RODO - o czym trzeba pamiętać po 2,5 roku?

Dlaczego RODO powoduje nadal problemy?

W mojej ocenie główne powody to:

1. niska kultura prawna - niestety to duży problem w Polsce. Wiele podmiotów nie zna lub nie rozumie prawa. Do tego, poprzednia ustawa o ochronie danych osobowych była lekceważona przez wiele podmiotów, a teraz wiele podmiotów lekceważy RODO,
2. zmiana filozofii w ochronie danych osobowych - RODO opiera się bardziej na filozofii anglosaskiej (ucierania się standardów) a polska kultura prawna wywodzi się z prawa kontynentalnego i ma wielką słabość do kazuistyki. To powoduje problemy ze zrozumieniem przepisów RODO,
3. brak jednoznacznych odpowiedzi - zgodnie z RODO rozwiązania muszą być adekwatne do ryzyk, a poprzednio była check lista i wzory. To powoduje, że ponad 20 lat doświadczenia może być obciążeniem a nie zaletą. Bo teraz nawet najlepsza dokumentacja nie załatwi problemu,
4. Prawo ochrony danych osobowych cały czas ewoluuje. Pojawiają się nowe wytyczne PUODO i Grup roboczych. Rzeczywistość stawia cały czas nowe pytania - np. Czy można mierzyć temperaturę pracowników w pandemii. Ponadto cały czas mamy luki i sprzeczności prawne w ustawach,
5. środki na wdrożenie i utrzymanie systemów bezpieczeństwa danych osobowych - wiele podmiotów traktuje to jako koszt a nie inwestycję w bezpieczeństwo. Co powoduje, że tnie te "koszty" zwłaszcza w czasie kryzysu. A potem są problemy i duże koszty.

Polecamy: Nowy JPK_VAT w praktyce jednostek sektora publicznego

O czym warto pamiętać, by RODO nie stanowiło problemów?

Każdy podmiot, nie ważne czy z sektora publicznego czy sektora prywatnego musi pamiętać, że:

1. System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji
2. tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasobym,
3. każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
4. wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
5. kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
6. wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
7. dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
8. system bezpieczeństwa danych osobowych musi działać w cyklu Deminga. Tak naprawdę proces doskonalenia systemu nigdy się nie kończy, bo zmienia się organizacja i zmienia się otoczenie organizacji.

Jakie pytania kontrolne warto sobie zadać?

Każdy podmiot powinien sobie zadać parę pytań:

1. Kiedy był u mnie ostatni audyt systemu ochrony danych osobowych?
2. Czy przeszkolono wszystkich pracowników? I kiedy mieli ostatnie szkolenie?
3. Kiedy ostatnio aktualizowano dokumentację RODO?
4. Masz IOD1a? A kiedy ostatnio wysłałeś go na szkolenie? Kiedy ostatnio z nim rozmawiałeś? Kiedy dostałeś od niego ostatni raport/sprawozdanie?

Jeżeli odpowiedź choć na jedno pytanie brzmi „nie” lub „minął ponad rok” to radzę szybko poszukać pomocy eksperta.

Oczywiście ekspert zada dużo innych pytań. Po to by móc zdiagnozować problemy a potem pomóc je rozwiązać.