Gdy słyszysz słowo RODO masz gęsią skórkę i dreszcze? Obawiasz się zmian, jakie będziesz musiał wprowadzić w szkole językowej? Niepokój bierze się przede wszystkim z niewystarczającej wiedzy, dlatego spieszymy z pomocą. Dowiedz się, co zmienia się w ochronie danych osobowych, jak opanować strach i podjąć konkretne działania.

 

Skąd tyle różnych wizji i niepokojów?

Przyczyn jest co najmniej kilka.

Po pierwsze przepisy ochrony danych osobowych, przez ponad 20 lat funkcjonowania Dyrektywy 95/46/WE, doczekały się jedynie kosmetycznych zmian. RODO to pierwsza naprawdę duża zmiana, więc już sam ten fakt może budzić niepokój.

Dodatkowo mamy do czynienia z Rozporządzeniem UE. Przypominam, że Rozporządzenie UE, stosujemy bezpośrednio. Tym samym dotychczasowa ustawa o ochronie danych osobowych, przestanie obowiązywać.

 

Proces wdrożenia i niewiadome

Ministerstwo Cyfryzacji we wrześniu 2017 roku przygotowało projekt nowej „ustawy o ochronie danych osobowych”.

Cudzysłów nie został użyty przypadkowo. Nowa ustawa będzie nazywała się inaczej i nie będzie regulowała podstaw prawnych przetwarzania danych osobowych. W nowym akcie prawnym ustawodawca skoncentruje się przede wszystkim na danych osobowych osób fizycznych oraz roli i kompetencjach GIODO.

Możemy zostać też zaskoczeni w niektórych obszarach. Zwłaszcza, że w pewnym zakresie RODO przewiduje możliwość „doregulowania” przepisów przez państwa członkowskie.

Następnym „kamieniem milowym” całego procesu, będzie przygotowanie wytycznych dotyczących zabezpieczeń technicznych i organizacyjnych, rekomendowanych przy przetwarzaniu danych osobowych.

Wytyczne (rekomendacje) przygotuje regulator (GIODO). Zastąpią one, często krytykowane Rozporządzenie w sprawie warunków technicznych i organizacyjnych (…) z 2004 roku. Z całą pewnością wytyczne te staną się bardzo wyczekiwanym przez obecnych ABIch (a przyszłych IOD), elementem zmian.

Czy to już będzie koniec procesu zmian? Absolutnie nie.

Pojawią się pierwsze spory co do interpretacji przepisów, które będą rozstrzygane przez GIODO, polskie i unijne sądy. Nie zapominajmy także o Europejskiej Radzie Ochrony Danych, która będzie czuwała nad działalnością krajowych regulatorów. Jej celem będzie między innymi zapewnienie spójności stosowania nowych regulacji na terenie całej UE.

Słowo „proces” jest  kluczem do prawidłowej oceny tego co się dzieje. Wejścia w życie RODO nie da się rozpatrywać jako „punktowego” wydarzenia, którego wszystkie skutki odczujemy po 25 maja 2018 roku. Istotnych wydarzeń i dat związanych z RODO jest znacznie więcej.

Do wszystkich powyższych niewiadomych elementów procesu, dodajmy jeszcze milionowe kary, a emocjonalny wynik równania stanie się oczywisty. Strach, niepokój, a w przypadku niektórych osób odpowiedzialnych za ochronę danych osobowych, nawet panika.

 

Strach ma wielkie oczy?

Czy faktycznie jest się czego obawiać? Patrząc na całość, jako na reformę z dużą liczbą niewiadomych i wysokimi karami w tle, odpowiedź wydaje się oczywista: tak. Jednak wystarczy kilka prostych czynności, które pomogą opanować strach i umożliwią przejście do konstruktywnego działania.

 

Po pierwsze, wiedza!

Zamiast koncentrować się na niewiadomych oraz na wysokości kar, warto zastanowić się nad stałymi naszego równania. Pierwszą, bardzo istotną stałą, jest samo RODO. Finalne brzmienie przepisów RODO jest znane i nie zmieni się. RODO będzie przez wiele lat stanowiło podstawę prawną przetwarzania danych osobowych na terenie UE. Być może przez kolejne 20 kilka lat.

Przyjrzyjmy się więc przepisom samego RODO, które wkrótce zastąpi ustawę o ochronie danych osobowych.

 

RODO – rewolucja czy ewolucja?

To trudne pytanie. Niektóre ze zmian mają charakter rewolucyjny. Inne są udoskonaleniem obecnie funkcjonującego systemu. Część można uznać za kosmetykę.

Zacznijmy od podstaw. Podstawy obecnie funkcjonującego systemu, od wielu lat przedstawiam jako V filarów ochrony danych osobowych.

Każdy filar zbudowany jest z przepisów, które kreują konkretne obowiązki lub prawa. Całość sumuje się na system ochrony danych osobowych, który powinien funkcjonować w każdej organizacji, która przetwarza dane osobowe.

