Jak nie dać się nabrać na RODO-oszustwo?

  • RODO
kompendium zmian prawnych

Jak nie dać się nabrać na RODO-oszustwo?

RODO rozpaliło prawdziwą gorączkę złota wśród naciągaczy i zwykłych oszustów oferujących przedsiębiorcom certyfikaty zgodności z nowymi regulacjami lub straszących doniesieniami do prokuratury. Jak nie dać się nabrać tuż po wejściu obowiązywania RODO, gdy jeszcze formalnie polskie ustawodawstwo nie odniosło się do rozporządzenia? Podpowiadamy, co zrobić, by nie paść ofiarą RODO-naciągaczy.

 

Na przełomie roku wielu przedsiębiorców otrzymało w trybie przepisów o dostępie do informacji publicznej pisma wzywające do przesłania informacji na temat przygotowań do RODO. Pytano m.in., czy firma przeszła obowiązkowy audyt, czy przeszkoliła personel i powołała Inspektora Ochrony Danych. Jednocześnie RODO-naciągacze straszyli, że w przypadku niezastosowania się do wezwania, o tym, że firma (w domyśle) nie przestrzega RODO, zostanie poinformowana prokuratura. Oczywiście, oszuści oferowali „pomoc” w zakresie szkoleń i dokonania odpowiednich audytów w firmie za konkretne kwoty.

To jeden z bardziej ekstremalnych i bezczelnych przykładów oszustwa metodą „na RODO”. Generalny Inspektor Danych Osobowych ostrzega, że podobnych, aczkolwiek mniej spektakularnych przypadków, jest więcej. Ogólny przekaz naciągacza jest prosty – zapłać nam za naszą „usługę”, a wówczas ominie Cię surowa kara za nieprzestrzeganie RODO. A przedsiębiorcy od wielu miesięcy słyszą o drakońskich karach finansowych za nieprzestrzeganie reguł rozporządzenia. Stosunkowo łatwo jest więc dać się nabrać.

e-rodo

Certyfikat zgodności z RODO – dopiero po 25 maja

Co musisz wiedzieć o certyfikacji zgodności z RODO? Z pewnością warto certyfikat zdobyć, ponieważ będzie on potwierdzał, że Twoja firma gromadzi i przetwarza dane osobowe zgodnie z RODO. Problem w tym, że obecnie żadne przedsiębiorstwo w Polsce nie może uzyskać takiego dokumentu. Nie może nawet zacząć się o niego ubiegać. Powód? Prozaiczny – obecnie żaden podmiot nie jest jeszcze uprawniony do wydawania takich certyfikatów.

Jak podawało Ministerstwo Cyfryzacji oraz GIODO, proces certyfikacji miał rozpocząć się po 25 maja 2018 r. i być prowadzony przez Urząd Ochrony Danych Osobowych oraz podmioty akredytowane przez Polskie Centrum Akredytacji. Taki certyfikat będzie płatny, a opłata ma wynosić czterokrotność średniego krajowego wynagrodzenia.

Szkolenia? Tak, ale jakie? 

Trzeba pamiętać, że zakup szkolenia, zapłacenie za audyt czy innego rodzaju usługę sprawdzenia procedur ochrony danych osobowych nie spowoduje, że będziemy gotowi na RODO. Nawet najlepsze szkolenie za największe pieniądze nie da gwarancji, że po 25 maja w firmie nie dojdzie do wycieku danych czy innego incydentu. Nie ma na to gotowych recept, tak samo jak nie istnieją obecnie żadne szczepionki na RODO. Nie możemy chronić się certyfikatem „gotowości do RODO”, ponieważ żadna instytucja nie jest uprawniona do wydawania takich certyfikatów. Bardzo często nieuczciwe podmioty reklamują swoje usługi, jakoby posługiwanie się zdobytym (słono opłaconym) certyfikatem miało być tarczą ochronną dla firmy na wypadek kontroli po 25 maja albo wręcz sam certyfikat spowoduje, że urzędnik odstąpi od kontroli. Nic bardziej mylnego. Uczciwe firmy szkoleniowe mogą jedynie wydać certyfikat lub zaświadczenie uczestnictwa w szkoleniu. I tylko (a może aż) tyle.

Jak wybrać rzetelną firmę szkoleniową?

