RODO w mleczarstwie

Już 25 maja 2018 roku rozpocznie się stosowanie RODO, czyli nowego rozporządzenia unijnego o ochronie danych osobowych. Dotyczyć ono będzie wszystkich firm, które gromadzą i wykorzystują dane osób fizycznych. Te zmiany nie ominą w żaden sposób firm mleczarskich.

Chociaż na pierwszy rzut oka mogłoby się wydawać, że RODO nie dotyczy firm przetwórczych, nie jest to prawdą. W myśl RODO każdy ma prawo uzyskać informację o przetwarzanych przez dany podmiot jego danych osobowych, zażądać sprostowania, usunięcia lub ograniczenie przetwarzania swoich danych, wnieść sprzeciw wobec przetwarzania swoich danych osobowych, wycofać zgodę na przetwarzanie danych osobowych lub wprowadzić zmiany do obecnie przetwarzanych danych. Każda firma zbiera takie dane jak np. adresy mailowe, dane niezbędne do podpisania umowy, a także przeprowadzenia działań związanych z umową, sporządzenia dokumentacji finansowej oraz rozliczeniowej.

Zmiany znacząco wpłyną chociażby na politykę zarządzania kadrami firm, a także na audyt absencji chorobowych. Gwarantem przestrzegania zaleceń Generalnego Inspektora Ochrony Danych Osobowych (GIODO) oraz jego następcy prawnego od 25 maja – Prezesa Urzędu Ochrony Danych Osobowych jest posiadanie w swoich strukturach administratora bezpieczeństwa informacji (ABI), a po 25 maja – inspektora ochrony danych (IOD).

– Kontrole zwolnień chorobowych opierają się na analizie i przetwarzaniu danych osobowych pracowników związanych z powodem ich nieobecności w pracy. Wymagają więc szczególnego przygotowania i „wyczucia” u osób je przeprowadzających, nie tylko pod kątem sposobu przeprowadzania samej kontroli, ale również zachowania poufności informacji przetwarzanych na ich potrzeby – tłumaczy mec. Jakub Wezgraj, pełniący funkcję ABI w firmie Conperio, specjalizującej się w problematyce absencji chorobowej. Zbliżające się RODO poszerzy zakres danych osobowych uznawanych za „wrażliwe”, a obecność ABI stanowi gwarancję bezpiecznego przechowywania, analizowania i przetwarzania danych osobowych. Należy dokładnie zastanowić się, jakie dane osobowe posiada w swoich bazach danych firma. W przypadku mleczarń są to dane pracowników, wszystkich dostawców oraz części odbiorców, jeśli firma sprzedaje swoje produkty osobom fizycznym np. za pośrednictwem sklepu internetowego. – Po stworzeniu obrazu wszystkich istotnych danych, które firma zbiera i przechowuje, czas sprawdzić, kto ma do nich dostęp i jak są wykorzystywane. Różne zespoły i działy w organizacji uzyskują dostęp do tych samych danych na różne sposoby i używają ich do różnych celów. Czy chodzi o zespół ds. marketingu wprowadzający dane o potencjalnych klientach i udostępniający je zespołowi ds. sprzedaży, czy o dział kadr przetwarzający dane własnych pracowników, konieczne jest wdrożenie standardowych procedur i przepływów pracy związanych z przetwarzaniem danych osobowych, a pracownicy powinni mieć do nich dostęp tylko wtedy, gdy jest to konieczne do wykonywania obowiązków służbowych – wskazuje Andrzej Niziołek, starszy menedżer regionalny Veeam Software w północnej i południowej części Europy Wschodniej. Podkreśla, że w zarządzaniu danymi najważniejsze jest to, aby wiedzieć, co się z nimi dzieje – nie tylko w granicach samej organizacji. Zachowanie zgodności z RODO wymaga, aby zachowywały ją również firmy zewnętrzne i dostawcy usług, z którymi się współpracuje, a zatem rolą przedsiębiorcy jest upewnienie się, czy jego kontrahenci przestrzegają zasad. Nie można ignorować zarządzania danymi, które opuściły firmę.

Zarówno osiągnięcie, jak i utrzymanie zgodności z RODO powinno być wspólnym celem całej firmy. Choćby dlatego, że przedsiębiorstwa, które zostaną uznane za winne naruszenia przepisów, muszą liczyć się z wysokimi grzywnami, które dotkną wszystkich pracowników. Maksymalna kara finansowa, o którą mogą się pokusić urzędnicy za nieprzestrzeganie RODO, to 4% globalnego rocznego obrotu przedsiębiorstwa lub 20 milionów euro, w zależności od tego, która z tych wartości jest wyższa.

Postanowienia RODO są znaczące i wymagające. Warto podkreślić fakt, że przepisy o ochronie danych nie były aktualizowane od 1995 roku, a od tego czasu wiele się zmieniło. Sposób, w jaki firmy zbierały wówczas i przechowywały dane osobowe, z pewnością bardzo różni się od sposobu, w jaki robią to w 2018 roku. Z takiej perspektywy wydaje się, że wprowadzenie RODO jest dość opóźnione. Współczesne organizacje powinny zatem uznać obecne zmiany za doskonałą okazję do zaktualizowania całego swojego podejścia do ochrony danych i dostosowania go do przyszłych wyzwań. Do wdrożenia metodologii wbudowanej w strukturę organizacji, a nie traktowanej jako spóźniona refleksja albo po prostu coś, z czym musi jakoś sobie poradzić dział IT.

Niestety unijne przepisy w prawie każdej materii tworzą dodatkowe obciążenia dla przedsiębiorców. Najlepiej o tym świadczy fakt, że w USA szereg firm postanowiło zrezygnować ze współpracy z krajami i konsumentami z Unii Europejskiej. Firmy te wdrożyły na swoich stronach e-commerce napisany w języku JAVA kod o nazwie GDPR Shield. Wykrywa on ruch przychodzący z krajów UE i blokuje możliwość rejestracji w serwisie. – Amerykańskie firmy policzyły, ile kosztowałoby je wdrożenie RODO, porównały tę liczbę z zyskiem z unijnych klientów i część z nich podjęła decyzję o zablokowaniu ruchu z UE. Polskie i unijne firmy rzadko mają taki wybór, bo to europejski rynek jest dla nich podstawowy – informuje Radosław A. Wróblewski, Head of Business Development Jamam.pl. Polskie przedsiębiorstwa nie mają wyjścia – czy chcą, czy nie, muszą przyjmować kolejne obciążenia jak RODO.