Czy RODO również wpisuje się w powyższą systematykę? Przeanalizujemy budowę każdego z filarów, na gruncie obecnie obowiązujących przepisów oraz RODO.


I. Legalność


Wygląda dość podobnie, prawda? Zwracam jednak uwagę na szereg nowych definicji, szczególnie związanych z nowoczesnymi technologiami.

Dość dużemu przeobrażeniu uległy też zasady ogólne.


II. Świadomość


W obszarze świadomości, RODO kładzie duży nacisk na  przepływ informacji. W szczególności chodzi o planowanie nowych procesów (np. projektowania systemów informatycznych), tak aby już od samego początku uwzględniać ewentualne ryzyka naruszenia prawa do prywatności.

Temat szkoleń i świadomości osób przetwarzających dane osobowe, nadal pozostaje „na celowniku” RODO.


III. Zabezpieczenia


W obszarze zabezpieczeń, czeka nas szczególnie dużo zmian. Polityki bezpieczeństwa i inne procedury zostały objęte „deregulacją”. Nowe przepisy nie regulują wprost ani kwestii związanych z hasłami do systemów informatycznych, ani zabezpieczeniami fizycznymi. Nie znaczy to, że ten temat zniknie z obszaru zainteresowania GIODO. Wszystko wskazuje na to, że krajowi regulatorzy, będą w wydawali niewiążące wytyczne i zalecenia.

Administratora Bezpieczeństwa Informacji (ABI) zastąpi Inspektor Ochrony Danych (IOD). Zmiana nie polega jednak tylko na „nomenklaturze”.

Przewidziano również bardzo interesującą procedurę certyfikacji podmiotów, które „nie zrobią krzywdy” naszym danym osobowym.


IV. Obowiązki regulatora (GIODO)


Czeka nas znaczniej więcej „interakcji” z regulatorem. W niektórych sytuacjach będziemy musieli zgłosić np. wyciek danych osobowych.

Nowy GIODO ma być bardziej aktywny. Administratorzy danych będą mogli skonsultować z regulatorem np. innowacyjne procesy na danych osobowych.

To regulator będzie wydawał zalecenia i wytyczne dotyczące konkretnych środków zabezpieczeń danych osobowych.

Na koniec niezbyt miła informacja, chociaż zapewne powszechnie już wszystkim znana: nowy regulator będzie mógł nakładać bardzo wysokie kary finansowe.


V. Prawa osób, których dane są przetwarzane


W sferze praw osób, których dane są przetwarzane, również czekają nas zmiany. Dodano kilka nowych praw. Wskazano konkretne terminy i procedury w ramach których możemy realizować swoje prawa.

RODO wprost wskazuje również na możliwość dochodzenia odszkodowań za naruszenie prawa do ochrony danych osobowych.

Wszystko to ma na celu wzmocnienie praw osób fizycznych, które często czuły się bezbronne wobec dużych organizacji przetwarzających ich dane osobowe.

 

Po drugie: wygląda znajomo 

A teraz wnioski i refleksje. RODO „pełnymi garściami” czerpie z doświadczeń zebranych w trakcie ponad 20 lat stosowania Dyrektywy 95/46/WE. Jeśli chodzi o same założenia i podstawy to trudno mówić o rewolucji. System nadal opiera się na 5 filarach, a więc: legalności, świadomości, zabezpieczeniach, relacjach z regulatorem oraz prawach osób, których dane są przetwarzane.

Jeśli chodzi o „przemeblowania” w ramach każdego z 5 filarów, to jest ich na tyle dużo, że możemy mówić o małej rewolucji.

 

Po trzecie: nie wszystko naraz

Z jednej strony wszystko wygląda znajomo. Z drugiej strony, zmian jest na tyle dużo, że na pierwszy rzut mogą przytłoczyć. Szereg nowych praw i procedur, zmiana „nomenklatury”, nowe pojęcia etc. Dlatego warto stopniowo przygotowywać się do czekających nas zmian.

 

Po czwarte: bądź na bieżąco

Kolejne niewiadome związane z procesem legislacyjnym, przestają być niewiadomymi. Zaproponowane zmiany idą w kierunku poszukiwania złotego środka pomiędzy zapewnieniem praw osób fizycznych i możliwością przetwarzania danych przez przedsiębiorców.

Czas pokaże, na ile konsultacje społeczne zmienią obecną wersję projektu. Niemniej jednak, prawdopodobieństwo rewolucyjnych zmian jest dość znikome.

Nie masz czasu iść na szkolenie z nowych przepisów?

Wypróbuj e-learning z ochrony danych osobowych.

 

O autorze:

Przemysław Zegarek, Kancelaria Lex Artist
Od kilku lat specjalizuje się w zagadnieniach związanych z ochroną danych osobowych. Poza prowadzeniem szkoleń, wykonuje audyty, opiniuje projekty, wdraża dokumentację z zakresu ochrony danych osobowych.

Create your own user feedback survey

Już niedługo na blogu pojawi się druga część poradnika
na temat szkoleń z ochrony danych osobowych.
Dołącz do naszego newslettera poniżej, by być na bieżąco 🙂