To się normalnie robi tradycja.
W dniu 25 maja 2018 r. napisałem artykuł "Co oznacza RODO-ERA?".
W maju 2019 r. był wywiad "Rok z RODO – wywiad z mec. Pawłem Ludwiczakiem".
W dniu 25 listopada 2019 r. "Półtora roku z RODO".
W dniu 26 maja 2020 r. "Dwa lata z RODO - małe podsumowanie".
W dniu listopadzie 2020 "RODO - o czym trzeba pamiętać po 2,5 roku?".
Dziś mijają trzy lata z RODO i co robię?
Piszę artykuł, że minęły trzy lata z RODO.
Chyba coś jest w tym żarcie znajomych, że jestem "Pan RODO". Choć na Compliance, Whistleblowing, Ład korporacyjny i umowy nadal poświęcam więcej czasu.
O RODO napisałem ponad 60 artykułów i jestem współautorem kilku książek oraz autorem jednego poradnika. Dla porównania o Compliance napisałem ponad 110 artykułów.
SPOD zrobił piękne plakaty. Jako członek Stowarzyszenia Praktyków Ochrony Danych Osobowych wrzucę jeden
Nawet IOD`em zostałem. Więc znam już z każdej strony problemy z RODO (z jednej nie znam - z punktu widzenia PUODO).
Może dziś podzielę się paroma swoimi spostrzeżeniami:
- nadal są akty prawne odwołujące się do starej ustawy o ochronie danych osobowych,
- nadal są podmioty, w tym publiczne powołujące się na starą ustawę o ochronie danych osobowych,
- rośnie świadomość prawna Polaków, ale nadal Kultura prawna jest niska. Nadal wiele podmiotów nie ma wdrożonych Systemów Ochrony Danych Osobowych lub są one wdrożone pozornie, nieskutecznie lub nie są aktualizowane,
- RODO nadal nie ukróciło praktyk Google, Facebook`a, Amazona, Microsoftu i Apple,
- nadal brak audytów powdrożeniowych i audytów cyklicznych Systemów Bezpieczeństwa Danych Osobowych oraz szkoleń cyklicznych dla pracowników,
- coś drgnęło z kodeksami (w końcu) ale za to o podmiotach certyfikujących chyba możemy zapomnieć,
- nadal są organizacje gdzie brakuje IOD`a. jest on lekceważony, pomijany, fasadowy lub ma niedostateczne zasoby,
- coraz częściej funkcja IOD jest łączona z funkcją oficera Compliance. Oficer Compliance ma coraz szerszy zakres działania w organizacji,
- pandemia pokazała, że System Ochrony Danych Osobowych musi być żywy. Wdrożenie pracy zdalnej na masową skalę, walka z koronawirusem itd. pokazały, która organizacja robi na bieżąco analizy ryzyk, aktualizuje dokumentację (a mają one kluczowe znaczenie w razie sporu z PUODO przed WSA i NSA),
- RODO miała być inteligentną regulacją i pozwolić zmniejszyć biurokrację. O ile RODO faktycznie okazało się być inteligentną regulacją o tyle poziom obowiązków dokumentacyjnych i biurokratycznych, nie zmniejszył się a nawet zwiększył. Myślę, że jest to negatywny spadek po starej ustawie i starej filozofii. Podmiot ma po pierwsze chronić adekwatnie prawa i wolności ludzi poprzez ochronę danych osobowych oraz wypełniać swe obowiązki. Ale po drugie musi to wszystko dokumentować. A to już jest XX wieczne myślenie i obciążenie dla wielu podmiotów. Kazuistyczne czytanie przepisów, słownikowa wykładnia, kult dokumentu to parę zmór, które trapią RODO,
- nadal rozczarowuje mnie PUODO - oceniam go na 4 (w skali 1-6). Za mało działalności edukacyjnej, za mało wytycznych i zaleceń. Do tego niektóre jego decyzje mam wrażenie, że były polityczne a nie merytoryczne - np. w sprawie nielegalnego przekazania Poczcie Polskiej danych wyborców albo oderwane od rzeczywistości i zbyt ortodoksyjne, jak np. w sprawie badania trzeźwości,
- RODO ma zastosowanie do każdego podmiotu i do każdego procesu. W chwili obecnej mam niesamowitą frajdę intelektualną badając powiązania pomiędzy RODO i Whistleblowingiem. Ilość problemów jest znaczna. Będą kolejne artykuły.
Na końcu parę rad:
- System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji,
- tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasoby,
- każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
- wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
- kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
- wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
- dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
- system bezpieczeństwa danych osobowych musi działać w cyklu Deminga.
Każdy podmiot powinien sobie zadać parę pytań:
- Kiedy był u mnie ostatni audyt systemu ochrony danych osobowych?
- Czy przeszkolono wszystkich pracowników? I kiedy mieli ostatnie szkolenie?
- Kiedy ostatnio aktualizowano dokumentację RODO?
- Masz IOD1a? A kiedy ostatnio wysłałeś go na szkolenie? Kiedy ostatnio z nim rozmawiałeś? Kiedy dostałeś od niego ostatni raport/sprawozdanie?
Jeżeli odpowiedź choć na jedno pytanie brzmi „nie” lub „minął ponad rok” to radzę szybko poszukać pomocy eksperta.
Oczywiście ekspert zada dużo innych pytań. Po to by móc zdiagnozować problemy a potem pomóc je rozwiązać. Zanim z małych problemów urodzi się duży problem lub kryzys.
Niech moc RODO będzie z wami