Statuo

Ochrona danych, kontrola zarządcza, wizerunek i promocja

RODO-mocne-i-slabe-strony

RODO – mocne i słabe strony

Autor: Łukasz Wojciechowski

Podsumowanie roku 2018 może być tylko jedno. To był rok pod znakiem RODO. Zwolennicy i przeciwnicy rozporządzenia zgodzą się na pewno, że z punktu widzenia ochrony danych osobowych rok 2018 zapisze się jako przełomowy. Pierwsze półrocze bezwzględnego obowiązywania nowych przepisów pozwala na dokonanie wstępnej analizy. Co się udało, a co poszło nie tak? Na koniec roku warto poddać analizie RODO – mocne i słabe strony wprowadzanej reformy.

Totalne niezrozumienie reformy

Obiektywna ocena reformy ochrony danych osobowych w Polsce wymaga kilku(nastu) gorzkich słów. Niestety brak precyzyjnych wytycznych dla różnych branż, dobrych szkoleń szczególnie dla sfery budżetowej, nie mówiąc już o braku kodeksów postępowania spowodowały totalny chaos. Największym błędem rządu i GIODO (później Prezesa Urzędu Ochrony Danych Osobowych) było pozwolenie na to, żeby reforma zaczęła żyć własnym życiem. Po dodaniu do tego wcześniejszego straszenia wysokimi karami powstawała mieszanka wybuchowa. Przestraszeni właściciele firm i kierownicy jednostek zaczęli podejmować absurdalne działania. Nie chcę ich nawet przytaczać i polecam wpisanie w Google dwóch słów – „absurdy RODO”. Warto docenić działania Ministerstwa Cyfryzacji i Prezesa UODO żeby odkręcić tą sytuację. Jednak trudno zrozumieć dlaczego są podejmowane dopiero teraz. Trzeba podkreślić, że RODO obowiązuje mniej więcej od połowy 2016 r., a magiczna data 25 maja 2018 r. to zakończenie okresu przejściowego i rozpoczęcie bezwzględnego obowiązywania nowych przepisów we wszystkich państwach Unii Europejskiej.

Czy samo RODO ma sens?

Jeżeli odrzemy RODO z całej otoczki, którą zafundowali sobie Polacy to rozporządzenie jest bardzo sensowne. Ja szczególnie doceniam to, że jest napisane przystępnym językiem. Dodatkowo zawiera preambułę składającą się z (aż!) 173 motywów. Jej lektura pozwala zrozumieć o co tak naprawdę europejskiemu ustawodawcy chodziło. RODO stało się bezpośrednią przyczyną nowelizacji krajowych przepisów regulujących ochronę danych osobowych. W wielu państwach Unii Europejskiej, ze szczególnym uwzględnieniem Polski, były one przestarzałe i nie przystawały do współczesności. Szczególnie w zakresie takich obszarów jak cyberbezpieczeństwo i nowoczesne technologie. Oczywiście nie wszystkie przepisy RODO są – określając to bardzo potocznie – udane. Nie rozumiem m.in. przesadnego eksponowania „prawa do bycia zapomnianym”, które w większości przypadków nigdy nie będzie mogło zostać zrealizowane. Uważam też, że nadmiernie zostały rozbudowane prawa osób fizycznych. W tej chwili zmowa kilku lub kilkunastu osób dotycząca sformułowania w tym samym czasie odpowiednich roszczeń powołując się na przepisy RODO może sparaliżować funkcjonowanie niemal każdej instytucji lub firmy.

Co się tak naprawdę zmieniło?

W moim subiektywnym odczuciu najważniejszą zmianą jest wzrost świadomości tzw. „przeciętnego Kowalskiego” w zakresie bezpieczeństwa danych osobowych. Nie chodzi o specjalistyczną wiedzę lub zaawansowaną znajomość tematu. Jednak w związku z reformą o ochronie danych osobowych bardzo dużo mówiło się w mediach, ludzie też zwyczajnie zaczęli o tym rozmawiać między sobą. Instytucje i firmy muszą teraz mieć się na baczności, bo osoby fizyczne z którymi mają do czynienia ich pracownicy będą bez wątpienia zwracały coraz większą uwagę na bezpieczeństwo informacji. Drugą ważną zmianą jest podejmowanie autonomicznych decyzji przez administratorów danych osobowych w zakresie ich zabezpieczania. Każdy administrator ma przeanalizować jakie jest ryzyko utraty danych osobowych w poszczególnych obszarach swojej działalności i zastosować odpowiednie zabezpieczenia.

W niektórych instytucjach i firmach świetnie poradzono sobie z RODO. Duże wrażenie robi to, jak proste i mądre rozwiązania znajdują. Po czym poznać dobrze wdrożone RODO? Na pewno po tym, że procedury i dokumenty są krótkie, zwięzłe i na temat. Jeżeli dostajecie do podpisania dokument, który ma kilkanaście stron „dlatego, że jest RODO” to znaczy, że ktoś nie zrozumiał RODO. Jeżeli Inspektor ochrony danych rekomenduje dołączanie do wszystkiego dodatkowych kartek i tabliczek związanych z RODO to znaczy, że nie ma pojęcia o tym co robi.

Firmy zajmujące się ochroną danych osobowych

Jako przedsiębiorca z branży ochrony danych osobowych, realizujący przede wszystkim szkolenia zamknięte dla instytucji i firm miałem bardzo pracowity rok. Bardzo udanym przedsięwzięciem okazały się również szkolenia otwarte w ramach WRC Consulting. Dla firm pomagających innym podmiotom uporać się z RODO rok 2018 był szczególnym wyzwaniem, ponieważ brakowało wytycznych UODO i do ostatniej chwili trwała droga legislacyjna nowej polskiej ustawy o ochronie danych osobowych. Wytyczne UODO dot. analizy ryzyka lub rejestru czynności przetwarzania, które ostatecznie się pojawiły pozostawiają niestety wiele do życzenia. Dlatego razem ze współpracownikami ciągle dopracowujemy nasze własne rozwiązania, wzory dokumentów, rejestrów i procedur pozwalające na realizację przepisów rozporządzenia. Tradycyjnie wszystkim administratorom danych osobowych i zainteresowanym tematyką RODO polecam poszukiwanie wartościowych treści i nieprzejmowanie się straszeniem ochroną danych, o którym już kiedyś pisałem. Warto pamiętać, że skargę do UODO może złożyć tylko osoba fizyczna, której prawa zostały naruszone. Dlatego żadna fundacja czy pseudokancelaria nie będzie miała możliwości złożenia skutecznego donosu, szczególnie jeśli będzie on elementem szantażu polegającego na wymuszaniu wykupienia od nich wzorów dokumentów lub innych „złotych pakietów”.

administracjaadministracja samorządowabezpieczeństwo informacjicyberbezpieczeństwoGIODOinspektor ochrony danychochrona danych osobowychŁukasz Wojciechowski

30 grudnia 2018


Poprzedni wpis

Kolejny wpis