Ubiegłoroczne, intensywne prace, które miały na celu dostosowanie się do wymogów RODO, nie zakończyły procesu inwestowania w rozwiązania służące do ochrony danych osobowych. Wręcz przeciwnie. Idea unijnej regulacji zakłada bowiem stałe monitorowanie sytuacji i ciągłe dostosowywanie środków zabezpieczających przed nowymi zagrożeniami. Jak podkreśla Urząd Ochrony Danych Osobowych: „zapewnianie zgodności z RODO to proces ciągły, a nie jednorazowe działanie”.

Z oczywistych jednak względów obecnie wokół RODO nie jest już tak głośno jak w ubiegłym roku. Można odnieść wrażenie, że przedsiębiorcy uznali, iż zrobili już wszystko, co było konieczne. W rzeczywistości sprawa nie jest zamknięta. Liczba skarg do UODO pokazuje, że nie wszystkim udało się – przy pierwszym podejściu – sprostać wyzwaniom wynikającym z rozporządzenia i część procedur oraz systemów będzie zapewne wymagała poprawy.

Do stycznia 2019 r. nadeszło ponad 3 tys. zgłoszeń dotyczących nieprawidłowego przetwarzania danych osobowych. Urząd rozpoczął szereg kontroli w celu wyjaśnienia zgłaszanych problemów. Zdaniem ekspertów z ODO 24 do najczęściej popełnianych błędów należą: niewłaściwa analiza ryzyka, nieumiejętność dostosowania do niego rozwiązań informatycznych oraz brak weryfikacji partnerów zewnętrznych.

Gdzie ten zarobek?

Czy na wdrożeniach związanych z dostosowaniem się do wymogów RODO można więc będzie jeszcze zarobić? Teoretycznie tak, gdyż ubiegłoroczne działania powinny stanowić jedynie pierwszą fazę stałego procesu zapewniania zgodności z RODO. W konsekwencji powinno to rodzić zapotrzebowanie na utrzymanie bądź rozwój już istniejących rozwiązań lub sprzyjać nowym wdrożeniom.

Skąd więc ta cisza? A może to cisza przed burzą? W środowiskach prawniczych i informatycznych dosyć powszechne jest przekonanie o wyczekiwaniu przez wszystkich na pierwsze wysokie kary nałożone przez prezesa Urzędu Ochrony Danych Osobowych. Jeśli będą dotkliwe, mogą dać impuls do podjęcia dalszych działań dostosowawczych. Takie kary posypały się już w wielu krajach Unii Europejskiej. U nas też już zostały zapowiedziane…

Administratorzy danych osobowych czekają też zapewne na ogłoszenie wyników pierwszych kontroli. Mogą one zawierać ważne wskazówki odnośnie do tego, co należy poprawić, na co trzeba zwrócić uwagę, jakie rozwiązania zostały uznane za pożądane, a jakie się nie sprawdziły. Przy czym kontrole nie muszą się od razu kończyć nałożeniem kar. Początkowo lepszym rozwiązaniem wydaje się nakaz doprowadzenia do stanu zgodnego z wymogami rozporządzenia.

Przed podjęciem kolejnych działań może powstrzymywać przedsiębiorców oczekiwanie na zatwierdzenie przez prezesa UODO branżowych kodeksów postępowania. Od listopada ubiegłego roku na akceptację czeka na przykład kodeks dla sektora ochrony zdrowia. Na ukończeniu są prace nad ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, dostosowującą przepisy krajowe do wymogów RODO. Wprowadzi ona modyfikacje dotyczące różnych przepisów sektorowych, na przykład prawa pracy czy prawa bankowego (w chwili oddawania artykułu do druku ustawa czekała na zatwierdzenie przez Senat i podpis prezydenta RP).