Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Jak być „RODO ready”, nie narażając się na atak serca

Temat Rozporządzenia Ochrony Danych Osobowych (RODO lub jak wolą anglojęzyczni GDPR), stał się bardzo „medialny”. Poza doświadczonymi ekspertami, na temat nowych przepisów wypowiadają się również osoby, dopiero zaczynające swoją przygodę z danymi osobowymi.

Jesteśmy straszeni wielomilionowymi karami, namawia się nas do zakupów nowego sprzętu IT, konkretnych producentów.

Niektórzy są zdania, że RODO będzie biurokratyczną apokalipsą, a „dzieła zniszczenia” dopełnią milionowe kary. Inni twierdzą, że RODO pomoże w deregulacji niepotrzebnych formalności i zbyt skomplikowanych procedur.

Przyjrzyjmy się RODO „na chłodno”, bez emocji.

 Jest to pierwsza część naszego cyklu. Zobacz również następne artykuły:

Skąd tyle różnych wizji i niepokojów?

Przyczyn jest co najmniej kilka.

Po pierwsze przepisy ochrony danych osobowych, przez ponad 20 lat funkcjonowania Dyrektywy 95/46/WE, doczekały się jedynie kosmetycznych zmian. RODO to pierwsza naprawdę duża zmiana, więc już sam ten fakt może budzić niepokój.

Dodatkowo mamy do czynienia z Rozporządzeniem UE. Przypominam, że Rozporządzenie UE, stosujemy bezpośrednio. Tym samym dotychczasowa ustawa o ochronie danych osobowych, przestanie obowiązywać.

Proces wdrożenia i niewiadome

To jednak nie wszystko. Mamy wciąż dużo niewiadomych. Przede wszystkim czekamy na projekt nowej „ustawy o ochronie danych osobowych” (wiosna 2017), przygotowywany przez Ministerstwo Cyfryzacji.

Cudzysłów nie został użyty przypadkowo. Nowa ustawa będzie nazywała się inaczej i nie będzie regulowała podstaw prawnych przetwarzania danych osobowych. W nowym akcie prawnym ustawodawca skoncentruje się przede wszystkim na roli i kompetencjach GIODO.

Możemy zostać też zaskoczeni w niektórych obszarach. Zwłaszcza, że w pewnym zakresie RODO przewiduje możliwość „doregulowania” przepisów przez państwa członkowskie.

Następnym „kamieniem milowym” całego procesu, będzie przygotowanie wytycznych dotyczących zabezpieczeń technicznych i organizacyjnych, rekomendowanych przy przetwarzaniu danych osobowych.

Wytyczne (rekomendacje) przygotuje regulator (GIODO). Zastąpią one, często krytykowane Rozporządzenie w sprawie warunków technicznych i organizacyjnych (…) z 2004 roku. Z całą pewnością wytyczne te staną się bardzo wyczekiwanym przez obecnych ABIch (a przyszłych IOD), elementem zmian.

Czy to już będzie koniec procesu zmian? Absolutnie nie.

Pojawią się pierwsze spory co do interpretacji przepisów, które będą rozstrzygane przez GIODO, polskie i unijne sądy. Nie zapominajmy także o Europejskiej Radzie Ochrony Danych, która będzie czuwała nad działalnością krajowych regulatorów. Jej celem będzie między innymi zapewnienie spójności stosowania nowych regulacji na terenie całej UE.

Słowo „proces” jest  kluczem do prawidłowej oceny tego co się dzieje. Wejścia w życie RODO nie da się rozpatrywać jako „punktowego” wydarzenia, którego wszystkie skutki odczujemy po 25 maja 2018 roku. Istotnych wydarzeń i dat związanych z RODO jest znacznie więcej. Złożoność procesu ilustruje poniższa infografika:

 

 

 

 

Do wszystkich powyższych niewiadomych elementów procesu, dodajmy jeszcze milionowe kary, a emocjonalny wynik równania stanie się oczywisty. Strach, niepokój, a w przypadku niektórych osób odpowiedzialnych za ochronę danych osobowych, nawet panika.

Strach ma wielkie oczy?

Czy faktycznie jest się czego obawiać? Patrząc na całość, jako na reformę z dużą liczbą niewiadomych i wysokimi karami w tle, odpowiedź wydaje się oczywista: tak. Jednak wystarczy kilka prostych czynności, które pomogą opanować strach i umożliwią przejście do konstruktywnego działania.

Po pierwsze, wiedza!

Zamiast koncentrować się na niewiadomych oraz na wysokości kar, warto zastanowić się nad stałymi naszego równania. Pierwszą, bardzo istotną stałą, jest samo RODO. Finalne brzmienie przepisów RODO jest znane i nie zmieni się. RODO będzie przez wiele lat stanowiło podstawę prawną przetwarzania danych osobowych na terenie UE. Być może przez kolejne 20 kilka lat.

Przyjrzyjmy się więc przepisom samego RODO, które wkrótce zastąpi ustawę o ochronie danych osobowych.

RODO – rewolucja czy ewolucja?

To trudne pytanie. Niektóre ze zmian mają charakter rewolucyjny. Inne są udoskonaleniem obecnie funkcjonującego systemu. Część można uznać za kosmetykę.

Zacznijmy od podstaw. Podstawy obecnie funkcjonującego systemu, od wielu lat przedstawiam jako V filarów ochrony danych osobowych.

Pobierz PDF z całą infografiką

Pobierz infografikę

Każdy filar zbudowany jest z przepisów, które kreują konkretne obowiązki lub prawa. Całość sumuje się na system ochrony danych osobowych, który powinien funkcjonować w każdej organizacji, która przetwarza dane osobowe.

Czy RODO również wpisuje się w powyższą systematykę? Przeanalizujemy budowę każdego z filarów, na gruncie obecnie obowiązujących przepisów oraz RODO.

I. Legalność

Wygląda dość podobnie, prawda? Zwracam jednak uwagę na szereg nowych definicji, szczególnie związanych z nowoczesnymi technologiami.

Dość dużemu przeobrażeniu uległy też zasady ogólne.

II. Świadomość

W obszarze świadomości, RODO kładzie duży nacisk na  przepływ informacji. W szczególności chodzi o planowanie nowych procesów (np. projektowania systemów informatycznych), tak aby już od samego początku uwzględniać ewentualne ryzyka naruszenia prawa do prywatności.

Temat szkoleń i świadomości osób przetwarzających dane osobowe, nadal pozostaje „na celowniku” RODO.

III. Zabezpieczenia

W obszarze zabezpieczeń, czeka nas szczególnie dużo zmian. Polityki bezpieczeństwa i inne procedury zostały objęte „deregulacją”. Nowe przepisy nie regulują wprost ani kwestii związanych z hasłami do systemów informatycznych, ani zabezpieczeniami fizycznymi. Nie znaczy to, że ten temat zniknie z obszaru zainteresowania GIODO. Wszystko wskazuje na to, że krajowi regulatorzy, będą w wydawali niewiążące wytyczne i zalecenia.

Administratora Bezpieczeństwa Informacji (ABI) zastąpi Inspektor Ochrony Danych (IOD). Zmiana nie polega jednak tylko na „nomenklaturze”.

Przewidziano również bardzo interesującą procedurę certyfikacji podmiotów, które „nie zrobią krzywdy” naszym danym osobowym.

IV. Obowiązki regulatora (GIODO)

V. Prawa osób, których dane są przetwarzane

Czeka nas znaczniej więcej „interakcji” z regulatorem. W niektórych sytuacjach będziemy musieli zgłosić np. wyciek danych osobowych.

Nowy GIODO ma być bardziej aktywny. Administratorzy danych będą mogli skonsultować z regulatorem np. innowacyjne procesy na danych osobowych.

To regulator będzie wydawał zalecenia i wytyczne dotyczące konkretnych środków zabezpieczeń danych osobowych.

Na koniec niezbyt miła informacja, chociaż zapewne powszechnie już wszystkim znana: nowy regulator będzie mógł nakładać bardzo wysokie kary finansowe.

