Dziś mija półtora roku od kiedy zaczęliśmy stosować RODO.
Wtedy, w dniu 25 maja 2018 r. napisałem artykuł "Co oznacza RODO-ERA?"
Wcześniej i później pisałem o swoich nadziejach i obawach związanych z RODO. O tym co jest, a czego nie ma i co powinno być.
W sumie (od początku 2018 r. do dziś) napisałem na Inforze ponad trzydzieści parę artykułów o RODO, byłem współautorem (choć w niewielkim zakresie) paru książek o ochronie danych osobowych i napisałem oraz opublikowałem za darmo "Poradnik: Co RODO zmieniło w polskim prawie – krótka ściąga".
Dziś, korzystając z tej półtora rocznicy, chciałbym się z Państwem podzielić na swoim blogu swoją refleksją.
Po pierwsze cieszy mnie wzrost świadomości prawnej wśród Polaków i podmiotów zbiorowych. Natomiast martwi mnie nadal niski poziom Kultury prawnej. Pomimo progresu nadal większość ludzi nie zna lub nie rozumie swoich praw. Co gorsze większość podmiotów zbiorowych (zarówno z sektora prywatnego jak i sektora publicznego) również nie zna lub nie rozumie RODO.
Po drugie martwi mnie brak audytów powdrożeniowych i audytów cyklicznych Systemów Bezpieczeństwa Danych Osobowych. To oznacza, że systemy nie funkcjonują w cyklu Deminga. Mało kto je aktualizuje i łata dziury. A jestem gotów się założyć, że w każdym podmiocie, nawet w tzw. wielkiej czwórce mógłbym znaleźć coś do poprawy lub niezgodność z RODO. Obawiam się, że wiele podmiotów żyje w błogiej nieświadomości miecza Damoklesa wiszącego nad ich głowami. I mam tu na myśli zarówno przedsiębiorców jak i jednostki samorządu terytorialnego czy szerzej administracji publicznej.
Po trzecie chciałbym poruszyć kwestię Inspektorów Ochrony Danych (w skrócie OID). Nie wiem co gorsze. IOD który obskakuje kilkanaście lub kilkadziesiąt podmiotów czy IOD z łapanki, który wykonuje obowiązki IOD`a obok swych głównych obowiązków. O częstym braku szkoleń dla IOD`ów, ich kiepskich wynagrodzeniach, braku możliwości stawiania przez nich czerwonych linii itp itd. nawet szkoda mówić.
Po czwarte, od początku piszę i tłumaczę, że wdrożenie RODO nie zaczyna się i nie kończy się od kupienia dokumentacji RODO. Zaczyna się od audytu, analizy ryzyk itd. itd. Ale zostawmy to. W nawiązaniu do IOD`ów ostatnio zacząłem sobie zadawać pytanie kto powinien pisać dokumentację RODO? Zwykle pisze i prowadzi ją IOD. A moim zdaniem (przyznaję się, że zmieniłem tu poglądy jakiś czas temu) powinien tylko doradzać przy ich pisaniu i prowadzeniu oraz nadzorować ten proces.
Po piąte ktoś mi może wytłumaczyć dlaczego podmioty nagle masowo przestały w 2019 r. szkolić z ochrony danych osobowych (są oczywiście wyjątki). Jak przychodzę na audyt to między innymi zawsze sprawdzam jak wygląda kwestia przeszkolenia załogi. To jest bardzo ważna kwestia.
Po szóste działania Prezesów UODO oceniam na 4 (według szkolnej skali 1-6). Na plus można zaliczyć działalność edukacyjną i pewną wstrzemięźliwość w stosowaniu kar. Na minus należy zaliczyć mało wytycznych i tzw. dobrych wzorców, kontrowersje wokół dotychczas wymierzonych kar i wzięcie wątpliwego prawnie udziału w sporze związanym z neoKRS. Liczę na jeszcze większą działalność edukacyjna PUODO, publikacje dobrych wzorców i liczniejsze ale niższe kary. Może warto by wprowadzić, wzorem paru państw UE, "cennik" kar.
Po siódme kodeksy postępowań. No parę się pisze lub jest uzgadnianych. Ale według mnie o wiele za mało. Na razie zatwierdzonych kodeksów brak. Certyfikowanych podmiotów też brak. A to już niepokoi. Choć z drugiej strony nie powstały monopole na rynku doradczym.
Na koniec, czy miałem rację pisząc o RODO-Erze? Z jednej strony jak pisałem mamy progres ale proces wdrożenia RODO jeszcze się nie skończył. Jeszcze nie odzyskaliśmy kontroli nad naszymi danymi. Trzymajmy kciuki i działajmy by tak się stało.
Niech moc RODO będzie z wami :-)