dr Dominik Lubasz
Nadal spotykamy się z tymi samymi problemami
Radca prawny, wspólnik zarządzający Lubasz i Wspólnicy – Kancelaria Radców Prawnych, współtwórca aplikacji do analizy ryzyka w RODO
Co się zmieniło w obszarze danych osobowych po 25 maja 2018 r.?
Obligatoryjne dostosowanie organizacji do wymogów RODO – przy założonej przez prawodawcę ogólnikowości regulacji i pozostawieniu decyzji wdrożeniowych w rękach administratora – pociąga za sobą szereg problemów praktycznych, zwłaszcza dla małych i średnich przedsiębiorców. Wynika to przede wszystkim z braku stosownej wiedzy, kompetencji, ograniczeń budżetowych czy wreszcie potencjału kadrowego. I choć od czasu rozpoczęcia stosowania RODO mijają już 4 lata, sytuacja ta nie ulega znaczącej poprawie i nadal spotykamy się z tymi samymi problemami.
Skala wyzwań, jakie stanowiło i stanowi wdrożenie wymogów RODO, obrazowana była w kolejnych badaniach. Obejmowały one zarówno okres przygotowawczy przed 25 maja 2018 r., jak i po tym dniu, kiedy stwierdzano znaczny stopień świadomości istnienia nowych wówczas przepisów, ale wciąż niski stopień zgodności (również wskazywany w raporcie Komisji Europejskiej po pierwszym okresie obowiązywania przepisów). Po okresie zwyżki, w pierwszych dwóch latach stosowania RODO, obecnie zarówno aktywność, jak i budżety wdrożeniowe uległy obniżeniu, co powoduje, że luka absorbcji przepisów nie zmniejsza się istotnie.
Jak z kolei możemy ocenić świadomość względem RODO?
Świadomość istnienia regulacji dotyczy nie tylko podmiotów zobowiązanych do wdrożenia wynikających z niej wymogów, ale i podmiotów danych, którymi w relacjach prawno-pracowniczych są pracownicy. W założeniach prawodawcy unijnego RODO miało optymalizować właśnie ochronę podmiotów danych przez zniesienie zbędnych, kosztochłonnych obciążeń administracyjnych. Równocześnie chciano zapewnić wysoki standard ochrony (poprzez szerokie prawa podmiotów danych) oraz transparentności przetwarzania, a także mechanizmy, których źródło tkwi w podejściu opartym na ryzyku (risk-based approach).
Chodziło o to, by rozwiązania mające na celu ochronę były maksymalnie indywidualizowane na podstawie sytuacji (kontekstu przetwarzania danych) konkretnego administratora, który bazuje na analizie ryzyka. Jednak nie może się to ograniczać do opracowania klauzul informacyjnych, tylko powinno prowadzić do rzeczywistego wdrożenia rozwiązań chroniących podmioty danych przed negatywnymi skutkami przetwarzania ich danych osobowych.
Czego jeszcze możemy się spodziewać w kwestii ochrony danych osobowych?
Działania nakierowane głównie na podnoszenie świadomości względem RODO oraz tworzenie dokumentów, które dają fałszywe poczucie zgodności, nie mogą wyczerpywać tematu. Dlaczego? Bo przede wszystkim główne problemy są związane z zagadnieniami systemowymi, rozumieniem złożonych przepisów i obawą przed kosztami wdrożenia.
Z tych względów wydaje się, że poszukiwane będą rozwiązania nakierowane na standaryzację w implementacji RODO oraz opracowanie modeli i narzędzi informatycznych wspierających procesy wdrożeniowe i analityczne. Przykładem takich rozwiązań jest GDPR Risk Tracker, partner platformy LEX Hub, czyli narzędzie do analizy ryzyka, które podpowiada administratorowi decyzje wdrożeniowe i automatyzuje prowadzenie odpowiednich rejestrów i dokumentacji.
Piotr Liwszic
Zmieniło się podejście konsumentów i przedsiębiorców
Prawnik i autor serwisu Judykatura.pl, zajmuje się ochroną danych osobowych
Co się zmieniło w obszarze danych osobowych po 25 maja 2018 r.?
Zmieniło się podejście konsumentów do frywolnego pozostawiania danych osobowych byle jakim podmiotom gospodarczym przy byle jakiej okazji. Dziś zastanawiamy się, czy aby na pewno do takiego celu jak np. konkurs czy prosta umowa o wykonanie jakieś usługi niezbędne jest wskazywanie szerokiego zakresu danych osobowych. Z drugiej strony przedsiębiorcy zaczęli podchodzić do zarządzania danymi osobowym w swoich organizacjach jako do jednego z najistotniejszych zasobów firmy, co do tej pory nie było zbyt częstym podejściem. To dziś właśnie bezpieczeństwo danych osobowych jest jednym z czynników kierujących konsumentem przy podejmowaniu decyzji zakupowych.
