Czas na przygotowanie administratorów danych osobowych do przetwarzania danych osobowych zgodnego z zasadami unijnego rozporządzenia ogólnego o ochronie danych osobowych (RODO) nieubłagalnie ucieka. Większość osób, które profesjonalnie zajmują się zagadnieniami ochrony danych osobowych uważało, że do nowych wymagań administratorzy danych osobowych powinni rozpocząć przygotowywać nie czekając na polskie akty prawne , które współtworzyć będą system ochrony danych osobowych w naszym kraju.
RODO „(…)ma na celu przyczynić się do tworzenia przestrzeni wolności bezpieczeństwa i sprawiedliwości, oraz unii gospodarczej, do postępu społeczno gospodarczego do wzmocnienia i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi.”[1] Polskie ustawy przygotowane przez resort cyfryzacji, nad którymi niedawno zakończył się proces konsultacji, to akty dotyczące w głównej mierze kwestii proceduralnych. Takich jak: powołania nowego organu nadzoru - Prezesa Urzędu Ochrony Danych Osobowych, w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych, kompetencji tego urzędu i trybu jego działania.
Do wymagań RODO można było i należało przygotowywać się od dawna, nie czekając na polską ustawę. Przepisy określające podstawowe zasady przetwarzania danych takie jak np. wywiązywania się z obowiązku informacyjnego wobec osób, od których je pozyskano, są już znane od 27 kwietnia 2016 r. Zawiera je unijne rozporządzenie. Rzecz jasna, są pewne zagadnienia w których RODO dopuszcza różne podejście w poszczególnych krajach UE. Przykładem niech tu będą. zasady powoływania inspektorów ochrony danych. Rozporządzenie unijne określa kilka kryteriów z tym związanych, pozwala jednak krajom UE na wprowadzenie dodatkowych regulacji np. dla wybranych sektorów gospodarki. W projekcie ustawy, który opracowało Ministerstwo Cyfryzacji uznano rozwiązania wynikające z unijnego rozporządzenia za wystarczająco szerokie.
Spore wątpliwości co do projektów nowej ustawy o ochronie danych osobowych i ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych ma Główny Inspektor Ochrony Danych Osobowych. Z całą pewnością w procesie legislacyjnym część uwag zgłoszonych w ramach konsultacji projektów ustaw zostanie uwzględniona, część nie.
O ostatecznym kształcie obydwu ustaw przekonamy się, oby jak najwcześniej, co nie powinno powstrzymywać administratorów danych osobowych przed działaniami przygotowawczymi. Działania te powinny dotyczyć:
- sprawdzenia, czy istnieje konieczność powołanie inspektora ochrony danych;
- zaktualizowania klauzul informacyjnych dla osób, których dane są przetwarzane;
- wyboru sprawdzonych firm, którym powierzone zostanie przetwarzanie danych;
- przygotowania odpowiedniej formy zgody na przetwarzanie danych, uwzględniającej nowe uprawnienia osób udzielających takiej zgody;
- opracowania odpowiednich procedur pozwalających na zrealizowanie praw podmiotów danych;
- przygotowania odpowiedniej dokumentacji ochrony danych osobowych - rejestru czynności przetwarzania;
- opracowania procedury zgłaszania naruszeń ochrony danych osobowych i dokumentacji w tym zakresie,
- wdrożenia adekwatnych do zagrożeń środków bezpieczeństwa w oparciu o proces szacowania ryzyka;
- permanentnego realizowania obowiązków spoczywających na administratorze danych osobowych.
[1] Motyw 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.