Dziś mija 5 lat od wejścia w życie RODO, które gruntownie zrewidowało zasady przetwarzania danych osobowych w Unii Europejskiej. W ciągu tych 5 lat dynamicznie kształtowała się wykładnia przepisów, pojawiło się bogate orzecznictwo, wytyczne co do zasad przetwarzania danych oraz pierwsze kodeksy dobrych praktyk. Pojawiły się też kary – niekiedy bardzo dotkliwe. 5 urodziny RODO to dobry czas, aby zastanowić się nad zrewidowaniem i uaktualnieniem stosowanych wzorców i procedur.
Poniżej krótkie podsumowanie, co wydarzyło się w tym okresie i o czym powinien pamiętać każdy podmiot przetwarzający dane.
Zwiększenie świadomości na temat ochrony danych
Nie można zaprzeczyć, że wejście w życie RODO i wysokie kary za nieprzestrzeganie przepisów rozporządzenia zwiększyły świadomość w zakresie tego, jak ważne są dane osobowe w społeczeństwie informacyjnym, i jak dotkliwe mogą być skutki naruszenia ich ochrony. Osoby, których dane dotyczą zdecydowanie coraz częściej wiedzą, jakie mają prawa w związku z przetwarzaniem ich danych i korzystają aktywnie ze swoich uprawnień. W biznesie natomiast normą stała się dbałość o odpowiedzenie zabezpieczenie danych i skrupulatne wypełnianie obowiązków wynikających z przepisów. Kwestia ochrony prywatności stała się istotną częścią pracy nad projektem, w szczególności w sektorze IT czy e-commerce.
Kary z tytułu naruszenia RODO w Polsce
Do tej pory w Polsce nałożono 52 kary z tytułu naruszenia przepisów RODO, a najwyższa z nich wynosiła aż 4,9 mln złotych(!).
Zgodnie ze sprawozdaniem Prezesa Urzędu Ochrony Danych Osobowych opublikowanym w 2021 r. do najczęstszych naruszeń w zakresie danych osobowych należy:
a) nieprawidłowe zaadresowanie lub zapakowanie korespondencji;
b) udostępnienie danych niewłaściwej osobie;
c) zgubienie korespondencji przez operatora pocztowego lub kuriera, otwarcie korespondencji przed zwróceniem jej do nadawcy;
d) nieuprawniony dostęp do danych;
e) nieprawidłowa anonimizacja danych lub niezamierzona ich publikacja;
f) zagubienie lub kradzież nośnika danych;
g) zagubienie, kradzież lub pozostawienie dokumentacji w niezabezpieczonej lokalizacji;
h) wykorzystanie złośliwego oprogramowania ingerującego w integralność, poufność lub dostępność danych osobowych.
Przepisy sektorowe
Po wejściu w życie RODO ustawodawca sukcesywnie wprowadzał regulacje dotyczące ochrony danych osobowych do poszczególnych ustaw, regulujących różne dziedziny życia np. do Kodeksu pracy czy ustawy o świadczeniu usług drogą elektroniczną. Zasady z nich wynikające powinny być wdrożone u każdego przedsiębiorcy.
Transfery danych do państw trzecich
W związku z globalizacją społeczeństwa zagraniczne transfery danych stały się normą. Wciąż jest to kwestia problematyczna z punktu widzenia praktyki jak i orzecznictwa, w szczególności wobec orzecznictwa w sprawie Schrems i Schrems II. Każdy przypadek transferu danych do państw trzecich (a zdarzając się one często również w przypadku MŚP np. przy korzystaniu z niektórych usług popularnych dostawców usług online) powinien być dokładnie analizowany.
Aktualizacja rejestrów, okresowa weryfikacja PIA/DPIA
Należy pamiętać o bieżącej aktualizacji rejestrów upoważnień, rejestru incydentów, rejestru czynności przetwarzania danych czy rejestru kategorii czynności przetwarzania danych. Również PIA lub DPIA (oceny ryzyka związane z przetwarzaniem danych) powinny być okresowo ponawiane, z uwagi chociażby na intensywne zmiany technologiczne, do których odchodzi na przestrzeni lat.
Aktualizacja wzorców zgód i obowiązków informacyjnych
Z uwagi na pojawienie się nowych wytycznych i orzecznictwa warto również zrewidować stosowane przez siebie wzory zgód czy obowiązków informacyjnych. Czasami mogą bowiem one w swojej treści referować do nieaktualnych przepisów lub terminów.
Szkolenia okresowe
Prawidłowa ochrona danych w organizacji opiera się przede wszystkim na świadomości zagrożeń i obowiązków po stronie pracowników i osób zarządzających. Dlatego też warto okresowo przeprowadzać szkolenia i audyty w zakresie ochrony danych osobowych oraz cyberbezpieczeństwa.
W naszej kancelarii świadczymy kompleksowe usługi doradcze również w zakresie ochrony danych osobowych – współpracujemy również ze specjalistami w zakresie zabezpieczenia systemów IT, którzy doradzą w zakresie odpowiednich środków ochrony. Jeśli potrzebują Państwo wsparcia w tym zakresie, zachęcamy do kontaktu.
*materiał stanowi informacje o wykonywaniu zawodu
