Krótko o tym jak obywatel wyręcza Prezesa UODO z kontroli i dlaczego (nie) muszę się tym martwić.

Jakiś czas temu sporo pisaliśmy w naszym portalu odnośnie umów powierzenia i kontrolach podmiotów przetwarzających przez administratorów danych. Tak jak wtedy temat wydawał się aktualny więc postanowiliśmy się nim podzielić, tak teraz wydaje nam się, że zalew skarg do Prezesa UODO jest na tyle olbrzymi, że należy również o tym napisać.  

To właściwie nie jest już wezbrana rzeka, to nawet nie jest już wzburzone morze- to po prostu skargowe tsunami. Ilość skarg jakie wpływają do Prezesa UODO jest zdumiewająca. Zdumiewająca jest też jakość tych skarg i ich przedmiot. Ze statystyk Prezesa UODO wynika, że rok do roku ilość skarg wpływających do urzędu praktycznie się podwaja z lekkim zahamowaniem w trakcie pierwszego lockdown’u. W pierwszej połowie tego roku statystycznie co czwarty dzwoniący do naszej firmy telefon dotyczył potrzeby wsparcia przy postępowaniu kontrolnym przed Prezesem UODO. Kiedy przeanalizowaliśmy stan faktyczny każdej sprawy wyszło, że większość z nich była pokłosiem wcześniejszego zbagatelizowania wniosku dopominającego się o swoje prawa właściciela danych. Prezes UODO podejmuje bowiem czynności w odpowiedzi na skargę podmiotu danych pod warunkiem, jeśli wcześniej sam podmiot zwrócił się do administratora danych z konkretnym żądaniem. W związku z tym pierwsza i jakże kluczowa sprawa- nie oczekujmy, że brak odpowiedzi, zwodzenie wnioskodawcy doprowadzi do czegoś dobrego. Po drugie pamiętajmy, że wszyscy jesteśmy w trzy lata po wejściu w życie RODO coraz bardziej świadomi, jeśli chodzi o nasze prawo do prywatności. Po trzecie- Urząd Ochrony Danych Osobowych bardzo szybko reaguje na wszelkie skargi, które do niego wpływają.

Drugie dno skarg właścicieli danych. (Nie) o ochronę danych tu chodzi.

Z analizy stanu faktycznego spraw wielokrotnie widzieliśmy, że tak naprawdę nie o ochronę danych tu chodzi. Chodzi po prostu o chęć wzięcia zwyczajnego rewanżu na kontrahencie czy pracodawcy, z którym nam się nie ułożyło. Tak czy inaczej nic się nie zmienia, bo właściciel danych ma prawo do realizacji swoich praw, a organ nadzorczy nie analizuje czy korzystanie
z tych praw nastąpiło na skutek perturbacji biznesowych czy nie. Wydaje się, że co sprytniejszy kontrahent czy pracownik potrafi bardzo szybko połączyć tzw. kropki i znaleźć rozwiązanie. Stąd kiedy wszystko zawodzi- sięga po opcję atomową jak skarga do UODO.

Z pozoru każdy wniosek właściciela danych wydaje się prosty do obsługi. Dane osobowe muszą przecież właściwie wejść, właściwie w organizacji być zabezpieczone podczas przetwarzania
i właściwie z organizacji wyjść. Jeśli trzymamy się tej zasady wszystko inne staje się proste
(w tym rozpatrzenie wspomnianego wniosku). Żeby jednak mieć pomysł na działanie w tym zakresie, musimy mieć jakąkolwiek instrukcję postępowania, procedurę, schemat działania
w organizacji. Większość naszych klientów marudzi na procedury, które muszą wdrożyć. Sterta dokumentacji, trzeba podpisać, zapoznać pracowników itd. Kiedy jednak po czasie zapytaliśmy tych bardziej doświadczonych w kontaktach z Urzędem Ochrony Danych Osobowych o sens tych dokumentów, otrzymaliśmy odpowiedź, że to właśnie to stopniowe, nieskomplikowane budowanie świadomości w organizacji ograniczyło do minimum ryzyko naruszeń czy kar.   

Wpisana na stałe rozliczalność z RODO powoduje, że powinniśmy mieć procedurę realizacji wniosków podmiotów danych czy współpracy z organem nadzorczym i to nie po to żeby na nią marudzić, narzekać i patrzeć z daleka. Wręcz odwrotnie. Chodzi o to by ją stosować. Ponadto trzeba zabezpieczyć firmę w innych aspektach takich jak prowadzenie szkoleń, posiadanie ramowej polityki bezpieczeństwa, prowadzenie rejestru czynności przetwarzania czy posiadanie odpowiednich klauzul informacyjnych o przetwarzaniu danych osobowych. Dlaczego? Bo zwyczajnie Prezes Urzędu Ochrony Danych Osobowych o to zapyta, kiedy będzie konkretną skargę rozpatrywał.  

Sukces zaczyna się od małych rzeczy, a przetwarzanie danych to także ryzyko biznesowe.

Sukces zawsze wykluwa się powoli. Prowadząc biznes bez jakiejkolwiek chociażby wiedzy
o ochronie danych osobowych jest wyjściem w Tatry w trampkach do kostek. Można- tylko po co. Większa ilość klientów, większa ilość pracowników, rosnąca ilość transakcji to naturalnie większe ryzyko praktycznie wszystkiego. Dlatego starajmy się zadbać także o ochronę danych zwłaszcza, jeśli nie wymaga to od nas przesadnie dużych wydatków. Zaczynajmy powoli, wdrażajmy procedury, instrukcje, prowadźmy szkolenia na tyle na ile pozwala nam na to czas i budżet firmy. Czasy, kiedy ochronę danych można było po prostu omijać, żeby nie powiedzieć dosadniej “olewać” dawno minęły. Ochrona danych to nie jest wiedza tajemna i coś co może zatrzymać nasz biznes. Miejmy jednak świadomość, że obecnie RODO jest kolejnym wagonikiem doczepionym do lokomotywy o nazwie moja/nasza firma. Skuteczne stosowanie przepisów RODO, nie ma na celu hamować naszego biznesu, a minimalizować ryzyko jego prowadzenia. Na horyzoncie widać już projekty kolejnych zmian legislacyjnych, nowych dyrektyw unijnych, które istotnie będą wpływać na przetwarzanie danych osobowych w niedalekiej przyszłości. Karuzela o nazwie ochrona danych osobowych zaczyna więc kręcić się coraz szybciej.

Autor: Jacek Andrzejewski