RAPORT: 6 miesięcy po RODO /Deloitte/

Już 25 listopada 2018 minęło 6 miesięcy od momentu rozpoczęcia stosowania nowych przepisów dotyczących ochrony danych osobowych. Ogólne Rozporządzenie o Ochronie Danych (RODO) jest jednym z najważniejszych wyzwań w zakresie zgodności z przepisami, z jakim musieli się zmierzyć wszyscy w ostatnim czasie. To klasyczny przykład regulacji UE, która wywiera wpływ na szereg rozwiązań faktycznych i prawnych.

RODO stanowi jeden z najistotniejszych aktów prawnych w zakresie zgodności (compliance) w ostatnich latach. Jako że dotyczy ono wszystkich sektorów gospodarki, jest wyzwaniem dla wszystkich podmiotów, które w ramach swojej działalności przetwarzają dane osobowe. Wdrożenie i stosowanie postanowień nowej regulacji stanowi ważne zadanie dla całego rynku.

Deloitte przygotował raport The GDPR: Six Months After Implementation obejmujący kluczowe informacje  w zakresie stosowania RODO. Dotyczy on głównych wyzwań, dobrych praktyk, inicjatyw sektorowych, regulacji lokalnych oraz działań organów ochrony danych osobowych. Raport zawiera szereg spostrzeżeń ekspertów Deloitte z Europy Środkowej (Polski, Słowacji, Słowenii, Rumunii, Bułgarii, Litwy, Łotwy, Czech i Chorwacji), opartych na obserwacji rynku oraz doświadczeniach projektowych. Mamy nadzieje, że raport okaże się dla Państwa interesujący i użyteczny.

Odnośnie do głównych wyzwań zidentyfikowanych w niniejszym raporcie, szczególną uwagę należy zwrócić na złożoność zagadnień związanych z mechanizmami ochrony danych osobowych. Implementacja RODO często wymaga zaangażowania różnych zespołów w ramach jednej organizacji, nie tylko prawników i specjalistów ds. ochrony prywatności, co może stanowić wyzwanie w zakresie zapoznania personelu z nowymi ramami regulacyjnymi. Jako że RODO jest relatywnie nową regulacją, często wskazuje się na problem trudności z interpretacją jego postanowień. Jednym z takich przykładów jest nadmierne poleganie na zgodzie jako podstawie prawnej dla przetwarzania danych.

Ponadto, w wielu przypadkach trudnym zadaniem jest określenie roli stron procesu przetwarzania danych (tj. administratora, podmioty przetwarzającego, współadministratora). W niektórych krajach organy ochrony danych działają bardzo aktywnie (np. poprzez publikowanie wytycznych), co jest postrzegane jako ważny krok w kierunku zapewnienia pewności prawnej dla uczestników rynku.

Postanowienia dotyczące stosowania profilowania stwarzają wiele pytań prawnych, zwłaszcza w silnie regulowanych sektorach, takich jak sektor finansowy. Administratorzy mogą napotykać trudności w określeniu podstawy prawnej przetwarzania danych (zgoda, uzasadniony interes, itd.). Zdarza się, że trudno zdecydować, czy dana operacja powinna być uznana za „profilowanie kwalifikowane” i w związku z tym, czy należy ją objąć obowiązkiem uzyskania zgody.

RODO: 85 proc. firm w zwłoce

raport The GDPR: Six Months After Implementation