Działalność informacyjno-edukacyjną na temat nowego prawa GIODO rozpoczął od chwili oficjalnej prezentacji zmian, jakie Unia Europejska postanowiła wprowadzić w przepisach dotyczących ochrony danych osobowych (co miało miejsce w styczniu 2012 r.). Aktywnie angażował się we wszelkie prace z tym związane, a także sam inicjował różnego rodzaju przedsięwzięcia, m.in.:
- wspierał doradczo właściwe resorty w zakresie wdrożenia RODO,
- prowadził konsultacje, seminaria i konferencje mające na celu umożliwienie rzeczywistej debaty na temat nowych przepisów prawnych,
- przeszkolił 800 administratorów bezpieczeństwa informacji (ABI) z różnych sektorów,
- przygotował specjalną publikację „Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych",
- brał udział (jako członek Grupy Roboczej Art. 29) w tworzeniu wytycznych dotyczących praktycznego stosowania konkretnych rozwiązań i instrumentów ogólnego rozporządzenia o ochronie danych, a także przeprowadził cykl konsultacji tych dokumentów w Polsce. W efekcie tych prac powstały pierwsze dokumenty wspomagające przygotowanie się do się do nadchodzących zmian,
- przygotował „Sprawdzian gotowości do RODO", tj. zestaw pytań i krótkich wyjaśnień pomocnych administratorom danych w ocenie stanu ich przygotowania do stosowania nowego prawa.
Tego typu działania będą w najbliższym okresie nie tylko kontynuowane, ale i intensyfikowane, gdyż czasu do rozpoczęcia stosowania nowych przepisów, w tym ogólnego rozporządzenia o ochronie danych osobowych (RODO) jest coraz mniej (prosimy uważnie śledzić zegar odliczający liczbę dni do RODO umieszczony na naszej stronie głównej).
Wyjaśnienia i wskazówki dla administratorów danych
To już IV edycja kongresu dla liderów świata finansów
Z myślą o wsparciu administratorów danych, GIODO wspólnie z innymi unijnymi organami ochrony danych osobowych pracuje nad kolejnymi wytycznymi dotyczącymi RODO. W najbliższym czasie należy spodziewać się m.in. wytycznych dotyczących certyfikacji oraz zgody na przetwarzanie danych osobowych.
Wśród wielu szczegółowych zagadnień związanych ze stosowaniem nowego prawa pojawia się między innymi potrzeba odpowiedzi na pytanie, czy dotychczas wyrażone zgody na przetwarzanie danych osobowych będą obowiązywały rozpoczęciu stosowania RODO. Problem ten powstał w związku z tym, iż przepisy rozporządzenia przewidują, że osoby wyrażające zgodę na przetwarzanie swoich danych powinny być uprzednio informowane o możliwości wycofania zgody (art. 7 ust. 3 RODO). Tymczasem choć przepisy ustawy o ochronie danych osobowych przewidują obecnie możliwość odwołania zgody w każdym czasie (o czym wprost stanowi jej art. 7 pkt 5), to jednak nie wskazano w nich wprost, że o takiej możliwości należy poinformować osoby, których dane dotyczą. Problem ten dostrzegają również inne organy ochrony danych z UE i dlatego omawiano go podczas spotkania jednej z podgrup Grupy Roboczej Art. 29 (27 czerwca 2017 r.), w której aktywnie pracują przedstawiciele GIODO. Dyskusja w tej sprawie jeszcze trwa, lecz jeśli Grupa Robocza Art. 29 nie wypracuje jednolitego stanowiska w tej sprawie, GIODO wyda własną opinię w tej kwestii.
Istotnym wsparciem dla administratorów danych może być również przygotowywane przez ekspertów z GIODO opracowanie, przedstawiające, na czym polega podejście oparte na ryzyku, o którym mowa w RODO, i jak można je zastosować w praktyce. Znajdą się tam m.in. wskazówki dotyczące metody szacowania ryzyka czy też propozycja możliwych etapów dokonywania takiej oceny. Wkrótce będzie ono zamieszczone na stronie internetowej GIODO.
