Maj przyniósł wszystkim wiosnę, ale również jest on czasem podsumowania dla ochrony danych osobowych. Maj jest bowiem przełomową datą dla wszystkich obywateli UE, ponieważ właśnie w maju 2018 r. weszły w życie przepisy Ogólnego rozporządzenia o ochronie danych osobowych. Należy przypomnieć, że nie było w tym zaskoczenia, albowiem czas na przygotowanie się do nowych regulacji był nad wyraz długi.

Dla obywatela niezwiązanego z tematyką RODO minione trzy lata obowiązywania przepisów to czas klikania w zgody, klauzule czy odmowa pozyskania informacji tłumaczona „bo rodo”. Był to również czas straszenia przez media potencjalnymi karami czy kontrolami urzędu ochrony danych. Jak wygląda więc rzeczywistość? Okazuje się, że administratorzy danych zdążyli się przygotować i dostosować poziom ochrony do nowych zasad, a porównywanie działań urzędu do kontroli skarbowych było wyssane z palca.

Nie od razu Kraków zbudowano, czyli małymi krokami do zgodności z RODO

Organy administracji rządowej odpowiedzialne za wprowadzanie przepisów, ale przede wszystkim Prezes Urzędu Ochrony Danych Osobowych od początku zdawał sobie sprawę, że nie można podejmować nagłych działań. Przed majem 2018 r. miały miejsce szeroko zakrojone kampanie medialne oraz edukacyjne mające na celu przybliżenie przepisów społeczeństwu oraz uspokojenie przedsiębiorców.

Pierwsza „faza” obowiązywania przepisów to przede wszystkim edukacja i informacja. Ówczesna Prezes UODO zdecydowała o niepodejmowaniu restrykcyjnych kroków przeciwko administratorom, a skupiono się na kontroli i właśnie edukacji. Każda kontrola większego podmiotu była szeroko opisywana w mediach branżowych, co pozwoliło przybliżyć zainteresowanym aspekty ogólnego rozporządzenia w rzeczywistości.

Urząd nałożył pierwszą karę w marcu 2019 r. a więc po dziesięciu miesiącach od wejścia w życie przepisów. Dotyczyła ona naruszenia art. 14 RODO, czyli braku poinformowania zainteresowanych o pozyskaniu ich danych z zewnętrznych źródeł.

Największym echem w mediach odbiła się kara nałożona na Morele.net. Organ uznał zabezpieczenia administratora za niewystarczające co doprowadziło do wycieku danych przeszło dwóch milionów klientów. Kara za naruszenie przepisów? 2,8 miliona złotych.

Aktualnie po trzech latach obowiązywania przepisów organ nałożył w sumie 24 kary pieniężne na administratorów. Trzeba przyznać, że nie jest to wielka liczba w stosunku do ilości prowadzonych postępowań kontrolnych, które toczą się przed organem. PUODO nadal składnia się ku edukacji, aniżeli nadmiernym karaniu. Co jest pozytywnym aspektem i odmianą w stosunku do polskich przyzwyczajeń w dziedzinie kontroli i karania przedsiębiorców przez uprawnione do tego podmioty.

Nagły wysyp ekspertów od ochrony danych osobowych

Negatywnym aspektem wejścia w życie nowych przepisów i szumu medialnego był „wysyp” ekspertów z zakresu ochrony danych osobowych. Niestety, większość z nich to pseudo uczeni, których wiedza opierała się jedynie na informacjach znalezionych w sieci. Niemniej jednak rynek potrzebował szkoleń, więc niektórzy postanowili zarobić na nieświadomych osobach duże pieniądze.

Przed majem 2018 r. pojawił się wysyp firm i osób, który oferowały szkolenia czy wdrożenie przepisów RODO w organizacji. Niestety większość z nich nie miała o tym pojęcia lub robiła to w sposób niezdarny. Oczywiście o wszystkim decydowała cena. Prawdziwi eksperci cenili swoje usługi, a pseudo znawcy potrafili oferować przygotowanie dokumentacji za trzysta czy czterysta złotych. Cena niestety odpowiadała jakości końcowego produktu.

Przed przepisami RODO większość osób zajmujący się ochroną danych osobowych była w przeszłości związana z ówczesnym organem nadzorczym, a więc Biurem Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Administratorzy Bezpieczeństwa Informacji pracujący w znaczących firmach wyróżniali się wiedzą praktyczną nabytą podczas pracy w organie. Również osoby prowadzące szkolenia były związane w przeszłości z GIODO. Jednak przed majem 2018 r. okazało się, że ekspert z dziedziny ochrony danych osobowych wcale nie musi posiadać wiedzy praktycznej.

Na szczęście, rynek już zweryfikował działalność niektórych firm szkoleniowych. Poziom oferowanych aktualnie usług, ale również oczekiwań klientów wzrósł. Społeczeństwo nauczyło się, że cena jest zależna od jakości usługi i wie czego należy oczekiwać od szkoleniowców czy inspektorów ochrony danych.

Społeczeństwo nie zrozumiało wartości przepisów RODO

Po trzech latach obowiązywania przepisów RODO społeczeństwo nadal niestety nie rozumie, że są one wprowadzone dla jego dobra. Ochrona danych osobowych odbierana jest jako kolejna „papierologia” i niepotrzebne regulacje narzucone przez Europę. Świadczy to o tym, że nadal istnieje potrzeba edukacji w tym zakresie. Niestety, nie pomagają w tym masmedia. W największych rozgłośniach radiowych nie raz można usłyszeć szyderczy ton powoływania się na przepisy Ogólnego rozporządzenia.

Społeczeństwo powinno zostać uświadomione, że w ochronie danych osobowych chodzi o bezpieczeństwo i prywatność osób. Niedźwiedzią robotę wykonują w tym zakresie również sami administratorzy ochrony danych czy Inspektorowie. Ich nadgorliwość świadczy o tym, że nie do końca rozumieją idee przepisów i nadal mentalnie żyją w epoce papieru oraz podpisu. Należy raz jeszcze uświadomić wszystkim osobom pracującym w ochronie danych osobowych – RODO nie wskazuje na konieczność podpisywania dokumentów. Jeśli nie wynika to wprost z przepisu to ADO może opracować inny sposób wypełnienia obowiązkowi rozliczalności. Dlatego z tego miejsca jako twórcy portalu apelujemy: nie zbierajcie nadmiernej ilości podpisów!

Sytuacja kryzysowa

Obowiązywanie przepisów rozporządzenia to czas dostosowania się do nowej rzeczywistości, ale również ich test w sytuacji kryzysowej. Jedna trzecia czasu obowiązywania przepisów RODO to pandemia. Wielu miało obawy, jak właśnie w takiej sytuacji należy odnosić się do regulacji RODO. Tu również początkowe obawy zostały rozwiane przez organ oraz ekspertów. Nie ma ważniejszej wartości niż zdrowie i życie obywateli. Dlatego też nie można powoływać się na ochronę danych osobowych w przypadku zwalczania pandemii czy zapobiegania jej skutkom.

Jest to widoczne szczególnie w wszelkiego rodzaju ankietach wypełnianych na lotniskach czy dworcach oraz w programie szczepień. Dla zwiększenia efektywności szczepienia populacji przychodnie przetwarzają nasze dane w zakresie, nie tylko i wyłącznie imienia i nazwiska czy numeru PESEL, ale również numeru telefonu oraz adresu email.

Co dalej z RODO i ochroną danych osobowych?

Jak będzie wyglądała przyszłość z RODO? Z pewnością społeczeństwo oswoi się z przepisami i przywyknie do nowych obowiązków. Również administratorzy z czasem dostrzegą, że RODO daje im tak naprawdę dużą swobodę w działaniu. Nie jest to akt „który prowadzi za rączkę”, a określa efekt działań administratorów. Przepisy rozporządzenia to tzw. „akt inteligentny”, określony na przynajmniej dwadzieścia, trzydzieści lat. W związku z tym muszą dostosowywać się do wciąż rozwijającego biznesu oraz technologii.

Myślę również, że wzrośnie znaczenie Prezesa Urzędu Ochrony Danych Osobowych, jako instytucji mającej wpływ na prowadzenie działalności gospodarczej, ale również bezpieczeństwo prywatności Polaków. Organ musi przejść rewolucję w zakresie prowadzonych postępowań i dążyć do skrócenia terminów rozpatrywania skarg.