RODO to rewolucja czy ewolucja w ochronie danych osobowych?

RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej zwane ogólnym rozporządzeniem, jest nie tylko aktem prawnym, który dostosowuje wymogi ochrony danych osobowych do intensywnie zmieniającej się rzeczywistości, ale jest aktem, który wymusza na nas zmianę podejścia do całego systemu ochrony danych osobowych. Ta zmiana, to nie tylko wyzwanie technologiczne, ale przede wszystkim organizacyjne i mentalne.

Ochrona danych osobowych w obecnym świecie, gdzie dane osobowe to cenna waluta, na podstawie której buduje się biznes i bez której nie może on funkcjonować, to proces a nie jednokrotne uporządkowanie rzeczy związanych z dostosowaniem się do przestarzałej ustawy o ochronie danych osobowych. Ogólne rozporządzenie wprowadza zupełnie nowe narzędzia, w zasadzie nieznane specjalistom zajmującym się ochroną danych osobowych. Należy także pamiętać, o tym że wprowadzane są bardzo realne i bolesne kary za naruszenie zasad ochrony danych, co w polskiej rzeczywistości, jest także nowością.

Rewolucja czy ewolucja?

Wszystko to skłania mnie do stanowiska, że wbrew temu, że w istocie zasady ochrony danych osobowych nie uległy zmianie, to mamy do czynienia z rewolucją w ochronie danych osobowych. Na czym ta rewolucja polega i co ze sobą niesie? Co oznacza dla administratorów danych i dla szeroko rozumianego rynku (w tym również dla podmiotów wspierających administratorów danych)? Spróbujmy przyjrzeć się bliżej tym pytaniom.

Dlaczego rozporządzenie, a nie dyrektywa?

Rozpocząć należy od tego, że unijny prawodawca zdecydował się oprzeć reformę, nie na dyrektywnie, ale na akcie prawnym, który jest stosowany bezpośrednio i który bezpośrednio obowiązuje. U podłoża takiej decyzji leżało m.in. przekonanie o tym, że taki sposób wprowadzenia zmian (na poziomie unijnym, a nie krajowym) będzie dużo bardziej skuteczny od regulacji wprowadzanej na poziomie państw członkowskich. To oznacza, że tematyce tej nadano bardzo wysoki priorytet oraz, że postawiono na szybkość i skuteczność wprowadzania zmian. Dyrektywa w odróżnieniu od rozporządzenia wymagałaby implementacji, a więc czasu oraz dodatkowo nie dawałaby pewności, że regulacja jest pełna i jednolita w całej Unii.

Mam certyfikat, że przetwarzam dane osobowe zgodnie z GDPR

Na jednolitości i kompletności regulacji (na tyle ile to możliwe, biorąc pod uwagę swobodę państw członkowskich) oparta jest instytucja certyfikacji wraz ze znakami jakości i oznaczeniami oraz w mniejszym stopniu kodeksy postepowania. To dwa bardzo ważne i nowe narzędzia nie występujące w obowiązującym systemie ochrony danych osobowych, chociaż spotykane w innych branżach, jak choćby IT. Jednak występującej tam certyfikacji nie można utożsamiać z certyfikacją wymaganą ogólnym rozporządzeniem. Ta ostatnia to zupełnie inne narzędzie.

Co zmieni się w przepisach ochrony danych osobowych?

Nowościami są także profilowanie, notyfikacja, prawo do bycia zapomnianym, uprawnienie do przeniesienia danych i wiele innych rozwiązań, niespotykanych do tej pory w systemach ochrony danych, ale nie ujętych w konkretne ramy prawne.

Kolejna niezwykle istotna zmiana to nowe podejście do dokumentacji, które odchodzi od enumeratywnie wskazanych i sztywno opisanych dokumentów, wraz z nakreślonymi minimalnymi wymogami co do  treści, na rzecz dokumentów, które pozwolą nam dojść do celu jakim jest odpowiednie zabezpieczenie danych. Co istotne, są to nowe dokumenty i nowe mechanizmy kontroli nad danymi (np. wszelkiego typu procedury oceny ryzyka czy ocena skutków). Tak na marginesie warto wspomnieć, że ogólne rozporządzenie jest naszpikowane pojęciami niejednoznacznymi typu „odpowiednie”, co stanowi dodatkowe wyzwanie dla nas wszystkich.

To wszystko skłania nas do tego, by rozporządzenie uznać za rewolucję w ochronie danych, chociaż, tak jak już podkreślałem, na pierwszy rzut oka jej nie widać.

Nowe obowiązki  i  odpowiedzialności dla ADO i ABI

Opisane zmiany to wyzwanie nie tylko dla samych administratorów danych, ale i dla całej branży wspierającej tychże administratorów. Zmiana pozycji i obowiązków wobec „nowego ABI”, czyli inspektora ochrony danych osobowych (DPO), to zmiany tak znaczące, że DPO nie można w zasadzie porównywać z ABI, ani tym bardziej mechanicznie przenosić dotychczasowych rozwiązań.

Sami administratorzy danych (jak i podmioty przetwarzające dane) muszą zmienić swoje podejście z pasywnego na aktywne. Wymagana jest ścisła współpraca z DPO, bez której cały system nie będzie odpowiednio działał. DPO także musi być aktywnie zaangażowany we wszelkie procesy związane z przetwarzaniem danych. Te inne zmiany w tym obszarze to rewolucja zarówno dla administratorów danych, jak i DPO, którzy niejako na nowo muszą nauczyć ochrony danych.

Wskazane powyżej instytucje i problemy to jedynie wybrane zagadnienia, nad którymi będziemy się pochylać w najbliższej przyszłości, a które, patrząc na rynek usług, stały się wyzwaniem roku 2017.

My będziemy w naszych publikacjach starali się przybliżać je Państwu, korzystając z naszego wieloletniego doświadczenia, ale licząc także na wykładnię organów nadzoru. W tym bowiem obszarze rzetelna informacja to podstawa, a nieprofesjonalna porada może narazić administratora danych na ogromne straty.

 

Dowiedz się więcej o RODO na szkoleniach Omni Modo:

Ochrona danych osobowych i ogólne rozporządzenie unijne – 24 maja 2017

Unijna reforma ochrony danych osobowych- 19 czerwca 2017

Dziś Administrator Bezpieczeństwa Informacji (ABI), a jutro Inspektor Ochrony Danych (IOD) – 8-9.06.2017

Unijna reforma ochrony danych osobowych i przetwarzanie danych w sektorze publicznym-28-listopada 2017

Pogłębiona analiza wybranych zagadnień RODO:

„Ogólne rozporządzenie o ochronie danych osobowych. Wybrane zagadnienia” – 28 listopada 2017

Baza wiedzy o RODO:

GDPR.pl

 

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.