Najważniejsze wyzwania dla przedsiębiorców i regulatora w związku z implementacją RODO – spotkanie IAPP
06/03/2017
Brak krajowych regulacji prawnych oraz wytycznych uszczegóławiających ogólne rozporządzenie o ochronie danych stanowi największe wyzwanie we wdrażaniu RODO przez polskich przedsiębiorców.
W dniu 28 lutego 2017 roku radca prawny Julia Kamińska-Kasjaniuk redaktor naczelny odoserwis.pl uczestniczyła w spotkaniu International Association of Privacy Professionals - KnowledgeNet Chapter Warsaw. Tematem konferencji były najważniejsze wyzwania dla przedsiębiorców i regulatora w związku z implementacją RODO. Spotkanie otworzył Paul Jordan, Managing Director Europe International Association of Privacy Professionals. Przedstawił on rolę inspektora ochrony danych z perspektywy europejskiej i wskazał na znaczący wzrost liczby inspektorów w ostatnim czasie. Jednocześnie podkreślił, iż Warszawa obok Londynu jest najbardziej aktywnym miastem w Europie jeżeli chodzi o zainteresowanie tematyką danych osobowych.
Do udziału w spotkaniu zaproszono przedstawiciela Ministerstwa Cyfryzacji – dr Macieja Kaweckiego, Doradcę Ministra w Gabinecie Politycznym Ministra Cyfryzacji, Piotra Drobka Dyrektora z Biura Generalnego Inspektora Ochrony Danych, a także przedsiębiorców.
Podczas konferencji rozmowy toczyły się głównie wokół dwóch zagadnień tj. aktualnego stanu prac legislacyjnych oraz dostosowania firm do wymogów prawnych w zakresie ochrony danych osobowych.
Przedstawiciel Generalnego Inspektora Ochrony Danych Osobowych, które jest aktywnym członkiem Grupy Roboczej ds. art. 29 wskazał, że prace nad wytycznymi dotyczącymi wdrożenia RODO trwają i będą trwały przez cały okres, aż do maja 2018 roku, a następnie będą kontynuowane przez Europejską Radę Ochrony Danych. Wytyczne te jak wiadomo mają istotne znaczenie dla rozumienia, dostosowania i stosowania RODO. Z kolei przedstawiciel Ministerstwa Cyfryzacji wskazał, na to, iż ukończenia prac nad projektem nowej ustawy można spodziewać się w kwietniu br., natomiast prawdopodobnie ustawa zostanie przyjęta dopiero w 2018 roku. Podkreślenia wymaga, iż pewno także przepisy sektorowe, które mają znaczenie dla zakresu i sposoby wdrożenia General Data Protection Regulation przez poszczególne branże najszybciej wejdą w życie razem z ww. ustawą. Na marginesie poruszono zagadnie dotyczące podstaw przetwarzania danych pracowników. Dr Maciej Kawecki zastrzegając, iż jest to jeszcze „przed” projekt wskazał, iż możliwe, iż utrzymany zostanie dotychczasowy katalog danych w kodeksie pracy, a także regulacjach szczególnych, a nadto dopuszczone zostanie zbieranie dodatkowych danych w oparciu o zgodę pracownika, z wyłączeniem danych biometrycznych i danych o karalności.
A zatem po stronie regulatorów prace trwają i raczej nie można się spodziewać, że zakończą się one niebawem i firmy otrzymają pełną informację zarówno „co” należy wdrożyć, ale też „jak” należy wdrożyć RODO zgodnie z oczekiwaniami regulatorów.
Z kolei na pytanie do uczestników konferencji o czas niezbędny na wdrożenie rozporządzenia o ochronie danych, odpowiedzi przedstawiały się następująco:
14% stwierdziło, że potrzebuje 6 miesięcy
69% stwierdziło, że potrzebuje 12 miesięcy
18% stwierdziło, że potrzebuje 18 miesięcy
11% stwierdziło, że potrzebuje 24 miesięcy
Jak widać biorąc pod uwagę, iż wciąż trwają prace po stronie regulatorów, a przedsiębiorcy będą potrzebowali czasu na wdrożenie ostatecznych rozwiązań z pewnością nadchodzi bardzo niespokojny okres dla tych ostatnich, którzy obawiają się nadchodzących kar pieniężnych.
W oczekiwaniu na szczegółowe regulacje związane z wdrożeniem Rozporządzenia pozostaje zatem postawić na rzetelne rozpoznanie – bo jak zauważono podczas spotkania solidne zweryfikowanie procesów przetwarzania danych jest istotą wdrożenia Rozporządzenia.