrolerzy nowego GIODO, czyli Urzędu Ochrony Danych Osobowych i zapytają: „Dzień dobry, dzisiaj jest 25 maj”, czy nawet 26, tak? – „I jak państwo jesteście przygotowani?”. Oczywiście, że tak nie będzie. Jest to jednak data, od której nasza dokumentacja w firmach i nasze zasady, jakie stosujemy, powinny być przygotowane do nowych regulacji. – uspokaja, ale jednocześnie przestrzega ekspert z Kancelarii CZUBLUN TRĘBICKI.

Co właściwie się zmieni?

Najważniejszą informacją jest chyba to, że raz na zawsze pożegnamy się z uciążliwym zgłaszaniem zbiorów danych osobowych. Suche procedury zastąpi jednak działanie proaktywne, czyli ocena ryzyka przez administratora danych osobowych i podjęcie przez niego decyzji o implementacji odpowiednich środków bezpieczeństwa. Zapomnieć należy przy tym o sztywnych regułach narzuconych przez nowe prawo.

– Zgodnie z zasadą rozliczalności każdy powinien przeprowadzić ocenę ryzyka w swojej firmie. Wynika to z prostego faktu – RODO daje nam dużo większą swobodę, niż obowiązująca do tej pory ustawa. Polska ustawa z 1997 roku określała standardy, było do niej rozporządzenie, co ile masz zmieniać hasło, jakie znaki specjalne, ile znaków specjalnych – konkretne wskazówki. – przybliża istotę rozporządzenia Tomasz Klemt. – RODO podchodzi do tego w ten sposób: „Świat idzie tak szybko do przodu, że nie dajemy ci konkretnych wskazówek. Ty masz drogi agencie ubezpieczeniowy – przeprowadzić własną ocenę ryzyka w swojej agencji, żebyś oszacował sobie, jakie ryzyko dla ochrony danych jest w twojej agencji. I do tego ryzyka masz dostosować środki bezpieczeństwa, jakie stosujesz”. – wyjaśnia.

Załóż darmowe konto w Insly i przechowuj bezpiecznie dane klientów

Plusy i minusy RODO

Czy uniwersalność Rozporządzenia o Ochronie danych osobowych to zmiana na plus czy minus? Dzięki ogólnemu podejściu RODO obniża pewne wymogi. Przykładowo do tej pory wiele rzeczy trzeba było załatwiać pisemnie, papierowo. Teraz dopuszczalna jest możliwość zawarcia umowy np. e-mailem. To daje nam komfort i szybkość załatwiania spraw związanych z dokumentacją. Z drugiej strony trzeba będzie naprawdę mocno przyłożyć się do ochrony danych, by uniknąć wycieku czy nielegalnego przetwarzania.

Jak to w życiu bywa, przy okazji ważnych zmian rozpoczęło się polowanie na osoby, które nie dysponują tak dużą wiedzą na temat zmian. Te braki próbują wykorzystać nieuczciwe firmy, by sprzedać swoje usługi w zamian za rzekome zapewnienie zgodności z RODO.

– Chciałem też zwrócić uwagę na jedną rzecz. Obecnie pojawiają się już tak zwane wyłudzenia na RODO. Odzywają się drogą elektroniczną podmioty, mówiąc: „Szanowni państwo, drogi agencie, zobaczyłem na twojej stronie internetowej masz formularz kontaktowy, nie masz obowiązku informacyjnego, niedobra zgoda albo w ogóle nie masz tej zgody. I jest to naruszenie, ja to zgłaszam do prokuratury, ale możesz też ode mnie kupić dokumentację RODO, 6900 lub pełen audyt – 25000”. To są autentyczne przykłady.  Często ci ludzie podszywają się pod znane firmy. W takich przypadkach, jeżeli któryś agent by dostał takiego e-maila, sugeruję zgłosić samemu do prokuratury właśnie taką próbę wyłudzenia, bo jest to ewidentnie działalność nastawiona na wyłudzenie pieniędzy. – przestrzega mec. Tomasz Klemt.

Surowe kary na horyzoncie

Wspomniany strach przed RODO to konsekwencja niskiej świadomości o zbliżających się zmianach, zaniedbania z przeszłości, czyli brak dostosowania do regulacji z 1997 oraz obawy przed wielomilionowymi karami. Sankcje finansowe zostały bardzo jasno określone w RODO i ich wysokość została ustalona nawet do 20 milionów euro. Czy to oznacza, że każdy przypadek naruszenia nowych regulacji będzie wiązał się z dotkliwymi grzywnami?

– Nie dajmy się też zwariować. Pamiętajmy, że po pierwsze – kary mają odstraszać, po drugie – mają mobilizować do tego, żeby się jednak przygotować do tego RODO. Jestem przekonany, że na początku – w szczególności do podmiotów, które w jakiś sposób zadbają o tę ochronę danych osobowych lub przetwarzają ją w jakimś ograniczonym zakresie, będzie to raczej pogrożenie palcem, danie pewnych rekomendacji, jakieś ograniczone kary – po raz kolejny uspokaja Tomasz Klemt.

OBEJRZYJ CAŁĄ ROZMOWĘ Z TOMASZEM KLEMTEM: