Pytanie co prawda nieodwieczne ale bardzo aktualne – czy od RODO da się uciec? A jeśli się da to jak? Z mojego doświadczenia wynika, że tak, jak najbardziej można uciec spod RODO ale duża część z popularnych w Internecie sposobów nie działa wcale albo nie tak jak się nam wydaje.

 

 

Ten wpis jest dostępny na YouTube oraz Spotify!

 

Przeniesienie biznesu lub jego części poza UE

To chyba jedne z najczęściej spotykanych pomysłów a zarazem jeden z najbardziej szkodliwych dla firm, które postanowiły z niego skorzystać. Założenie jest następujące – przenosimy poza Unię krytyczne elementy naszego biznesu, w które uderza RODO, np. wynajmujemy serwery w państwach, które nie należą do Unii.Teoretycznie idea brzmi pięknie ale rozbija się o jeden drobny niuans. Jeśli firma ma siedzibę w Unii Europejskiej a proces biznesowy jest powiązany z jej działalnością w Unii to cały proces podlega pod RODO, nawet jeżeli toczy się poza Unią. Dla RODO nie ma znaczenia gdzie się toczy dany proces biznesowy – gdzie masz pracowników, serwery itd. Dla tych przepisów liczy się czy działasz w UE – masz siedzibę, filię itd. Zwłaszcza jeśli jesteś europejską spółką, partią, stowarzyszeniem itd.

Żeby to zobrazować powiedzmy, że macie firmę w Polsce z Klientem w Azerbejdżanie. Ten Klient dostaje od was fakturę za usługę, samą fakturę wystawia księgowa pracująca dla was w Tajlandii (jest tam fizycznie z wszystkimi narzędziami) a serwer samej usługi macie w zachodniej Afryce. Musicie też wystawić plik JPK i wysłać go do polskiej skarbówki oraz prowadzić księgi podatkowe zgodnie z polskim prawem – to sprawia, że cały proces jest związany z waszym biznesem w UE, w tym polskimi obowiązkami podatkowymi, i podlega pod RODO choć wszystko dzieje się poza Unią.

Nie obsługujemy ludzi z Unii

To inny pomysł, który czasem się przewija – rezygnujemy jako firma z Klientów, którzy są w Unii, więc będziemy mogli zrezygnować z RODO. Niestety, to że sama usługa jest skierowana do ludzi spoza Unii to za mało, skoro biznes jest związany z działalnością w Unii podlega pod RODO.

Pełne przeniesienie procesu poza Unię

Zetknąłem się też z pomysłem wyoutsorcowania procesów poza Unię np. zlecenie prowadzenia marketingu firmie z Chin. I nawet jeśli faktycznie cały proces przebiegałby w Chinach – chińska firma wyszykuje dla Ciebie Klientów, nawiązuje z nimi relacje, prowadzi newsletter i przekazuje Ci tylko leady to i tak proces będzie podlegał pod RODO. Mało tego będzie to dla Ciebie bardzo duże wyzwanie bo zlecenie takiej usługi poza Unią jest obwarowane dodatkowymi wymogami, których firma z Chin może nie chcieć spełnić. W takim wypadku narażasz się na dodatkowe problemy.

 

To co działa?

Na pewno w tym momencie zadaliście sobie to pytanie – jaki sposób na ucieczkę od RODO ma sens i zadziała? Pokażę wam trzy sposoby, które działają.

Sposób nr 1 – wyjście z Unii

Pierwszy sposób na ucieczkę od RODO zakłada, że jako firma rezygnujecie z runku unijnego. Ponieważ RODO nie obchodzi kim jest twój Klient. Dla RODO liczą się dwie kwestie – pierwsza czy masz firmę w Unii? Jeśli nie masz to przechodzimy do drugiego pytania – gdzie mieszka Twój Klient?

Jeśli wyniesiesz biznes poza Unię – czyli to co robisz nie ma nic wspólnego z Twoją działalnością w Unii np. nie ma nic wspólnego z obowiązkami podatkowymi w Unii i wszystko toczy się poza Unią (nie masz żadnych jednostek organizacyjnych w Unii). Załóżmy więc, że dalej mamy księgową w Tajlandi a serwer w zachodniej Afryce i przenieśliśmy spółkę do Timbuktu. Do tej układanki musimy jeszcze dorzucić jeden element – rezygnacja z Klientów, których mamy w Unii.

Konieczność zrezygnowania z Klientów w Unii wynika z tego, że jeśli jesteś firmą spoza UE, to i tak możesz podlegać pod RODO. Dla RODO znaczenie ma wtedy czy twoi Klienci mieszkają w Unii, natomiast nie ma znaczenia kim oni są – mogą być obywatelami Niemiec czy Polski ale równie dobrze mogą być Chińczykami. Dla RODO ma znaczenie czy klient przebywa w Unii.

Możesz oprzeć swój biznes o usługi dla osób niemieszkających w Unii ale jeśli jeden z Twoich Klientów przeprowadzi się do Unii np. z Chin do Polski, to z chwilą jego przeprowadzki ty się musisz dostosować do RODO, ponieważ jest to już człowiek przebywający w Unii. W takiej sytuacji masz do wybory dwa rozwiązania:

  • odciąć się do tego Klienta – założyć geoblokadę;
  • wydzielić spółkę do obsługi Klientów z Unii.

Sporo firm z USA wybrało rozwiązanie nr 1, przy okazji windując popyt na narzędzia do geoblockingu. Klient z UE wchodząc na serwer, zwłaszcza prasy, widział baner z informacją, że posiada IP z UE więc nie zostanie obsłużony.

Sposób nr 2 – podzielenie biznesu

Więksi gracze by nie rezygnować z Klientów europejskich a jednocześnie nie musieć stosować się do RODO, podzielili biznes na dwie części – Klientów z UE obsługują spółki z UE (i podlegają pod RODO) a pozostałych Klientów obsługują spółki spoza UE i ich działalność nie miesza się. Dzięki temu druga spółka nie podlega pod RODO, chociaż ma dokładnie taki sam model biznesowy jak spółka z Unii.

Sposób nr 3 – RODOodporny biznes

Ostatnim sposobem, o którym na ogół się nie pamięta, to budowa biznesu, który nie wymaga danych osobowych lub który ich nie zawiera.

Gwoli wyjaśnienia – dla prawnika dane osobowe to każda informacja o człowieku, czyli nie tylko imię, nazwisko czy PESEL ale także numer buta, mail czy IP.

Możemy więc skierować się na biznes, który dla swojego działania nie potrzebuje takich danych np. budowa domów. Dla samego procesu stawiania ścian z cegieł nie ma potrzeby korzystania z danych osobowych więc stawianie cegieł nie ma nic wspólnego z danymi osobowymi. Można stworzyć usługę przeliczania danych – tak długo jak długo nie będą to dane osobowe cały proces nie będzie podlegał pod RODO.

Sposób nr 4 – wyjęcie części biznesu spod RODO

Firmy bardzo często ładują się pod RODO – bardziej obrazowo mówiąc firma zachowuje się jak człowiek wbiegający na autostradę. Przeskakuje przez płot, przebiega przez rów, przeskakuje nad barierką energochłonną i wpada pod rozpędzoną ciężarówkę z napisem dane osobowe, po czym idzie do mediów i oskarża RODO i dane osobowe o całe zło tego świata.

Z mojego doświadczenia większość problemów firm z RODO wynika z oślego uporu by posiadać dane osobowe. Prosty przykład – chcecie mieć w firmie newsletter. Formularz zapisu na newsletter możecie zrobić na dwa sposoby:

  1. Wymagacie podania maila – i to wystarczy.
  2. Żądacie od odbiorcy nr buta, telefonu, nazwiska itd.

Jeśli wybraliście wariant nr 1 to wasze problemy z RODO zostały właśnie ograniczone do minimum ale jeśli macie wariant nr 2 to jest mały problem bo już musicie odpowiedzieć na pytanie czy faktycznie taka ilość danych jest wam potrzebna. Więc sami utrudniliście sobie życie.

Innym przykładem są zasoby informacji posiadane przez firmy. Z biegiem czasu posiadane bazy potrafią rozrosnąć się do sporych rozmiarów i często mają w sobie dane osobowe. Między innymi duże firmy archiwizują dane z rekrutacji, dzięki czemu wiedzą jak na przestrzeni lat zmieniała się oczekiwana pensja na danym stanowisku. Dzięki temu planują budżety na rekrutację ale też sprawdzają czy nie płacą za mało na tle konkurencji. To problem, który swego czasu zauważyła Patty McCord w Netfliksie – szybko zauważyła, że stawki rynkowe przewyższyły aktualne wynagrodzenie płacone przez Netflixa.

Jednak to, że dane są potrzebne do nie znaczy, że muszą to być dane osobowe. Historię ofert możesz przechować w formie: Andrzej Nowak chciał 10 000 zł ale równie dobrze możesz mieć ją w formie: Kandydat nr 1 chciał 10 000 zł. Jeśli zanonimizujesz swoją bazę to przestaje ona podlegać pod RODO – przerwiesz powiązanie pomiędzy kandydatem a jego oczekiwaną pensją. A skoro baza nie podlega pod RODO to nie musisz się już martwić terminem ich usunięcia czy wnioskami od osób w niej obecnych.

Jednak najważniejszą korzyścią anonimizacji jest ułatwienie współpracy z zewnętrznymi firmami, powiedzmy, że chcesz zlecić analizę posiadanych danych – jeśli są w nich dane osobowe to musisz przestrzegać RODO począwszy na podpisaniu umowy powierzenia (DPA) a na weryfikacji czy ta zewnętrzna firma przestrzega RODO. Dodatkowo jeśli tam firma jest spoza Unii to dochodzą Ci dodatkowe wymogi związane z RODO.

Sposobów na wyłączenie RODO jest więcej ale wtedy musiałbym napisać książkę na ten temat a nie wpis na bloga. Postarałem się omówić najważniejsze z nich a zwłaszcza pokazać, dlaczego nie zawsze działają tak jak się nam wydaje.