Moment wejścia w życie RODO zbliża się wielkimi krokami. Mniej więcej od połowy 2017 roku większość zasobów Kancelarii angażujemy w przygotowanie Klientów do nadchodzących zmian. Mamy za sobą kilka zakończonych projektów, kilka innych jest bardzo zaawansowanych, jest to więc dobry moment na pewne podsumowania.
Dr Gabriela Bar, która w kieruje zespołem odpowiedzialnym za wdrożenie RODO, wskazuje, że najczęstszym problemem z jakim spotykamy się u Klienta jest konieczność „przestawienia” z podejścia formalnego na podejście oparte na ciągłej ocenie ryzyka (risk based approach).
RODO nie przewiduje, że wdrożenie konkretnych zabezpieczeń lub posiadanie konkretnej dokumentacji daje automatycznie efekt zgodności. Dokumentacja sporządzona w oparciu o wymogi rozporządzenia MSWiA z 29.04.2004r. często nie ma oparcia w praktyce organizacji. Obecnie największym wyzwaniem zarówno dla prawników, jak i przedsiębiorców jest przeprowadzenie właściwej oceny skutków przetwarzania, która ma na celu zrozumienie zagrożeń oraz dobór adekwatnych środków bezpieczeństwa ochrony danych, w tym stworzenie relewantnej dokumentacji.
Warto wiedzieć, że w ramach Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 Grupa Robocza art. 29 wskazała, że brak przestrzegania przyjętych przez administratora polityk wewnętrznych lub w ogóle brak przyjęcia jakichkolwiek polityk (np. polityki bezpieczeństwa informacji) będzie kwalifikowane jako niedochowanie należytej staranności. Z tego pośrednio wynika, że posiadanie dokumentacji związanej z przetwarzaniem danych nie jest kluczem do zachowania zgodności z zasadami ochrony danych. Zgodnie z zasadą rozliczalności Administrator ma obowiązek wykazania realizacji ochrony danych w swojej organizacji, a nie jedynie posiadania, nawet rzetelnie przygotowanej, dokumentacji, która nie jest stosowana w praktyce.
Przypominamy, że RODO wchodzi w życie 25 maja 2018 roku, czasu na rozpoczęcie prac wdrożeniowych jest już więc naprawdę bardzo niewiele.
