O zmianach w RODO można napisać wiele, ja staram się uwypuklać rzeczy ciekawe i upraszczać, o co w nich chodzi. Już teraz wiedza o obowiązkach i prawach w zakresie danych osobowych jest mała. Gdzieś tam niektórym się kojarzy, żeby się w razie potrzeby w to wczytać, bo mogą być jakieś nieokreślone nieprzyjemności.
Zresztą, obrót danymi pół żartem pół serio opisywałem już w historii z zamówieniem pizzy. W tym miejscu dla chętnych zrobię też odnośniki do poprzednich czterech części serii, a poniżej posłuchaj proszę ostatniej.
RODO jak rodeo część 1 – jakie obowiązki znikają
RODO jak rodeo część 2 – jakie obowiązki są nowe
RODO jak rodeo część 3 – czym można nas straszyć
RODO jak rodeo część 4 – sytuacja osób „przetwarzanych”
Dobra. Niby żegnamy Administratora Bezpieczeństwa Informacji, czyli slangowo ABIego – ale nie do końca. W jego miejsce wchodzi mniej melodyjny skrót – IOD, czyli Inspektor Ochrony Danych. Zmiana oczywiście jest nie tylko w nazwie – dotąd ABI „miał być” niezależny, a w życiu bywało różnie. Teraz nie będzie bywało, bo IOD na swoją niezależność ma instrumenty. To w miarę logiczne, skoro może się spodziewać więcej korzystania z praw osób, których dane są przedmiotem obrotu. Dlaczego więcej? Jak pisałem – po prostu mają więcej praw.
Gdy pisano obecny kształt polskiej ochrony danych osobowych, to już projekt RODO był znany – więc często „przewidzieliśmy”, co się święci. Tak było trochę przy ABI i IOD, podobnie jest z kwestią zgłaszania do GIODO zbioru danych.
No trochę żegnamy się ze zgłaszaniem, już to pisałem. Ale zamiast tego pojawia się Rejestr Czynności Przetwarzania. Jego już zgłaszać nie trzeba, ale należy mieć. Strukturę w większości ma podobną, ale wdawanie się w szczegóły rozwaliłoby całą treść tego wpisu.
To, co jeszcze warto wiedzieć – jest narzędzie do rozwiewania wątpliwości. Nie żeby dotąd kontakt z GIODO był zły – osobiście uważam tę stronę internetową za jedną z nielicznych przydatnych w Polsce stron urzędu. A jakie to dodatkowe narzędzie? Uprzednia konsultacja z organem.
Czyli obowiązkowo, jak zamierzone przetwarzanie danych jest ryzykowne – trzeba przedstawić obowiązki admina, cele i sposoby przetwarzania, zabezpieczenia i dane kontaktowe IOD. Bardziej ciekawie jest przy wymogu własnej oceny skutków dla ochrony danych oraz innych wnioskowanych przez organ informacji.
A jak odwdzięczy się urząd? Może zrobić zakaz przetwarzania albo poradę. W tej drugiej powie, że jest okej – albo co zrobić, żeby było okej. Ma na to osiem tygodni, może przedłużyć o kolejne sześć.
Koniec. To znaczy – o RODO można pisać i pisać, ale koniec upraszczania przeze mnie trudnych kwestii. W razie co pytaj, postaram się pomóc. Czeka nas spora impreza, a teraz jesteśmy na biforze. Obowiązek dostosowania siędo RODO wchodzi 25 maja 2018 – będzie się działo!
