Mija właśnie rok od wprowadzenia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679[1] o ochronie danych osobowych (RODO). W ciągu tego roku zauważyliśmy, że klienci, którzy do tej pory korzystali z usług Iron Mountain na wielu różnych płaszczyznach, postanowili powierzyć nam także proces dostosowania się do nowych przepisów, co nas cieszy, bo świadczy o ich zaufaniu. Obserwowaliśmy różne reakcje ze strony obsługiwanych przez nas branż. Podsumowując mijający rok, możemy jednak wskazać, że najsumienniej do procesu RODO podeszła branża finansowa, w tym banki i ubezpieczyciele. Tuż za nimi na podium plasuje się sektor medyczny i branża handlowa, która zarządza danymi klientów detalicznych[1]Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Sylwia Pyśkiewicz, CEO w Iron Mountain Polska Sp. z o.o.
Pierwsze informacje o zmianach w prawie i potrzebie dostosowania polskiej ustawy o ochronie danych osobowych do przepisów unijnych pojawiły się 24 maja 2016 roku, kiedy to weszło w życie Ogólne rozporządzenie o ochronie danych (RODO). Firmy miały więc 2 lata na przygotowanie się do wprowadzanych zmian. Czy im się to udało? Z perspektywy firmy zarządzającej informacją i dbającej o kwestie zabezpieczania danych mogę powiedzieć, że tak naprawdę zależy to od branży. Z naszych obserwacji wynika, że klienci, których działalność bazuje na przetwarzaniu danych osobowych wzięły sobie nową ustawę bardzo do serca i solidnie przyłożyły się do wprowadzenia wymaganych zmian. Mam tu na myśli branżę finansową, ubezpieczeniową, a także medyczną i handlową, która zarządza danymi klientów detalicznych. Pozostałe branże wymagają dalszej edukacji i wsparcia w tym obszarze.
W ciągu ostatniego roku uporządkowaliśmy z naszymi klientami archiwa liczące ponad 100 mln dokumentów w wersji papierowej oraz elektronicznej. Podczas naszych prac okazało się, że ponad 40% przechowywanych zasobów już dawno się przeterminowało. Zniszczyliśmy więc 40 mln dokumentów, dzięki czemu wiele firm uchroniło się przed potencjalnymi karami. To pokazuje, że nasza wiedza i doświadczenie może pomóc w procesie dostosowania się do przepisów RODO. Widzimy, że firmy rzeczywiście szukają wsparcia. Nasi stali klienci powierzali nam ten trudny proces, wiedząc, że przeprowadzimy ich przez niego profesjonalnie i „bezboleśnie.
A jak to robimy? Jesteśmy z firmą czy instytucją już na etapie audytu, który pozwala określić aktualny poziom zgodności z RODO i dobrać najlepszą ścieżkę działań. Już na tym etapie możliwa jest optymalizacja czasu realizacji procesów związanych z dostosowaniem do RODO do 30% oraz kosztów – do 20%. Należy wskazać tzw. „wąskie gardła”, zarówno w kontekście potencjalnego wycieku danych, jak i spełnienia licznych obowiązków wynikających z RODO. Chodzi tu m.in. o dostęp do danych, minimalizację ich przetwarzania czy prawo do bycia zapomnianym.
Istotnym elementem tego procesu jest również określnie czy dane (zarówno w formie papierowej, jak i elektronicznej) nie są zbyt długo przechowywane i przetwarzane. Dzięki prawidłowemu zidentyfikowaniu dokumentów przeznaczonych do zniszczenia jesteśmy w stanie ograniczyć koszty przechowywania nawet do 30%.
Nasze doświadczenie w dziedzinie przechowywania i zabezpieczania danych pozwala nam, oczywiście w ścisłej współpracy z klientem, stworzyć mapę danych osobowych, które znajdują się w zasobach firmy, wraz z informacją do jakich procesów firma je wykorzystuje. Celem takiego działania jest dążenie do zminimalizowania przetwarzania danych osobowych czy nawet całkowita anonimizacja (przechowywanie danych w postaci ciągu cyfr lub kodu kreskowego), dzięki czemu prawie w 100% eliminujemy ryzyko przetwarzanie lub wycieku danych osobowych. W dalszej kolejności tak modelujemy procesy, aby dla nowo powstałych dokumentów stworzyć ścieżkę postępowania, która, w najbardziej efektywny i zgodny z RODO sposób, pozwoli klientowi zarządzać i przetwarzać dane osobowe. W tym miejscu warto wspomnieć, że rokrocznie we współpracy z naszymi klientami przeprowadzamy także audyty bezpieczeństwa IT, obejmujące bezpieczeństwo danych (w tym również pod nadzorem instytucji kontrolujących, takich jak KNF). Wszystkie zrealizowane do tej pory audyty były pozytywne. W ubiegłym roku przeprowadziliśmy ich kilkanaście.
Aby ułatwić firmom i instytucjom przetwarzającym dane osobowe dostosowanie do przepisów RODO, Iron Mountain we współpracy z Kancelarią Kobylańska & Lewoszewski przygotowuje prosty manual oparty na konkretnych pytaniach. Celem tego narzędzia będzie szybka i sprawna weryfikacja dostosowania firmy do obowiązujących przepisów, poprzez oznaczenie obszarów zgodności lub jej braku, wraz ze wskazaniem potencjalnych ścieżek działania
Komentuje Sylwia Pyśkiewicz, CEO w Iron Mountain Polska Sp. z o.o.
RODO z prawniczej perspektywy – największe wyzwania i pierwsze wyroki za niezgodność z przepisami
Czy firmy nauczyły się funkcjonować w nowej rzeczywistości?
Przedsiębiorcy na pewno są obecnie bardziej świadomi tego, że nowe prawo ochrony danych osobowych obowiązuje i dotyka także ich działalności w bardzo namacalny sposób. Ostatnie miesiące z punktu widzenia kancelarii to bardzo intensywna praca nad pewnym novum w polskiej rzeczywistości. Chodzi właśnie o wspieranie klientów, którzy masowo przetwarzają dane osobowe, w reagowaniu na ogromną ilość żądań opartych na RODO, kierowanych do nich przez ich klientów czy pracowników. Jak się okazuje to dla przedsiębiorców wyzwanie nie tylko prawnicze, ale też organizacyjne, co obserwujemy, pracując nad sprawami naszych klientów. Choć przed polskimi firmami jeszcze długa droga do swobodnego funkcjonowania w nowej rzeczywistości, to spora grupa ma już świadomość, że nieprzestrzeganie zasad wynikających z RODO to zwykle problem, który może przynieść bardzo realne szkody dla przedsiębiorstwa, nie tylko ze względu na potencjalne sankcje, ale przede wszystkim z uwagi na straty wizerunkowe.
Komentuje Marcin Lewoszewski, Radca Prawny, Partner w Kancelarii Kobylańska & Lewoszewski
O czym świadczą pierwsze wyroki za niezgodność z ustawą RODO?
Na kwestię egzekwowania RODO należy patrzeć szerzej niż przez pryzmat tylko Polski, bo konsekwencje wynikające z nieprzestrzegania przepisów wyciągane są w całej Unii Europejskiej. To właśnie doradzamy klientom, którzy chcą podejmować świadome decyzje – unikanie nadmiernej ekscytacji lokalnym rynkiem i sumienne obserwowanie tego, co dzieje się w Europie. Ze względu na małą jak do tej pory liczbę kar dotyczących RODO w naszym kraju, dla wielu polskich przedsiębiorców dopiero spojrzenie na wyroki zagraniczne może być wskazówką w jaki sposób działać i czego unikać w prowadzonym biznesie. Dla zobrazowania sytuacji – w Polsce nałożono na ten moment jedynie dwie kary, a w samych Niemczech aż siedemdziesiąt pięć. A to z pewnością dopiero początek. Ciekawostką, chyba przemilczaną w Polsce, jest też decyzja litewskiego organu nadzorczego, który w ubiegłym tygodniu nałożył 61 500 euro kary nie tylko z tytułu niepoinformowania go o zaistniałym naruszeniu, ale także w związku z przetwarzaniem zbyt szerokiego katalogu danych o osobach, których te dane dotyczą. Warto podkreślić, że spora część nałożonych w Europie kar dotyczy właśnie kwestii bezpieczeństwa i nieumiejętnego radzenia sobie z trudnymi sytuacjami, które przecież zdarzają się wszędzie. Jak więc sobie z tym radzić? Trzeba po prostu mozolnie zdobywać doświadczenie, czy to dotyczące „wycieków danych”, czy postępowań prowadzonych przez organ nadzorczy w oparciu o RODO, żeby nie popełniać kosztownych błędów. Nie ma tu chyba drogi na skróty. Póki co, nasze doświadczenie zdobywane już na gruncie RODO mówi tyle: organy nadzorcze są zainteresowane poważnymi kwestiami, które potencjalnie i w świadomości organu nadzorczego rodzą wysokie ryzyka. I takie kwestie nas zajmują.
Dodaje Marcin Lewoszewski, Radca Prawny, Partner w Kancelarii Kobylańska & Lewoszewski.
