Minęło 5 lat od wejścia w życie przepisów regulujących przetwarzanie danych osobowych, czyli słynne rozporządzenie ,,RODO”. Rozporządzenie ujednoliciło sferę ochrony prawnej danych osobowych na poziomie całej wspólnoty UE. Wzmocniono ochronę praw osób, w szczególności w zakresie egzekwowania praw i wolności osób, których dane dotyczą. Bez wątpienia przepisy RODO przyczyniły się do horyzontalnego spojrzenia na rozwój nowych technologii na poziomie UE w kontekście ochrony prawnej osób, których dane dotyczą, przy jednoczesnym wspieraniu rozwoju nowych technologii.
Punktem fundamentalnym ochrony danych osobowych stało się podejście oparte na ryzyku w zakresie szacowania ryzyka. Ostatecznie rozporządzenie RODO zyskało miano prekursora w zakresie wyznaczania standardów ochrony danych osobowych na arenie międzynarodowej.
Przepisy RODO nałożyły szereg obowiązków, których spełnienie nałożono przede wszystkim na administratorów danych osobowych oraz współpracujące z nimi podmioty przetwarzające. Instytucją wspomagającą administratora w wypełnianiu obowiązków, którą powołano mocą rozporządzenie RODO został Inspektor Ochrony Danych Osobowych, który jak wykazała praktyka 5 lat wcielił się mocno w rolę administratora bezpieczeństwa informacji.
Administratorzy w ciągu tych lat stanęli wobec ogromnego wyzwania, czego przykładem stała się prawidłowa realizacja żądań praw osób, których dane dotyczą, realizacja oceny skutków dla ochrony danych (DPiA) czy należyte zarządzanie naruszeniami danych osobowych. Choć jest to zaledwie ułamek zadań do wykonania, to na przestrzeni 5 lat pojawiło się wiele znaków zapytania w zakresie realizacji poszczególnych zagadnień.
Do dziś zadajemy sobie pytanie, jaka powinna być faktyczna rola IOD-a i jak to się ma do praktyk stosowanych w organizacjach. Inne pytania to, jak prawidłowo podchodzić do kwestii zachowania bezpieczeństwa technicznego i organizacyjnego zgodnie z art. 32 RODO?
Administratorom na pewno nie pomagają rozbieżności, jakie zaistniały w ostatnim czasie pomiędzy interpretacjami polskiego organu nadzorczego a sądami administracyjnymi oraz powszechnymi, a które to wprowadzają wiele zamieszania w rozumieniu i prawidłowym definiowaniu podstawowych zagadnień RODO (czego przykładem jest chociażby rozbieżność, co stanowi daną osobową, a co nie). Istotnym problemem jest także niewystarczający poziom wsparcia/współpracy z polskim organem nadzorczym.
W nagraniu z webinaru Kamil Guzak – prawnik specjalizujący się w kwestiach ochrony prawnej w cyberprzestrzeni – skrupulatnie i wnikliwie podsumuje 5 lat stosowania nowych przepisów. Jednocześnie proponuje – wraz z Piotrem Sojką, Inspektorem Ochrony Danych z wieloletnim doświadczeniem – skuteczne i praktyczne rozwiązania wspierające administratorów i Inspektorów Ochrony Danych, wskazując kierunek, w jakim powinni podążać, by spełniać wymogi RODO oraz wykonywać należycie swoje zadania. Ponadto Piotr Sojka przedstawia wizję realizacji przepisów RODO w podejściu opartym na ryzyku na bazie narzędzia do zarządzania danymi osobowymi – RED INTO GREEN.