25 maja 2018 zaczęły obowiązywać nowe przepisy dotyczące ochrony danych osobowych, czyli tak zwane RODO.
Mity o RODO
Do tej pory na ten temat powstało już wiele mitów, które warto zweryfikować. Oto najpopularniejsze z nich:
„Pseodonimizacja i anonimizacja to tak naprawdę to samo” — jest to mit, ponieważ psedonimizacja w przeciwieństwie do anonimizacji stanowi odwracalny proces;
„Prawo z zakresu ochrony danych osobowych jest takie samo w całej Europie” — to też jest mit (jeśli chodzi o detale) ze względu na fakt, iż zasady RODO pozwalają na odrębne uregulowania na poziomie państw członkowskich. Przykładem jest tutaj granica wieku dziecka, gdzie w Polsce wynosi ona 13. rok życia, zaś w Niemczech — 16 lat;
„RODO stanowi tylko i wyłącznie kwestię IT” — to nieprawda, że tylko i wyłącznie, ponieważ owszem obszar IT stanowi bardzo ważny obszar, ale rozwiązanie te mają przede wszystkim na celu wsparcie w realizacji prawa;
„Jeśli jesteśmy podmiotem przetwarzającym dane osobowe na zlecenie, to RODO nas nie dotyczy” — to także nieprawda ze względu na fakt, iż na ogół tego typu podmiot jest nie tylko procesorem, ale także administratorem danych osobowych;
„W ten sposób łatwo przenosi się dane” — jest to mit, ponieważ wcale nie tak łatwo o to w świetle obowiązujących przepisów, które mówią, że każdy administrator musi przekazywać zainteresowanej osobie dane w tak zwanych ustrukturyzowanym formacie przeznaczonym do odczytu maszynowego. Natomiast już działanie danych z takich m.in. takich portali społecznościowych jak np. Facebook czy Twitter opiera się na innych zasadach, więc reguły RODO niewiele zmieniają w kwestii ułatwienia przenoszenia danych.
Fakty na temat RODO
Gdy poznaliśmy już kilka mitów na temat RODO, czas przejść do faktów, z których naczelny prezentuje się następująco:
RODO oznacza dużą liczbę nowych dokumentów — jest to niestety prawda. Taka lista dokumentacji, jaką musi wygenerować, organizacja obejmuje m.in. procedurę współpracy z organem nadzoru, ocenę skutków dla ochrony danych, procedurę realizacji prawa w celu sprostowania danych, procedurę realizacji prawa w celu usunięcia danych, formularze do zgłoszenia naruszenia bezpieczeństwa, dokumenty dla DPO (Inspektoratu Ochrony Danych), wzór rejestru czynności przetwarzania danych, dokumenty do stosowania procedury privacy by default i wiele innych.