Wejście w życie Ogólnego rozporządzenia o ochronie danych, inaczej RODO od 25 maja 2018 r. wiązało się z szeregiem następstw dla całego ekosystemu publiczno-gospodarczego w Polsce. Zresztą zainicjowany proces doprowadzania procesów przetwarzania firm do zgodności z regulacją dalej trwa, i trudno dziś określić jego stopień zaawansowania.

RODO jako impuls do zmian

Z punktu widzenia osób fizycznych których dane osobowe były zbierane i przetwarzane przez przedsiębiorców regulacja istotnie wzmocniła ochronę tych danych. Uświadomiła też zwykłemu Kowalskiemu, szczególnie w momencie jej wejścia w życie, że w kontekście jego danych osobowych przysługują mu określone prawa. Dzięki prowadzonym kampaniom informacyjnym niektórzy dowiedzieli się co to właściwie są dane osobowe i dlaczego wymagają ochrony. Ta świadomość z kolei pociągnęła za sobą wzmożoną aktywność osób fizycznych względem administratorów ich danych. Częściej np. pojawiają się zgłoszenia w przedmiocie naruszeń danych osobowych lub prośby o usunięcie czy zmianę przetwarzanych danych. Pierwsze kary PUODO też zaczęły działać na wyobraźnię administratorów. Zjawiska te wymusiły w wielu firmach bardziej poważne podejście do tematyki ochrony danych osobowych w organizacji; np. poprzez zainicjowanie procesu porządkowania dokumentacji, nierzadko nawet struktur firmy. Nie sposób zatem nie docenić pozytywnych aspektów wejścia w życie Rozporządzenia. Ale jest też druga strona medalu...

RODO skomplikowało wielu przedsiębiorcom życie.

Po pierwsze dlatego że jest to regulacja bardzo rozbudowana i zawiła, i co za tym idzie, nie do końca zrozumiała. Składa się z 99 artykułów o zróżnicowanym stopniu skomplikowania. Język jest bardzo techniczny, prawniczy.

Po drugie, doprowadzenie do zgodności z RODO w organizacji oparte jest na zasadzie ryzyka. Zasada podejścia opartego na ryzyku stanowi, że administrator danych lub podmiot przetwarzający (np. na podstawie umowy powierzenia) powinien zastosować takie środki bezpieczeństwa, które w danych okolicznościach przetwarzania minimalizują związane z tym przetwarzaniem ryzyko naruszenia praw i wolności. Nie jest to podejście typowe w systemach Europy kontynentalnej, gdzie przyzwyczajeni jesteśmy do normatywnej jasności w przedmiocie tego co obowiązuje a co nie (mamy swego rodzaju checklistę). Zasada podejścia opartego na ryzyku odchodzi od takiego zerojedynkowego podejścia do zgodności. Pozostawia administratorowi danych pełną dowolność w wyborze formy i sposobu wdrożenia RODO, ale pozostawia mu kwestię oceny czy zrobił wystarczająco dużo by ta zgodność faktycznie miała miejsce (ponosi ryzyko wdrożenia).

Jak to wygląda w praktyce?

Wiele firm zobowiązanych do wdrożenia i stosowania przepisów określonych w RODO podjęła próbę wdrożenie regulacji - szczególnie na samym początku. Przeprowadzone zostały audyty ochrony danych osobowych, podczas których zdefiniowano nieprawidłowości związane z przetwarzaniem danych osobowych oraz przedstawiono zalecenia naprawcze, które miały doprowadzić do przetwarzania danych zgodnie z prawem i obowiązującymi zasadami. Identyfikowano potrzeby zawierania umów powierzenia. Aktualizowano dokumentację.

Natomiast jest trudno dziś ocenić stopień właściwego wdrożenie RODO w organizacjach, tak prywatnych jak i publicznych. Nie ma takich danych. Wśród praktyków ochrony danych osobowych panuje przekonanie że jest to mały procent ogólnej liczby podmiotów zobligowanych do stosowania się do regulacji, szczególnie wśród małych firm.

Wdrożenie RODO w organizacji często wygląda w ten sposób że firma tworzy dokumentację (np. kupując szablony online) i doraźnie radzi sobie z incydentami naruszenia ochrony danych osobowych. Nie ma kompleksowego podejścia do tematu;

• nie tworzy się systemu ochrony danych osobowych,

• nie powołuje się inspektorów ochrony danych (IOD),

• nie przeprowadza się inwentaryzacji czynności przetwarzania i analiz ryzyka (mimo że w istniejącek dokumentacji są często nawet przygotowane pod to szablony),

• Nie zawiera się umów powierzenia, albo zawiera się takie umowy gdy nie ma takiej potrzeby,

• Nie zwiększa się świadomości pracowników poprzez szkolenia czy instrukcje dobrych praktyk.

RODO nie żyje zatem w organizacji - stanowi dla większości podmiotów jedynie problem który trzeba odhaczyć na checkliście. Nie na tym to polega. Wdrożenie RODO w organizacji nie jest projektem z datę końcową. To jest zespół dobrych zasad i praktyk przetwarzania danych osobowych który ma funkcjonować w organizacji od jej poczęcia, aż do śmierci...