Raport: 6 miesięcy po RODO

2018-12-12 | 09:59

Dokładnie 25 listopada 2018 roku minęło 6 miesięcy od momentu rozpoczęcia stosowania nowych przepisów dotyczących ochrony danych osobowych. Z całą pewnością Ogólne Rozporządzenie o Ochronie Danych („RODO”) jest jednym z najważniejszych wyzwań w zakresie zgodności z przepisami, z jakim musieli się zmierzyć wszyscy w ostatnim czasie.

RODO stanowi jeden z najistotniejszych aktów prawnych w zakresie zgodności (compliance) w ostatnich latach. Jako że dotyczy ono wszystkich sektorów gospodarki, jest wyzwaniem dla wszystkich podmiotów, które w ramach swojej działalności przetwarzają dane osobowe. Wdrożenie i stosowanie postanowień nowej regulacji stanowi ważne zadanie dla całego rynku. Przygotowaliśmy dla Państwa raport, obejmujący kluczowe informacje na temat niektórych najważniejszych kwestii w zakresie stosowania RODO. Dotyczy on głównych wyzwań, dobrych praktyk, inicjatyw sektorowych, regulacji lokalnych oraz działań organów ochrony danych osobowych. Raport zawiera szereg spostrzeżeń ekspertów Deloitte z Europy Środkowej (Polski, Słowacji, Słowenii, Rumunii, Bułgarii, Litwy, Łotwy, Czech i Chorwacji), opartych na obserwacji rynku oraz doświadczeniach projektowych. Mamy nadzieje, że raport okaże się dla Państwa interesujący i użyteczny.

W odniesieniu do głównych wyzwań zidentyfikowanych w niniejszym raporcie, szczególną uwagę należy zwrócić na złożoność zagadnień związanych z mechanizmami ochrony danych osobowych. Implementacja RODO często wymaga zaangażowania różnych zespołów w ramach jednej organizacji, nie tylko prawników i specjalistów ds. ochrony prywatności, co może stanowić wyzwanie w zakresie zapoznania personelu z nowymi ramami regulacyjnymi. Jako że RODO jest relatywnie nową regulacją, często wskazuje się na problem trudności z interpretacją jego postanowień. Jednym z takich przykładów jest nadmierne poleganie na zgodzie jako podstawie prawnej dla przetwarzania danych. Ponadto, w wielu przypadkach trudnym zadaniem jest określenie roli stron procesu przetwarzania danych (tj. administratora, podmioty przetwarzającego, współadministratora). W niektórych krajach organy ochrony danych działają bardzo aktywnie (np. poprzez publikowanie wytycznych), co jest postrzegane jako ważny krok w kierunku zapewnienia pewności prawnej dla uczestników rynku.

Postanowienia dotyczące stosowania profilowania stwarzają wiele pytań prawnych, zwłaszcza w silnie regulowanych sektorach, takich jak sektor finansowy. Administratorzy mogą napotykać trudności w określeniu podstawy prawnej przetwarzania danych (zgoda, uzasadniony interes, itd.). Zdarza się, że trudno zdecydować, czy dana operacja powinna być uznana za „profilowanie kwalifikowane” i w związku z tym, czy należy ją objąć obowiązkiem uzyskania zgody.

Jako dobrą praktykę należy wskazać fakt, że niektórzy administratorzy udostępnili publicznie swoje klauzule prywatności. Innym pozytywnym działaniem może być wprowadzenie paneli, umożliwiających podmiotom danych zarządzanie sposobami przetwarzania ich danych w prosty sposób. Wiele spółek wprowadziło specjalne środki bezpieczeństwa, urządzenia informatyczne oraz procesy w celu zapewnienia wysokiego poziomu ochrony danych osobowych. Te praktyki znacząco wzmacniają bezpieczeństwo i przejrzystość procesu przetwarzania danych.

