RODO w branży ochrony

Już za miesiąc, czyli 25 maja 2018 roku wchodzi w życie tzw. RODO, czyli kompleksowa regulacja na poziomie unijnym, dotyczących ochrony danych osobowych. Już od dawna dostajemy ostrzeżenia o konieczności prowadzenia zmian. Czy jest już za późno na wprowadzenie zmian w przedsiębiorstwie? Jak wygląda RODO w branży ochrony?

Moim zdaniem,  miesiąc to sporo czasu aby przygotować się na zmiany. Pomimo tego, media już od prawie pół roku trąbią że to już „ostatnia chwila” i straszą wielomilionowymi karami za niedostosowanie się do wchodzących w życie zmian dotyczących ochrony danych osobowych.

Biorąc pod uwagę, że przedsiębiorcy z branży ochrony (w sumie jak w każdej innej) są nagabywani przez rozmaite podmioty gospodarcze oferujące jedyną słuszną (i dość kosztowną) opcję wdrożenia zmian, pewnie zaczynasz się zastanawiać – czy dotyczy to i Twojego przedsiębiorstwa? Czy coś mi w ogóle grozi? A może wszyscy wokół to naciągacze i nie muszę nic robić i niczym się przejmować?

Chyba pora rozprawić się gruntownie z zagadnieniem RODO w tym temacie.

Ale najpierw odpowiedzmy sobie na zasadnicze pytanie – czy w ochronie osób i mienia przetwarza się w ogóle jakiekolwiek dane osobowe?Tak, dane osobowe w agencji ochrony przetwarzane są cały czas, niezależnie od tego, czy Twoje przedsiębiorstwo świadczy usługi z zakresu ochrony bezpośredniej, czy z zakresu zabezpieczenia technicznego. Jeśli nie wierzysz, podam przykłady:

  • Ochroniarze na posterunkach w jakimś biurowcu mają obowiązek legitymować wchodzących interesantów. Tak zażądał klient w umowie. Spisują imię, nazwisko, adres, serię i numer dowodu osobistego. Co robią? Przetwarzają dane osobowe.
  • Agencja ochrony monitoruje bezpieczeństwo obiektu za pomocą kilku kamer, znajdujących się w kluczowych miejscach. Nagrywa wszystkich wchodzących ich wizerunek, i co więcej – przechowuje nagrania przez minimum 3 miesiące. Co robi? Przetwarza dane osobowe.
  • Przedsiębiorca zatrudnia kilkunastu ochroniarzy rozmieszczonych w kilku obiektach. Aby zawrzeć z nimi umowy, ubezpieczyć w ZUS i odprowadzić za nich podatki, zbiera niezbędne informacje w kwestionariuszu osobowym. Musi, ma prawny obowiązek. Ale co w ten sposób robi? Przetwarza dane osobowe.

Tak więc, czym byś się nie zajmował, prowadząc firmę ochroniarską – przetwarzasz dane osobowe. Musisz je więc chronić przed osobami nieuprawnionymi, przed ich wyciekiem. Temu właśnie ma służyć wprowadzenie RODO.

Teraz przejdźmy do najważniejszego pytania, które elektryzuje wszystkich zastanawiających się nad RODO w swoim przedsiębiorstwie: czy grożą mi milionowe kary i czy mam się czego obawiać?

Teoretycznie tak. Kary są określone w RODO i są dość duże. Mógłbym zrobić wrzutkę z rozporządzenia, ale tym już straszyli wszędzie. Może lepiej zrezygnuję? 🙂

Jednak przepisy które o nich mówią, określają stawki na poziomie maksymalnym, nie podają stawek minimalnych. Oznacza to, że kara na pewno będzie znacznie niższa, będzie miarkowana w zależności od stopnia winy i wielu innych czynników.

I najważniejsze moim zdaniem. Ze 2 tygodnie temu rozmawiałem z inspektorem GIODO i uzyskałem informację, że obecnie na całą Polskę, czyli 38 mln obywateli, jest ich, uwaga…

18 (słownie: osiemnastu)

Reasumując:

  1. Czy RODO dotyczy branży ochrony? Tak, dotyczy.
  2. Czy musisz wprowadzić zmiany dostosowujące się do standardów wskazanych w RODO? Tak, powinieneś.
  3. Czy już 26 maja może do Twoich drzwi zapukać inspektor i wlepić milionową karę? Istnieje taka szansa. Tak jak istnieje szansa że wygrasz w totka lub trafi Cię piorun.

Wszystko co powinieneś zrobić, to nie ulegać panice, zastanowić się nad dotychczasowym poziomem ochrony danych osobowych w swoim przedsiębiorstwie i czysto zdroworozsądkowo przemyśleć, jak powinieneś je poprawić. RODO nie podaje gotowych rozwiązań, sygnalizuje obowiązki i surowo karze za ich nieprzestrzeganie, ale procedurę ochrony danych każdy musi dobrać samodzielnie.

Powinieneś następnie zadbać o przygotowanie odpowiednich procedur i innej niezbędnej dokumentacji, związaną z ochroną danych osobowych. Jeśli jesteś nadal zainteresowany tematem ochrony danych osobowych, spróbuję po weekendzie przygotować krótki poradnik, jakie minimum powinieneś moim zdaniem zastosować.

 

Pozdrawiam serdecznie,

Cezary

edycja:
Jeśli nie chcesz tracić czasu w poszukiwaniu linku do poradnika, wklejam go tutaj

10 x skomentowano “RODO w branży ochrony

  1. Tak na marginesie: Inspektorzy nie będą kontrolować 38 mln. osób tylko 1,8 -2.2 mln podmiotów gospodarczych jakie działają w Polsce. Czyli 1 inspektor przypada na około 100 -120 tys. I mimo, że to wciąż dużo to jednak prawdopodobieństwo zdecydowanie inne 🙂

    1. Ha ha, słuszna uwaga Panie Darku! 🙂

      Poza tym, nim ruszą poważne kontrole, mamy szansę na kilka miesięcy względnego spokoju. Takie właśnie odniosłem wrażenie po spotkaniu z inspektorami (mam nadzieję, że się nie mylę). Oczywiście nie znaczy to, że powinniśmy bagatelizować temat.

      Dziękuję za komentarz i serdecznie pozdrawiam!

      1. A czy przypadkiem ewentualna kontrola, nawet jak nastąpi za rok, nie będzie dotyczyć również faktu niewdrożenia przez dane przedsiębiorstwo odpowiednich procedur już 26 maja 2018 r.? Jakie to ma znaczenie z prawnego punktu widzenia, że obecnie nie ma odpowiedniej ilości kontrolerów?

        1. Pani Gabrielo, ma Pani całkowitą rację. Kontrola będzie dotyczyć okresu wstecz, także sprzed wejścia w życie RODO.
          Jednakże – zdziwiłbym się gdyby okazało się, że jakakolwiek umowa powierzenia danych bądź polityka bezpieczeństwa posiadają datę zawarcia/uchwalenia późniejszą niż 25 maja 2018 r. 🙂 problemem jest tylko obowiązek informacyjny, który należy wykonać jak najszybciej, zwłaszcza jeśli ktoś korzysta z niego za pośrednictwem e-mail.
          Tak więc, drobne spóźnienie nie powinno zaszkodzić, grunt aby nie zwlekać zbytnio ze zmianami. Od czasu wpisu minęło 1,5 miesiąca, mam nadzieję że agencje ochrony nie zwlekały za bardzo.
          Dziękuję za wpis i serdecznie pozdrawiam!

          1. Inspektorzy UODO będą kontrolować jedynie bieżący stan ochrony danych. Nie będą zajmować się tym co było przed 25 maja 2018 r. Od tego właśnie dnia nałożone zostały na administratorów nowe obowiązki. UODO to nowy organ powołany na podstawie ustawy o ochronie danych osobowych z 10 maja 2018 r. Ogólne rozporządzenie o ochronie danych (RODO), jako dokument nadrzędny, określa kary za naruszenie bezpieczeństwa danych osobowych i weszło w życie od 25 maja br. „Stara” ustawa o ochronie danych osobowych utraciła moc z dniem 25 maja br. W jaki więc sposób UODO miałoby się odnieść do ochrony danych osobowych sprzed daty obowiązywania ustawy o ochronie danych osobowych i RODO?

  2. A co z osobami udzielającymi informacji? Czy mają prawo odmówić udzielenia informacji dotyczących swoich danych osobowych? Co w takim wypadku? Na jakiej podstawie ma ochroniarz wpuścić interesantów?

    1. Panie Przemku – wszystko zależy od konkretnej sytuacji, zwłaszcza m.in. od tego, kto jest osobą udzielającą informacji, a także czy ochroniarz ma odgórny obowiązek legitymowania wchodzących. Jeśli ktoś odmawia podania danych osobowych, ochroniarz powinien rozważyć niewpuszczenie tej osoby. Przy czym zwracam uwagę, że chodzi mi o tzw. osoby trzecie, które normalnie w danym obiekcie nie pracują czy nie mieszkają. W przypadku tych ostatnich ochroniarz może mieć listy mieszkańców czy osób upoważnionych do wejścia, udostępnione mu przez Administratora tych danych (np. Wspólnotę Mieszkaniową).

      Pozdrawiam serdecznie!

  3. legitymacja ochrony noszona przodem a rodo ? jest jakis przepis w ustawie o ochronie fizycznej aby nie były widoczne dane pracowników ochrony takie jak imie nazwisko ?

    1. Panie Grzegorzu,

      Zakładam że ma Pan na myśli raczej identyfikator niż legitymację. Rzekłbym że jest przepis wręcz przeciwny niż Pan poszukuje 🙂 z art. 20 ust. 1 pkt 1) ustawy o ochronie osób i mienia wynika, że przedsiębiorca działający w ochronie osób i mienia ma obowiązek oznaczania pracowników ochrony w sposób jednolity, umożliwiający ich identyfikację oraz identyfikację podmiotu zatrudniającego. Obracanie identyfikatora np. w drugą stronę uniemożliwi jego identyfikację, co będzie w sprzeczności z przepisami ustawy.

      Pozdrawiam serdecznie!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *