5 lat RODO: 5 sukcesów i 5 porażek

25 maj 2023

Mija 5 lat, odkąd zaczęło obowiązywać unijne ogólne rozporządzenie o ochronie danych – czas na podsumowanie. Co się udało, a co można poprawić? Zapraszamy na krótkie podsumowanie sukcesów i porażek RODO.

Co się udało?

  • Większa świadomość dotycząca prawa ochrony danych osobowych: administratorzy danych i podmioty przetwarzające dane osobowe są bardziej świadomi swoich obowiązków wynikających z RODO. Osoby, których dane dotyczą mają większą wiedzę dotyczącą przysługujących im praw związanych z przetwarzaniem danych.
  • Wspólna regulacja dla całej UE: stanowiska Europejskiej Rady Ochrony Danych i wyroki TSUE wyjaśniają poszczególne pojęcia i obowiązki wynikające z RODO. W przyszłości istnieje szansa na jednolite stosowanie RODO w UE.
  • Większa transparentność dla osób, których dane dotyczą: dzięki zasadzie przejrzystości osoby, których dane dotyczą są lepiej informowane o tym, jak są wykorzystywane ich dane osobowe.
  • Prawo dostępu do danych: RODO pozwala na szeroki zakres prawa dostępu do danych, w tym prawa do bezpłatnej kopii danych. Prawo dostępu do danych ułatwia korzystanie z pozostałych praw osób, których dane dotyczą oraz wzmocnienia pozycję osób, których dane dotyczą w relacji z administratorami danych.
  • Szeroki zakres stosowania terytorialnego RODO: RODO ma zastosowanie także do podmiotów, które nie mają jednostek organizacyjnych w UE, ale przetwarzają dane osobowe Europejczyków. Dzięki temu podmioty spoza UE dostosowują się do wymogów RODO i zapewniają bezpieczeństwo danych osobowych przynajmniej na takim poziomie jak administratorzy z UE.

Nad czym trzeba jeszcze popracować?

  • Bardzo długie okresy prowadzenia postępowań przez organy ochrony danych i sądy administracyjne: osoby, które składają skargi na niezgodne z prawem przetwarzanie ich danych oraz podmioty, których skargi dotyczą muszą długo czekać na rozpatrzenie tych spraw
  • Niepewność w zakresie globalnych transferów danych: Szczególnie wobec transferów danych do USA po wyroku TSUE w sprawie Schrems II. Powoduje to chaos przy stosowaniu narzędzi marketingowych lub rozwiązań chmurowych, gdzie dane są przekazywane poza UE.
  • Niewiele korzyści z mechanizmów certyfikacji i kodeksów postępowania: istnieje tylko jeden zatwierdzony unijny mechanizm certyfikacji, natomiast w Polsce został zatwierdzony tylko jeden kodeks postępowania. Brak jest zatem tych narzędzi, które miały ułatwiać MŚP spełnianie obowiązków wynikających z RODO oraz wykazywanie zgodności z RODO.
  • Brak zrozumienia podejścia opartego na ryzyku przez niektórych administratorów lub podmioty przetwarzające: stosowanie RODO wymaga dynamicznego i elastycznego podejścia do obowiązków wynikających z rozporządzenia (takich jak szacowanie ryzyka czy weryfikacja procesora). Brak zrozumienia powoduje niski poziom ochrony danych lub brak tej ochrony, z uwagi na zdezaktualizowanie się zabezpieczeń stosowanych przez administratorów czy podmioty przetwarzające dane
  • Nieprzyjęcie się uprzednich konsultacji jako platformy współpracy między administratorami a organem nadzorczym: uprzednie konsultacje miały być platformą odformalizowanej współpracy między administratorem a organem nadzorczym, dedykowaną dla skomplikowanych procesów przetwarzania danych. W praktyce takie konsultacje rzadko się odbywają, przez co administratorzy nie mogą uzyskać praktycznego wsparcia organu co do zapewnienia zgodności z RODO.