Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować?
Przecież od 30 kwietnia 1998 r. obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Co oznacza, że w Polsce mamy 20 lat doświadczenia w ochronie danych osobowych.
Dla nikogo więc RODO nie powinno teoretycznie stanowić problemu. W końcu RODO to zmiana ewolucyjna, a nie rewolucyjna.
Przecież od 30 kwietnia 1998 r. obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Co oznacza, że w Polsce mamy 20 lat doświadczenia w ochronie danych osobowych.
Dla nikogo więc RODO nie powinno teoretycznie stanowić problemu. W końcu RODO to zmiana ewolucyjna, a nie rewolucyjna.
Niestety jest parę powodów, które powodują, że jest inaczej. Poniżej pokrótce je omówię.
- niska kultura prawna - niestety to duży problem w Polsce. Wiele podmiotów nie zna lub nie rozumie prawa. Do tego, poprzednia ustawa o ochronie danych osobowych była lekceważona przez wiele podmiotów, a teraz wiele podmiotów lekceważy RODO,
- zmiana filozofii w ochronie danych osobowych - RODO opiera się bardziej na filozofii anglosaskiej (ucierania się standardów) a polska kultura prawna wywodzi się z prawa kontynentalnego i ma wielką słabość do kazuistyki. To powoduje problemy ze zrozumieniem przepisów RODO,
- brak jednoznacznych odpowiedzi - zgodnie z RODO rozwiązania muszą być adekwatne do ryzyk, a poprzednio była check lista i wzory. To powoduje, że 19 lat doświadczenia może być obciążeniem a nie zaletą. Bo teraz nawet najlepsza dokumentacja nie załatwi problemu,
- nowa ustawa o ochronie danych osobowych została uchwalona na ostatnią chwilę. Ponadto trzeba pamiętać, że RODO stosujemy wprost i ma ono pierwszeństwo przed polskim ustawami. Spowodowało to pojawienie się luk prawnych i sprzeczności pomiędzy normami. Niestety ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) weszła w życie dopiero 4 maja 2019 r. czyli prawie rok po wejściu w życie RODO. Pomimo nowelizacji ponad 160 ustaw luki i sprzeczności prawne nadal występują,
- IOD`owie - niestety często byli to ludzie z łapanki. Niektórzy z nich obsługują kilkanaście lub kilkadziesiąt podmiotów. Często nie mają oni dostatecznych zasobów i pozycji by dobrze wypełniać swe obowiązki,
- środki na wdrożenie i utrzymanie systemów bezpieczeństwa danych osobowych - wiele podmiotów traktuje to jako koszt a nie inwestycję w bezpieczeństwo. Co powoduje, że tnie te "koszty". A potem są problemy.
- itd.
O czym warto pamiętać, by RODO nie stanowiło problemów?
- System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji
- tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasobym,
- każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
- wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
- kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
- wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
- dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
- system bezpieczeństwa danych osobowych musi działać w cyklu Deminga
A teraz mam szybkie pytanie na koniec: Kto was zrobił audyt powdrożeniowy?
Bo zakładam, że wdrożyliście RODO i nie polegało to tylko na kupnie dokumentacji.
