Z podsumowania rocznego Urzędu Ochrony Danych Osobowych za 2020 wynika, że w roku 2020 do urzędu wpłynęły w sumie 6442 skargi. Postępowania zakończono w 6692 sprawach, z czego 1401 zakończono wydaniem decyzji administracyjnej. W 2020 r. Urząd Ochrony Danych Osobowych dokonał analizy 7507 (o ponad tysiąc więcej niż w poprzednim roku) zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. UODO wskazuje też na zwiększoną świadomość wymogów po stronie administratorów.
Dr Mirosław Gumularz, wykładowca Wyższej Szkoły Bankowej w Warszawie, radca prawny w kancelarii GGK uważa, że wprowadzenie na gruncie RODO wysokich kar zmotywowało wiele podmiotów do wdrożenia wymogów ochrony danych m.in. obowiązków informacyjnych, wymogów bezpieczeństwa danych, usuwania danych, etc.
Zbyt mała przejrzystość
Ale nie oznacza to jednak, że problemów ze stosowaniem RODO nie ma. Według dr. Gomularza, zdecydowanie jest to prawo przeregulowane. - - Ilość wymogów, ich skomplikowanie oraz brak przejrzystości wpływa negatywnie na poziom ochrony danych. Można odnieść wrażenie, że wiele podmiotów (w sektorze prywatnym) widząc bardzo dużą ilość wymogów i koszty związane z realnym zarządzaniem ochroną danych albo całkowicie rezygnuje z wdrożenia wymogów albo wdrażają na poziomie „widocznym ze zewnątrz” (np. poprzez publikowanie klauzul informacyjnych. Wpływa to także na same podmioty, których dane są przetwarzane. Osoby te widząc „zalew informacji” przestają rozumieć sens wymogów ochrony danych (czy są one wyłącznie „na papierze”) - wylicza.
Według niego w RODO brakuje wystarczających mechanizmów „dostosowujących” intensywność wymogów w stosunku do wielkości adresata wymogów.
Naruszenia RODO
Wysokie kary nie na wszystkie też firmy działają odstraszająco. O tym, że wciąż przedsiębiorcy nie zawsze dbają o bezpieczeństwo danych mówi Michał Sztąberek, prawnik, prezes zarządu iSecure Sp. z o.o. - Moim zdaniem jest z tym bardzo różnie. Informacje o karach finansowych nakładanych przez UODO robią wrażenie, ale pytanie czy komunikaty te docierają do decydentów odpowiedzialnych za bezpieczeństwo oraz finanse w przedsiębiorstwie. Wskazuję na jedno i drugie, ponieważ nie da się zbudować sensownego systemu bezpieczeństwa danych bez nakładów finansowych. Te ostatnie są potrzebne choćby po to, by zakupić stosowne oprogramowanie, które zabezpieczy infrastrukturę IT w firmie, ale nie tylko. Fachowa wiedza też kosztuje, a jest niezbędna, by budować świadomość personelu mającego dostęp do danych osobowych - mówi.
Czytaj: Administrator musi kontrolować przetwarzającego dane osobowe - surowa kara ostrzeżeniem>>
Problemy w pandemii
Sporym wyzwaniem w związku z obowiązywaniem RODO był jest okres pandemii. Zabrakło jasnych wytycznych. - Niestety, do tej pory nie doczekaliśmy się ani konkretnych, jasnych wytycznych ze strony organu nadzorczego ani zmian w obecnych przepisach prawa, które zwiększyłyby poczucie bezpieczeństwa przedsiębiorców, którzy z jednej strony chcieli prowadzić swój biznes w zgodzie z ograniczeniami wynikającymi z obostrzeń COVID-19, z drugiej zaś byli świadomi, że przepisy w zakresie ochrony danych osobowych nie są w tym względnie zbyt precyzyjne (delikatnie rzecz ujmując). A przecież nie mamy pewności, czy te wszystkie, doskonale nam znane, obostrzenia nie wrócą z całą mocą na przełomie 2022 / 2023 r. - uważa Michał Sztąberek.
Dobra strona RODO
Są i też pozytywne strony RODO. - Całkiem nieźle sprawdza się na gruncie dbania o to, by zapewniać bezpieczeństwo stosowne do tego co aktualnie wynika z wiedzy technicznej. Za strzał w przysłowiową dziesiątkę można pewnie uznać to w jaki sposób unijne rozporządzenie ujęło tę tematykę – dopasowujemy nasz system ochrony danych do tego co wynika z oceny ryzyka. Jest to zdecydowanie dużo lepsze rozwiązanie niż to co mieliśmy w czasach obowiązywania ustawy z 1997 r. i pamiętnego rozporządzenia wykonawczego do niej (z 2004 r.), gdzie wskazywano pewne „sztywne” rozwiązania, które należało wdrożyć (choć oczywiście i tam była mowa o tym, że niezbędna jest adekwatność zabezpieczeń w stosunku do potencjalnych zagrożeń dla danych) - dodaje Michał Sztąberek