Jak wiemy RODO weszło 25 maja 2018 roku. Za cztery miesiące minie 5 lat od kiedy zunifikowaliśmy system ochrony danych osobowych na obszarze Unii Europejskiej. Wydawałoby się, że tyle czasu wystarczy by zrozumieć filozofię unijnego rozporządzenia. Ale czy na pewno?
Pod koniec zeszłego roku przyszedł do mnie pracownik jednego z urzędów. Skomentował zalecenia związane ze stosowaniem preaudytów przed podpisywaniem umów powierzenia danych jako próbę destabilizacji pracy urzędu. Stwierdził, że żadna firma nie wypełni nam ankiety sprawdzającej stosowane przez nich zabezpieczenia danych osobowych, gdyż ich nie stosuje – bo nie musi. Godzinę później przyszła inna osoba, która wprost zarzuciła, że Unia jest zła, że prawodawstwo unijne jest złe, że my (my w Polsce) robimy wszystko inaczej niż w pozostałych krajach unijnych. Zasugerowała również, że RODO nie dotyczy małych przedsiębiorców, że mamy tendencję do przeinaczania, błędnego interpretowania przepisów itd … Niekończąca się litania zarzutów wobec unijnej regulacji prawnej dotyczącej ochrony danych osobowych.
W mojej ocenie RODO w Polsce nie stanowi jakiegoś przełomu, a raczej kontynuację rozwiązań z Ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych. Niektóre konstrukcje uległy ewolucji jak wspomniane powierzenie, ale co do zasady cały porządek organizacyjny, związany z formą przetwarzania danych osobowych jest taki sam.
GIODO zostało zastąpione UODO, zmieniło się nazewnictwo, zwiększono kompetencje i wysokość kar. Instytucja ADO, definicja danych osobowych są takie same, wcześniejszego ABI zastąpił IOD, politykę ochrony danych zastąpił inny dokument tożsamy z tą różnicą, że możemy go nazwać dowolnie, byleby zawierał procedury adekwatne do naszych potrzeb. Rejestr czynności przetwarzania zamienił rejestr zbiorów i już nie musimy wysyłać ich do organu nadzorczego w Warszawie, prowadzimy lokalnie. Wcześniej zbiory miały nazewnictwo formie rzeczownikowej (np. rejestr korespondencji), obecnie mamy czynności – stosujemy formę czasownikową (prowadzenie rejestru korespondencji). I tak można wyliczać bez końca. Wszystko to kosmetyka a nie globalna rewolucja!
Osoby, które odwiedziły mnie z zarzutami stosowania RODO w urzędzie, są nowe, piastują wysokie stanowiska. W podmiotach, w których wcześniej pracowały obowiązywały te same zasady co w całym kraju, więc obecne rozwiązania nie powinny budzić zdziwienia. Starsi pracownicy na przestrzeni lat wielokrotnie uczestniczyli w moich szkoleniach, więc mają odpowiedni zasób wiedzy i umiejętności.
Czy faktycznie firmy w kraju nie są przygotowane na preaudyty? W kilkunastu jednostkach budżetowych, które wspieram swą wiedzą, wprowadziłem ankiety audytowe dla przyszłych procesorów – zgodnie z wytycznymi Prezesa Urzędu Ochrony Danych Osobowych w Warszawie. Nigdy nie spotkałem się z niezrozumieniem. Ankiety są wypełniane, podpisywane podpisem elektronicznym i natychmiast odsyłane. Mowa tu o bardzo szerokim spektrum działalności gospodarczej i usługowej.
Nie należy zarzucać firmom dyletanctwa, braku odpowiedzialności i kompetencji. Te same zasady panują w Europejskim Obszarze Gospodarczym, w tym Polsce od 2018 roku i każdy miał czas by dostosować się do wymogów prawa. Jeśli ktoś nie sprostał tym wymaganiom, to znaczy, że nie spełnia standardów bezpieczeństwa dla naszych danych osobowych, wręcz stwarza dla nich zagrożenie i naraża nas na bardzo dotkliwe wysokie kary finansowe.