Rocznica wprowadzenia RODO dawno za nami, a jednak nie cichną głosy o zmianach, jakie przyniosła i jakie wprowadzone zostały do ustawy w kwietniu br., regulując aż 162 inne ustawy, odnoszące się do działalności różnych branż, jak chociażby bankowa, budowlana, prawna, a także szeroko rozumiana branża HR, która za sprawą działów personalnych w różnych organizacjach, obejmuje swą działalnością praktycznie wszystkie sektory gospodarki. Warto też wspomnieć, że zgodnie z najnowszym raportem firmy Deloitte „Living one year with GDPR”, największą liczbę skarg, dotyczących przypadków naruszenia postanowień RODO w krajach Europy Środkowej i Wschodniej, odnotowano w Polsce. Było to ponad 4500 przypadków. Na drugim miejscu znalazły się Czechy, z 3000 naruszeń. Patrząc z perspektywy firmy zarządzającej informacją i przetwarzającej, za zgodą klientów, dane osobowe osób prywatnych, mogę śmiało stwierdzić, że przed polskimi firmami jeszcze długa droga, aby w pełni dostosować się do przepisów RODO. Konieczna jest zmiana mentalności polskiego biznesu, bo wiele firm funkcjonuje nadal w oparciu o stare przyzwyczajenia, co w obliczu nowej ustawy, jest niestety niezgodne z prawem – mówi Sylwia Pyśkiewicz, Prezes Iron Mountain Polska.
Iron Mountain, jako firma zarządzająca danymi osobowymi, przekazywanymi przez firmy z różnych sektorów, musi działać zgodnie z RODO – tj. odpowiednio zabezpieczać, a także w odpowiednim momencie informować o obowiązku niszczenia przedawnionych danych. Tę wiedzę firma przekazuje swoim klientom, którzy niestety bardzo różnorodnie podchodzą do ustawowego obowiązku.
„Każdorazowo, w sytuacji, gdy dane osobowe nie powinny być już przechowywane, informujemy naszych klientów o tym fakcie. Warto podkreślić, że bez zlecenia ze strony osoby uprawnionej w danej firmie do wydania nam dyspozycji, nie niszczymy żadnych dokumentów. Niestety respons bywa różny – często firmy, pomimo upływu okresu przechowywania wynikającego z przepisów prawa i konieczności uiszczania opłat za ich dalsze przechowywanie, nie odpowiadają na nasze sygnały. Może to dotyczyć nawet ok. 25% klientów dla których usługi świadczy nasza branża” – powiedziała Sylwia Pyśkiewicz, Prezes Iron Mountain Polska.
Które branże respektują RODO
W ciągu ostatniego roku Iron Mountain, wraz ze swoimi klientami uporządkował archiwa liczące ponad 100 mln dokumentów w wersji papierowej oraz elektronicznej. Około 40% przechowywanych zasobów wymagało zniszczenia, co zrealizowane było na zlecenie klientów, chroniąc wiele firm przed potencjalnymi karami. Dzięki prawidłowemu zidentyfikowaniu dokumentów przeznaczonych do zniszczenia firma jest w stanie ograniczyć koszty przechowywania nawet do 30%.
„Z naszych obserwacji wynika, że najsumienniej do procesu RODO podeszła branża finansowa, w tym banki i ubezpieczyciele. Tuż za nimi na podium plasuje się sektor medyczny i branża handlowa, która zarządza danymi klientów detalicznych. Co ciekawe, wielokrotnie w kontekście RODO, zgłaszali się do nas klienci, którzy walidowali przetwarzane dane osobowe – chcieli sprawdzić, czy to, co posiadają w systemie, odpowiada temu, co mają na papierze. Wspólnie z tymi klientami przeanalizowaliśmy 30 mln danych” – analizuje Sylwia Pyśkiewicz.
Polska mentalność
Jak ocenia Iron Mountain problem tkwi w mentalności polskiego biznesu, który niestety jest mocno związany z dokumentami w wersji papierowej. Widać to w wielu procesach realizowanych przez firmę.
„Niejednokrotnie klienci zamawiają u nas oryginał dokumentu, zarchiwizowanego w naszych magazynach, powielają go wewnętrznie, nawet jeśli jest już przez nas zdigitalizowany, a następnie nie zwracają do archiwum. Najbardziej kuriozalna jest sytuacja, gdy zamawiają go ponownie, zapominając, że mają go u siebie. Często też takie wypożyczanie prowadzi do zgubienia jedynego istniejącego oryginału. Niestety pokazuje to niezwykle duże przywiązanie do dokumentów papierowych i potrzebę mentalnej zmiany w polskim biznesie” – komentuje Sylwia Pyśkiewicz.
Przed polskimi firmami jeszcze długa droga do pełnego dostosowania się do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679[1] o ochronie danych osobowych (RODO), zwłaszcza, że od kwietnia 2019 roku obowiązują zmiany, dostosowujące ustawę do krajowych przepisów. Czas pokaże które z wywołanych do tablicy branż (bankowa, budowlana, prawna, HR) najsumienniej podejdzie do tego zadania
Komentarz prawnika z kancelarii Kobylańska & Lewoszewski:
„Spora część nałożonych w Europie kar dotyczy kwestii bezpieczeństwa i nieumiejętnego radzenia sobie z trudnymi sytuacjami, które przecież zdarzają się wszędzie. Przedsiębiorcy na pewno są obecnie bardziej świadomi tego, że nowe prawo ochrony danych osobowych obowiązuje i dotyka także ich działalności w bardzo namacalny sposób. Choć przed polskimi firmami jeszcze długa droga do swobodnego funkcjonowania w nowej rzeczywistości, to spora grupa ma już świadomość, że nieprzestrzeganie zasad wynikających z RODO to zwykle problem, który może przynieść bardzo realne szkody dla przedsiębiorstwa, nie tylko ze względu na potencjalne sankcje, ale przede wszystkim z uwagi na straty wizerunkowe” – komentuje Marcin Lewoszewski, Radca Prawny, Partner w Kancelarii Kobylańska & Lewoszewski.
[1]Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.