arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
07.06.2021

RODO w kulturze organizacyjnej

Adam Warawko

Ogólne rozporządzenie o ochronie danych, czyli RODO, to dość długi i skomplikowany akt prawny. W polskim tłumaczeniu zawiera 88 stron napisanych trudnym, nieraz bardzo ogólnym językiem. Nic dziwnego, że jego przyswojenie i zrozumienie może sprawiać przedsiębiorcom poważne problemy. Niestety, często efektem jest to, że firmy wdrażając RODO wprowadzają niepraktyczne i niezrozumiałe regulacje wewnętrzne. Dochodzi wówczas do bardzo niekorzystnego stanu, ponieważ z jednej strony przestrzeganie źle stworzonych procedur może paraliżować podstawową działalność przedsiębiorstwa, z drugiej nieprzestrzeganie ich w ogóle, grozi odpowiedzialnością administracyjną lub odszkodowawczą.

Pracownicy, co wydaje się być rzeczą dość naturalną, bronią się przed procedurami utrudniającymi bieżącą działalność, ignorując je lub przestrzegając ich w sposób pozorny. Tymczasem ochrona danych osobowych jest sprawą niezwykle poważną, dlatego przedsiębiorstwo powinno zadbać o to, aby stworzyć funkcjonalne regulacje, które zapewnią możliwość prowadzenia działalności zgodnej z obowiązującym prawem ochrony danych osobowych. Pracodawcy powinni pamiętać o tym, że to zazwyczaj właśnie błędy pracowników prowadzą do naruszeń bezpieczeństwa ochrony danych. Do najczęstszych przyczyn nalezą: niedbalstwo, lekkomyślność oraz brak odpowiedniej wiedzy. Przykładami mogą być: stosowanie łatwych do odgadnięcia haseł, pozostawianie ich zapisanych w widocznym miejscu, pozostawienie odblokowanego komputera lub wydruków na ogólnie dostępnej drukarce, zgubienie dokumentów czy wysłanie poczty elektronicznej do nieodpowiedniego adresata. Dodatkowo, w przypadku zaistnienia naruszeń, niewiedza pracowników i nieznajomość opracowanych procedur bądź ich brak, może prowadzić do niewłaściwej reakcji organizacji.

W celu uniknięcia odpowiedzialności związanej z ewentualnymi naruszeniami RODO przedsiębiorstwo powinno zadbać o to, aby pracownicy posiadali odpowiednią wiedzę oraz narzędzia pozwalające na stosowanie się do obowiązujących przepisów. Wszystkie osoby przetwarzające dane osobowe powinny znać podstawowe pojęcia związane z ochroną danych, np. wiedzieć jakie informacje stanowią lub mogą stanowić dane osobowe, czym jest przetwarzanie, jakie prawa mają osoby, których dane dotyczą, jaką rolę pełni Inspektor Ochrony Danych. Kolejnym zagadnieniem jest przeszkolenie personelu w zakresie reakcji na ewentualne naruszenia. Tutaj podstawowym warunkiem jest wiedza umożliwiająca stwierdzenie, czy doszło do naruszenia. Osoby przetwarzające dane osobowe muszą być świadome, jakie sytuacje są naruszeniami ochrony danych osobowych, a jakie nie. Powinny również wiedzieć, kto w przedsiębiorstwie pełni obowiązki Inspektora Ochrony Danych oraz jak mogą się z nim skontaktować. Ze względu na okoliczność, że utrzymanie wiedzy pracowników, w zakresie ochrony danych, na odpowiednim poziomie, powinno być jednym z priorytetów pracodawcy wskazane jest prowadzenie cyklicznych szkoleń. Mogą one być prowadzone w formie elektronicznej, co obniża ich koszty. Wiele firm decyduje się również na inne, bardziej kreatywne formy komunikacji wewnętrznej, takie jak konkursy czy plakaty skierowane do pracowników.

W interesie pracodawcy jest również stworzenie dokumentu opisującego obowiązki pracowników związane z ochroną danych osobowych. Możliwość wykazania dochowania należytej staranności w zakresie przeszkolenia pracowników i zapoznania ich z funkcjonującymi procedurami wewnętrznymi, może mieć przełożenie na wysokość ewentualnych kar związanych z naruszeniami. Szkoląc pracowników oraz dokumentując dochowanie należytej staranności pracodawca zabezpiecza się przed naruszeniami RODO na dwa sposoby. Po pierwsze zmniejsza ryzyko wystąpienia naruszeń w związku z ze zwiększeniem świadomości pracowników, po drugie, w wypadku wystąpienia naruszenia i dokonania jego zgłoszenia do urzędu, stawia się w lepszej pozycji w postępowaniu przed organem nadzorczym. Na najwyższe kary narażeni są bowiem ci przedsiębiorcy, którzy lekceważą obowiązujące przepisy oraz nie współpracują w należyty sposób z Prezesem Urzędu Ochrony Danych Osobowych.