Trzy lata z RODO - i jak co roku podsumowanie

To się normalnie robi tradycja.

W dniu 25 maja 2018 r. napisałem artykuł "Co oznacza RODO-ERA?".

W maju 2019 r. był wywiad "Rok z RODO – wywiad z mec. Pawłem Ludwiczakiem".

W dniu 25 listopada 2019 r. "Półtora roku z RODO".

W dniu 26 maja 2020 r. "Dwa lata z RODO - małe podsumowanie".

W dniu listopadzie 2020 "RODO - o czym trzeba pamiętać po 2,5 roku?".

Dziś mijają trzy lata z RODO i co robię? 

Piszę artykuł, że minęły trzy lata z RODO.

Chyba coś jest w tym żarcie znajomych, że jestem "Pan RODO". Choć na Compliance, Whistleblowing, Ład korporacyjny i umowy nadal poświęcam więcej czasu.

O RODO napisałem ponad 60 artykułów i jestem współautorem kilku książek oraz autorem jednego poradnika. Dla porównania o Compliance napisałem ponad 110 artykułów. 

SPOD zrobił piękne plakaty. Jako członek Stowarzyszenia Praktyków Ochrony Danych Osobowych wrzucę jeden

Nawet IOD`em zostałem. Więc znam już z każdej strony problemy z RODO (z jednej nie znam - z punktu widzenia PUODO).

Może dziś podzielę się paroma swoimi spostrzeżeniami:

1. nadal są akty prawne odwołujące się do starej ustawy o ochronie danych osobowych,
2. nadal są podmioty, w tym publiczne powołujące się na starą ustawę o ochronie danych osobowych,
3. rośnie świadomość prawna Polaków, ale nadal Kultura prawna jest niska. Nadal wiele podmiotów nie ma wdrożonych Systemów Ochrony Danych Osobowych lub są one wdrożone pozornie, nieskutecznie lub nie są aktualizowane,
4. RODO nadal nie ukróciło praktyk Google, Facebook`a, Amazona, Microsoftu i Apple, 
5. nadal brak audytów powdrożeniowych i audytów cyklicznych Systemów Bezpieczeństwa Danych Osobowych oraz szkoleń cyklicznych dla pracowników,
6. coś drgnęło z kodeksami (w końcu) ale za to o podmiotach certyfikujących chyba możemy zapomnieć,
   
7. nadal są organizacje gdzie brakuje IOD`a. jest on lekceważony, pomijany, fasadowy lub ma niedostateczne zasoby,
8. coraz częściej funkcja IOD jest łączona z funkcją oficera Compliance. Oficer Compliance ma coraz szerszy zakres działania w organizacji,
   
9. pandemia pokazała, że System Ochrony Danych Osobowych musi być żywy. Wdrożenie pracy zdalnej na masową skalę, walka z koronawirusem itd. pokazały, która organizacja robi na bieżąco analizy ryzyk, aktualizuje dokumentację (a mają one kluczowe znaczenie w razie sporu z PUODO przed WSA i NSA),
10. RODO miała być inteligentną regulacją i pozwolić zmniejszyć biurokrację. O ile RODO faktycznie okazało się być inteligentną regulacją o tyle poziom obowiązków dokumentacyjnych i biurokratycznych, nie zmniejszył się a nawet zwiększył. Myślę, że jest to negatywny spadek po starej ustawie i starej filozofii. Podmiot ma po pierwsze chronić adekwatnie prawa i wolności ludzi poprzez ochronę danych osobowych oraz wypełniać swe obowiązki. Ale po drugie musi to wszystko dokumentować. A to już jest XX wieczne myślenie i obciążenie dla wielu podmiotów. Kazuistyczne czytanie przepisów, słownikowa wykładnia, kult dokumentu to parę zmór, które trapią RODO,
11. nadal rozczarowuje mnie PUODO - oceniam go na 4 (w skali 1-6). Za mało działalności edukacyjnej, za mało wytycznych i zaleceń. Do tego niektóre jego decyzje mam wrażenie, że były polityczne a nie merytoryczne - np. w sprawie nielegalnego przekazania Poczcie Polskiej danych wyborców albo oderwane od rzeczywistości i zbyt ortodoksyjne, jak np. w sprawie badania trzeźwości,
    
12. RODO ma zastosowanie do każdego podmiotu i do każdego procesu. W chwili obecnej mam niesamowitą frajdę intelektualną badając powiązania pomiędzy RODO i Whistleblowingiem. Ilość problemów jest znaczna. Będą kolejne artykuły.

Na końcu parę rad:

1. System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji,
2. tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasoby,
3. każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
4. wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
5. kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
6. wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
7. dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
8. system bezpieczeństwa danych osobowych musi działać w cyklu Deminga.

 

Każdy podmiot powinien sobie zadać parę pytań:

1. Kiedy był u mnie ostatni audyt systemu ochrony danych osobowych?
2. Czy przeszkolono wszystkich pracowników? I kiedy mieli ostatnie szkolenie?
3. Kiedy ostatnio aktualizowano dokumentację RODO?
4. Masz IOD1a? A kiedy ostatnio wysłałeś go na szkolenie? Kiedy ostatnio z nim rozmawiałeś? Kiedy dostałeś od niego ostatni raport/sprawozdanie?

Jeżeli odpowiedź choć na jedno pytanie brzmi „nie” lub „minął ponad rok” to radzę szybko poszukać pomocy eksperta.

Oczywiście ekspert zada dużo innych pytań. Po to by móc zdiagnozować problemy a potem pomóc je rozwiązać. Zanim z małych problemów urodzi się duży problem lub kryzys.

Niech moc RODO będzie z wami