Jak być „RODO ready”, nie narażając się na atak serca
Temat Rozporządzenia Ochrony Danych Osobowych (RODO lub jak wolą anglojęzyczni GDPR), stał się bardzo „medialny”. Poza doświadczonymi ekspertami, na temat nowych przepisów wypowiadają się również osoby, dopiero zaczynające swoją przygodę z danymi osobowymi.
Jesteśmy straszeni wielomilionowymi karami, namawia się nas do zakupów nowego sprzętu IT, konkretnych producentów.
Niektórzy są zdania, że RODO będzie biurokratyczną apokalipsą, a „dzieła zniszczenia” dopełnią milionowe kary. Inni twierdzą, że RODO pomoże w deregulacji niepotrzebnych formalności i zbyt skomplikowanych procedur.
Przyjrzyjmy się RODO „na chłodno”, bez emocji.
- Część I - definicje: Czym są dane osobowe wg RODO?
- Część II - zasady: Nowe zasady ogólne przetwarzania danych w RODO
- Część III - legalność: RODO a legalność przetwarzania danych osobowych
Skąd tyle różnych wizji i niepokojów?
Przyczyn jest co najmniej kilka.
Po pierwsze przepisy ochrony danych osobowych, przez ponad 20 lat funkcjonowania Dyrektywy 95/46/WE, doczekały się jedynie kosmetycznych zmian. RODO to pierwsza naprawdę duża zmiana, więc już sam ten fakt może budzić niepokój.
Dodatkowo mamy do czynienia z Rozporządzeniem UE. Przypominam, że Rozporządzenie UE, stosujemy bezpośrednio. Tym samym dotychczasowa ustawa o ochronie danych osobowych, przestanie obowiązywać.
Proces wdrożenia i niewiadome
To jednak nie wszystko. Mamy wciąż dużo niewiadomych. Przede wszystkim czekamy na projekt nowej „ustawy o ochronie danych osobowych” (wiosna 2017), przygotowywany przez Ministerstwo Cyfryzacji.
Cudzysłów nie został użyty przypadkowo. Nowa ustawa będzie nazywała się inaczej i nie będzie regulowała podstaw prawnych przetwarzania danych osobowych. W nowym akcie prawnym ustawodawca skoncentruje się przede wszystkim na roli i kompetencjach GIODO.
Możemy zostać też zaskoczeni w niektórych obszarach. Zwłaszcza, że w pewnym zakresie RODO przewiduje możliwość „doregulowania” przepisów przez państwa członkowskie.
Następnym „kamieniem milowym” całego procesu, będzie przygotowanie wytycznych dotyczących zabezpieczeń technicznych i organizacyjnych, rekomendowanych przy przetwarzaniu danych osobowych.
Wytyczne (rekomendacje) przygotuje regulator (GIODO). Zastąpią one, często krytykowane Rozporządzenie w sprawie warunków technicznych i organizacyjnych (…) z 2004 roku. Z całą pewnością wytyczne te staną się bardzo wyczekiwanym przez obecnych ABIch (a przyszłych IOD), elementem zmian.
Czy to już będzie koniec procesu zmian? Absolutnie nie.
Pojawią się pierwsze spory co do interpretacji przepisów, które będą rozstrzygane przez GIODO, polskie i unijne sądy. Nie zapominajmy także o Europejskiej Radzie Ochrony Danych, która będzie czuwała nad działalnością krajowych regulatorów. Jej celem będzie między innymi zapewnienie spójności stosowania nowych regulacji na terenie całej UE.
Słowo „proces” jest kluczem do prawidłowej oceny tego co się dzieje. Wejścia w życie RODO nie da się rozpatrywać jako „punktowego” wydarzenia, którego wszystkie skutki odczujemy po 25 maja 2018 roku. Istotnych wydarzeń i dat związanych z RODO jest znacznie więcej.
Do wszystkich powyższych niewiadomych elementów procesu, dodajmy jeszcze milionowe kary, a emocjonalny wynik równania stanie się oczywisty. Strach, niepokój, a w przypadku niektórych osób odpowiedzialnych za ochronę danych osobowych, nawet panika.
Strach ma wielkie oczy?
Czy faktycznie jest się czego obawiać? Patrząc na całość, jako na reformę z dużą liczbą niewiadomych i wysokimi karami w tle, odpowiedź wydaje się oczywista: tak. Jednak wystarczy kilka prostych czynności, które pomogą opanować strach i umożliwią przejście do konstruktywnego działania.
Po pierwsze, wiedza!
Zamiast koncentrować się na niewiadomych oraz na wysokości kar, warto zastanowić się nad stałymi naszego równania. Pierwszą, bardzo istotną stałą, jest samo RODO. Finalne brzmienie przepisów RODO jest znane i nie zmieni się. RODO będzie przez wiele lat stanowiło podstawę prawną przetwarzania danych osobowych na terenie UE. Być może przez kolejne 20 kilka lat.
Przyjrzyjmy się więc przepisom samego RODO, które wkrótce zastąpi ustawę o ochronie danych osobowych.
RODO – rewolucja czy ewolucja?
To trudne pytanie. Niektóre ze zmian mają charakter rewolucyjny. Inne są udoskonaleniem obecnie funkcjonującego systemu. Część można uznać za kosmetykę.
Zacznijmy od podstaw. Podstawy obecnie funkcjonującego systemu, od wielu lat przedstawiam jako V filarów ochrony danych osobowych.
Pobierz PDF z całą infografiką
Pobierz infografikęKażdy filar zbudowany jest z przepisów, które kreują konkretne obowiązki lub prawa. Całość sumuje się na system ochrony danych osobowych, który powinien funkcjonować w każdej organizacji, która przetwarza dane osobowe.
Czy RODO również wpisuje się w powyższą systematykę? Przeanalizujemy budowę każdego z filarów, na gruncie obecnie obowiązujących przepisów oraz RODO.
I. Legalność
Wygląda dość podobnie, prawda? Zwracam jednak uwagę na szereg nowych definicji, szczególnie związanych z nowoczesnymi technologiami.
Dość dużemu przeobrażeniu uległy też zasady ogólne.
II. Świadomość
W obszarze świadomości, RODO kładzie duży nacisk na przepływ informacji. W szczególności chodzi o planowanie nowych procesów (np. projektowania systemów informatycznych), tak aby już od samego początku uwzględniać ewentualne ryzyka naruszenia prawa do prywatności.
Temat szkoleń i świadomości osób przetwarzających dane osobowe, nadal pozostaje „na celowniku” RODO.
III. Zabezpieczenia
W obszarze zabezpieczeń, czeka nas szczególnie dużo zmian. Polityki bezpieczeństwa i inne procedury zostały objęte „deregulacją”. Nowe przepisy nie regulują wprost ani kwestii związanych z hasłami do systemów informatycznych, ani zabezpieczeniami fizycznymi. Nie znaczy to, że ten temat zniknie z obszaru zainteresowania GIODO. Wszystko wskazuje na to, że krajowi regulatorzy, będą w wydawali niewiążące wytyczne i zalecenia.
Administratora Bezpieczeństwa Informacji (ABI) zastąpi Inspektor Ochrony Danych (IOD). Zmiana nie polega jednak tylko na „nomenklaturze”.
Przewidziano również bardzo interesującą procedurę certyfikacji podmiotów, które „nie zrobią krzywdy” naszym danym osobowym.
IV. Obowiązki regulatora (GIODO)
V. Prawa osób, których dane są przetwarzane
Czeka nas znaczniej więcej „interakcji” z regulatorem. W niektórych sytuacjach będziemy musieli zgłosić np. wyciek danych osobowych.
Nowy GIODO ma być bardziej aktywny. Administratorzy danych będą mogli skonsultować z regulatorem np. innowacyjne procesy na danych osobowych.
To regulator będzie wydawał zalecenia i wytyczne dotyczące konkretnych środków zabezpieczeń danych osobowych.
Na koniec niezbyt miła informacja, chociaż zapewne powszechnie już wszystkim znana: nowy regulator będzie mógł nakładać bardzo wysokie kary finansowe.
W sferze praw osób, których dane są przetwarzane, również czekają nas zmiany. Dodano kilka nowych praw. Wskazano konkretne terminy i procedury w ramach których możemy realizować swoje prawa.
RODO wprost wskazuje również na możliwość dochodzenia odszkodowań za naruszenie prawa do ochrony danych osobowych.
Wszystko to ma na celu wzmocnienie praw osób fizycznych, które często czuły się bezbronne wobec dużych organizacji przetwarzających ich dane osobowe.
Po drugie: wygląda znajomo
A teraz wnioski i refleksje. RODO „pełnymi garściami” czerpie z doświadczeń zebranych w trakcie ponad 20 lat stosowania Dyrektywy 95/46/WE. Jeśli chodzi o same założenia i podstawy to trudno mówić o rewolucji. System nadal opiera się na 5 filarach, a więc: legalności, świadomości, zabezpieczeniach, relacjach z regulatorem oraz prawach osób, których dane są przetwarzane.
Jeśli chodzi o „przemeblowania” w ramach każdego z 5 filarów, to jest ich na tyle dużo, że możemy mówić o małej rewolucji.
Zanim zaczniemy zastanawiać się nad nowymi regulacjami na poziomie szczegółowym, jeszcze kilka ważnych uwag i refleksji.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Po trzecie: nie wszystko naraz
Z jednej strony wszystko wygląda znajomo. Z drugiej strony, zmian jest na tyle dużo, że na pierwszy rzut mogą przytłoczyć. Szereg nowych praw i procedur, zmiana „nomenklatury”, nowe pojęcia etc.
Jak więc „zjeść” tego słonia? Po kawałku.
Podzielmy proces przyswajania RODO, na kolejne etapy.
Po czwarte, bądź na bieżąco
Zaznaczyłem, że niewiadomych jest wciąż dużo. Ale wraz z upływem czasu, ich ilość będzie malała. Warto być na bieżąco z aktualnym procesem legislacyjnym i kierunkami zmian.
Zapraszam Cię więc do śledzenia przygotowywanego przez nas „aktualnika RODO”. Aktualnik znajdziesz tutaj:
Aktualnik RODO / GDPR
Przejdź do AktualnikaJeśli nie masz czasu na śledzenie procesu ustawodawczego, po prostu zapisz się na nasz newsletter. Formularz do zapisu pojawi się po kliknięciu w przycisk z białą kopertą po lewej stronie.
Podsumowanie
„Zjedz” tego słonia w kawałkach. My pomożemy Ci w doborze odpowiedniego tempa. Zapraszamy do kolejnych artykułów!
6 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dzień dobry,
Dziękuję za Pański artykuł. Niestety nie mogę się zgodzić z tym sformułowaniem:
„Przypominam, że Rozporządzenie UE, stosujemy bezpośrednio. Tym samym dotychczasowa ustawa o ochronie danych osobowych, przestanie obowiązywać.”
Nie jestem prawnikiem, ale w wielu źródłach w internecie znalazłem, że stosujemy się do polskiego prawa, które modyfikowane jest na potrzeby prawa europejskiego. Dlatego dopiero, kiedy stosowne zmiany (odgórne, z UE) zostają wprowadzone do polskiego prawa, zaczynają one obowiązywać w Polsce. Jeśli tak nie jest, uprzejmie proszę o wskazanie źródła, które stanowi inaczej.
Dziękuję i pozdrawiam.
Na dzień dzisiejszy, jest tak jak Pan napisał. Stosujemy się do polskiego prawa, a konkretnie ustawy o ochronie danych osobowych. Z kolei ustawa o ochronie danych osobowych, jest „klonem” Dyrektywy 95/46/WE. Innymi słowy, Dyrektywa działa właśnie w taki sposób o jakim Pan napisał.
Rozporządzenie ma zupełnie inny charakter i jest stosowane bezpośrednio. Właśnie dlatego, nasza ustawa o ochronie danych osobowych pójdzie do kosza. W jej miejsce powstanie inny ramowy akt prawny, który będzie regulował szczegóły funkcjonowania np. GIODO.
Żródłami, które stanowią o bezpośrednim stosowaniu Rozporządzenia, są same przepisy prawa wspólnotowego. Ale może Pan też sprawdzić np. wikiepedię: https://pl.wikipedia.org/wiki/Rozporz%C4%85dzenie_(Unia_Europejska) 😉
Albo stronę Ministerstwa cyfryzacji, które aktualnie pracuje nad aktem prawnym, który zastąpi ustawę o ochronie danych osobowych ale jedynie we fragmentach. Wszystkie najważniejsze kwestie będą regulowane bezpośrednio w RODO.
Zapraszam do odwiedzania sprawdzonych źródeł… np. naszego bloga 🙂
Witam,
kiedy dostępne będą kolejne sekcje?
Pozdrawiam
Niebawem ruszymy… prosimy o jeszcze trochę cierpliwości.
pozdrawiam serdecznie!
Dzień dobry. Z wielką niecierpliwością czekam na artykuł: „Powierzenie przetwarzania – nowe zasady i reguły”.
Poza tym dziękuje za za informacje. Sam blog i wybór zagadnień jest niezwykle interesujący. Pozdrawiam 🙂
Witamy,
dziękujemy za miłe słowa 🙂 pozdrawiamy