Jak z kolei możemy ocenić świadomość względem RODO?
Według mnie świadomość ta jest zdecydowanie wyższa – duża w tym zasługa orzecznictwa kreującego właściwe procedury postępowania w zakresie „nowych” regulacji dotyczących ochrony danych osobowych.
Czego jeszcze możemy się spodziewać w kwestii ochrony danych osobowych?
Powinniśmy się spodziewać skutecznego rozwiązania kwestii bezpiecznego przekazywania danych osobowych poza obszar EOG, np. do USA – problem ten stanowi dla przedsiębiorców realne wyzwanie w codziennym prowadzeniu przedsiębiorstwa. Liczę na to, że kolejna decyzja Komisji Europejskiej stwierdzające „bezpieczne” przekazywanie danych będzie oparta na takich mechanizmach, które nie zostaną ponownie zanegowane przez Trybunał Sprawiedliwości UE.
Uważam, że warto byłoby po 4 latach wprowadzić do krajowego obiegu kodeksy postępowania oraz związany z tych mechanizm monitorowania ich przestrzegania. Takie „narzędzie”, jakim jest kodeks postępowania, w znacznym stopniu pomógłby administratorom danych skutecznie chronić dane osobowe oraz prawidłowo je przetwarzać.
Z kolei niewykorzystaną szansa jest brak wypracowania – przez krajowy organ ochrony danych osobowych – kryteriów akredytacji i certyfikacji. Bez tego żaden krajowy podmiot nie może próbować uzyskać certyfikacji w zakresie zgodności procesów przetwarzania danych z wymogami RODO.
dr Paweł Litwiński
Nowych przepisów będzie przybywać
Partner w kancelarii Barta Litwiński, członek Grupy Ekspertów Komisji Europejskiej do spraw wdrożenia RODO
Co się zmieniło w obszarze danych osobowych po 25 maja 2018 r.?
Na pewno zaszła jedna kluczowa zmiana: prawo ochrony danych osobowych przestało być czymś, o czym wie tylko grupka zapaleńców. Zamieszanie wokół RODO, także zabobony i nadinterpretacje, miały jeden pozytywny skutek – przeniosły ochronę danych osobowych do mainstream’u. A przez te 4 lata zmieniło się wiele, głównie w kierunku tłumaczenia, odkłamywania, walki z przeróżnymi błędami w stosowaniu RODO. Wiemy więcej na temat tego, czym tak naprawdę jest ochrona danych osobowych, jak stosować te przepisy i jak to robić w sposób przemyślany.
Jak z kolei możemy ocenić świadomość względem RODO?
Znacznie się poprawiła. Nawet najgorsze merytorycznie i warsztatowo szkolenie niesie jednak ze sobą coś pozytywnego, a tych szkoleń swego czasu były tyle, że dosłownie brakowało dnia.
Ale trzeba powiedzieć wprost: ten wzrost świadomości oznacza także w pewnym zakresie to, że powoli dociera do nas, że RODO to nie panaceum na wszelkie bolączki, jakie nas trapią w aspekcie naszego prawa do ochrony danych osobowych. Spam, jak przychodził, tak przychodzi, Klara Sobieraj (bot reklamujący fotowoltaikę) dzwoni, a do tego zaczęliśmy dostawać informacje o tym, że nasze dane gdzieś komuś wyciekły, co wyrywa nas ze strefy komfortu.
Jednak minusy moim zdaniem nie przysłaniają plusów: nauczyliśmy się korzystać ze swoich praw, na co wskazuje choćby liczba skarg, jakie rocznie trafiają do Prezesa UODO; nauczyliśmy się wykorzystywać RODO jako narzędzia walki o nasze prawa, co pokazuje choćby sprawa tzw. wyborów kopertowych i postępowania, jakie się w związku z nią toczą.
Czego jeszcze możemy się spodziewać w kwestii ochrony danych osobowych?
Przed nami ekspansja RODO na sądy powszechne. Sprawy, w których sądy orzekają w sprawie naruszenia prawa do ochrony danych osobowych, w Polsce wciąż należą do rzadkości, a przypadki zasądzania zadośćuczynienia można policzyć na palcach jednej ręki. Tymczasem na zachodzie Europy takie sytuacje zdarzają się znacznie częściej i to z pewnością dotrze i do nas.
Czekają nas też inne niż RODO przepisy dotykające tej kwestii, na czele z rozporządzeniem ePrivacy, nad którym prace ciągną się latami. To rozporządzenie ma szansę uporządkować kwestie spamu i szeroko rozumianego bezpieczeństwa komunikacji. Nowych przepisów o ochronie danych osobowych będzie przybywać i musimy się na to przygotować oraz z tym pogodzić. Głównie powinni się na to przygotować przedsiębiorcy, ponieważ dane w gospodarce mają coraz większe znaczenie, więc i legislacja w tym zakresie będzie się rozwijać.