RODO
z czym to się je?

O RODO “trąbi się” już od jakiegoś czasu. Nic dziwnego, 25 maja 2018 roku weszło w życie RODO (GDPR), czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Zmiany, jakie do tego czasu muszą wprowadzić firmy w krajach członkowskich są poważne, a w powietrzu wisi widmo wielomilionowych kar.

Kogo dotyczy RODO?
Tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy instytucje finansowe – oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.
Od maja tego roku przepisy dotyczące ochrony danych osobowych dla wszystkich 28 państw członkowskich mają być ujednolicone. Intencją unijnych urzędników było unowocześnienie regulacji o ochronie danych osobowych, które obowiązuje od 1995 r. i w dobie postępującej cyfryzacji mają coraz mniejsze zastosowanie praktyczne. Jednocześnie nowe prawo zostało stworzone tak, aby było „technologicznie neutralne”, czyli aktualne niezależnie od rozwoju technologii.
Dlatego unijne rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Bo nie dość, że wytyczne te musiałyby być inne dla każdej branży, to jeszcze szybko mogłoby się okazać, że trzeba je na nowo dostosowywać do zmieniających się warunków.

Każdy przedsiębiorca działa inaczej. Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej w bankowym, a jeszcze inaczej w handlu internetowym. W związku z tym nie ma jednego szablonu, tylko każdy dostanie obowiązek stworzenia go sobie samemu – jest to problematyczne oraz stanowi swoiste wyzwanie dla pomniejszych firm, które są zmuszone inwestować środki w profesjonalne doradztwo w tym zakresie.

Główny kierunek zmian jakie wprowadza rozporządzenie to wprowadzenie większego nacisku na administratorów, aby do ich zadań nie należało tylko zapewnienie odpowiedniej ochrony danych osobowych, ale przede wszystkim zdolność wykazania przestrzegania przepisów i wdrożenia środków narzuconych przez RODO.

Zmniejsza się ilość „twardych” wytycznych i minimalnych środków ochrony na rzecz samodzielnego dobrania przez administratora właściwych środków biorąc pod uwagę kategorie, zakres, charakter i kontekst przechowywanych danych. Istotne będzie faktyczne zapewnienie ochrony danych osobowych, a samo sporządzanie dokumentacji nie będzie wystarczające dla udowodnienia przestrzegania przepisów.