25 maja 2018 roku zaczęło obowiązywać Rozporządzenie o Ochronie Danych Osobowych. Nowe przepisy budziły sporo obaw przedsiębiorców, właścicieli i osób zarządzających różnego rodzaju organizacjami. Czy po dwóch latach stosowania Rozporządzenia wszystko już jest jasne? Niestety nie. Dlatego Związek Pracodawców Polska Miedź wspólnie z firmą członkowską SQUARE Kancelaria Prawna z Wrocławia zorganizował webinarium „Ochrona danych osobowych: 2 lata stosowania RODO”. Szkolenie prowadzili prowadzili mec. Grzegorz Rutkowski oraz mec. Roksana Lejpamer. 
– RODO wzmacnia prawa właścicieli danych, czyli nas wszystkich. Jednocześnie Rozporządzenie nakłada na dysponujących danymi szereg obowiązków, wprowadza poważne sankcje za niewłaściwą ochronę danych. Warto zatem sprawdzić, czy nasza firma jest odpowiednio przygotowana do wypełnienia postanowień tych przepisów lub co ewentualnie wymaga jeszcze przeorganizowania i dostosowania. Wiemy, że szczególnie mniejsze organizacje, bez własnych komórek prawnych, mają kłopot z interpretacją przepisów i to do nich w szczególności kierowaliśmy szkolenie -podkreśla Beata Staszków, Prezes Zarządu Związku Pracodawców Polska Miedź.
Czasami firmy zastanawiają się, czy Rozporządzenie dotyczy ich działalności. Odpowiedź jest prosta: jeżeli w jakikolwiek sposób posługujecie się danymi osobowymi, np. pracowników czy klientów, zbieracie je, zapisujecie, przechowujecie – to TAK. Przepisy dotyczą szerokiego spektrum organizacji, nie tylko gospodarczych. Spółek prawa handlowego, sektora mśp, administracji państwowej i spółek z udziałem kapitału publicznego, samorządów lokalnych różnego szczebla wraz z podległymi jednostkami organizacyjnymi, placówek oświaty i służby zdrowia, organizacji pożytku publicznego, jednosobowych firm świadczących usługi na rzecz osób prywatnych i innych. Nie musicie prowadzić dużej działalności, nawet jeżeli macie np. salon kosmetyczny, ale zapisujecie imię, nazwisko, adres, telefon klientki – to podlegacie RODO.
– Nie ma innej drogi. Jeżeli jakaś firma jeszcze nie uporządkowała swojej aktywności w kontekście RODO, to należy zrobić to jak najprędzej. Naruszenie bezpieczeństwa danych, nawet teoretycznie nieszkodliwe, może nieść ze sobą poważne konsekwencje– ostrzega mecenas Roksana Lejpamer, SQUARE Kancelaria Prawna.
Każdego miesiąca do Urzędu Ochrony Danych Osobowych zgłaszanych jest ok. 350 przypadków naruszeń. Jest to największa liczba skarg z krajów Europy środkowej i wschodniej. Prezes UODO wydał już ok. 200 decyzji administracyjnych i nałożył 7 kar finansowych. Najwyższa wynosi aż 2 miliony 800 tys. zł. Rekordową, jak do tej pory, karę nałożyła Wielka Brytania na linie lotnicze, które nie zabezpieczyły należycie danych ok. 500.000 klientów (loginy, hasła, dane kart płatniczych, rezerwacja podróży, dane adresowe). Prawdopodobnie będą musiały za to zapłacić 204 miliony Euro. To pokazuje, że nie opłaca się lekceważyć przepisów RODO. Naruszenia mogą mieć oczywiście różną skalę.
– Naruszeniem poufności danych będzie np. przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy czy dostęp osoby nieupoważnionej do danych osobowych. Naruszeniem dostępności – zagubienie lub kradzież nośnika zawierającego bazy danych klientów przy braku kopii zapasowej. Przykładem naruszenia integralności może być zmiana treści danych osobowych w sposób nieautoryzowany. Przy każdym działaniu wymagającym użycia danych osobowych musimy zachować szczególną ostrożność– przekonuje mecenas Roksana Lejpamer.
Czasami wystarczą bardzo proste działania, np. ukrywanie listy adresatów przy wysyłce emaila do większej ilości osób, weryfikacja danych adresata poczty tradycyjnej, czy ograniczanie korzystania z dokumentacji papierowej na rzecz wersji elektronicznej. Każda firma musi indywidualnie zdiagnozować potencjalne zagrożenia. Przyjęte, wdrożone i aktualizowane procedury bezpieczeństwa muszą być adekwatne do pierwotnej diagnozy. Jednym z najważniejszych zadań jest obowiązek informacyjny. Za każdym razem musimy jasno określić jakie dane pozyskujemy, w jakim celu, czy i jak będziemy je przetwarzać i komu przekazywać. Całkowicie nowy obszar możliwego ryzyka naruszenia danych rodzi praca zdalna wprowadzona w wielu firmach, w związku z pandemią COVID-19.
– Do pracy zdalnej musimy się przygotować także pod kątem RODO. Jest kilka ogólnych zasad: maksymalne zabezpieczenie sprzętu elektronicznego przed ingerencją z zewnątrz, prowadzenie rozmów służbowych w bezpiecznych miejscach; uniemożliwienie dostępu do danych osobom postronnym, unikanie korzystania z sieci publicznych; blokada komputera/urządzenia mobilnego, prawidłowe niszczenie dokumentów, niekorzystanie z urządzeń prywatnych czy prywatnego adresu e-mail w celu wykonywania obowiązków służbowych. To absolutne podstawy pracy w domu, trzeba rozważyć każdy aspekt, aby zminimalizować ryzyko- uważa mecenas Roksana Lejpamer.
Warto się także zastanowić, czy musimy korzystać z dokumentacji papierowej, czy można w firmie zastosować wersje elektroniczne z szyfrowanym dostępem, czy potrzebujemy oryginałów dokumentów (uwaga: kopie trzeba również chronić) itd.
Również w relacji pracodawca-pracownik jest szereg unormowań chroniących prawa zatrudnionych i ich dane osobowe. W każdym przypadku, nawet w tak z pozoru prostej kwestii jak publikacja wyników wydajności pracy, pracodawca musi mieć podstawę prawną swoich działań, tak aby nie naruszyć dóbr osobistych i prywatności pracownika. Warto wspomnieć, że 10.07.2019 r. Europejska Rada Ochrony Danych przyjęła wytyczne (3/2019) w sprawie przetwarzania danych osobowych przez urządzenia wideo. Radzimy zapoznać się z tym dokumentem, zwłaszcza, jeżeli w firmie jest używany monitoring wizyjny.
Podczas szkolenia uczestnicy otrzymali także informacje dotyczące najnowszych stanowisk organu nadzoru UODO i wyroku Trybunału Sprawiedliwości Unii Europejskiej dotyczącego przekazywania danych do Stanów Zjednoczonych.