Dziś jest siódma rocznica RODO. RODO zostało opublikowane 9 lat temu, a obowiązuje 7 lata, od 25 maja 2018 r.
To
było niezwykłe 9 lat. Najpierw wszyscy lekceważyli RODO. Potem 8 lat
temu zaczęły się wdrożenia - żeby było ciekawie do dziś mam zlecenia na
wdrożenia. W maju 2018 r. miałem pełny portfel zamówień aż do września.
Druga połowa 2018 r. i pierwsza połowa 2019 r. to była hossa na
szkolenia. Potem zapanowała cisza. Pojedyncze szkolenia i audyty. Bardzo
pojedyncze.
O dziwo od dwóch lat znowu zaczął się ruch w interesie. Choć bądźmy szczerzy, że niewielki. Może dlatego, że UODO się uaktywniło i zaczęło wymierzać wysokie kary. Czasami absurdalnie wysokie jak 27 mln zł dla Poczty Polskiej. Naprawdę chciałbym poznać politykę karania przyjęto przez UODO. Z prawa karnego wykonawczego wiem, że nie wysokość kary ale jej nieuchronność odstrasza od łamania prawa. Jednocześnie wiem, że edukacja jest najskuteczniejszą metodą zapobiegania. Osobiście jestem zdania, że:
1) mam wrażenie, że UODO stwierdziło, iż będzie nakładało maksymalnie wysokie kary by zastraszyć podmioty. Naprawdę nie da się wydawać zaleceń lub symbolicznych kar? Jak nie wiecie jak to zrobić to spytajcie się Praktyków Compliance.
2) nadal leży edukacja. Naprawdę UODO nie może opublikować wzorców dla różnych kategorii podmiotów. Pomijam ile kasy poszło na szatę graficzną ostatniego poradnika i jednocześnie UODO już opublikowało wyjaśnienie do poradnika i organizuje kolejne webinary.
3) UODO utkwiło mentalnie w ustawie o ochronie danych osobowych z 1997 roku. Nadal UODO stosuje checklisty by sprawdzić czy ktoś jest zgodny z RODO, mimo że RODO wymaga by podejmować adekwatne środki techniczne i organizacyjne.
4) następny absurd to wymaganie by każde zagrożenie, było szczegółowo uwzględnione w analizie ryzyk. Ostatnio UODO ukarało firmę pogrzebową za to, że nie przewidziała, że niekompetentny pracownik zgubi pudło z dokumentacją bo mu wypadnie z części bagażowej. Założę się, że analiza UODO też nie uwzględnia szczegółowo wszystkich potencjalnych ryzyk. Do tego jak wykorzystać analizę ryzyk w której mamy parę tysięcy ryzyk co daje dziesiątki lub setki tysięcy powiązań.
5) w mojej ocenie głównym celem RODO jest by nasze prawa i wolności lepiej były chronione. A UODO robi wrażenie, że ich głównym celem jest by podmioty stosowały prawo ochrony danych osobowych tak jak widzi i rozumie to UODO.
6) wizja UODO jak powinna wyglądać funkcja IOD`a to jakaś abberacja. Ma tylko ładnie pachnieć i wskazywać palcem co jest nie tak. Nawet nie może wysłać zgłoszenia o naruszenia do UODO mimo, że zgodnie z RODO jest punktem kontaktowym. UODO zamiast się skupić na tym, by IOD miał odpowiednie zasoby oraz podmiot korzystał z jego wiedzy oraz stosował się do jego zaleceń uparł się udowodnić de facto że IOD jest zbędnym kosztem. Dlatego na rynku od roku IOD`ów zastępują koordynatorzy ochrony danych osobowych. Robią to samo co IOD ale nie mają gwarancji niezależności itd.
Co ciekawe po politycznym PUODO, od ponad roku mamy nowego, niezależnego Prezesa Urzędu Ochrony Danych Osobowych. Obiecał, że będzie konsultował i słuchał środowisk eksperckich.Sam należę do dwóch. Do SPOD i do SABI. Wiedzy i wymiany doświadczeń, nigdy za dużo. Niestety jakoś postulaty praktyków ochrony danych osobowych nie przebijają się do PUODO.
Pochwalę za jedno OUOD. Wyszukiwarka decyzji PUODO - LINK
Brakuje tylko filtra: KARY/ZALECENIA i czy są prawomocne.