W sferze praw osób, których dane są przetwarzane, również czekają nas zmiany. Dodano kilka nowych praw. Wskazano konkretne terminy i procedury w ramach których możemy realizować swoje prawa.

RODO wprost wskazuje również na możliwość dochodzenia odszkodowań za naruszenie prawa do ochrony danych osobowych.

Wszystko to ma na celu wzmocnienie praw osób fizycznych, które często czuły się bezbronne wobec dużych organizacji przetwarzających ich dane osobowe.

Po drugie: wygląda znajomo 

A teraz wnioski i refleksje. RODO „pełnymi garściami” czerpie z doświadczeń zebranych w trakcie ponad 20 lat stosowania Dyrektywy 95/46/WE. Jeśli chodzi o same założenia i podstawy to trudno mówić o rewolucji. System nadal opiera się na 5 filarach, a więc: legalności, świadomości, zabezpieczeniach, relacjach z regulatorem oraz prawach osób, których dane są przetwarzane.

Jeśli chodzi o „przemeblowania” w ramach każdego z 5 filarów, to jest ich na tyle dużo, że możemy mówić o małej rewolucji.

Zanim zaczniemy zastanawiać się nad nowymi regulacjami na poziomie szczegółowym, jeszcze kilka ważnych uwag i refleksji.

Chcesz być RODO Ready?

Zapraszamy na praktyczne szkolenie poświęcone tematyce nowego Rozporządzenia.
  • Termin: 15/11/2017
  • Miejsce: Warszawa
  • Czas: 8 godzin
  • Cena: 750 zł netto
Więcej o szkoleniu

Po trzecie: nie wszystko naraz

Z jednej strony wszystko wygląda znajomo. Z drugiej strony, zmian jest na tyle dużo, że na pierwszy rzut mogą przytłoczyć. Szereg nowych praw i procedur, zmiana „nomenklatury”, nowe pojęcia etc.

Jak więc „zjeść” tego słonia? Po kawałku.

Podzielmy proces przyswajania RODO, na kolejne etapy. W ten sposób poprowadzimy Państwa „za rękę” przez gąszcz nowych pojęć i przepisów. Całe zagadnienie RODO, podzieliliśmy na sekcje, które będziemy publikować w cyklu cotygodniowym na naszym blogu. Lista kolejno omawianych zagadnień znajduje się poniżej:

Zagadnienie Link do publikacji Data planowanej publikacji
Wizja RODO Właśnie czytasz;) Gotowe!
Dane osobowe według RODO https://blog-daneosobowe.pl/czym-sa-dane-osbowe-wg-rodo/ Gotowe!
Nowe zasady ogólne (np. minimalizm) https://blog-daneosobowe.pl/nowe-zasady-przetwarzania-danych-wg-rodo/ Gotowe!
Przesłanki legalności wg. RODO Po ukazaniu się artykułu Kwiecień 2017
Klauzula zgody według RODO, czy trzeba układać nowe wzory klauzul? Po ukazaniu się artykułu Kwiecień 2017
Prawa osób, których dane dotyczą cz. I Po ukazaniu się artykułu Kwiecień 2017
Prawa osób, których dane dotyczą cz. II Po ukazaniu się artykułu Kwiecień 2017
Administrator i współ-administratorzy, praktyczne konsekwencje. Po ukazaniu się artykułu Maj 2017
Privacy by design, privacy by default. Po ukazaniu się artykułu Maj 2017
ABI vs. IOD. Po ukazaniu się artykułu Maj 2017
Dokumentowanie czynności przetwarzania danych w RODO. Po ukazaniu się artykułu Maj 2017
Powierzenie przetwarzania – nowe zasady i reguły. Po ukazaniu się artykułu Czerwiec 2017
Przekazanie danych osobowych do państw trzecich – nowe zasady. Po ukazaniu się artykułu Czerwiec 2017
Nowy GIODO, rola i kompetencje. Po ukazaniu się artykułu Czerwiec 2017
Co i kiedy musimy zgłaszać do Regulatora? Po ukazaniu się artykułu Czerwiec 2017
Kary i sankcje. Czy jest się czego bać? Po ukazaniu się artykułu Lipiec 2017
Europejska Rada Ochrony Danych – jej rola w praktyce IODa. Po ukazaniu się artykułu Lipiec 2017
Spójność. Czyli jak UE będzie próbowała ujednolicać praktyki krajowych regulatorów? Po ukazaniu się artykułu Lipiec 2017
Kodeksy postępowania. Po ukazaniu się artykułu Lipiec 2017
Certyfikaty: czemu mają służyć i jakie przewagi mogą dać administratorom? Po ukazaniu się artykułu Lipiec 2017

Po czwarte, bądź na bieżąco

Zaznaczyłem, że niewiadomych jest wciąż dużo. Ale wraz z upływem czasu, ich ilość będzie malała. Warto być na bieżąco z aktualnym procesem legislacyjnym i kierunkami zmian.

Zapraszam Cię więc do śledzenia przygotowywanego przez nas „aktualnika RODO”. Aktualnik znajdziesz tutaj:

Aktualnik RODO / GDPR

Przejdź do Aktualnika

Jeśli nie masz czasu na śledzenie procesu ustawodawczego, po prostu zapisz się na nasz newsletter. Formularz do zapisu pojawi się po kliknięciu w przycisk z białą kopertą po lewej stronie.

Podsumowanie

„Zjedz” tego słonia w kawałkach. My pomożemy Ci w doborze odpowiedniego tempa. Zapraszamy do kolejnych artykułów!

Powiązane artykuły

Recenzujemy najnowszy projekt ustawy o ochronie danych osobowych!
Ochrona danych osobowych po…. chińsku
Pozostał rok na dostosowanie się do systemu RODO/GDPR

4 Odpowiedzi

  1. Michał

    Dzień dobry,

    Dziękuję za Pański artykuł. Niestety nie mogę się zgodzić z tym sformułowaniem:
    “Przypominam, że Rozporządzenie UE, stosujemy bezpośrednio. Tym samym dotychczasowa ustawa o ochronie danych osobowych, przestanie obowiązywać.”

    Nie jestem prawnikiem, ale w wielu źródłach w internecie znalazłem, że stosujemy się do polskiego prawa, które modyfikowane jest na potrzeby prawa europejskiego. Dlatego dopiero, kiedy stosowne zmiany (odgórne, z UE) zostają wprowadzone do polskiego prawa, zaczynają one obowiązywać w Polsce. Jeśli tak nie jest, uprzejmie proszę o wskazanie źródła, które stanowi inaczej.

    Dziękuję i pozdrawiam.

    1. Kancelaria Lex Artist

      Na dzień dzisiejszy, jest tak jak Pan napisał. Stosujemy się do polskiego prawa, a konkretnie ustawy o ochronie danych osobowych. Z kolei ustawa o ochronie danych osobowych, jest „klonem” Dyrektywy 95/46/WE. Innymi słowy, Dyrektywa działa właśnie w taki sposób o jakim Pan napisał.
      Rozporządzenie ma zupełnie inny charakter i jest stosowane bezpośrednio. Właśnie dlatego, nasza ustawa o ochronie danych osobowych pójdzie do kosza. W jej miejsce powstanie inny ramowy akt prawny, który będzie regulował szczegóły funkcjonowania np. GIODO.
      Żródłami, które stanowią o bezpośrednim stosowaniu Rozporządzenia, są same przepisy prawa wspólnotowego. Ale może Pan też sprawdzić np. wikiepedię: https://pl.wikipedia.org/wiki/Rozporz%C4%85dzenie_(Unia_Europejska) 😉
      Albo stronę Ministerstwa cyfryzacji, które aktualnie pracuje nad aktem prawnym, który zastąpi ustawę o ochronie danych osobowych ale jedynie we fragmentach. Wszystkie najważniejsze kwestie będą regulowane bezpośrednio w RODO.
      Zapraszam do odwiedzania sprawdzonych źródeł… np. naszego bloga 🙂

Zostaw odpowiedź