Raport powstał w związku z tym, że 25 listopada br. minęło 6 miesięcy od momentu rozpoczęcia stosowania nowych przepisów dotyczących ochrony danych osobowych. I jak zawuważają jego autorzy, z całą pewnością Ogólne Rozporządzenie o Ochronie Danych (RODO) jest jednym z najważniejszych wyzwań w zakresie zgodności z przepisami, z jakim musieli się zmierzyć wszyscy w ostatnim czasie. - A ponieważ dotyczy ono wszystkich sektorów gospodarki, jest wyzwaniem dla wszystkich podmiotów, które w ramach swojej działalności przetwarzają dane osobowe. Wdrożenie i stosowanie postanowień nowej regulacji stanowi ważne zadanie dla całego rynku - czytamy w komentarzu do opracowania.
Organy wspierają i jeszcze nie represjonują
Jak zauważają jego autorzy, większość właściwych organów aktywnie wspiera implementację RODO poprzez wydawanie wzorów dokumentów, wytycznych oraz opinii, które pomagają interpretować postanowienia RODO. W większości przypadków, nie nałożono jeszcze żadnych kar, nie przeprowadzono kontroli albo są one we wczesnym stadium. Odnotowano stosunkowo nieliczne działania organów krajowych w zakresie kontroli zgodności z RODO. - Wydaje się, że organy ochrony danych osobowych skupiają się obecnie na wyjaśnianiu przepisów oraz wskazywaniu kwestii dotyczących zgodności z RODO - komentują autorzy raportu.
Sprawdź: Ochrona danych osobowych. >>
Duże wyzwanie dla firm i instytucji
Jego autorzy szczególną uwagę zwracają na złożoność zagadnień związanych z mechanizmami ochrony danych osobowych. Jak podkreślają, implementacja RODO często wymaga zaangażowania różnych zespołów w ramach jednej organizacji, nie tylko prawników i specjalistów ds. ochrony prywatności, co może stanowić wyzwanie w zakresie zapoznania personelu z nowymi ramami regulacyjnymi. Wskazują też na problemy związane z interpretacją nowych przepisów. I jako jeden z przykładów podają nadmierne poleganie na zgodzie jako podstawie prawnej dla przetwarzania danych. Piszą również, że w wielu przypadkach trudnym zadaniem jest określenie roli stron procesu przetwarzania danych (tj. administratora, podmioty przetwarzającego, współadministratora). W niektórych krajach organy ochrony danych działają bardzo aktywnie (np. poprzez publikowanie wytycznych), co jest postrzegane jako ważny krok w kierunku zapewnienia pewności prawnej dla uczestników rynku.
Krajowe wytyczne dopiero powstają
Jak informuje Katarzyna Sawicka z Deloitte Legal, wiele z krajowych instytucji nie opublikowało jeszcze finalnej listy procesów przetwarzania danych podlegających obowiązkowej ocenie skutków przetwarzania dla ochrony danych (DPIA), jednakże w wielu przypadkach projekt takiej listy jest przedmiotem konsultacji publicznych albo prac legislacyjnych. - W przypadkach, w których opublikowano wykazy dotyczące DPIA, wskazano na działalność opartą na automatycznym podejmowaniu decyzji, nadzorze wideo, monitorowaniu danych geograficznych na dużą skalę oraz przetwarzaniu szczególnych kategorii danych (np. danych zdrowotnych, biometrycznych i genetycznych), jako podlegających obowiązkowemu procesowi DPIA - mówi Katarzyna Sawicka.
Sprawdź: Czy wysyłanie list płac kanałem faksowym przez biuro rachunkowe jest zgodne z RODO ? >>
Jak wskazuje ekspertka, w większości przypadków administratorzy postanowili odnowić swoje „stare” zgody na przetwarzanie danych osobowych. Zaobserwowano również powszechną praktykę dostarczania obowiązków informacyjnych, o których mowa w art. 13 i 14 RODO, za pośrednictwem nowoczesnych środków komunikacji, w tym publikowanie ich na stronach internetowych.
Profilowanie słabo zdefiniowane
Zdaniem autorów raportu wiele problemów prawnych stwarzają także postanowienia dotyczące stosowania profilowania, zwłaszcza w silnie regulowanych sektorach, takich jak sektor finansowy. - Administratorzy mogą napotykać trudności w określeniu podstawy prawnej przetwarzania danych (zgoda, uzasadniony interes, itd.). Zdarza się, że trudno zdecydować, czy dana operacja powinna być uznana za „profilowanie kwalifikowane” i w związku z tym, czy należy ją objąć obowiązkiem uzyskania zgody - czytamy w opracowaniu.
Warto przeczytać: Dwa urzędy mogą ukarać firmę za błąd w ochronie danych
- Jako dobrą praktykę należy wskazać fakt, że niektórzy administratorzy udostępnili publicznie swoje klauzule prywatności. Innym pozytywnym działaniem może być wprowadzenie paneli, umożliwiających podmiotom danych zarządzanie sposobami przetwarzania ich danych w prosty sposób. Wiele spółek wprowadziło specjalne środki bezpieczeństwa, urządzenia informatyczne oraz procesy w celu zapewnienia wysokiego poziomu ochrony danych osobowych. Te praktyki znacząco wzmacniają bezpieczeństwo i przejrzystość procesu przetwarzania danych - komentuje radca prawny Zbigniew Korba, partner w Deloitte Legal.
Sprawdź: Tworzenie Kodeksów postępowania ochrony danych osobowych >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.