Czy to oznacza, że nie warto brać udziału w szkoleniach? Nie. Warto szkolić siebie i swoich pracowników, ale należy uważnie sprawdzać oferty i wybierać dostawcę usług szkoleniowych. Na co szczególnie należy zwracać uwagę:

  • zamiast certyfikatu zgodności z RODO uczciwa firma szkoleniowa powinna dostarczać certyfikat lub zaświadczenie o udziale w szkoleniu;
  • doświadczenie prowadzących – czy firma szkoleniowa podaje skrócony biogram osób prowadzących, czy wynika z niego, że mają niezbędną wiedzę i doświadczenie w obszarze ochrony danych osobowych;
  • czy firma prowadzi także inne szkolenia merytoryczne – zazwyczaj RODO-naciągacze mają w ofercie jedynie szkolenia dotyczące RODO. Firmy z większymi zaangażowaniem rynkowym mogą wykazać się także szkoleniami w innych obszarach.
  • czy szkolenie wspomaga wypracowanie własnych procedur ochrony danych osobowych? – RODO wyklucza używanie gotowych wzorów i formatek, każdy sam powinien przygotować adekwatne procedury. Wiele firm w swoich szkoleniach oferuje “gotowce”, bo tak jest łatwiej, nie znaczy lepiej.

Niezwykle istotne jest także to, by nie rezygnować ze szkoleń tylko dlatego, że RODO już weszło. Oferta rzetelnych firm szkoleniowych z pewnością nie zniknie po 25 maja, raczej zostanie wzbogacona o nowe elementy, choćby przykłady z życia, gdy nowe regulacje są już wymagane.

Proszę mi zainstalować RODO

Podobnie jest z używanym w firmie oprogramowaniem. Program lub system ERP czy CRM może być przygotowany do RODO, ale nie spowoduje, że tak też będzie Twoja firma. Dostawca oprogramowania najczęściej aktualizuje je, by spełniało wszystkie wymagania związane z ochroną danych osobowych – miało odpowiednie zabezpieczenia, możliwość backupu danych, systemy kontroli i monitoringu dostępu do danych, bezpieczne archiwizowanie czy wygodną obsługę wymaganych funkcjonalności, jak np. tzw. prawo do zapomnienia. Ale w przypadku naruszenia danych osobowych w Twojej firmie to nie producent programu będzie pociągnięty do odpowiedzialności, tylko Ty.

Mimo że internetowa fora i sieci społecznościowe huczą od próśb i dyskusji o tym, w jaki sposób można „zainstalować w swojej firmie RODO” albo pobrać aplikację, by być „RODO ready”, musisz pamiętać – nie istnieją żadne programy ani aplikacje, które sprawią, że po ich zainstalowaniu, jak za dotknięciem czarodziejskiej różdżki, zaczniesz spełniać wszystkie wymagania co do nowych przepisów. O gotowość do RODO musisz zadbać sam – Ty i Twoi pracownicy.

Zdarza się, że naciągacze wykorzystują naiwność lub niewiedzę przedsiębiorców oczekujących dostarczenia gotowych wzorów, formularzy lub innych dokumentów, które wystarczy wypełnić, by zachować zgodność z RODO. Tymczasem zapisy rozporządzenia wykluczają użycie gotowych wzorów czy formularzy, ponieważ nie ma uniwersalnych wzorów w tym obszarze – każda firma jest inna i musi je wypracować samodzielnie. Można się tego nauczyć na kursach, np. Sage Academy, w czasie których eksperci pokazują przykłady takich dokumentów i szczegółowo odpowiadają na konkretne pytania uczestników dotyczące niezbędnej dokumentacji.

Pamiętaj też, że szkolenia, warsztaty i kursy nie dadzą Ci gwarancji, że Twoja firma w przyszłości uniknie kar. Zupełnie tak samo jak zdany egzamin na prawo jazdy nie chroni przed przyszłymi mandatami. W swojej firmie musisz samodzielnie przeprowadzić rzetelną analizę wykonywanych czynności związanych z danymi osobowymi, ocenić zgodność stosowanych procedur z nowymi regulacjami i wdrożyć niezbędne nowe procedury. Dobre szkolenia mogą Ci w tym pomóc, ukierunkowując Twoje działania na obszary, którym warto poświęcić więcej uwagi, dostarczając przydatną wiedzę i narzędzia. Warto też cyklicznie weryfikować, czy przyjęte na początku procedury nie poszły w niepamięć, a pracownicy nie wrócili do starych nawyków.

Pamiętaj, że przygotowania do RODO to indywidualna sprawa każdego przedsiębiorstwa. Inne procedury musi zastosować biuro rachunkowe, inaczej będzie się przygotowywać zakład fryzjerski, a jeszcze inaczej międzynarodowa korporacja. Gotowość do RODO dla każdego podmiotu oznacza co innego.

 

Autor: Piotr Kowalski

baner wycena