W pierwszym kroku przyjmę założenie, które oceniam jako prawdziwe, mając w pamięci merytorykę spotkań w trakcie Zjazdów MiŚOT, że nie raz nie dwa jako mali i średni operatorzy telekomunikacyjni, mieliście możliwość zapoznania się z RODO. Niestety, jak wieść niesie, ów wybryk natury prawnej jest jak nieproszony gość – nikt go nie ma ochoty poznać i chętnie każdy wyprosiłby go ze zjazdu, a on – jak na złość – wciąż jest…
In flagranti
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) obowiązuje od 25 maja 2018 roku, a pomimo tego wciąż niektórym trudno się z nim pogodzić.
Dodajmy dla formalności, że towarzyszy mu dzielnie wydana w ostatnim momencie przed upływem karencji RODO, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781). Choć raz po raz można usłyszeć albo przeczytać, jak to RODO stawia wymagania MiŚOT-om, którzy muszą się z nimi mierzyć, ów hałas wokół tematu nie niesie z sobą żadnych efektów.
Widać to choćby w trakcie audytów z zakresu bezpieczeństwa informacji. Sprawdzając dokumentację kadrową, która przeszła ostatnio głęboką rewolucję, nie tylko ze względu na RODO, ale przede wszystkim na nowelizację prawa pracy, można niemiło się zdziwić i przekonać jak MiŚOT – jako pracodawcy – nie dbają o swoje bezpieczeństwo. Brak oświadczenia o zachowaniu poufności, brak potwierdzenia przeszkolenia pracowników z ochrony danych osobowych, brak obowiązku informacyjnego, brak zakresu odpowiedzialności, brak zgody na przetwarzanie wizerunku pracownika, brak zgody na przetwarzanie danych szczególnych kategorii w przypadku niepełnosprawności pracownika, brak regulacji BHP i ochrony danych osobowych w przypadku pracy zdalnej, w tym okazjonalnej.
W opozycji do licznych braków to, co zazwyczaj jest, opiera się na uchylonym akcie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Są to przede wszystkim liczne zgody na przetwarzanie danych osobowych podpisane z datą po 2018 roku. Oczywiście, możemy tłumaczyć się nieznajomością przepisów prawa (choć wielu musiałoby wtedy zaprzeczyć swoim wcześniejszym słowom), nadmiarem obowiązków (choć każdy z nas zna ideę ich delegowania), niekompetencją biur księgowo-kadrowo-płacowych (choć nikt nie sprawdza jakości pracy wybranej firmy ani przed podpisaniem umowy, ani w trakcie realizacji przedmiotu umowy, o ile w ogóle ma umowę, a o umowie powierzenia przetwarzania danych nawet nie ma co mówić).
Niestety, kontrola PIP czy ZUS, jak również Sąd Pracy nie wezmą tego pod uwagę. Ucieszą się, że przyłapali pracodawcę na gorącym uczynku.
Dura lex, sed lex, zaś ignorantia iuris nocet
Przepisy i procedury nie uwzględniają naszych emocji i humorów, podkreślają natomiast odpowiedzialność przedsiębiorców. Czy tego chcemy czy nie, przepisy z zakresu ochrony danych osobowych rozgościły się wśród nas na dobre. I choć urodziły się z idei, że każdy z nas powinien mieć kontrolę nad własnymi danymi osobowymi, rozumiem, że sama myśl o nich może być dręcząca. Pamiętajmy, że każdy MiŚOT jako administrator odpowiada za cały proces przetwarzania danych osobowych w swoim podmiocie (również w dokumentacji kadrowej). Na nim spoczywa też prawny obowiązek zapewnienia bezpieczeństwa danych.
Niestety, większość administratorów przypomina sobie o tym, dopiero jak pali im się grunt pod nogami, a wtedy choćby inspektor ochrony danych czynił cuda, może być za późno na ratunek. Mając na uwadze powyższe, najrozsądniejszym rozwiązaniem wydaje się zastosowanie profilaktyki. Przypomnijmy zatem na koniec, że MiŚOT SA już dawno podjął temat bezpieczeństwa i za pośrednictwem spółki Projekt MDS służy wsparciem w tym zakresie m.in. zapewniając outsourcing usług inspektora ochrony danych.