Co faktycznie zmieniło się w ochronie danych osobowych?

Stosowanie ogólnego rozporządzenia o ochronie danych osobowych rozpoczęło się 25 maja 2018 roku, a więc rok temu. Nowe przepisy wprowadziły nowe zasady oraz wymagały zmiany podejścia do tematyki prywatności. Pomimo wielu medialnych doniesień o zaostrzeniu rygoru ochrony informacji o ludziach, niestety nadal wielu nie dopełnia swoich prawnych obowiązków. Niektórzy spekulują wręcz, że ostatnie dwa lata zostały zmarnowane i nadal znajdujemy się w punkcie wyjścia. Poniższy tekst stanowi próbę podsumowania zmian – zarówno tych, które widzę i których doświadczam bezpośrednio wdrażając systemy ochrony danych lub audytując organizacje, jak i tych, które dotyczą społecznego, bardziej ogólnego pojmowania tematyki prywatności.

Co miało przynieść RODO?

Choć nie siedzę w głowach europejskich urzędników, kluczowe akcenty i akordy nowej aranżacji ochrony danych osobowych wydają się, w wielu przypadkach, bardzo czytelne.

  1. Ochrona prywatności miała stać się realnością i to zarówno w wymiarze organizacyjnym, jak i formalno – prawnym. Oznacza to, że przestrzeganie nowych przepisów miało zostać skutecznie wymuszone poprzez zastosowanie nowych, lepiej finansowanych urzędów, wprowadzenie odstraszających kar oraz taką konstrukcję przepisu, która znacznie ułatwia prowadzenie czynności kontrolnych. W rezultacie, ci którzy sięgają po dane osobowe, mieli z większą atencją podejść do zapobiegania ich bezprawnemu wykorzystaniu, uwzględniając czynnik bezpieczeństwa już na wstępnych etapach prac koncepcyjnych związanych z ewolucją lub adaptacją swojego modelu biznesowego do nowych warunków.
  2. Standardy bezpieczeństwa miały zostać zaktualizowane i zaprojektowane w taki sposób, aby ich aktualność była zagwarantowana również w przyszłości. Z tego względu zarzucono ideę tworzenia listy minimalnych zabezpieczeń zaszytej w przepisy wykonawcze. W zastępstwie, narzucono przetwarzającym prowadzić własne analizy ryzyka i w ich oparciu, śledząc dobre praktyki, dostosowywać rozwiązania sprzętowe, programowe i proceduralne do faktycznych zagrożeń związanych z ich konkretną sytuacją i specyfiką procesów.
  3. Wiedza o zagrożeniach związanych z szerokim dostępem do danych osobowych miała stać się powszechna. Nowym regulatorom nakazano prowadzić kampanie informacyjne, a samym przetwarzającym, komunikować fakt wchodzenia w posiadanie danych osobowych w sposób przystępny i zrozumiały.
  4. Wreszcie, osoby, których dane dotyczą, miały uzyskać prawo do wyrażenia własnej opinii w kwestii dopuszczalności szeregu powszechnych praktyk biznesowych. Miały zostać włączone w konsultacje oraz uzbrojone w skuteczne narzędzia obrony, zwłaszcza w prawa, które administratorzy mieli szanować pod groźbą wysokich kar.

Czy RODO chroni nas skutecznie?

Z perspektywy ostatnich dwunastu miesięcy, można już chyba zasadnie postawić pierwszą diagnozę i rozliczyć znowelizowaną ochronę danych osobowych z jej faktycznej, operacyjnej skuteczności. Wyniki takiej analizy prezentują bardzo ambiwalentny obraz:

  1. Skuteczność nowej ochrony jest tematem bardzo trudnym. Zacznę od tego, że po stronie organizacyjnej, budowa urzędu w Polsce rozpoczęła się prawdopodobnie zbyt późno. Przekłada się to boleśnie na liczby. Przykładowo, brytyjski regulator, ICO, nałożył w przeciągu ostatnich 12 miesięcy 34 kary. Choć całkowita ilość decyzji wydanych przez PUODO (czyli naszego regulatora) od 25 maja 2018 jest imponująca, w zakresie czasochłonnych i kompetencyjnie wymagających czynności kontrolnych, możemy poszczycić się dwoma zakończonymi karą postępowaniami. Oczywiście, ochrona danych osobowych i nadzór nad nią nie polegają wyłącznie na nakładaniu kar. Rozpoczynam jednak od tego zagadnienia z uwagi na fakt, jak wiele jest wciąż widocznych przypadków całkowitego niedostosowania do RODO.
    Można powiedzieć, że realnie rzecz biorąc, jesteśmy dopiero w fazie dostosowania, w swoistym, nieformalnym vacatio legis. W konsekwencji, po pierwsze wiele jest faktycznych, niezaprzeczalnych powodów do nakładania kar, a po drugie, można odnieść wrażenie że dopiero strach może zmotywować opornych do dostosowania się do nowej rzeczywistości.Chciałbym w tym miejscu zwrócić uwagę na dwa źródła tego opóźnienia. Pierwszym, obawiam się, jest bezwładność decyzyjna administratorów. Niedawno, w związku z zaostrzeniem przepisów o ruchu drogowym, zmieniły się zasady pozbawienia kierowców prawa jazdy. Pomimo licznych medialnych komunikatów i ostrzeżeń, w samym tylko 2017 roku Policja zatrzymała ponad 30 000 dokumentów. Sytuacja z RODO wydaje się bliźniaczo podobna. Można odnieść wrażenie, że dla wielu administratorów sygnałem o konieczności dostosowania się do przepisów jest nie moment rozpoczęcia ich stosowania, a czas, w którym widmo kary wydaje się nieuniknione.

    Jest też druga przyczyna. Nowa ochrona danych osobowych wymaga wyjaśnienia, wytycznych, decyzji w tych miejscach, w których brzmienie przepisu jest wieloznaczne. Niestety, elementu tego zabrakło i to nie tylko w 2016 roku, kiedy RODO zostało ogłoszone. Należy wprost powiedzieć, że 25 maja 2018 roku wiedzieliśmy niewiele więcej niż dwa lata wcześniej, kiedy powinniśmy teoretycznie zacząć przygotowania. Prawdopodobnie, zwłoka ta wynikała głównie z potrzeby dyskutowania zagadnień na forum unijnym przed wydaniem wiążących decyzji oraz z faktu, że w rzeczywistości sposób ochrony danych osobowych w poszczególnych państwach członkowskich był zupełnie inny, a proces faktycznego ujednolicania tych praktyk zajmie jeszcze kilka lat.

    Bez względu na przyczyny, skutkiem jest mrożący krew w żyłach fakt, że wciąż wiele jest pytań pozostających bez odpowiedzi. Na domiar złego, nawet zupełnie nowe przepisy (tzw. ustawa wdrażająca) wydają się być budowane z niską świadomością tego, jak RODO działa. Przykładowo, wprowadzono właśnie do ustawy o świadczeniu usług drogą elektroniczną i do prawa telekomunikacyjnego zapisy mówiące o tym, że zgody użytkowników mają być dostosowane do wymogów przepisów o ochronie danych osobowych. Oznacza to w szczególności, że zgoda na zapis plików “cookies” dokonana przez osobę nieletnią miałaby być potwierdzana przez jej opiekuna prawnego, czego w praktyce nie da się zrobić. W praktyce, jeżeli przy niej jesteśmy, nie znamy przecież nawet wieku osoby odwiedzającej naszą stronę i kompletnie nie mamy jak tego wieku ustalić.

    Są jednak również dobre informacje. Należy mianowicie podkreślić, że regulatorzy nie przymykają oka na niezgodności. Kontrole nie sprowadzają się do pobieżnej weryfikacji, czy spisano jakiś tam dokument i czy prowadzi się kopię bezpieczeństwa. Jeżeli więc właściwie odczytuję cele RODO w tym obszarze, należy powiedzieć, że obecne kontrole lepiej niż dawne, realizują zadanie zapewnienia faktycznego przestrzegania zasad ochrony danych osobowych. Pod tym względem nowy porządek prawny faktycznie przekłada się na wzrost bezpieczeństwa.

    Należy jednak zaznaczyć w tym miejscu, że chwilowo kary wynikają z niedopełnienia obowiązków, które stosunkowo łatwo jest wykazać przez samą analizę dokumentacji firmy, która przetwarza dane osobowe. Częściowo wynika to z faktu, że RODO znacznie rozbudowało obowiązki dowodowe administratorów, a więc ułatwiło w tym miejscu działania kontrolerom. Można jednak również odnieść wrażenie, że urzędy boją się lub nie potrafią jeszcze dobrze oceniać zabezpieczeń teleinformatycznych.

    Warto również wspomnieć o znowelizowanym, lepszym umocowaniu wewnętrznego specjalisty od bezpieczeństwa danych – inspektora ochrony danych czyli dawnego administratora bezpieczeństwa informacji. Prawodawca dostrzegł potrzebę zabezpieczenia niezależności tych osób oraz zapewnienia im środków niezbędnych do wypełnienia ich zadań. Tematowi temu poświęcam więcej uwagi w dalszej części tego komentarza.

  2. Zmiana sposobu doboru zabezpieczeń okazała się kosztowna ale przyniosła pozytywne zmiany. Upowszechnia się pełnodyskowe szyfrowanie. Przetwarzający przykładają też większą wagę do starej bolączki w postaci mechanizmów odbierania uprawnień dostępowych. Nastąpił też odwrót od wydatkowania znacznych środków na niewspółmiernie rozbudowaną ochronę fizyczną obiektów. Widać również większe zainteresowanie porządkowaniem obiegu dokumentacji i standardami jej przechowywania. W tym sensie, wdrożenie RODO pozwala niejednokrotnie poprawić jakość pracy i zwiększyć jej skuteczność.Niestety, prowadzenie analizy ryzyka, nawet w prostej postaci, jest procesem czasochłonnym. Roboczogodziny zaangażowanych w nie specjalistów oraz pracowników przekładają się na odczuwalny koszt dla wszystkich, którzy stawiają sobie za cel faktycznie zwiększenie bezpieczeństwa danych.

    Pewnym rozczarowaniem jest również praktyka w zakresie zawierania tzw. umów powierzenia przetwarzania danych osobowych. Są to umowy, które łączą podmioty współpracujące ze sobą przy przetwarzaniu. Celem ich zawierania jest doprecyzowanie zakresów zadań i obowiązków stron, ustalenie standardu technicznej i organizacyjnej ochrony oraz zapewnienie wymaganego materiału dowodowego. Pomimo bardzo ważnej roli umów powierzenia w całej RODOwskiej aparaturze, wciąż spotykam się z wieloma przypadkami tworzenia ich w oparciu o bardzo ogólne i niefunkcjonalne zapisy, z których nic nie wynika. Część prawników posuwa się nawet to kopiowania fragmentów ogólnego rozporządzenia do umowy. Zupełnie tak, jakby uważali, że zapis nakładający obowiązek jest tożsamy ustaleniom w zakresie tego, jak ten obowiązek ma być faktycznie spełniany.

    Należy również zaznaczyć, że bardziej świadomi usługodawcy dokonali w ostatnich miesiącach znacznych zmian w swoich regulaminach. Choć legalizacja powierzenia przetwarzania może dzięki temu być łatwiejsza (np. czołowi gracze pozakładali europejskie przedstawicielstwa, dzięki czemu nie ma potrzeby legalizacji przetwarzania transgranicznego) to niestety w zakresie odpowiedzialności, użytkownicy tych usług są częstokroć kompletnie rozbrojeni i pozbawieni możliwości dochodzenia roszczeń w wymiarze, który wynikałby zdroworozsądkowo z charakteru relacji.

  3. Aspekt komunikacyjny oraz związany z budowaniem świadomości uważam obecnie za najmocniejszą praktyczną stronę RODO. Biorąc poprawkę na fakt, jak nieintuicyjne są pewne obszary ogólnego rozporządzenia, można nawet powiedzieć, że działania informacyjne są sukcesem w pełnym tego słowa znaczeniu.Oczywiście, tu i ówdzie spotykamy się z nonsensami, które jak grzyby po deszczu, rosną wszędzie tam, gdzie wrażliwość na ochronę prywatności spotyka się z niewystarczającymi kompetencjami i częściowym zrozumieniem tematu. Osobiście uważam jednak, że to nieunikniony problem okresu przejściowego. Sam fakt, że obecnie coraz więcej ludzi odmawia podawania informacji na swój temat “bo RODO” odczytuję jako dobrą monetę.

    Należy także wprost powiedzieć, że zarówno GIODO, a później PUODO, jak i Ministerstwo Cyfryzacji dołożyły starań aby rozpowszechniać wiedzę o zmianach w prawie, w obszarze prywatności. Oczywiście, konferencjom i publikacjom można wiele zarzucić. Porównując jednak powiadamianie o RODO z informowaniem o jakichkolwiek innych zmianach w przepisach (np. podatkowych), widać wyraźną różnicę na korzyść ochrony danych osobowych.

    Także obszar komunikacji pomiędzy osobami, których dane dotyczą, a tymi, którzy te dane przetwarzają, ulega stopniowej, ale odczuwalnej poprawie. Powiadomień o przetwarzaniu jest znacznie więcej niż dawniej (niektórzy twierdzą nawet, że za dużo). Język użyty do ich sformułowania również coraz częściej jest zrozumiały dla przeciętnego zjadacza chleba. Wydaje się, że już w niedalekiej przyszłości zatajanie faktu wykorzystywania informacji na czyjś temat będzie bardzo trudne. To dobrze. Chodzi przecież o to, aby prawo odzwierciedlało faktyczne potrzeby i oczekiwania społeczeństwa. Trudno jednak wyrobić sobie zdanie na jakiś temat, jeżeli nie mamy dostępu do informacji. Z tego względu kluczowe jest, aby w pierwszej kolejności położyć nacisk właśnie na powiadomienia oraz ich formę.

  4. Niestety, od podstawowej świadomości do faktycznych kompetencji droga jest daleka. Wprowadzenie zapisów mających zapewnić osobom, których dane są wykorzystywane możliwość kontroli nie przekłada się w praktyce na nic konkretnego. Prowadzenie szerokich konsultacji społecznych (np. przez Internet) jest niewykonalne. Uczestnictwo w tego rodzaju dialogu wymaga bowiem szerokich kompetencji. Oczywiście, można sobie wyobrazić ankietowe badanie satysfakcji z kształtu procesów zachodzących w danej firmie. Zainicjowałem również proces konsultacji odnośnie zakresu objętego monitoringiem prowadzonym przez firmę zlokalizowaną w bezpośrednim sąsiedztwie domów mieszkalnych. Z uwagi na małą skalę, projekt ten udało się zrealizować i przyniósł on pozytywne skutki. W większych przedsięwzięciach dużo trudniej jednak o sukces. Problem polega na tym, że w przypadkach, kiedy przetwarzający jest zmuszony do zasięgnięcia opinii ludzi, nie ma prostych rozwiązań. Element konsultacji pojawia się bowiem w procesie tzw. oceny skutków dla ochrony danych (DPIA), którą prowadzi się dla procesów związanych z wysokim ryzykiem naruszenia czyichś praw lub wolności. Nie jest to więc scenariusz, w którym, w drodze takiej ankiety, ustalamy które z dobrych rozwiązań jest najlepsze. Jest to raczej sytuacja, w której pomimo starań, nie znaleźliśmy dobrego rozwiązania i wszystko, co umiemy zaproponować wydaje się groźne lub uciążliwe.Aby rzucić nieco światła na to zagadnienie, przyjrzyjmy się przykładowi procesu wysokiego ryzyka. Wyobraźmy sobie mianowicie, że prowadzimy procesy kadrowe w ogólnopolskiej firmie sprzątającej będącej zakładem pracy chronionej. Nasi pracownicy udają się do pracy do biur i budynków naszych klientów. Jednocześnie, musimy zapewnić obieg dokumentacji kadrowej, która w zakładzie pracy chronionej niemal zawsze zawiera informacje o stanie zdrowia. Mamy do tego dużą rotację personelu, a umowy z klientami również nie są wieloletnie. Zapewnienie bezpiecznego przechowywania danych szczególnej kategorii w miejscu świadczenia pracy wydaje się więc nierealne. W mało którym z takich miejsc firma sprzątająca ma do swojej dyspozycji wydzielone pomieszczenie. W dodatku, zabezpieczenia fizyczne (drzwi, szafy) mają zmniejszoną skuteczność przez trudności w uszczelnieniu obiegu kluczy, ponieważ przeważająca większość rotacji kadrowych wynika ze stanu zdrowia pracowników. Pogorszenie się tego stanu często doprowadza do utraty kontaktu z daną osobą na dłuższy okres czasu i tym samym, utraty kontroli nad kluczem. Pozostawienie kluczy w dyspozycji klienta, który administruje budynkiem, choć jest pewną opcją, wymaga współpracy ze strony tego klienta oraz samo w sobie stanowi źródło zagrożeń. Nasza przykładowa ankieta, która miałaby posłużyć do konsultacji tego zagadnienia z personelem, wyglądałaby więc prawdopodobnie mniej więcej tak:

    Jak chciałabyś / chciałbyś aby wyglądał obieg dokumentacji kadrowej w naszej firmie?

