Ustawa ODO w powijakach: zastanawiam się czego uczą na szkoleniach o RODO?

czeski_film RODO 100 dni b

Dostępny obecnie na stronach internetowych GIODO projekt nowelizacji Ustawy o ODO stawia znacznie więcej znaków zapytania, niż daje odpowiedzi. Czytając ten dokument można odnieść wrażenie, że został on napisany nie tyle dla podmiotów przetwarzających DO, co dla urzędu GIODO i urzędników; jest bardzo dużo o certyfikacji i akredytacji GIODO, o postępowaniach, kontrolach, o powołaniu prezesa, zastępców, o współpracy GIODO z europejskimi nadzorami,  itp., itd..

Tak jakby zapomniano o obywatelach i podmiotach przetwarzających dane osobowe. Są pewne wytyczne, czy też przymiarki w innych dokumentach towarzyszących, ale są to pewne dywagacje, które być może będą przyjęte, a być może nie. A do terminu wdrożenie RODO pozostało tylko ok. 100 dni! Ustawa jest w powijakach, a co dopiero mówić o aktach wykonawczych, bez których często ani rusz…

Zastanawiam się, czego uczą wykładowcy na dziesiątkach szkoleń dot. implementacji w Polsce RODO? Skoro na ledwie 100 dni przed terminem wdrożenia mamy coś na kształt „czeskiego filmu” – nikt nic nie wie…

Żeby nie być gołosłownym, w projekcie Ustawy nie ma, albo jest bardzo niewiele nt.:

  • funkcji IOD (ABI); zadaniach, obowiązkach, zakresie czynności służbowych,
  • sprawdzeniach wewnętrznych,
  • strukturze informacyjnej rejestru czynności przetwarzania danych osobowych,
  • przekazywaniu danych do przetwarzania,
  • dopuszczalności przetwarzania DO i prawach osób, których dane dotyczą
  • itd. (można by jeszcze parę zagadnień wymienić; zachęcam do zajrzenia do projektu: www.giodo.gov.pl)

 

I najważniejsze – bo to będą pewnie sprawdzać na inspekcjach – nie ma doprecyzowanej wymaganej postaci dokumentacji związanej z przetwarzaniem danych osobowych. A przecież owe „papiery” inspektorów z GIODO interesować będą pewnie najbardziej…

Oczywiście, pośrednio można z samej dyrektywy unijnej RODO domniemywać, jaki kształt mogą przyjąć polskie regulacje ODO, ale takie domniemywanie to pewne ryzyko – a co jeśli wykoncypujemy sobie coś inaczej, niż wykoncypuje sobie ustawodawca?

youtubeZajrzałem do internetu i zacząłem śledzić umieszczone tam nagrania z wykładów poświęconych wdrożeniu RODO w Polsce. I co? – wykładów takich praktycznie nie ma! Czasem jakiś wykładowca to, i owo napomknie, ale wszyscy, od kilkunastu miesięcy wciąż opowiadają o unijnym RODO, a nie o polskiej implementacji; nie ma co się dziwić, skoro jej – w istotnych dla obywateli aspektach – nadal nie ma.

Mam nadzieję, że do kwietnia b.r. czyli to czasu naszej konferencji „Głos ABI / IOD” (17-18 kwietnia)  wreszcie te przepisy zostaną stworzone i ustabilizowane. Bo to będzie już czas najwyższy. Tu program imprezy:

Zaktualizowany program konf. „Głos ABI (IOD)”

 

Powiązane wpisy

6 komentarze na temat “Ustawa ODO w powijakach: zastanawiam się czego uczą na szkoleniach o RODO?

  1. gro

    Nie ma i nie będzie „polskiej implementacji” RODO. Jak sama nazwa wskazuje RODO jest rozporządzeniem i w przeciwieństwie do obecnie obowiązującej dyrektywy UE, dotyczącej ochrony danych osobowych, jego przepisy są stosowane WPROST w danym państwie członkowskim. Dyrektywa wymagała implementacji krajowej. W RODO pozostawione są miejsca na doprecyzowanie przepisów w krajach członkowskich między innymi o nowym Urzędzie, o Prezesie i jego zastępcach, o certyfikacji, o kodeksach, o karach w administracji publicznej, itp. Te właśnie obszary ma doprecyzować krajowa ustawa.

