Jak doszło do wprowadzenia RODO?
Kształtowanie nowego prawa
Prace oraz dyskusje nad finalnym kształtem General Data Protection Regulation (ang. GDPR), czyli RODO prowadzone były przez cztery lata, a ostatecznie przyjęte zostały przez Parlament Europejski i Radę Unii Europejskiej 27 kwietnia 2016 roku. 25 maja 2018 r., minął dwuletni okres przejściowy, a RODO zaczęło być stosowane w krajach członkowskich UE bezpośrednio – bez potrzeby wydawania aktów prawnych wprowadzających je do porządku krajowego.
W Polsce RODO zastąpiło ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – pierwszą regulację w tym zakresie, wzorowaną na zasadach ustanowionych Dyrektywą 95/46/WE Parlamentu Europejskiego i Rady.
– Polskie przepisy dotyczące wdrożenia RODO opracowało Ministerstwo Cyfryzacji. 10 maja 2018 roku Sejm VIII kadencji uchwalił nową ustawę o ochronie danych osobowych, zapewniającą stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych osobowych na terytorium naszego kraju oraz ustanawiającą w sprawie ochrony informacji nowy organ – Prezesa Urzędu Ochrony Danych Osobowych – wyjaśnia dr Paweł Mielniczek, ekspert ds. ochrony danych z ODO 24.
Pomysł na unifikację
RODO w założeniu ma zapewnić obywatelom większą kontrolę nad ich danymi osobowymi oraz zmodernizować i ujednolicić standardy w całej Unii Europejskiej. Jest to część pakietu UE dotyczącego reformy ochrony danych, razem z dyrektywą o ochronie danych w obszarze policji i wymiaru sprawiedliwości, a także projektowanym rozporządzeniem dot. ochrony prywatności w Internecie (tzw. ePrivacy).
Jednym z wielu aspektów przemawiających za wprowadzeniem RODO był brak świadomości społeczeństwa na temat wagi poufności niektórych informacji. Nasze dane administrowane są przez kilka, kilkanaście, a nawet kilkadziesiąt podmiotów, które wiedzą o nas niekiedy więcej niż my sami pamiętamy – kiedy robiliśmy zakupy, z kim pisaliśmy lub gdzie byliśmy kilka lat temu. Często podpisując różnego rodzaju umowy, odruchowo wyrażamy zgodę na wszelkie klauzule, o które jesteśmy pytani. W większości przypadków brakuje nam wiedzy na temat tego, kto oraz w jakim celu przetwarza podane przez nas informacje.
Wraz z początkiem stosowania RODO wiele przedsiębiorstw i organizacji musiało zweryfikować swoje regulaminy oraz dokonać nowej analizy ryzyka. – Takie kroki podjąć musiał m.in. Facebook, który utworzył nowe centrum ochrony prywatności (Privacy Basics), zawierające wszystkie główne ustawienia prywatności w jednym miejscu. Aby wdrożyć RODO, Facebook zatrudnił ponadto setki inżynierów, analityków, prawników oraz specjalistów od polityk prywatności i bezpieczeństwa danych, którzy oceniają każdą funkcję portalu pod kątem zgodności z wymaganiami RODO – podsumowuje dr Paweł Mielniczek, ODO 24.
Innym powodem wdrożenia RODO była konieczność zwiększenia bezpieczeństwa danych, którą może zobrazować wyciek danych ok. 3 miliardów kont mailowych na Yahoo w 2013 r. Obowiązek analizy ryzyka oznacza, że organizacje przetwarzające nasze dane muszą same eliminować luki w zabezpieczeniach, które umożliwiałyby np. kradzież danych kart płatniczych czy nieuprawniony dostęp do informacji o stanie zdrowia.
Rozporządzenie o ochronie danych osobowych oraz wszelkie działania i przygotowania z tym związane realizowane były nie tylko w Polsce, ale także w innych krajach UE, które musiały przygotować się do nowej ustawy. Na wyróżnienie w tej materii z pewnością zasługują nasi zachodni sąsiedzi – Niemcy, których proces wdrażania rozporządzenia przebiegł niezwykle płynnie. Tempo prac nad niemiecką ustawą oraz zaangażowanie administracji mogło świadczyć o wadze statusu tego rozporządzenia.
Ujednolicenie przepisów dotyczących ochrony danych osobowych we wszystkich krajach Unii Europejskiej było konieczne, głównie ze względu na szybką zmianę realiów i nowych warunków technologicznych, w starciu z którymi stały się one po prostu nieaktualne.
Źródło: ODO 24