    • Wszystkie dokumenty będą wyłącznie przekazywane drogą elektroniczną. Każdy pracownik będzie musiał posiadać komputer z dostępem do Internetu oraz skaner i umieć z nich sprawnie korzystać.
    • Dokumentacja pracownicza będzie wyłącznie procesowana w biurze naszej firmy. Każdy pracownik będzie więc musiał wysyłać dokumenty listownie lub przyjeżdżać do naszego biura terenowego, aby załatwić swoje sprawy.
    • Dokumentację wolno przekazywać wyłącznie bezpośrednio na ręce osoby koordynującej prace w obiekcie świadczenia pracy przez pracownika (bezpośredniemu przełożonemu, roboczo nazwijmy go kierownikiem obiektu). Kierownicy obiektów zobowiązani są odwiedzać wszystkie podległe sobie obiekty w taki sposób, aby umożliwić pracownikom przekazanie dokumentów. Dotyczy to również obiektów, w których czynności sprzątania realizowane są poza godzinami pracy.

Jak widać, zajęcie stanowiska w takiej sprawie wymaga umiejętności patrzenia szeroką perspektywą. Wymaga zrozumienia realiów i sytuacji życiowej zaangażowanych osób oraz choćby zgrubnej intuicji tego, jak efekt skali przekłada się na koszty. Z żalem stwierdzam, że w prowadzeniu takiego badania dostrzegam równie wiele zagrożeń, co pożytku.

W efekcie, interes osób, których dane dotyczą, chroniony będzie przez powoływane do tego celu stowarzyszenia lub fundacje, zrzeszające osoby posiadające potrzebne kompetencje. Dokładnie tak samo sprawa wyglądała w dawnym porządku prawnym. Zmiany w przepisach umocowały te podmioty silniej, ale nie możemy tu mówić o rewolucji czy tym bardziej rewelacji.

Główne trudności związane z RODO

Zbudowanie funkcjonalnego i skutecznego systemu ochrony danych osobowych wymaga myślenia i zaangażowania. Nie ma bezpiecznej drogi na skróty. Samo to oznacza koszt w roboczogodzinach oraz konieczność wprowadzenia zmian w funkcjonowaniu organizacji, która przetwarza dane osobowe. Dla każdego podmiotu, zarówno z sektora prywatnego, jak i publicznego, hasła te oznaczają kłopoty.

Tematyce operacyjnej oraz kosztowej strony wdrażania RODO poświęciłem jeden z wcześniejszych artykułów, który dostępny jest na naszym blogu

Obecnie skupię się więc na problemach innej nieco natury. Chodzi konkretnie o sprawy kadrowe i dostępność specjalistów. Otóż, chcąc oszczędzić czas (a więc i pieniądze) potrzebny na zbudowanie systemu ochrony danych, należy oczywiście unikać marnotrawstwa. Mam tutaj konkretnie na myśli robotę wykonaną źle lub częściowo – taką, która będzie wymagała poprawek i dalszego zaangażowania. Ślepych zaułków nie unikniemy niestety tak łatwo. Dawniej, choć przepisy były mocno oderwane od rzeczywistości i faktycznych zagrożeń, zakres obowiązków był dość jednoznaczny. Łatwiej można było skorzystać z gotowych rozwiązań. Mniejszym wysiłkiem dawało się również ocenić skuteczność podjętych kroków. W RODO zdani jesteśmy natomiast na własną ocenę i rozliczani jesteśmy ze skutków naszych własnych decyzji. Im gorzej zbadamy sytuację, tym większe jest ryzyko, że nasze wybory okażą się błędne.

Weźmy, przykładowo, proste zagadnienie: Jak silne powinny być nasze hasła? Pod rządami polskiej ustawy z 97 roku wiadomo było, że muszą one stanowić ciągi minimum 8 znakowe, zawierające wielkie i małe litery oraz cyfry lub znaki specjalne oraz że muszą podlegać zmianie co 30 dni. Kropka. Obecnie stajemy natomiast przed koniecznością oceny proporcjonalności tych zabezpieczeń do zagrożeń, jakim podlegają chronione nimi dane. Możemy szukać wskazówek w raportach bezpieczeństwa polskiego Internetu, w normach lub na stronach instytucji, które statutowo zajmują się wydawaniem wytycznych w tym zakresie. Ile takich źródeł sprawdzimy? Któremu zaufamy jeżeli nie będą one ze sobą zgodne? Czy przyjmiemy jeden standard dla całej firmy i wszystkich systemów, czy też uzależnimy moc haseł od tego, jaki jest zakres uprawnień kont nimi chronionych? A może oprzemy proces logowania o inne mechanizmy? Kiedy należałoby wprowadzić uwierzytelnianie dwustopniowe? Czy hasła wolno nam przechowywać w postaci zaszyfrowanej, aby móc bezpiecznie zwiększyć ich złożoność nie ryzykując, że nikt ich nie spamięta? Jeżeli tak, to jakie parametry musi posiadać taki bank haseł? Czy bezpiecznie jest skorzystać z rozwiązania na licencji open source? Itd. itp..

W efekcie, okazuje się, że jedyną szansą przeprowadzenia szybkiego i bezpiecznego wdrożenia jest skorzystanie z wiedzy kogoś, kto już znalazł odpowiedzi na te wszystkie pytania. Oczywiście, znalezienie takiej osoby nie jest łatwe. Jeszcze rok temu osób zajmujących się ochroną danych osobowych w naszym kraju praktycznie nie było. Obecnie problem wygląda nieco inaczej. Powstało zatrzęsienie firm i kancelarii, które podają się za znawców tematu. Kiedyś problematyczne było wywalczenie sobie miejsca w grafiku eksperta. Teraz trzeba jeszcze wpierw odróżnić tego eksperta od bandy naciągaczy i odsiać ziarno od plew.

Widać również coraz wyraźniej, że nie sprawdza się dokładanie zadań IOD pracownikowi administracji, kadr czy IT. Ochrona danych osobowych wymaga przekrojowej wiedzy. To nie jest zadanie na dwie godziny w tygodniu. Temat nie kończy się na odbyciu jednego szkolenia lub znalezieniu dobrych wzorów w Internecie. Trzeba pamiętać o tym, że wydrukowanie jakiś tam polityk i spisanie zarządzenia stanowi obecnie fikcyjne zabezpieczenie. Gro z ukaranych do tej pory podmiotów tzw. “miało RODO”. Miało nawet więcej niż rezultaty fasadowych czynności, które tu wspomniałem. Wciąż jednak nie było to dość. RODO jest trudne.

Trzeba także zdawać sobie sprawę z faktu, że wdrożenie z prawdziwego zdarzenia wpłynie na firmę. Pilotujący je fachowiec będzie pytał i zgłaszał uwagi, będzie kontestował rozwiązania, będzie chciał dokumentować przyczyny podejmowanych decyzji. On nie może bezczynnie stać z boku. Znaczy się, oczywiście, może. Sęk tylko w tym, że w ten sposób ani nie ochroni firmy, ani ludzi, których dane są gromadzone ani nawet siebie, bo ma sporo zadań wynikających wprost z RODO, z których musi się wywiązać.

Na przecięciu tych zagadnień mnoży się obecnie RODO – fikcja. Pseudo wdrożenia. Ćwierć dostosowanie. Firmy, które spisują nowe polityki prywatności i nanoszą zmiany w regulaminach pracy i na tym RODO się u nich kończy. Świadomość personelu nadal jest zerowa. Gotowość organizacji do realizacji praw przysługujących osobom, których dane dotyczą, nie istnieje. Faktycznie inwazyjne formy przetwarzania (np. monitoring wizyjny) są kompletnie przemilczane. Wysyłając maila na adres wskazany do kontaktu w sprawach RODO należy uzbroić się w cierpliwość. Taka jest rzeczywistość.

Nie piszę tego jednak w charakterze pełnej krytyki. Rozumiem i szanuję motywacje administratorów, którzy obecnie ograniczają się do wykonania wyłącznie podstawowych kroków. Zdaję sobie sprawę z tego, jak wiele pracy trzeba włożyć, aby przygotować funkcjonalne i skuteczne rozwiązania. Nie jestem zaskoczony faktem, że wielu na to najzwyczajniej nie stać i że wdrożenia muszą być, z przyczyn finansowych, realizowane stopniowo. Patrząc z tej perspektywy, dochodzę do wniosku, że należy się cieszyć z faktu, że coraz więcej podmiotów (znacznie więcej niż przed RODO) podejmuje wysiłek dostosowania, nawet jeżeli działania te realizowane są “na raty”.

