ABI EXPERT
Wydanie: styczeń – marzec 2020
Rodo w naturalny sposób zwiększyło zainteresowanie branżą ochrony danych osobowych. Branżą, która dotychczas składała się z garstki specjalistów i kilku podmiotów skupiających się na tej problematyce. Unijne rozporządzenie, istotnie modyfikując ramy prawne systemu, drastycznie zmieniło układ popytu i podaży.
Duże podmioty, w tym kancelarie prawne, które zapewniają kompleksowe doradztwo dla przedsiębiorców, musiały rozszerzyć swoją ofertę o ochronę danych osobowych. Z jednej strony sprawiło to, że wielu zdolnych radców prawnych i adwokatów zaczęło poszerzać swoje kompetencje i wspierać firmy we wdrażaniu nowych przepisów, z drugiej – obszar ten traktowany był często jako dodatek do „poważnych tematów”, takich jak projekty infrastrukturalne, kontrakty IT czy też wieloletnie umowy na sprzedaż towarów i usług.
Swoją cegiełkę dołożyły też firmy informatyczne dostarczające rozwiązania typu „end to end”, które faktycznie czasem zapewniły „end” szerszemu spojrzeniu na ochronę danych niż bezpieczeństwo IT. W maju 2018 r. rodo wdrażane było na masową skalę, czego skutki można było zaobserwować na skrzynkach e-mailowych – zalewanych falą obowiązków informacyjnych czy też we wszelkiego rodzaju formularzach, których objętość drastycznie wzrosła. Jak przyznał wówczas z dumą jeden z przedsiębiorców: „nasza klauzula dla nowych pracowników ma już 24 strony!”. Wynikało to zarówno z niezrozumienia znaczeń, historii i kontekstów szeregu instytucji prawnych, jak i naiwnego czasem przekonania, że dziesiątki stron dokumentacji będą się przekładały automatycznie na podniesiony standard bezpieczeństwa. Znany jest przykład podmiotu, który z pasją przygotowywał procedury rywalizujące objętością z „Władcą pierścieni” J.R.R. Tolkiena. Implementacja takich rozwiązań w organizacji może jednak budzić istotne wątpliwości w zestawieniu ze spadającym w społeczeństwie czytelnictwem.
Szkolić każdy może
Ruszyła lawina szkoleń, która trwa zresztą do dziś. Początkowo szkolili wszyscy: od specjalistów z zakresu prawa karnego (wersja optymistyczna) po syndyków, geodetów i wszelkiej maści doradców biznesowych (wersja pesymistyczna). Często wystąpienia te ograniczały się do przytoczenia treści przepisów, a wytyczne Grupy Roboczej art. 29, doktryna i orzecznictwo uznawane były za lektury nieobowiązkowe. Z czasem dobór naturalny wyeliminował większość szkoleniowców luźno związanych z rodo, ale na rynku pozostały zjawiska takie jak kursy za kilkadziesiąt złotych (e-learning!), a także pakiety szkoleniowe żywo przypominające agresywne promocje w supermarketach.
Często podmioty doradcze, wdrażając rodo, już na samym początku identyfikowały palącą potrzebę przeszkolenia wszystkich pracowników w organizacji, poczynając od woźnego, a na zarządzie kończąc – co nie byłoby niczym nagannym, gdyby szkolenia te były dostosowane do potrzeb firm i ich pracowników, a także do poziomu ich wiedzy z zakresu ochrony danych osobowych. Nie jest bowiem najlepszym pomysłem szkolenie szeregowych pracowników fizycznych z procedury privacy by design i privacy by default, uzupełnione godzinnym wykładem na temat oceny skutków dla ochrony danych, gdy w praktyce nie będą oni prawdopodobnie angażowani w tego typu procesy.
Co ciekawe, na adresy poczty elektronicznej niżej podpisanych wskazane w CEIDG z zadziwiającą regularnością przychodzą zaproszenia na szkolenia, które są organizowane przez renomowane podmioty. Uzasadnione wątpliwości budzi przy tym okoliczność posiadania przez nie zgód, które chociaż w przybliżeniu przypominałyby te opisane w art. 4 pkt 11 rodo.
[…]
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
r. pr. Tomasz Osiej
dr Michał Czarnecki