Bohater wielu medialnych przekazów ostatnich tygodni: General Data Protection Regulation (GDPR), czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO), które po kilkuletnich dyskusjach zostało przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016r. Zaczyna obowiązywać 25 maja 2018r stąd, należy spodziewać się, że jeszcze przez klika miesięcy wiele nagłówków portali internetowych i gazet, zarówno tych branżowych, specjalistycznych jak i skierowanych do szerokiego grona odbiorców będzie krzyczało i ostrzegało: Rewolucja w ochronie danych osobowych!; Czy Twoja firma gotowa jest na RODO?; Gigantyczne koszty przystosowania do RODO; .... Niejednokrotnie wczytując się w treść tych dramatycznie brzmiących artykułów znajduję, że jako absolutnie rewolucyjne przedstawiane są wymagania RODO, które w 100% zgodne są z obowiązującą od 20 lat (!!!) ustawą o ochronie danych osobowych.
Niemniej jednak RODO niesie pewne zmiany, które mogą być rewolucyjne szczególnie dla tej grupy podmiotów, które dotychczas ograniczyły działania w zakresie ochrony danych osobowych do zakupu za kilkaset złotych szablonów wymaganej dokumentacji. Dla wszystkich tych, którzy zbudowali autentycznie funkcjonujący system zarządzania bezpieczeństwem informacji, RODO nie tylko nie będzie powodem wywrócenia wszystkiego do góry nogami i koniecznością rozpoczęcia pracy od początku, ale z uwagi na wysoki poziom ogólności i brak konkretnych, formalnych wymogów, może stać się szansą na bardziej elastyczne podejście do stosowanych zabezpieczeń.
Pamiętajmy, że ostateczny kształt nowego porządku prawnego regulującego kwestie ochrony danych osobowych uzależniony jest nie tylko od zapisów RODO. Oczywiście rozporządzenie unijne nie wymaga transpozycji do systemu prawnego kraju członkowskiego UE, jednak zawarte w nim zapisy pozostawiają pewną swobodę i przestrzeń dla prawa krajowego. Podczas gdy uwaga, również medialna, skupiona jest na nowej ustawie o ochronie danych osobowych, w zaciszach ministerialnych gabinetów, w ramach dostosowywania prawa polskiego do wymagań RODO powstają projekty zmian setek branżowych ustaw i rozporządzeń. I cóż, jeśli doszukiwać się jakiejś rewolucji to okazać się może, że będziemy świadkami rewolucyjnie szerokiego zakresu wyłączeń i ograniczeń stosowania prawa unijnego. Na razie trudno oprzeć się wrażeniu, że zakres proponowanych wyłączeń wykracza w niektórych przypadkach poza określone w RODO ramy i może zostać zakwestionowany przez Komisję Europejską.
Sądzę, że ocena czekającej nas zmiany będzie możliwa dopiero za czas jakiś – kiedy opadnie medialny i legislacyjny kurz, pojawią się pierwsze orzeczenia i spójne komentarze w literaturze prawniczej.
Jeśli mógłbym dziś coś rekomendować to zachowanie spokoju oraz kierowanie się racjonalnością w podejmowanych działaniach.
W kolejnych wpisach postaram się przedstawić najistotniejsze zapisane w RODO obowiązki oraz możliwe sposoby ich realizacji.