Wywiad z dr. adw. Pawłem Litwińskim - redaktorem naukowym komentarza do RODO

A A A

W związku z zakończeniem prac nad komentarzem do RODO, którego jest Pan redaktorem naukowym i który ukaże się na rynku w listopadzie tego roku, prosimy o przedstawienie naszym Czytelnikom eksperckich opinii dotyczących najbardziej nurtujących problemów.

     

    • Jak ocenia Pan zakres przygotowania administratorów danych do obowiązywania przepisów RODO?

     

Paweł Litwiński: Z tym bywa różnie. Duże podmioty z sektora prywatnego zazwyczaj są świadome nadchodzących zmian, a projekty wdrożenia RODO są w toku lub powoli zmierzają do końca, często jako projekty globalne. Wśród mniejszych podmiotów i, niestety, w części sektora publicznego implementacja RODO dopiero się zaczyna. A trzeba mieć świadomość tego, że np. niewielki startup, który przetwarza duże ilości danych o stanie zdrowia, może generować znacznie więcej problemów dla ochrony danych osobowych niż wielka firma produkcyjna. I od razu też trzeba podkreślić, że proces dostosowania do RODO w zasadzie nigdy się nie zakończy, a zapewnienie zgodności z RODO jest procesem dynamicznym, wymagającym stałej uwagi i stałego uwzględniania zmieniającego się otoczenia prawnego, technicznego i społecznego. To, co robimy teraz, to dopiero początek, tworzenie ram dla stałego zapewniania zgodności z RODO.

     

    • Jakie zadania, Pana zdaniem, wymagają najwięcej pracy ze strony administratorów danych w związku z RODO?

     

P.L.: RODO zrywa z 20-letnią praktyką znaną na gruncie ustawy o ochronie danych osobowych i rozporządzeń wykonawczych do niej, która sprowadzała proces zapewnienia zgodności z prawem do kilku czy kilkunastu konkretnych wymagań, które należało spełnić. Na gruncie RODO obowiązki, związane np. z zabezpieczeniem danych osobowych, sprowadzone zostały wyłącznie do ogólnej reguły, której wypełnienie pozostawiono już każdemu z podmiotów indywidualnie. I właśnie największą trudność – i najwięcej pracy – widzę w odniesieniu do takich obowiązków, co do których w RODO fundamentalnie zmienia się podejście.
Wielkim problemem będą też obowiązki całkiem nowe, nieznane na gruncie dotychczasowych przepisów. Tutaj na pierwszy plan wybija się przeprowadzanie oceny skutków dla ochrony danych osobowych.

     

    • Jak zmienią się uprawnienia osób, których dane dotyczą?

     

P.L.: Uprawnienia podmiotów danych zmienią się dosyć radykalnie. Po pierwsze, pojawią się zupełnie nowe uprawnienia: prawo do przenoszenia danych i prawo do bycia zapomnianym. Po drugie, znane dotychczas uprawnienia – w szczególności uprawnienia o charakterze informacyjnym – ulegną zmianie co do treści i sposobu ich wykonywania. W przypadku każdego administratora danych powinno się dokonać przeglądu obecnie stosowanych procedur w tym zakresie i dostosować je do RODO, a także przygotować odpowiednie rozwiązania dla nowych uprawnień.

     

    • Jak zmieni się zakres obowiązków ABI, którzy 25.5.2018 r. zostaną powołani na stanowiska inspektów ochrony danych?

     

P.L.: Inspektorzy ochrony danych (IOD) z mocy prawa będą pełnić rolę punktu kontaktowego dla nowego organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych. Rola IOD będzie więc znacznie większa niż to jest obecnie, gdy mogą dokonywać na zlecenie GIODO sprawdzenia. Z drugiej strony, uwzględniając obowiązki IOD wynikające z RODO oraz ze względu na regułę privacy by design, IOD powinni być włączani we wszystkie procesy związane z przetwarzaniem danych osobowych. Z pewnością wzmocni to rolę IOD w organi­zacji.

     

    • Z jakimi konsekwencjami liczyć się muszą administratorzy danych, którzy nie zdążą wdrożyć nowych procedur przed 25.5.2018 r.?

     

P.L.: Przepisy RODO często sprowadzają się właśnie do konsekwencji, głównie finansowych, a to nie jest właściwe podejście. Oczywiście RODO przewiduje możliwość nakładania kar przez organ nadzorczy, ale skutki niewdrożenia RODO, to głównie skutki, których nie odczuje się od razu. Mam na myśli niedostosowanie organizacji do wymogów prawa, co będzie skutkować w przyszłości np. tym, że administratorzy danych nie będą mogli wykonywać żądań osób, których dane dotyczą – np. żądania przeniesienia danych, czy prawa do bycia zapomnianym. W rezultacie powstanie efekt kuli śniegowej i konsekwencje tego stanu rzeczy będą narastały.

     

    • Jakie najważniejsze zmiany należy poczynić w dotychczas prowadzonej dokumentacji przetwarzania danych, by zapewnić jej zgodność z RODO?

     

P.L.: Po pierwsze, trzeba ją zachować – i to mimo tego, że z RODO wprost nie wynika obowiązek prowadzenia dokumentacji. Po drugie, trzeba ją dostosować do RODO, czyli uwzględnić te nowe obowiązki, które właśnie z RODO wynikają. Szczegółowy zakres zmian zawsze jest wynikiem przeprowadzanego audytu.

 

Szczegółowe omówienie wszystkich poruszonych problemów, i nie tylko, znajdą Państwo w Komentarzu do Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich ­danych, pod redakcją dr adw. Pawła Litwińskiego, autorstwa r.pr. Pawła Barty oraz dr adw. Macieja Kaweckiego.

Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Wywiad z dr. adw. <em>Pawłem Litwińskim</em> - redaktorem naukowym komentarza do RODO
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny