GIODO przestrzega…

GIODO przestrzega, by z rozwagą korzystać z ofert podmiotów oferujących pomoc w przygotowaniu się do RODO.

“Generalny Inspektor Ochrony Danych Osobowych (GIODO) przestrzega, by decydując się na usługi lub pomoc podmiotu zewnętrznego oraz dokonując wyboru oferty, zachować dużą ostrożność. Dotyczy to zwłaszcza przypadków, w których:

  • proponuje się kupno certyfikatów, zwłaszcza tych, które mają gwarantować, że legitymujący się nimi podmiot postępuje zgodnie z RODO, co uchroni go np. przed kontrolą ze strony urzędu,
  • żąda się przedstawienia określonych informacji lub dokumentów pod groźbą „oddania sprawy do GIODO, sądu i prokuratury”, a jednocześnie oferuje kupno produktów lub usług.

Czytaj więcej

Przejść na zgodność z RODO

Do rozpoczęcia stosowania RODO pozostało 15 dni i już  pewne jest, że na czas zdąży niewielka liczba podmiotów.

W przeddzień rozpoczęcia stosowania RODO zastanawiam się jaki będzie efekt tych wdrożeń biorąc pod uwagę fakt, że firmy generalnie bagatelizowały ochronę danych osobowych w erze przed RODO. I można by powiedzieć, że to nic, bo przecież łatwo da się to naprawić, wystarczy zmienić podejście i sumiennie przygotować się teraz do RODO, uporządkować stare procesy.

Czy jednak jest to łatwe zadanie?

Z mojego doświadczenia wynika, iż przygotowanie firmy na wdrożenie RODO i doprowadzenie jej do stanu zgodności z prawem może być nie lada wyzwaniem a dodatkowo firmę może skutkować wstrzymaniem procesu przetwarzania, którego nie da się uzdrowić.
Czytaj więcej

Nowe przepisy o ochronie danych osobowych – konferencje, spotkania, debaty …

Na stronie GIODO zegar odlicza czas do 25 maja 2018 r. przypominając, że czas upływa i na dostosowanie się do wymogów RODO jest go coraz mniej.

W temacie reformy ochrony danych osobowych mówi się coraz więcej w szczególności na szkoleniach, konferencjach, ale coraz więcej też o reformie słychać w różnych mediach. W tym tygodniu pojawiły się projekty przepisów krajowych regulujące kwestie pozostawione państwom członkowskim do szczegółowego określenia. Mamy więc projekt nowej ustawy o ochronie danych osobowych oraz projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych.

W jakim więc punkcie jesteśmy rzeczywiście i czy proces przygotowywania się do RODO można uznać za ogólnie zaawansowany. Okazuje się, że na tak postawione pytanie nie ma jednoznacznej odpowiedzi.

Na jednej z ostatnich konferencji tematycznych poświęconej projektom nowych przepisów krajowych  wybrzmiało kilka interesujących kwestii, z którymi nie sposób się nie zgodzić. Podzielę się niektórymi z nich.

Zagadnienia stanu przygotowania przedsiębiorców do RODO komentowali zaproszeni na konferencję przedstawiciele MAC, GIODO a także prawnicy praktycy i inni eksperci, którzy na co dzień zajmują się pomocą w porządkowaniu obszaru ochrony danych osobowych. Byli oni zgodni co do jednego, że stan przygotowania w firmach jest bardzo zróżnicowany.

Są organizacje, które od miesięcy analizują procesy związane z przetwarzaniem danych w celu należytego ich rozpoznania i doprowadzenia do stanu zgodności. Są też takie, które takich działań nie rozpoczęły. Czyli mamy całe spektrum możliwości, jeśli chodzi o stan przygotowań.

Według jednego z ekspertów organizacja, która nie rozpoczęła jeszcze w ogóle  porządkowania obszaru ochrony danych osobowych, może już nie zdążyć, aby do 25 maja 2018 r. dostosować się w sposób należyty.  Osobiście zgadzam się z tak postawioną tezą. Jako prawnik praktyk, który na co dzień obserwuje obszary związane z ochroną danych osobowych w różnych organizacjach, widzę jak często jest to obszar zapomniany.

