Raport: 6 miesięcy po RODO

RODO stanowi jeden z najistotniejszych aktów prawnych w zakresie zgodności (compliance) w ostatnich latach. Jako że dotyczy ono wszystkich sektorów gospodarki, jest wyzwaniem dla wszystkich podmiotów, które w ramach swojej działalności przetwarzają dane osobowe. Wdrożenie i stosowanie postanowień nowej regulacji stanowi ważne zadanie dla całego rynku. Przygotowaliśmy dla Państwa raport, obejmujący kluczowe informacje na temat niektórych najważniejszych kwestii w zakresie stosowania RODO. Dotyczy on głównych wyzwań, dobrych praktyk, inicjatyw sektorowych, regulacji lokalnych oraz działań organów ochrony danych osobowych. Raport zawiera szereg spostrzeżeń ekspertów Deloitte z Europy Środkowej (Polski, Słowacji, Słowenii, Rumunii, Bułgarii, Litwy, Łotwy, Czech i Chorwacji), opartych na obserwacji rynku oraz doświadczeniach projektowych. Mamy nadzieje, że raport okaże się dla Państwa interesujący i użyteczny.

W odniesieniu do głównych wyzwań zidentyfikowanych w niniejszym raporcie, szczególną uwagę należy zwrócić na złożoność zagadnień związanych z mechanizmami ochrony danych osobowych. Implementacja RODO często wymaga zaangażowania różnych zespołów w ramach jednej organizacji, nie tylko prawników i specjalistów ds. ochrony prywatności, co może stanowić wyzwanie w zakresie zapoznania personelu z nowymi ramami regulacyjnymi. Jako że RODO jest relatywnie nową regulacją, często wskazuje się na problem trudności z interpretacją jego postanowień. Jednym z takich przykładów jest nadmierne poleganie na zgodzie jako podstawie prawnej dla przetwarzania danych. Ponadto, w wielu przypadkach trudnym zadaniem jest określenie roli stron procesu przetwarzania danych (tj. administratora, podmioty przetwarzającego, współadministratora). W niektórych krajach organy ochrony danych działają bardzo aktywnie (np. poprzez publikowanie wytycznych), co jest postrzegane jako ważny krok w kierunku zapewnienia pewności prawnej dla uczestników rynku.

Postanowienia dotyczące stosowania profilowania stwarzają wiele pytań prawnych, zwłaszcza w silnie regulowanych sektorach, takich jak sektor finansowy. Administratorzy mogą napotykać trudności w określeniu podstawy prawnej przetwarzania danych (zgoda, uzasadniony interes, itd.). Zdarza się, że trudno zdecydować, czy dana operacja powinna być uznana za „profilowanie kwalifikowane” i w związku z tym, czy należy ją objąć obowiązkiem uzyskania zgody. 

Jako dobrą praktykę należy wskazać fakt, że niektórzy administratorzy udostępnili publicznie swoje klauzule prywatności. Innym pozytywnym działaniem może być wprowadzenie paneli, umożliwiających podmiotom danych zarządzanie sposobami przetwarzania ich danych w prosty sposób. Wiele spółek wprowadziło specjalne środki bezpieczeństwa, urządzenia informatyczne oraz procesy w celu zapewnienia wysokiego poziomu ochrony danych osobowych. Te praktyki znacząco wzmacniają bezpieczeństwo i przejrzystość procesu przetwarzania danych.

- Zbigniew Korba, Radca prawny, Partner, Deloitte Legal

Większość właściwych organów aktywnie wspiera implementację RODO poprzez wydawanie wzorów dokumentów, wytycznych oraz opinii, które pomagają interpretować postanowienia RODO. W większości przypadków, nie nałożono jeszcze żadnych kar, nie przeprowadzono kontroli albo są one we wczesnym stadium. Odnotowano stosunkowo nieliczne działania organów krajowych w zakresie kontroli zgodności z RODO. Wydaje się, że organy ochrony danych osobowych skupiają się obecnie na wyjaśnianiu przepisów oraz wskazywaniu kwestii dotyczących zgodności z RODO. Przygotowany raport ukazuje również działania podjęte przez organy w obszarze przygotowania do wdrożenia RODO, takie jak wydarzenia zwiększające świadomość prawną, warsztaty oraz konferencje.
 

Prawie w każdym z państw objętych raportem, działania sektorowe zostały podjęte lub zakończone z sukcesem. Inicjatywy dotyczą głównie sektora bankowego i finansowego, medycznego oraz zarządzania zasobami ludzkimi. W większości krajów inicjatywy obejmują przygotowanie kodeksów dobrych praktyk.

W zakresie lokalnych ustaw uzupełniających postanowienia RODO, nie wszystkie z państw członkowskich przyjęły na obecnym etapie właściwe regulacje.  Przepisy szczególne odnoszą się głównie do organizacji organów ochrony danych, ich kompetencji, kwestii proceduralnych, okresów retencji oraz wyjątków i odstępstw ze względu na cele akademickie, twórczości artystycznej i prasowe.

Wiele z krajowych instytucji nie opublikowało jeszcze finalnej listy procesów przetwarzania danych podlegających obowiązkowej ocenie skutków przetwarzania dla ochrony danych (DPIA), jednakże w wielu przypadkach projekt takiej listy jest przedmiotem konsultacji publicznych albo prac legislacyjnych. W przypadkach, w których opublikowano wykazy dotyczące DPIA, wskazano na działalność opartą na automatycznym podejmowaniu decyzji, nadzorze wideo, monitorowaniu danych geograficznych na dużą skalę oraz przetwarzaniu szczególnych kategorii danych (np. danych zdrowotnych, biometrycznych i genetycznych), jako podlegających obowiązkowemu procesowi DPIA.

- Katarzyna Sawicka, Managing Associate, Deloitte Legal
 

W większości przypadków administratorzy postanowili odnowić swoje „stare” zgody na przetwarzanie danych osobowych. Zaobserwowano również powszechną praktykę dostarczania obowiązków informacyjnych, o których mowa w art. 13 i 14 RODO, za pośrednictwem nowoczesnych środków komunikacji, w tym publikowanie ich na stronach www.