- Zbigniew Korba, Radca prawny, Partner, Deloitte Legal

Większość właściwych organów aktywnie wspiera implementację RODO poprzez wydawanie wzorów dokumentów, wytycznych oraz opinii, które pomagają interpretować postanowienia RODO. W większości przypadków, nie nałożono jeszcze żadnych kar, nie przeprowadzono kontroli albo są one we wczesnym stadium. Odnotowano stosunkowo nieliczne działania organów krajowych w zakresie kontroli zgodności z RODO. Wydaje się, że organy ochrony danych osobowych skupiają się obecnie na wyjaśnianiu przepisów oraz wskazywaniu kwestii dotyczących zgodności z RODO. Przygotowany raport ukazuje również działania podjęte przez organy w obszarze przygotowania do wdrożenia RODO, takie jak wydarzenia zwiększające świadomość prawną, warsztaty oraz konferencje.

Prawie w każdym z państw objętych raportem, działania sektorowe zostały podjęte lub zakończone z sukcesem. Inicjatywy dotyczą głównie sektora bankowego i finansowego, medycznego oraz zarządzania zasobami ludzkimi. W większości krajów inicjatywy obejmują przygotowanie kodeksów dobrych praktyk.

W zakresie lokalnych ustaw uzupełniających postanowienia RODO, nie wszystkie z państw członkowskich przyjęły na obecnym etapie właściwe regulacje.  Przepisy szczególne odnoszą się głównie do organizacji organów ochrony danych, ich kompetencji, kwestii proceduralnych, okresów retencji oraz wyjątków i odstępstw ze względu na cele akademickie, twórczości artystycznej i prasowe.

Wiele z krajowych instytucji nie opublikowało jeszcze finalnej listy procesów przetwarzania danych podlegających obowiązkowej ocenie skutków przetwarzania dla ochrony danych (DPIA), jednakże w wielu przypadkach projekt takiej listy jest przedmiotem konsultacji publicznych albo prac legislacyjnych. W przypadkach, w których opublikowano wykazy dotyczące DPIA, wskazano na działalność opartą na automatycznym podejmowaniu decyzji, nadzorze wideo, monitorowaniu danych geograficznych na dużą skalę oraz przetwarzaniu szczególnych kategorii danych (np. danych zdrowotnych, biometrycznych i genetycznych), jako podlegających obowiązkowemu procesowi DPIA.

- Katarzyna Sawicka, Managing Associate, Deloitte Legal

W większości przypadków administratorzy postanowili odnowić swoje „stare” zgody na przetwarzanie danych osobowych. Zaobserwowano również powszechną praktykę dostarczania obowiązków informacyjnych, o których mowa w art. 13 i 14 RODO, za pośrednictwem nowoczesnych środków komunikacji, w tym publikowanie ich na stronach www.

Tagi: Deloitte RODO Katarzyna Sawicka Zbigniew Korba
Oceń artykuł:

Źródło: Deloitte

Raport: 6 miesięcy po RODO

Polityka Prywatności
  1. Serwis nie zbiera w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies.
  2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
  3. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies oraz uzyskującym do nich dostęp jest operator Serwisu.
  4. Pliki cookies wykorzystywane są w celu:
  5. dostosowania zawartości stron internetowych Serwisu do preferencji Użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie Użytkownika Serwisu i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb;
  6. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
  7. utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;
  8. W ramach Serwisu stosowane są następujące rodzaje plików cookies:
  9. „niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach Serwisu, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach Serwisu;
  10. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach Serwisu;
  11. „wydajnościowe” pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych Serwisu;
  12. „funkcjonalne” pliki cookies, umożliwiające „zapamiętanie” wybranych przez Użytkownika ustawień i personalizację interfejsu Użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi Użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.;
  13. „reklamowe” pliki cookies, umożliwiające dostarczanie Użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.
  14. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika Serwisu. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).
  15. Operator Serwisu informuje, że ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych Serwisu.
  16. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika Serwisu i wykorzystywane mogą być również przez współpracujących z operatorem Serwisu reklamodawców oraz partnerów.
  17. Więcej informacji na temat plików cookies znajdziesz pod adresem http://wszystkoociasteczkach.pl/ lub w sekcji „Pomoc” w menu przeglądarki internetowej.