Reklama
Partner portalu

DlaHandlu.pl – wiadomości handlowe, FMCG, ecommerce, franczyza, sieci handlowe

Deloitte w 6 miesięcy po RODO: Na razie niewiele kontroli i kar

RODO jest relatywnie nową regulacją, często wskazuje się na problem trudności z interpretacją jego postanowień. Jednym z takich przykładów jest nadmierne poleganie na zgodzie jako podstawie prawnej dla przetwarzania danych. Ponadto, w wielu przypadkach trudnym zadaniem jest określenie roli stron procesu przetwarzania danych (tj. administratora, podmioty przetwarzającego, współadministratora) – wynika z raportu firmy Deloitte.
Reklama

Dokładnie 25 listopada 2018 roku minęło 6 miesięcy od momentu rozpoczęcia stosowania nowych przepisów dotyczących ochrony danych osobowych. Z całą pewnością Ogólne Rozporządzenie o Ochronie Danych („RODO”) jest jednym z najważniejszych wyzwań w zakresie zgodności z przepisami, z jakim musieli się zmierzyć wszyscy w ostatnim czasie.

RODO stanowi jeden z najistotniejszych aktów prawnych w zakresie zgodności (compliance) w ostatnich latach. Jako że dotyczy ono wszystkich sektorów gospodarki, jest wyzwaniem dla wszystkich podmiotów, które w ramach swojej działalności przetwarzają dane osobowe. Wdrożenie i stosowanie postanowień nowej regulacji stanowi ważne zadanie dla całego rynku. Deloitte przygotowało raport, który zawiera szereg spostrzeżeń ekspertów Deloitte z Europy Środkowej (Polski, Słowacji, Słowenii, Rumunii, Bułgarii, Litwy, Łotwy, Czech i Chorwacji), opartych na obserwacji rynku oraz doświadczeniach projektowych.

W odniesieniu do głównych wyzwań zidentyfikowanych w raporcie, szczególną uwagę należy zwrócić na złożoność zagadnień związanych z mechanizmami ochrony danych osobowych. Implementacja RODO często wymaga zaangażowania różnych zespołów w ramach jednej organizacji, nie tylko prawników i specjalistów ds. ochrony prywatności, co może stanowić wyzwanie w zakresie zapoznania personelu z nowymi ramami regulacyjnymi.

Jako że RODO jest relatywnie nową regulacją, często wskazuje się na problem trudności z interpretacją jego postanowień. Jednym z takich przykładów jest nadmierne poleganie na zgodzie jako podstawie prawnej dla przetwarzania danych. Ponadto, w wielu przypadkach trudnym zadaniem jest określenie roli stron procesu przetwarzania danych (tj. administratora, podmioty przetwarzającego, współadministratora). W niektórych krajach organy ochrony danych działają bardzo aktywnie (np. poprzez publikowanie wytycznych), co jest postrzegane jako ważny krok w kierunku zapewnienia pewności prawnej dla uczestników rynku.

Postanowienia dotyczące stosowania profilowania stwarzają wiele pytań prawnych, zwłaszcza w silnie regulowanych sektorach, takich jak sektor finansowy. Administratorzy mogą napotykać trudności w określeniu podstawy prawnej przetwarzania danych (zgoda, uzasadniony interes, itd.). Zdarza się, że trudno zdecydować, czy dana operacja powinna być uznana za „profilowanie kwalifikowane” i w związku z tym, czy należy ją objąć obowiązkiem uzyskania zgody. 

- Jako dobrą praktykę należy wskazać fakt, że niektórzy administratorzy udostępnili publicznie swoje klauzule prywatności. Innym pozytywnym działaniem może być wprowadzenie paneli, umożliwiających podmiotom zarządzanie sposobami przetwarzania ich danych w prosty sposób. Wiele spółek wprowadziło specjalne środki bezpieczeństwa, urządzenia informatyczne oraz procesy w celu zapewnienia wysokiego poziomu ochrony danych osobowych. Te praktyki znacząco wzmacniają bezpieczeństwo i przejrzystość procesu przetwarzania danych – mówi Zbigniew Korba, Radca prawny, Partner, Deloitte Legal.

Większość właściwych organów aktywnie wspiera implementację RODO poprzez wydawanie wzorów dokumentów, wytycznych oraz opinii, które pomagają interpretować postanowienia RODO. W większości przypadków, nie nałożono jeszcze żadnych kar, nie przeprowadzono kontroli albo są one we wczesnym stadium. Odnotowano stosunkowo nieliczne działania organów krajowych w zakresie kontroli zgodności z RODO. Wydaje się, że organy ochrony danych osobowych skupiają się obecnie na wyjaśnianiu przepisów oraz wskazywaniu kwestii dotyczących zgodności z RODO. Przygotowany raport ukazuje również działania podjęte przez organy w obszarze przygotowania do wdrożenia RODO, takie jak wydarzenia zwiększające świadomość prawną, warsztaty oraz konferencje.

Prawie w każdym z państw objętych raportem, działania sektorowe zostały podjęte lub zakończone z sukcesem. Inicjatywy dotyczą głównie sektora bankowego i finansowego, medycznego oraz zarządzania zasobami ludzkimi. W większości krajów inicjatywy obejmują przygotowanie kodeksów dobrych praktyk.

W zakresie lokalnych ustaw uzupełniających postanowienia RODO, nie wszystkie z państw członkowskich przyjęły na obecnym etapie właściwe regulacje.  Przepisy szczególne odnoszą się głównie do organizacji organów ochrony danych, ich kompetencji, kwestii proceduralnych, okresów retencji oraz wyjątków i odstępstw ze względu na cele akademickie, twórczości artystycznej i prasowe.

- Wiele z krajowych instytucji nie opublikowało jeszcze finalnej listy procesów przetwarzania danych podlegających obowiązkowej ocenie skutków przetwarzania dla ochrony danych (DPIA), jednakże w wielu przypadkach projekt takiej listy jest przedmiotem konsultacji publicznych albo prac legislacyjnych. W przypadkach, w których opublikowano wykazy dotyczące DPIA, wskazano na działalność opartą na automatycznym podejmowaniu decyzji, nadzorze wideo, monitorowaniu danych geograficznych na dużą skalę oraz przetwarzaniu szczególnych kategorii danych (np. danych zdrowotnych, biometrycznych i genetycznych), jako podlegających obowiązkowemu procesowi DPIA - mówi Katarzyna Sawicka, Managing Associate, Deloitte Legal.

W większości przypadków administratorzy postanowili odnowić swoje „stare” zgody na przetwarzanie danych osobowych. Zaobserwowano również powszechną praktykę dostarczania obowiązków informacyjnych, o których mowa w art. 13 i 14 RODO, za pośrednictwem nowoczesnych środków komunikacji, w tym publikowanie ich na stronach www.

 

Reklama

Lista tagów

Zobacz komentarze (0)

Proszę podać imię
Proszę wpisać treść komentarza
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum