Jeśli ktoś sądzi, że po roku obowiązywania RODO da się jednoznacznie ocenić, czy polskie przedsiębiorstwa i instytucje dobrze poradziły sobie z zadaniem sprostania wymogom unijnego rozporządzenia, to jest w błędzie. Trudno dzisiaj o klarowną, precyzyjną ocenę sytuacji. Po pierwsze z powodu samej idei wprowadzonej regulacji. Bazuje ona na obowiązku analizy ryzyka w każdej organizacji i doborze sposobów zabezpieczeń adekwatnych do zagrożeń zdiagnozowanych w konkretnej sytuacji. Z tej przyczyny – co jest wielokrotnie podkreślane przy różnych okazjach – wdrożenie RODO to proces, a nie jednorazowe działanie. Nie można więc w zasadzie nigdy uznać, że został zakończony.

Z pewnością łatwiej było dostosować się do wymogów nowych przepisów firmom, które już wcześniej zaimplementowały i stosowały na co dzień systemy bezpieczeństwa informacji. W takich przypadkach zapewnienie ochrony danych osobowych mogło się wiązać tylko z wprowadzeniem dodatkowych elementów do już funkcjonującego, sprawdzonego w praktyce mechanizmu. Co nie znaczy, że samo w sobie było zadaniem prostym i łatwym, szczególnie w rozbudowanych organizacjach korzystających z dużej liczby aplikacji przetwarzających dane. Nie wymagało to już jednak budowania całego środowiska zabezpieczeń i kontroli od podstaw.

Problemy mogły mieć przedsiębiorstwa, które nie posiadały jeszcze systemów zarządzania bezpieczeństwem informacji. W ich przypadku RODO mogło jednak odegrać pozytywną rolę jako przyczynek do poważniejszego zajęcia się sprawami bezpieczeństwa – dać impuls do uporządkowania i zoptymalizowania związanych z tym obszarem zadań lub procesów. Zapowiadana nieuchronność i duża wysokość kar z pewnością przyczyniły się do uświadomienia sobie przez decydentów znaczenia i podniesienia rangi systemu zabezpieczeń w firmie. Niejeden specjalista ds. cyberbezpieczeństwa miał ułatwione zadanie, próbując dotrzeć do zarządu przedsiębiorstwa z przesłaniem o konieczności podjęcia działań zmierzających do minimalizacji ryzyka wycieku danych bądź wykorzystania ich w niewłaściwy sposób.

Zindywidualizowane podejście do przepisów prawa

Pozbawiona jednoznacznie określonych obowiązków, a ukierunkowana na samodzielny dobór właściwych rozwiązań na bazie analizy ryzyka, formuła RODO zrodziła potrzebę zrewidowania podejścia do stosowania prawa również przez samych prawników. Doradzając w sprawach wdrożenia unijnego rozporządzenia, musieli oni wykazać się większą elastycznością w określaniu niezbędnych rozwiązań niż w przypadku innych przepisów. Tutaj nie do przyjęcia była formuła ustalenia sztywnych, wynikających wprost z ustawowych zapisów wymogów i wskazań, którym musi sprostać przedsiębiorstwo. Proponowane rozwiązania musiały być dostosowane do specyfiki firmy, uwzględniając warunki jej działania i prowadzenia biznesu.
„Projekty związane z RODO to nie tylko projekty prawne. To projekty na pograniczu prawa i biznesu. Model rozwiązań legislacyjnych trzeba docelowo wpisać ściśle w ramy biznesowe danej firmy. Tylko w ten sposób można zapewnić dobór środków adekwatnych do ryzyk, na jakie mogą być narażone dane osobowe przetwarzane w konkretnej sytuacji. Prawnik musi bardziej niż dotychczas wczuć się w sytuację swojego klienta i zrozumieć jego uwarunkowania biznesowe” – ocenia dr Dominik Lubasz, radca prawny, wspólnik
zarządzający w kancelarii Lubasz i Wspólnicy.
Warto przy tym podkreślić, że elastyczne, zindywidualizowane podejście do ochrony danych osobowych należy traktować raczej jako atut do umiejętnego wykorzystania, a nie ograniczenie czy utrudnienie we wdrażaniu RODO.