A jak to jest z tym RODO?

Zajmując się zarządzaniem ryzykami prawnymi nie da się pominąć #RODO. Pomimo tego, że minęło już 3,5 roku odkąd RODO obowiązuje, nadal sprawia ono wiele problemów i nadal wiele podmiotów jest na bakier z tą regulację.

W mojej ocenie główne powody takie sytuacji to:
1) niska kultura prawna – wiele podmiotów nie zna lub nie rozumie prawa. Do tego, poprzednia ustawa o ochronie danych osobowych była lekceważona, a teraz wiele podmiotów lekceważy RODO,
2) zmiana filozofii w ochronie danych osobowych – RODO opiera się bardziej na filozofii anglosaskiej (ucierania się standardów) a polska kultura prawna wywodzi się z prawa kontynentalnego i ma wielką słabość do kazuistyki. To powoduje problemy ze zrozumieniem przepisów RODO,
3) brak jednoznacznych odpowiedzi – zgodnie z RODO rozwiązania muszą być adekwatne do ryzyk, a poprzednio była check lista i wzory,
4) prawo ochrony danych osobowych cały czas ewoluuje. Pojawiają się nowe wytyczne PUODO i Grup roboczych. Rzeczywistość stawia cały czas nowe pytania – np. Czy można mierzyć temperaturę pracowników w pandemii, czy można sprawdzać czy pracownik się zaszczepił. Ponadto cały czas mamy luki i sprzeczności prawne w ustawach,
5) środki na wdrożenie i utrzymanie systemów bezpieczeństwa danych osobowych, wiele podmiotów traktuje jako koszt a nie inwestycję w bezpieczeństwo. Co powoduje, że tnie te „koszty” zwłaszcza w czasie kryzysu. A potem są problemy i duże koszty.

Moim zdaniem, każdy podmiot musi pamiętać, że:
1) system bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji
2) tone from the top – przykład idzie z góry – to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednią pozycję i zasoby,
3) każdy jest odpowiedzialny za ochronę danych osobowych,
4) wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
5) kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
6) wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
7) dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia mało może,
8) system bezpieczeństwa danych osobowych musi działać w cyklu Deminga. Tak naprawdę proces doskonalenia systemu nigdy się nie kończy, bo zmienia się organizacja i zmienia się otoczenie organizacji.

Każdy podmiot powinien sobie zadać parę pytań:
1) Kiedy był u mnie ostatni audyt systemu ochrony danych osobowych?
2) Czy przeszkolono wszystkich pracowników? I kiedy mieli ostatnie szkolenie?
3) Kiedy ostatnio aktualizowano dokumentację RODO?
4) Masz IOD`a? A kiedy ostatnio wysłałeś go na szkolenie? Kiedy ostatnio z nim rozmawiałeś? Kiedy dostałeś od niego ostatni raport/sprawozdanie?
Jeżeli odpowiedź choć na jedno pytanie brzmi „nie” lub „minął ponad rok” to radzę szybko poszukać pomocy eksperta.

Paweł Bronisław Ludwiczak

Dodaj komentarz