Rz: Przed każdym podmiotem zobowiązanym do wdrożenia RODO i każdą osobą odpowiedzialną za takie wdrożenie stoi trudne pytanie, w jaki sposób to zrobić. Za tym idą kolejne: czy da się to zrobić, kiedy to zrobić, a przede wszystkim jak to zrobić efektywnie.
Maciej Gawroński: Zdaję sobie sprawę ze skali wyzwań stawianych przez unijne ogólne rozporządzenie o ochronie danych, popularnie zwane RODO. Filary merytoryczne, na których opiera się nowe prawo, to: prywatność, prawa jednostki i bezpieczeństwo danych. Każdy z tych obszarów stawia przed obowiązanymi organizacjami nowe wyzwania. Jednak to nie wszystko.
Fundamentem RODO jest też rozliczalność. Pod tym pojęciem kryje się to, że nie możemy biernie czekać na wykazanie nam nieprawidłowości. To my – firma, administracja publiczna, uczelnia, instytucja użyteczności publicznej, parafia, fundacja, stowarzyszenie etc – musimy wykazać, że i jak jesteśmy zgodni z RODO. W tym sensie RODO wprowadza domniemanie winy. Jeżeli dodamy do tego wysokość maksymalnych kar, jakie przewiduje rozporządzenie za naruszenie przepisów, nie powinna zaskakiwać wypowiedź mecenasa Wojciecha Kapicy, odpowiedzialnego za praktykę regulacyjną w Gawroński & Partners, który stwierdził, że nikt dotychczas nie odważył się wprowadzić regulacji, w której są tak wielkie kary za tak niejasne przepisy.
Jednak dla przedsiębiorców to żadne pocieszenie. Fakt, że przepisy są trudne i wciąż brakuje dobrych wzorców ich wdrożenia, nie zwalnia ich z konieczności przygotowania się na nadejście nowych regulacji i dostosowania do nich mechanizmów i standardów działania firmy.
Rzeczywiście nie są na razie znane rynkowi szczegółowe metodyki wdrożenia RODO. A chociaż pojawiło się nieco wytycznych Grupy Roboczej Art. 29, w tym np. dotyczących oceny skutków przetwarzania danych, to są one nieprecyzyjne. Podobnie jest zresztą z rekomendacjami krajowych organów nadzoru.