Mocne strony RODO

Należy bowiem spojrzeć prawdzie w oczy. Celem wdrażania RODO nie powinno być bezmyślne zrealizowanie prawnego obowiązku tylko faktyczne zabezpieczenie prywatności ludzi, którzy nam ufają. Ogólne rozporządzenie ma chronić osoby, a nie służyć samemu sobie za uzasadnienie.

W tym sensie, wysiłek wkładany w dostosowanie do przepisu, który jest trudny, ale lepiej realizuje ten społeczny cel, jest dużo bardziej perspektywiczne. Nasza ustawa o ochronie danych funkcjonowała przez 20 lat i nie wniosła praktycznie nic. Obecnie, audytując, szkoląc, wdrażając, trafiam na masę przypadków niezgodności ze starymi przepisami. Większość ludzi nie zdaje sobie nawet sprawy, że np. obowiązek powiadamiania o przetwarzaniu mamy od dawna. Prawo dostępu do własnych danych lub prawo wezwania do ich usunięcia przeciętny Polak uważa za nowości wprowadzone przez RODO, co oczywiście dalece mija się z prawdą. Jaka więc korzyść z tego, że dawne przepisy dawało się łatwiej wdrożyć?

W moim odczuciu, niewielka. Może był to niższy koszt, ale nie dało się oprzeć wrażeniu, że są to pieniądze kompletnie wyrzucone w błoto. Obecnie przynajmniej nie musimy sobie wmawiać, że robimy coś społecznie przydatnego, bo rezultaty wdrażania RODO widać gołym okiem.

Wspomniane przeze mnie wyżej rozmowy z mieszkańcami pobliskich bloków doprowadziły do tego, że firma nie zdemontowała monitoringu, który pierwotnie wydawał się zbyt inwazyjny. Kamery codziennie chronią auta stojące na osiedlowym parkingu. Nagrania pomogły też, jakiś rok wcześniej, zidentyfikować sprawcę kolizji drogowej, który uciekł z miejsca zdarzenia pozostawiając poszkodowaną osobę bez pomocy.

Analiza procesów związanych z funkcjonowaniem zakładowego funduszu świadczeń socjalnych pod względem zgodności z zasadą minimalizacji danych znacznie rozładowała napięcia pomiędzy zakładową organizacją związkową, a pracodawcą i kadrą kierowniczą.

Audyt zgodności z RODO pomógł uporządkować proces monitorowania rozwoju zawodowego pracowników redukując koszty pracodawcy i znacznie poprawiając poziom zadowolenia osób, których dotyczył. Bezpośrednie działanie, które przyniosło te pozytywne zmiany, polegało na usunięciu starych, nieaktualnych danych. Tak prosto.

Opisane powyżej przypadki i szereg innych, to małe ale rzeczywiste sukcesy, które jako MW Inspektorzy, codziennie odnosimy wraz z gronem naszych zaangażowanych i świadomych klientów. Obie strony czują, że robimy coś dobrego i nawet jeżeli wiąże się to z wysiłkiem, jest warte zachodu. RODO – realna ochrona danych osobowych – pomimo licznych wad, ma sens, na coś się przekłada, zmienia naszą rzeczywistość.

Co dalej?

Wracając do tezy przytoczonej na początku tego komentarza, że wciąż jesteśmy w punkcie wyjścia, trzeba wprost przyznać, że proces reformacji przetwarzania danych osobowych dopiero się zaczął. Oznacza to zarówno, że jeszcze dużo pracy przed nami, jak i to, że na faktyczne benefity społeczne tych zmian również przyjdzie nam jeszcze nieco poczekać.

Nie ma co spodziewać się już teraz fajerwerków. Zwłaszcza biorąc pod uwagę to, jak mało jeszcze, jako rynek, włożyliśmy pracy w tą społeczną metamorfozę. Z drugiej jednak strony, wydaje się silnie, że jest na co czekać. Choć zmiana jest mozolna bo ogólnoeuropejski organizm ma inercję zaspanego wieloryba, to jednak zmierza ona w “niezłą” stronę.

Biorąc pod uwagę rocznicowy charakter tego komentarza, nawiązując do sylwestrowo noworocznej tradycji, życzę tak Państwu, jak i sobie, aby nadchodzący rok okazał się bardziej jeszcze owocny niż minione 12 miesięcy oraz aby moje prognozy co do tego, że RODO przyniesie nam korzyści, nie okazały się mylne.