Szkolenia dla ABI
Biorąc pod uwagę to, że fachowa wiedza ABI (przyszłych inspektorów ochrony danych), jest fundamentem, na którym zbudować można system skutecznej ochrony danych osobowych danej instytucji, GIODO nadal będzie wspierał ich kształcenie, organizując kolejne sektorowe szkolenia dla tej grupy osób.
Najbliższe, skierowane do ABI z sektora bankowego, odbędzie się 12 września 2017 r.
Kolejne adresowane będą do ABI z:
- fundacji i stowarzyszeń (październik/ listopad 2017 r.),
- ośrodków pomocy społecznej (grudzień 2017 r.),
- administracji publicznej – w listopadzie 2017 r. GIODO rozpocznie realizację finansowanego ze środków unijnych projektu T4DATA, podczas którego wspólnie z organami ochrony danych z Włoch, Hiszpanii, Bułgarii i Chorwacji przygotowany zostanie cykl szkoleń dla ABI z sektora publicznego. W Polsce szkolenia obejmą 600 osób. Dodatkowo powstanie platforma, gdzie możliwe będzie skorzystanie z oferty webinariów poświęconych wdrożeniu RODO w podmiotach z sektora publicznego.
Także GIODO szykuje się na zmiany
Również w Biurze GIODO trwają intensywne prace mające na celu przygotowanie urzędu i jego pracowników do realizacji zadań wynikających z RODO. Będzie ich bowiem znacznie więcej, a część będzie zupełnym novum, jak przykładowo wydawanie pisemnych zaleceń w ramach oceny skutków dla ochrony danych, nakładanie administracyjnych kar pieniężnych czy transgraniczne rozpatrywanie spraw i prowadzenie przez organy ds. ochrony danych osobowych wspólnych kontroli. Inne z zadań zostaną rozbudowane, jak choćby przyjmowanie zgłoszeń o naruszeniu ochrony danych osobowych (obecnie są one przesyłane przez operatorów telekomunikacyjnych, a po 25 maja 2018 r. będą do tego zobowiązani wszyscy administratorzy danych).
Finalizowane są prace nad opracowaniem nowej struktury organizacyjnej Biura, zapewniającej możliwość skutecznej realizacji nowych obowiązków i uprawnień przez GIODO. Organizowane są również szkolenia podnoszące wiedzę i umiejętności pracowników Biura, m.in. szkolenia językowe. Realizacja nowych, coraz bardziej skomplikowanych zadań, wymusza również przebudowę bądź stworzenie nowych systemów informatycznych, opracowanie nowych procedur postępowania, a także zwiększenie zatrudnienia. Jednocześnie powoduje to konieczność zapewnienia odpowiednich pomieszczeń, sprzętu czy materiałów biurowych.
Biorąc te wszystkie elementy pod uwagę, GIODO, zobowiązany do przedstawienia przed 27 lipca 2017 r. Ministerstwu Finansów projektu budżetu na 2018 r., złożył wniosek opiewający na blisko 49 mln zł.
Jednocześnie zaznaczył, że konieczność zapewnienia organowi ochrony danych osobowych odpowiednich środków finansowych niezbędnych do realizacji zadań i gwarantujących jego niezależność wynika wprost z RODO. Wzmocnienie organów nadzorczych jest bowiem jednym z głównych założeń reformy przepisów o ochronie danych. Jak wskazuje art. 52 ust. 4, „każde państwo członkowskie zapewnia, by każdy organ nadzorczy dysponował zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą niezbędnymi do skutecznego wypełniania swoich zadań i wypełniania swoich uprawnień(...)".
Na potrzebę zapewnienia adekwatnych środków zwróciła uwagę również Grupa Robocza Art. 29, przyjmując 4 maja 2017 r. list skierowany do rządów państw członkowskich, w którym potrzebę wzmocnienia organów nadzorczych uzasadniano m.in. „absolutną koniecznością przygotowania i profesjonalnego wdrożenia nowych ram prawnych (...), szkolenia pracowników, aktualizacji systemów informatycznych, propagowania świadomości i zapewniania wytycznych na temat nowych zasad".
