Co w Prawie Piszczy | RODO poniedziałki – reaktywacja!
8060
post-template-default,single,single-post,postid-8060,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

RODO poniedziałki – reaktywacja!

Doświadczenia pierwszych 8 miesięcy

W tym tygodniu mija 8 miesięcy funkcjonowania w nowej RODO rzeczywistości. Kiedy w maju zeszłego roku kończyliśmy nasz cykl RODO poniedziałków, wszyscy byliśmy ciekawi jak Europejczycy, a szczególnie Polacy poradzą sobie w nowych realiach, do których tak dokładnie się przygotowywali.

Pierwsze wycieki, kontrole, kary, głośne absurdy skłoniły nas do reaktywacji cotygodniowych wpisów i dzielenia się z Państwem praktyczną, sprawdzoną na żywych organizmach, wiedzą i doświadczeniem. W tym okresie wspieraliśmy naszych Klientów już nie tylko we wdrażaniu odpowiednich mechanizmów i procedur, ale przede wszystkich w ich realnym stosowaniu. Tematy i obszary, które będziemy poruszać będą po części dotyczyć wszystkich administratorów danych, w tym grup kapitałowych, ale pojawią się też wątki specyficzne dla poszczególnych branż, w szczególności dla branży e-commerce.

Zapraszamy Państwa do śledzenia naszych wpisów i aktywnego komentowania! Będzie ciekawie, praktycznie i pragmatycznie!

Pierwsze koty za płoty

Choć jak podawał jakiś czas temu Prezes UODO, część firm wciąż nie jest gotowa lub w ogóle nie słyszała o RODO, to jednak spory odsetek odważnie stawiał pierwsze kroki. Ministerstwo Cyfryzacji na czele z Panem Maciejem Kaweckim, od początku starało się wspierać rynek i świadomość Polaków, szerząc wiedzę na temat danych osobowych poprzez webinaria, spotkania, udział w programach telewizyjnych i radiowych. Czy efekt został osiągnięty?

Na pewno wzrosła ogólna świadomość na temat praw jakie przysługują nam wszystkim jako podmiotom danych osobowych. Brakuje może jeszcze właściwego zrozumienia i rozróżnienia konkretnych uprawnień, jak choćby czy żądając usunięcia adresu e-mail z bazy newsletter żądam bycia zapomnianym czy zgłaszam sprzeciw? Na pewno jednak administratorzy danych odczuli wzrost wniosków i zapytań ze strony osób, których dane przetwarzają. I to po ich stronie leży właściwe zrozumienie intencji wnioskodawcy oraz prawidłowa i terminowa realizacja jego żądania.

Z drugiej strony, coraz więcej dochodzi do nas informacji o naruszeniach ochrony danych. Od międzynarodowych gigantów jak Facebook, przez portale muzyczne i z grami komputerowymi, aż po nasz lokalny rynek, jak ostatni wyciek danych z morele.net. Nie mówiąc już o głośnym w ostatnich dniach, być może największym w historii, wycieku danych prawie 800 milinów adresów e-mail i 20 milionów haseł.

Pierwsze kary

Idąc dalej, naruszenia nie pozostają bez echa. Europejskie organy ochrony danych zaczynają korzystać z mechanizmów RODO, choć część kar nakładana jest jeszcze na starych przepisach. I tak dla przykładu: Francja z karą 250 tys. euro za wyciek danych klientów sklepu internetowego z okularami, Portugalia, 400 tys. euro kary za nieprawidłowy dostęp do danych medycznych personelu szpitalnego, czy w końcu 120 tys. funtów dla angielskiego lotniska Heathrow za zgubienie pendrive’a z informacjami poufnymi przez jednego z członków załogi. W Polsce na razie cisza, jeśli chodzi o kary, informacje medialne sugerują, że przeprowadzone dotychczas kontrole nie zakończyły się sankcjami finansowymi.

Sytuacją, której chyba nikt się jednak nie spodziewał, było powstanie masy RODO absurdów. Problemy w szkołach: numerki zamiast nazwiska, brak wyczytywania osób z czerwonym paskiem czy zwycięzców konkursu. Kłopoty w szpitalach: brak informacji czy chory z wypadku przebywa na oddziale, pomieszane szczepionki i karty pacjenta, pseudonimy w kolejce do lekarza, aż po problemy z uzyskaniem faktury czy sprzedażą specjalnych szaf, zgodnych z RODO. Niestety jest to efekt braku wiedzy i rozsądku pseudospecjalistów od RODO.

Doświadczenia zebrane w tym pierwszym okresie doprowadziły wszystkich do słusznego wniosku, że zgodność z RODO to nieustanny, ciągły proces, a nie jednorazowe działanie. To stały monitoring i ocena ryzyka, a nie przyjęcie suchych procedur. To w końcu realne zarządzanie przepływem danych i reagowanie na nieprawidłowości, a nie tylko pojedynczy audyt na początku wdrożenia. Stosowanie RODO wymaga więc nie tylko odpowiednich zasad i infrastruktury, ale przede wszystkim czujności i wrażliwości w większości obszarów funkcjonowania firmy.

Co jeszcze przed nami?

Z drugiej strony wciąż czekamy jeszcze na szeroki pakiet zmian w około 170 polskich ustawach, które mają zapewnić ich spójność z RODO. Projekt jest obecnie w Sejmie po 1 czytaniu. Powoli zaczyna się dziać coś także w zakresie akredytacji. Ostatnio Europejska Rada Ochrony wydała wytyczne w zakresie akredytacji jednostek certyfikujących. Tworzą się także pierwsze kodeksy branżowe: jeszcze przed wejściem w życie RODO tematem zajęły się banki, ten dotyczący branży medycznej trafił już do oceny Prezesa UODO, trwają wciąż prace nad kodeksem w branży reklamy internetowej.

Zmiany i konieczność podjęcia określonych kroków może również wywołać Brexit przy scenariuszu „no deal”. W praktyce chodzi o to, że od 30 marca Wielka Brytania będzie traktowana jako państwo trzecie, co oznacza, że wszystkie transfery danych będą musiały spełniać dodatkowe wymogi. Choć z ostatnich doniesień, po spotkaniu roboczym Ministerstwa Cyfryzacji z Ambasadą Wielkiej Brytanii, wynika chęć i konieczność stwierdzenia adekwatnego poziomu ochrony i dalszej ścisłej współpracy, to sytuacja jest dynamiczna i warto ją śledzić.

Autor: Magdalena Kaleta-Maniak

SENIOR CONSULTANT / ATTORNEY AT LAW

magdalena.kaleta@olesinski.com

Więcej

Zaproponuj znajomym
Brak komentarzy.

skomentuj