rozumienie istoty ogólnego rozporządzenia o ochronie danych (RODO) i sprawdzenie, czy działalność mojej firmy bądź instytucji jest zgodna z jego założeniami, to najprostsza recepta na właściwe przygotowanie się do reformy prawa ochrony danych osobowych.

Choć do 25 maja 2018 r., czyli dnia, od którego RODO zacznie być bezpośrednio stosowane, nie zostało już dużo czasu, nie należy wpadać w panikę ani ulegać „RODOszaleństwu”. Jeśli ktoś do tej pory nie bagatelizował kwestii ochrony danych osobowych, z przygotowaniem się do zmian nie powinien mieć problemu.

RODO nie wprowadza bowiem rewolucji w podstawowych zasadach ochrony danych osobowych. W istotnym stopniu zmienia jedynie podejście do nich. Zobowiązując administratorów do osiągnięcia zgodności z nowym prawem, daje im jednocześnie większą samodzielność i elastyczność działania; choć zwiększa też odpowiedzialność za nie.

Na RODO warto więc przede wszystkim spojrzeć jako na szansę na uporządkowanie prowadzonych procesów przetwarzania danych.

Trzeba przy tym pamiętać, że od 25 maja 2018 r. to ono będzie podstawowym aktem prawnym regulującym prawa osób i obowiązki podmiotów, które przetwarzają dane osobowe. Zatem to z jego przepisami muszą być zgodne wszystkie nasze działania. Nowa ustawa o ochronie danych osobowych będzie miała charakter uzupełniający, gdyż będzie określała jedynie kwestie proceduralne dotyczące np. postępowania przed organem nadzorczym czy prowadzenia przez niego kontroli bądź certyfikacji. Również krajowe przepisy regulujące wykorzystywanie danych osobowych w poszczególnych branżach czy instytucjach również będą musiały być dostosowane do postanowień RODO.

Dlatego w pierwszej kolejności warto poznać postanowienia tego aktu prawnego. Ponieważ ma ono charakter ogólny, a wiele pojęć jest nowych, pomocne w jego właściwym odczytaniu i interpretacji są wytyczne Grupy Roboczej Artykułu 29, zrzeszającej unijne organy ochrony danych, w tym GIODO. Są one sukcesywnie zamieszczane na stronie internetowej GIODO.

Dla sprawdzenia swojej gotowości do stosowania RODO, warto dokonać wewnętrznego przeglądu procesów i działań związanych z przetwarzaniem danych osobowych, ustalić, jakie dane przetwarzam, na jakiej podstawie prawnej, czy są one adekwatne do celu, który ma być osiągnięty.

Mając tę wiedzę, trzeba dokonać oceny ryzyka, jakie owo przetwarzanie stwarza dla praw i wolności osób, których dane dotyczą. Od jej wyników zależy bowiem dobór rozwiązań i środków służących zabezpieczeniu danych.

RODO wprost ich nie wymienia. Stanowi jedynie, że środki, jakie administrator musi zastosować, powinny być odpowiednie do zakresu, kontekstu i celu, a także ryzyka naruszenia praw i wolności osób, których dane są przetwarzane. Wskazuje, że przy ocenie ryzyka i ustanawianiu zabezpieczeń minimalizujących to ryzyko należy uwzględnić stan wiedzy technicznej, koszt wdrażania, a także skutki, jakie zidentyfikowane zagrożenia mogą powodować w sferze naruszenia praw i wolności osób, których dane dotyczą.

Ponieważ w RODO nie znajdziemy informacji, jakie działania należy podjąć, aby takie ryzyko ocenić, ani żadnej metodyki w tym zakresie, GIODO – by wspomóc administratorów w realizacji tego zadania – przygotował dwuczęściowy poradnik dotyczący stosowania podejścia opartego na ryzyku, który jest dostępny na stronie internetowej urzędu. Jego lektura może pomóc w zrozumieniu tego zagadnienia i przeprowadzeniu odpowiednich ocen.

Ważnym zagadnieniem, na które należy zwrócić uwagę, jest kwestia ważności zgód na przetwarzanie danych osobowych. Gdy są one przesłanką, na podstawie której administrator przetwarza dane osobowe, to trzeba przeanalizować, czy spełniają warunki wskazane w RODO, a więc czy są wyrażone dobrowolnie, na przetwarzanie konkretnych danych w określonych precyzyjnie celach, czy były podejmowane świadomie i wyrażone w sposób niebudzący wątpliwości. Jeśli tak, to co do zasady zachowują swoją ważność, lecz jeśli nie, to trzeba będzie uzyskiwać je od nowa. Stanowisko GIODO w tej sprawie zostało szczegółowo przedstawione na stronie internetowej urzędu.

Tam również wszyscy zainteresowani mogą znaleźć przygotowaną przez GIODO publikację pt. „Czy jesteś gotowy na RODO?”, zwracającą uwagę na najważniejsze zagadnienia i obszary, w których następować będą znaczące zmiany.

Zachęcam, by zapoznać się z zawartymi tam informacjami i sprawdzić, czy we wskazanych punktach możemy odnotować swoją gotowość do stosowania RODO. Warto jednak pamiętać, że osiąganie zgodności z RODO to nie jednorazowe działanie, lecz proces, który po 25 maja 2018 r. będzie musiał być nieustannie monitorowany.