kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Nowe przepisy o ochronie danych osobowych – konferencje, spotkania, debaty …

Na stronie GIODO zegar odlicza czas do 25 maja 2018 r. przypominając, że czas upływa i na dostosowanie się do wymogów RODO jest go coraz mniej.

W temacie reformy ochrony danych osobowych mówi się coraz więcej w szczególności na szkoleniach, konferencjach, ale coraz więcej też o reformie słychać w różnych mediach. W tym tygodniu pojawiły się projekty przepisów krajowych regulujące kwestie pozostawione państwom członkowskim do szczegółowego określenia. Mamy więc projekt nowej ustawy o ochronie danych osobowych oraz projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych.

W jakim więc punkcie jesteśmy rzeczywiście i czy proces przygotowywania się do RODO można uznać za ogólnie zaawansowany. Okazuje się, że na tak postawione pytanie nie ma jednoznacznej odpowiedzi.

Na jednej z ostatnich konferencji tematycznych poświęconej projektom nowych przepisów krajowych  wybrzmiało kilka interesujących kwestii, z którymi nie sposób się nie zgodzić. Podzielę się niektórymi z nich.

Zagadnienia stanu przygotowania przedsiębiorców do RODO komentowali zaproszeni na konferencję przedstawiciele MAC, GIODO a także prawnicy praktycy i inni eksperci, którzy na co dzień zajmują się pomocą w porządkowaniu obszaru ochrony danych osobowych. Byli oni zgodni co do jednego, że stan przygotowania w firmach jest bardzo zróżnicowany.

Są organizacje, które od miesięcy analizują procesy związane z przetwarzaniem danych w celu należytego ich rozpoznania i doprowadzenia do stanu zgodności. Są też takie, które takich działań nie rozpoczęły. Czyli mamy całe spektrum możliwości, jeśli chodzi o stan przygotowań.

Według jednego z ekspertów organizacja, która nie rozpoczęła jeszcze w ogóle  porządkowania obszaru ochrony danych osobowych, może już nie zdążyć, aby do 25 maja 2018 r. dostosować się w sposób należyty.  Osobiście zgadzam się z tak postawioną tezą. Jako prawnik praktyk, który na co dzień obserwuje obszary związane z ochroną danych osobowych w różnych organizacjach, widzę jak często jest to obszar zapomniany.

Uczestniczący w konferencji dr. Sibiga stwierdził, iż proces, który powinien aktualnie toczyć się w organizacjach nie jest tak naprawdę procesem dostosowawczym do RODO a często jest to proces naprawczy mający na celu naprawienie tych wszystkich uchybień i niezgodności z dotychczas obowiązującym prawem. W moje ocenie brak zgodności z dotychczasowym prawem to meritum problemu , jeśli chodzi o dostosowanie się do wymogów RODO.

Trudno bowiem dostosowywać organizację w zakresie nieznanych dotychczas instytucji, gdy procesy przetwarzania danych osobowych zawierają podstawowe niezgodności na przykład w zakresie zapewnienia legalności przetwarzania danych.

O RODO mówi się często jako o rewolucji w ochronie danych osobowych, ale jest to pewne uogólnienie związane z nowym podejściem do ochrony danych i wyjątkowo wysokimi karami. RODO jednak w znaczącej części pokrywa się z dotychczas obowiązującymi przepisami o ochronie danych osobowych. Podstawowe instytucje, zasady oraz pojęcia dotychczasowych regulacji zostały zachowane. Pojawiły się co prawda nieznane czy nie wyartykułowane wcześniej instytucje prawne i one aktualnie są głównym przedmiotem analiz i debat.

Jak wiadomo GIODO  nie miał ani możliwości ani środków, aby zapewnić egzekwowanie przepisów ustawy o ochronie danych osobowych. Stan faktyczny był więc taki, że większość administratorów danych nie zapewniała zgodności przetwarzania danych z przepisami.

Wyobraźmy sobie znaczną organizację, z rozbudowaną strukturą prawną i organizacyjną, z wieloma procesami przetwarzania danych, dużym systemem informatycznym i brak odniesienia do wymogów obowiązującej od dwudziestu już lat polskiej ustawy o ochronie danych osobowych.

Każdy prawnik, który zetknął się z taką organizacją chociaż raz wie, że proces naprawczy w takiej organizacji jest żmudny, problematyczny i często bardzo kosztowny.

Przedstawiciel GIODO obecny na konferencji rozwiewał krążące mity, że po 25 maja 2018 r. będzie jeszcze czas na udzielanie upomnień a nie czas kar jak również i ten, że od pierwszego dnia będą wymierzane kary w najwyższym wymiarze. Komunikat był czytelny czas na dostosowanie do RODO właśnie płynie a potem już nie jest przewidywany jakiś dodatkowy okres przejściowy. Nie oznacza to z drugiej strony nastawienia na karanie od 25 maja 2018 r., ale też i tego nie wyklucza.

Pojawiły się też uzasadnione w mojej opinii, uwagi pod adresem GIODO za jego zbyt małą aktywność i pomoc w zakresie udzielania przedsiębiorcom konkretnych wskazówek i wytycznych, dotyczących nowych rozwiązań prawnych. Wskazywano na dużo większą aktywność w tym zakresie innych europejskich organów ochrony danych osobowych, co jest zgodne z prawdą.

I tak na koniec. Z moich doświadczeń wynika, iż większość firm zupełnie nie zdaje sobie sprawy, iż proces dostosowawczy czy proces naprawczy w obszarze przetwarzania danych wymaga czasu, pracy i kosztów. Wśród wielu przedsiębiorców panuje wręcz przeświadczenie, że proces naprawczy w tym obszarze nie może zająć dużo czasu. Trudno im pojąć, iż ustalenie stanu zgodności jest pracochłonne i czasochłonne.

Temat jest niszowy i aktualnie wciąż jeszcze panuje ogólny brak świadomości w temacie o co tak naprawdę chodzi z tymi danymi osobowymi i o co tyle hałasu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: