Rezerwacja salki

Prawa i obowiązki wynikające z RODO

W ostatnich miesiącach jesteśmy świadkami gwałtownie rosnącego zainteresowania tematyką ochrony danych osobowych, związanych z bliskim terminem wejścia w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych tzw. RODO).

Daje się zaobserwować wyraźny wzrost podaży usług związanych z przetwarzaniem danych (audyty, szkolenia), którym często towarzyszy mniej lub bardziej dyskretna informacja o niezwykle surowych karach finansowych za nieprzestrzeganie nowych regulacji. W sposób oczywisty prowokuje to do pytań – czy nowe regulacje są potrzebne ? Czego właściwie ode mnie wymagają? Czy potrzebuję wsparcia zewnętrznego aby dostosować do nich swoją działalność? I przede wszystkim – czy powinienem się ich obawiać?

RODO – Czemu mają służyć nowe przepisy i dlaczego się je wprowadza ?

W dzisiejszych czasach dane osobiste (rodzaj informacji) są towarem i to towarem bardzo cennym. Towarem uniwersalnym, atrakcyjnym zarówno dla podmiotów gospodarczych jak i politycznych. Poziom dostępu do danych osobowych już dzisiaj decyduje o sukcesie w niektórych branżach nowoczesnej gospodarki – nieprzypadkowo liderami sprzedaży przestrzeni reklamowej w sieci są Facebook i Google. Wagę zagadnienia dostrzegli także politycy, którzy wykorzystując doświadczenia rynku z kształtowania decyzji zakupowych użytkowników Internetu, usiłują wpłynąć na ich preferencje wyborcze. Znamiennym przykładem tego podejścia wydaje się być świeża sprawa Cambridge Analytica. Prawdą jest oczywiście, iż opisane wyżej procesy nie są niczym nowym, a informacje dotyczące odbiorcy zawsze były podstawą skuteczności kierowanego do niego przekazu. Jednak rozwój technologii i społeczeństwa informacyjnego, sprawił iż nowoczesne narzędzia analityczne pozwalają dziś „targetować” klienta na niespotykaną dotychczas skalę i z niezwykłą precyzją, przy minimalnej kontroli ze strony osób których dane osobowe dotyczą, a często także ich zerowym zainteresowaniu. Szybkość tego rozwoju powoduje również, iż już istniejące przepisy dotyczące ochrony danych, przestają być efektywnym narzędziem regulacji tego obszaru, będąc nieadekwatnymi do rzeczywistości w której mają być stosowane W tym kontekście nie dziwi więc ruch ustawodawców, który jest naturalną konsekwencją rozwoju tego segmentu rynku.

Jak to będzie działać?

RODO jest aktem prawnym, który obowiązywać będzie na terenie Polski bezpośrednio. Nie ma konieczności oddzielnego implementowania go do polskiego systemu prawnego, ratyfikacji, czy wydawania oddzielnych aktów prawnych powtarzających jego postanowienia. Polskie prawo wewnętrzne zostanie co prawda zmienione poprzez uchwalenie nowej ustawy o ochronie danych osobowych, jednak będzie ona regulować głównie kwestie organizacyjne i proceduralne. Znajdą się w niej m.in. tryb powołania i kompetencje Prezesa Urzędu Ochrony Danych Osobowych, warunki certyfikacji i akredytacji, czy postępowanie w sprawach o naruszenie przepisów dotyczących ochrony danych. Nowa ustawa stanowić więc będzie rodzaj uzupełnienia RODO stwarzając organizacyjne ramy jego funkcjonowania na terenie Polski. Natomiast przepisy RODO, obejmujące kwestie kluczowe, takie jak zasady przetwarzania danych osobowych i obowiązki w tym zakresie, będą stosowane wprost w brzmieniu wynikającym z tego aktu do każdego polskiego podmiotu przetwarzającego dane osobowe. W całości ma zostać uchylona dotychczas obowiązująca polska Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922 z późn. zm.), która całościowo regulowała tę tematykę i strukturalnie skonstruowana była w wielu kwestiach w sposób analogiczny do RODO.

Jakie zmiany w przetwarzaniu danych osobowych wprowadza RODO?

W stosunku do obowiązującego dotychczas systemu ochrony danych osobowych w Polsce, nowe przepisy wprowadzają nowe instytucje, które zostaną pokrótce omówione poniżej, jednak na wstępie należy wyraźnie podkreślić pewną zmianę optyki w kwestii obowiązków narzuconych administratorom. Mianowicie Ustawa o ochronie danych osobowych z 1997 r. a zwłaszcza wydane na jej podstawie Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), wskazywały dosyć szczegółowo środki które administrator powinien podjąć w celu odpowiedniego zabezpieczenia przetwarzanych danych osobowych (dokumentacja i środki techniczne jak sam tytuł wskazuje). Z kolei RODO przyjmuje podejście oparte na ryzyku (risk based approach), polegające na tym, iż nie zawiera ono konkretnych środków i procedur w zakresie bezpieczeństwa, np. kontroli dostępu, szyfrowania, rozliczalności czy sposobu monitorowania procesów przetwarzania. Pozostawia administratorom swobodę w doborze odpowiednich środków bezpieczeństwa na podstawie samodzielnie przeprowadzonej analizy ryzyka. Administrator musi więc samodzielnie skonstruować system umożliwiający zapewnienie bezpiecznego przetwarzania danych. Wydaje się jednak, iż dotychczas obowiązujące przepisy, z racji konkretnych wytycznych w tym zakresie mogą być cenną wskazówką jakie działania podjąć. Obowiązują one już od 20 lat, w czasie których wykształciły się powszechnie akceptowane praktyki, jak również łatwy jest dostęp do wzorów dokumentów, literatury i specjalistów posiadających odpowiednią wiedzę i doświadczenie. Warto też podkreślić, iż o ile zabezpieczenie danych przetwarzanych elektronicznie wymaga specjalistycznej wiedzy technicznej i informatycznej, o tyle zabezpieczenie danych przetwarzanych w formie tradycyjnej – papierowej, najczęściej jest związane z podjęciem środków tzw. zdroworozsądkowych. Chodzi o prawidłową archiwizację dokumentów, kontrolowanie ich obiegu, oraz dostępu do pomieszczeń w których przechowywane są akta. Mówiąc językiem bardziej obrazowym – niedopuszczanie do sytuacji w których osoby trzecie mają swobodny, niekontrolowany dostęp do naszej dokumentacji.

RODO a obowiązek informacyjny

Obowiązek udzielenia szeregu informacji osobie od której pozyskujemy dane osobowe nie jest niczym nowym, jednak RODO rozszerza katalog informacji, które przy takiej okazji muszą zostać takim osobom przekazane. Są to:

  • Dane administratora (czyli podmiotu któremu osoba powierza swoje dane), jeżeli administrator powołał w swoich strukturach inspektora ochrony danych – także jego dane.
  • Cele przetwarzania danych, oraz podstawę prawną przetwarzania.
  • W przypadku kiedy dane przetwarzane są z tej przyczyny iż są niezbędne dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora – wskazanie tych celów i interesów (np. monitoring zakładu, książka gości, ewidencjonowanie poczty)
  • Informację o odbiorcach danych (głównie podmioty przetwarzające, którym administrator powierza dane – np. outsourcing usług księgowych, serwisowanie serwerów)
  • Jeżeli ma to zastosowanie – Informację o zamiarze przekazywania pozyskanych danych do państwa trzeciego (w rozumieniu RODO – poza obszar Europejskiego Obszaru Gospodarczego) albo organizacji międzynarodowej – użycie sformułowania „jeżeli ma to zastosowanie” wskazuje, iż ten obowiązek konkretyzuje się tylko kiedy administrator rzeczywiście ma zamiar przekazania danych do państwa trzeciego.
  • Okres przez jaki dane będą przechowywane, a jeżeli nie jest to możliwe – wskazanie kryterium ustalania tego okresu.
  • Poinformowanie o prawie dostępu do swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawie do wniesienia sprzeciwu co do przetwarzania oraz prawie do przeniesienia danych.
  • Prawo do wniesienia skargi do organu nadzorczego
  • Informacje czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba której dane jest zobowiązana do ich podania i jakie są ewentualne konsekwencje ich niepodania (najczęściej będzie to brak możliwości zawarcia umowy).
  • Informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 RODO (profilowanie to wnioskowanie z zebranych danych osobowych o cechach podmiotu które bezpośrednio z tych danych nie wynikają np. dane z kart kredytowych na potrzeby oceny zdolności kredytowej, albo próba oceny jaką decyzję podejmie osoba która znajduje się w podobnej sytuacji do grupy osób których dane już posiadamy. ) oraz istotne informacje o zasadach ich podejmowania.

Pełny zakres informacji sprecyzowany jest w art. 13 RODO. Powyższe wyliczenie nie obejmuje tych które mają niewielkie znaczenie w powszechnym obrocie gospodarczym. Ponadto art. 12 ust. 1 RODO podkreśla, iż informacje te muszą zostać przekazane w

„zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie”.

Uprawnienia osób fizycznych

Wśród powyższych informacji warto zwrócić uwagę na punkt mówiący o prawie sprostowania, usunięcia ograniczenia przetwarzania, prawie do wniesienia sprzeciwu co do przetwarzania i prawie do przenoszenia danych. Są to uprawnienia nadane osobom fizycznym przekazującym swoje dane administratorom. Część uległa rozszerzeniu w stosunku do obowiązujących aktualnie przepisów, część to uprawnienia zupełnie nowe. Administratorzy będą musieli być przygotowani do realizowania uprawnień, z którymi zgłaszać będą się do nich osoby których dotyczą przetwarzane dane osobowe.

Tak jak dotychczas osobom fizycznym przysługuje prawo do kontroli administratora, poprzez możliwość żądania określonych informacji (art. 15 ust. 1 RODO). Zakres tych informacji jest jednak istotnie rozszerzony (skorelowany z art. 13 RODO). Ponadto osobie przysługuje prawo żądania kopii swoich danych osobowych od administratora, co jest już nowością. Z brzmienia przepisu wynika, iż pierwszą kopię należy wydać bezpłatnie, natomiast za wszystkie następne administrator może naliczyć opłatę w rozsądnej wysokości na pokrycie swoich kosztów administracyjnych. Wydaje się to być rozsądnym rozwiązaniem chroniącym przedsiębiorców przed nadmiarem ich nieuzasadnionych wniosków i o wydanie kopii danych przez tą samą osobę.

Kwestia sprostowania danych nie uległa zasadniczo zmianom.

Prawo usunięcia danych, występuje także w aktualnie obowiązujących przepisach, także tutaj mamy do czynienia z rozszerzeniem tego prawa (art. 17 ust. 1 RODO). Jednocześnie wymieniono wyraźnie przypadki w których administrator nie musi zgromadzonych danych usuwać (art. 17 ust. 3 RODO), które jednak w większości nie będą dotyczyć standardowej działalności gospodarczej ( interes publiczny w dziedzinie zdrowia publicznego etc.). Wydaje się, iż w praktyce obrotu gospodarczego największe znaczenie mieć będzie wyjątek wskazany w art. 17 ust. 3 lit. e) RODO – ustalenie, dochodzenie i obrona roszczeń administratora.

Art. 17 ust. 2 RODO nakłada na administratora nie tylko obowiązek usunięcia danych ze swoich zasobów, ale jeżeli upublicznił dane, to w miarę swoich możliwości technicznych i finansowych jest on zobowiązany podjąć kroki aby usunęli je także inni administratorzy. W tytule tego przepisu uprawnienie to nazwane jest „prawem do bycia zapomnianym”.

W art. 18 RODO przewidziano prawo do żądania ograniczenia przetwarzania danych. Ograniczenie polega na tym, iż jedyną operacją przetwarzania jaką administrator może wykonywać na danych osobowych bez zgody osoby której dotyczą jest ich przechowywanie.

Jeżeli administrator dokonał sprostowania, usunięcia lub ograniczenia przetwarzania danych, jest zobligowany do poinformowania o tych operacjach odbiorców którym ujawnił te dane (art. 19 RODO). Niemniej jest z tego obowiązku zwolniony, jeżeli taka informacja będzie wymagać niewspółmiernie dużego wysiłku.

Zupełnie nowym uprawnieniem osób fizycznych, nieznanym aktualnie obowiązującej ustawie jest prawo do przenoszenia danych osobowych, przewidziane w art. 20 RODO. Najciekawszym jego aspektem jest możliwość wystąpienia do administratora z wnioskiem o przeniesienie danych bezpośrednio do innego administratora. Rozwiązanie to usprawnić ma możliwość zmiany dostawców usług i stymulować konkurencję w obszarach, które bazują na treściach dostarczanych przez użytkowników, choćby usługach bazujących na Web 2.0. Przykładem wykorzystania prawa do przenoszenia danych może być przenoszenie blogów pomiędzy poszczególnymi serwisami blogosfery czy kont na portalach społecznościowych. Uprawnienie to ułatwia także np. zmianę banku, gdyż pozwala na przeniesienie ustanowionych zleceń przelewów, zdefiniowanych odbiorców czy historii konta. Innym przykładem praktycznego wykorzystania prawa do przenoszenia danych może być przenoszenie list odtwarzania utworów pomiędzy serwisami muzycznymi czy też historii zakupów pomiędzy sklepami internetowymi (Czerniawski, Michał. Art. 20. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018). Uprawnienie to dotyczy danych przetwarzanych jedynie na niektórych podstawach wskazanych w art. 6 ust. 1 RODO, jednak są to podstawy najważniejsze z punktu widzenia przeciętnego użytkownika usług, tj. danych przetwarzanych na podstawie zgody, lub na podstawie umowy, przy czym przetwarzanie odbywa się w sposób zautomatyzowany.

Art. 21 RODO statuuje, iż w pewnym zakresie przetwarzania danych osoba uprawniona może wnieść sprzeciw wobec ich przetwarzania. Dotyczy to przypadków:

  • przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO tj. będącego niezbędnym do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, albo do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, w tym profilowania na podstawie tych przepisów,
  • przetwarzania na potrzeby marketingu bezpośredniego,
  • gdy dane przetwarzane są do celów badań naukowych lub historycznych lub do celów statystycznych

Uprawnieniem najmocniejszym jest sytuacja wskazana w pkt. b), kiedy sprzeciw skutkuje bezwzględna koniecznością zaprzestania przetwarzania danych. W pozostałych przypadkach administrator ma pewne możliwości wykazania, iż mimo sprzeciwu w dalszym ciągu zachodzi konieczność przetwarzania danych po jego stronie.

Rejestr czynności przetwarzania danych

W myśl dotychczasowych przepisów, każdy administrator podlegał obowiązkowi zgłaszania zbiorów przetwarzanych danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wymóg ten, uciążliwy dla administratorów, poddawany był krytyce nawet przez samych urzędników, postrzegających go jako przejaw niepotrzebnej biurokracji. RODO nie przewiduje obowiązku rejestracji swoich zbiorów w żadnym rejestrze urzędowym, przewiduje natomiast obowiązek prowadzenia przez administratorów rejestru czynności przetwarzania danych osobowych (art. 30 ust. 1 RODO).

Wskazać należy, iż zgodnie z art. 30 ust. 5 RODO obowiązek prowadzenia rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Wyłączenie to jest w istocie iluzoryczne. Ocena czy przetwarzanie danych może spowodować ryzyko naruszenia praw lub wolności osób których dane dotyczą, wymagać będzie przeprowadzenia przez każdego administratora własnej analizy ryzyka, co samo w sobie może być dosyć trudne. Każde przetwarzanie niesie ze sobą przecież pewną dozę ryzyka, przepis nie mówi o ryzyku „wysokim” lub „znacznym”. Ta sama wątpliwość dotyczy znamienia „sporadyczności” przetwarzania danych – jest to kategoria ocenna. Komentatorzy zalecają więc prowadzenie rejestrów czynności przetwarzania wszystkim podmiotom, także niewielkim, celem uniknięcia wątpliwości.

Rejestr może być prowadzony zarówno w formie papierowej jak i elektronicznej, przy czym wydaje się, iż biorąc pod uwagę efektywność regulacji, formę elektroniczną należy traktować szeroko tj. nie wymagającą podpisu elektronicznego (Lubasz, Dominik. Art. 30. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018). Może być to więc plik Word lub Excel – ważne, aby możliwe było jego udostępnienie organowi nadzorczemu na jego żądanie (art. 30 ust. 4 RODO). Rejestr powinien zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

Zgłaszanie naruszeń

Zupełnie nowym obowiązkiem narzuconym administratorom jest wymóg zgłaszania dostrzeżonych naruszeń danych osobowych do organu nadzorczego (art. 33 ust. 1 RODO). „Naruszenie” zdefiniowane jest w art. 4 ust. 1 pkt. 12 RODO i oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administratorzy będą więc zobowiązani do dokonywania swoistej „autodenuncjacji”. Naruszenie tego przepisu obwarowane jest administracyjną kara pieniężną zgodnie z art. 83 ust. 4 pkt a. RODO. Zgłoszenia należy dokonać szybko – maksymalnie w terminie 72 godzin od stwierdzenia naruszenia.

Można zaniechać zgłoszenia, jeżeli administrator stwierdzi, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Z kolei w razie stwierdzenia, iż naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (art. 34 RODO).

Inspektor Ochrony Danych

W myśl dotychczas obowiązujących przepisów administrator danych mógł powołać administratora bezpieczeństwa informacji – specjalistę zapewniającego przestrzeganie przepisów o ochronie danych osobowych. Jego powołanie nie było obowiązkowe w żadnym przypadku. W zapisach RODO pojawia się natomiast stanowisko inspektora danych osobowych, który pełnić ma podobną funkcję, z tym że jego powołanie będzie już w pewnych przypadkach obowiązkowe. W myśl art. 37 ust. 1 RODO Administrator wyznacza inspektora ochrony danych, zawsze gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, (definicja w art. 9 ust. 1 RODO), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (definicja w art. 10 RODO).

Jak widać z powyższego wyliczenia, większość przedsiębiorców nie będzie objęta obowiązkiem wyznaczenia inspektora ochrony danych w swojej jednostce. Oczywiście jego powołanie jest możliwe na zasadzie dobrowolności, jednak wówczas osoba ta musi działać z pełnym uwzględnieniem zapisów art. 37 – 39 RODO, które odnoszą się do zadań i kwalifikacji IOD. Takie stanowisko zajęła unijna Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwana dalej Grupą Roboczą, powołana na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych jako niezależny podmiot o charakterze doradczym. Natomiast istnieje też możliwość zatrudnienia (albo wynajęcia podmiotu zewnętrznego), pełniącego funkcje zbliżone do IOD, (np. jako specjalista ds. danych osobowych), jednak wyraźnie należy wówczas zaznaczyć, iż nie jest to Inspektor Danych Osobowych w rozumieniu przepisów RODO.

Wnioski i spekulacje

W wyniku wejścia w życie przepisów RODO system ochrony danych osobowych w Polsce zmieni się w sposób dość istotny. Jak wspomniano na wstępie, rozwój tej gałęzi prawa wydaje się być procesem koniecznym, stanowiącym przejaw naturalnej tendencji dostosowywania prawa do rzeczywistości i zupełnie nowych wyzwań jakie stawia ona przed ustawodawcą. Wiele z obowiązków nakładanych przez nowe przepisy było już znanych w ustawie o ochronie danych osobowych z roku 1997 r. Mimo iż w nowych przepisach są one znacznie rozwinięte, to jednak część instytucji jest znana i stosowana w aktualnym stanie prawnym. Uwaga ta dotyczy zwłaszcza mniejszych podmiotów, które bazują na dokumentacji papierowej, nie przetwarzają danych osobowych na masowa skalę i nie stosują profilowania. Nie wydaje się aby dla takich podmiotów, które działały w zgodzie z przepisami ustawy o ochronie danych z 1997 r. dostosowanie działalności do przepisów RODO było rzeczą przekraczającą ich możliwości – wymaga to przede wszystkim poważnego podejścia do zagadnienia.

Problem leży w trochę innym miejscu. Mianowicie tematyka ochrony danych osobowych w polskich przedsiębiorstwach – eufemistycznie mówiąc – rzadko kiedy traktowana była priorytetowo. Liczne są przypadki firm w których system ochrony danych osobowych nie funkcjonuje w ogóle. W tych przypadkach będzie on musiał zostać zbudowany od podstaw. Jak również sygnalizowano wcześniej, wydaje się iż dotychczasowy system prawny może być tutaj ułatwieniem. Wypełnienie obowiązków stawianych przez aktualne przepisy pozwoli w dużej części na stworzenie systemu działania pod rządami RODO. Na rynku funkcjonuje mnogość podmiotów zawodowo zajmujących się ochroną danych osobowych, które są dobrze przygotowane merytorycznie i mają wieloletnie doświadczenie w stosowaniu przepisów ustawy o ochronie danych osobowych. Specjalistyczne kancelarie oferują całościowe audyty działalności wraz ze sporządzeniem kompletnej dokumentacji i kontrola powykonawczą zaleceń. Niemniej koszty takiej operacji mogą przekraczać możliwości mniejszych podmiotów. Dlatego warto zbadać ofertę rynku lokalnego. W wielu przypadkach nawet jednodniowe szkolenie, może rozwiać wiele wątpliwości związanych z wejściem w życie nowej regulacji, a przynajmniej pomoże ocenić na ile dany podmiot jest przygotowany do funkcjonowania w nowym systemie prawnym.

Generalnie wydaje się, iż rzeczywistość, w której ochrona danych osobowych w firmie nie funkcjonuje latami, a przepisy jej dotyczące traktowane są jako abstrakcja odejdzie do przeszłości. Spowodowane jest to coraz większym znaczeniem danych osobowych dla współczesnej gospodarki, rosnącą świadomością społeczeństwa i wagą potencjalnych naruszeń wolności i praw do jakich może prowadzić lekceważenie tematu. Z powyższym łączy się pytanie, w jaki sposób państwo będzie egzekwować dostosowywanie działalności przedsiębiorców do nowych przepisów i tutaj możemy jedynie spekulować.

Nowa ustawa o ochronie danych osobowych powinna wejść w życie przed 25 maja 2018 r., projekt wpłynął do Sejmu 5 kwietnia 2018 r. i został już skierowany na I czytanie. W prasie pojawiło się doniesienie, iż GIODO po wystąpieniu jeszcze w 2017 r. do Ministra Finansów o odpowiednie środki pieniężne celem przygotowania się do działania pod rządami RODO, otrzymał informację, iż środki są zabezpieczone, ale zostaną przekazane UODO dopiero po wejściu nowej ustawy w życie. Ponieważ termin ten najprawdopodobniej zbiegnie się z rozpoczęciem obowiązywania RODO, nowy urząd może, zanim zdoła otrzymane środki odpowiednio zagospodarować, być przez pewien czas ograniczony w swoich działaniach po formalnym rozpoczęciu działalności. (źródło: http://wyborcza.pl/7,156282,23034320,giodo-nie-mamy-pieniedzy-by-przygotowac-sie-do-rodo.html)