Uczestniczący w konferencji dr. Sibiga stwierdził, iż proces, który powinien aktualnie toczyć się w organizacjach nie jest tak naprawdę procesem dostosowawczym do RODO a często jest to proces naprawczy mający na celu naprawienie tych wszystkich uchybień i niezgodności z dotychczas obowiązującym prawem. W moje ocenie brak zgodności z dotychczasowym prawem to meritum problemu , jeśli chodzi o dostosowanie się do wymogów RODO.

Trudno bowiem dostosowywać organizację w zakresie nieznanych dotychczas instytucji, gdy procesy przetwarzania danych osobowych zawierają podstawowe niezgodności na przykład w zakresie zapewnienia legalności przetwarzania danych.

O RODO mówi się często jako o rewolucji w ochronie danych osobowych, ale jest to pewne uogólnienie związane z nowym podejściem do ochrony danych i wyjątkowo wysokimi karami. RODO jednak w znaczącej części pokrywa się z dotychczas obowiązującymi przepisami o ochronie danych osobowych. Podstawowe instytucje, zasady oraz pojęcia dotychczasowych regulacji zostały zachowane. Pojawiły się co prawda nieznane czy nie wyartykułowane wcześniej instytucje prawne i one aktualnie są głównym przedmiotem analiz i debat.

Jak wiadomo GIODO  nie miał ani możliwości ani środków, aby zapewnić egzekwowanie przepisów ustawy o ochronie danych osobowych. Stan faktyczny był więc taki, że większość administratorów danych nie zapewniała zgodności przetwarzania danych z przepisami.

Wyobraźmy sobie znaczną organizację, z rozbudowaną strukturą prawną i organizacyjną, z wieloma procesami przetwarzania danych, dużym systemem informatycznym i brak odniesienia do wymogów obowiązującej od dwudziestu już lat polskiej ustawy o ochronie danych osobowych.

Każdy prawnik, który zetknął się z taką organizacją chociaż raz wie, że proces naprawczy w takiej organizacji jest żmudny, problematyczny i często bardzo kosztowny.

Przedstawiciel GIODO obecny na konferencji rozwiewał krążące mity, że po 25 maja 2018 r. będzie jeszcze czas na udzielanie upomnień a nie czas kar jak również i ten, że od pierwszego dnia będą wymierzane kary w najwyższym wymiarze. Komunikat był czytelny czas na dostosowanie do RODO właśnie płynie a potem już nie jest przewidywany jakiś dodatkowy okres przejściowy. Nie oznacza to z drugiej strony nastawienia na karanie od 25 maja 2018 r., ale też i tego nie wyklucza.

Pojawiły się też uzasadnione w mojej opinii, uwagi pod adresem GIODO za jego zbyt małą aktywność i pomoc w zakresie udzielania przedsiębiorcom konkretnych wskazówek i wytycznych, dotyczących nowych rozwiązań prawnych. Wskazywano na dużo większą aktywność w tym zakresie innych europejskich organów ochrony danych osobowych, co jest zgodne z prawdą.

I tak na koniec. Z moich doświadczeń wynika, iż większość firm zupełnie nie zdaje sobie sprawy, iż proces dostosowawczy czy proces naprawczy w obszarze przetwarzania danych wymaga czasu, pracy i kosztów. Wśród wielu przedsiębiorców panuje wręcz przeświadczenie, że proces naprawczy w tym obszarze nie może zająć dużo czasu. Trudno im pojąć, iż ustalenie stanu zgodności jest pracochłonne i czasochłonne.

Temat jest niszowy i aktualnie wciąż jeszcze panuje ogólny brak świadomości w temacie o co tak naprawdę chodzi z tymi danymi osobowymi i o co tyle hałasu.

Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.