    1. Albert Sadowski

      Nie znam za specjalnie meandrów stanowienia i dystrybuowania prawa unijnego, ale wygląda na to, że ma Pan rację. To bardzo niedobrze, że tak będzie z nast. powodów:
      a) Kontekst polityczny
      Nie jest „tylko” tak, że polskie prawo ma być dostosowane do prawa UE – jest znacznie gorzej. Prawo stanowione w UE ma „z automatu” obowiązywać także w Polsce. To bardzo złe zjawisko. Ten ma władzę, kto stanowi prawo (i egzekwuje) – oznacza to, że naszym krajem nie do końca rządzą Polacy, bo prawo możemy mieć stanowione w Brukseli, a nie Warszawie na Wiejskiej. Jest to zatem ograniczenie suwerenności kraju (oddaliśmy ją w dużym stopniu podpisując Traktat Nicejski).
      b) Kontekst merytoryczny
      RODO jest rozporządzeniem o niskiej jakości prawnej; jest w nim wiele błędów logicznych, niespójności, truizmów i nieprecyzyjnych dyspozycji. Liczyłem na to, że może implementacja reguł RODO w polskiej ustawie ODO – „przepracowana” przez naszych legislatorów, w jakimś stopniu te błędy poprawi. Bo co dwie głowy, to nie jedna. Tymczasem będziemy skazani na korzystanie bezpośrednio z RODO, z całą masą jego błędów i nieprecyzyjności.
      c) Kontekst użytkowy.
      Taki stan rzeczy oznacza, że obywatel polski NIE ZNAJDZIE w Ustawie o ODO kompletu informacji nt. tego, jakie przepisy ochrony danych u nas obowiązują. Będzie musiał zajrzeć do wadliwego prawnie RODO i tak szukać litery prawa. A jak nie znajdzie tego, czego szukał (bo będzie ujęte zbyt ogólnie, albo będzie odesłanie do przepisów krajowych) – będzie musiał wrócić do lektury naszej Ustawy. Pogłębi do dyskomfort zapoznania się z prawem dot. ODO, już i tak głęboki z uwagi na wady prawne i logiczne RODO.

      1. gro

        Ad. a) Z jednej strony jest to utrata suwerenności, ale na to godziliśmy się wstępując do UE, a z drugiej strony mamy pewność, że w każdym kraju członkowskim obowiązuje podobny poziom i sposób ochrony danych, że przekazując dane do państwa członkowskiego nie musimy zastanawiać się jak działa tam system ochrony.
        Ad. b) Z tego co mi wiadomo, to założeniem RODO było zbudowanie dość uniwersalnego aktu prawnego, który za rok czy dziesięć lat nie straci na aktualności. Technologia zmienia się praktycznie z dnia na dzień, a prawo zwyczajnie nie nadąża za wszystkimi nowinkami technologicznymi. Zanim nasz ustawodawca przebrnie przez proces legislacyjny, to technologia zdąży się zmienić kilka razy. Dlatego m.in. mają powstać tzw. kodeksy branżowe w zakresie ochrony danych osobowych oraz obecnie GIODO, a docelowo nowy urząd ma wydawać rekomendacje dotyczące szczegółów np. technicznych w kontekście przetwarzania danych osobowych.
        Ad. c) Właśnie obywatel zyska szereg uprawnień, choćby możliwość wniesienia skargi do nowego urzędu, która będzie musiała być w krótkim terminie rozpatrzona, czy też wejścia na „skróconą” ścieżkę sądową. Myślę, że jeśli nie ustawodawca to nowy urząd zadbają o odpowiednią kampanię promującą nowe przepisy, bo w końcu pioruńsko wysokie kary za naruszenie przepisów będą zasilać w zdecydowanej większości budżet państwa.

  2. Paweł Waniek

    Miałem się nieco szerzej odnieść do rzeczonego artykułu, ale sporo zostało już napisane. Poruszę zatem może tylko kwestię szkoleń. Otóż drogi Albercie, jest z czego szkolić. Po pierwsze jak napisał komentator „gro” RODO z racji na to, że jest aktem unijnym, rozporządzeniem, to obowiązuje BEZPOŚREDNIO. Zatem to już jest materiał, na podstawie którego można przekazywać szereg informacji. Dalej – mimo, że jeszcze nie jest gotowa nowa polska ustawa o ochronie danych osobowych, to pojawiły się wytyczne Grupy Roboczej art. 29 (np. o Inspektorze Ochrony Danych, Analizie Ryzyka etc.), które de facto będą traktowane jak rekomendacje KNF. Zatem może i nie są to twarde przepisy…ale spróbujcie ich nie przestrzegać. W drodze są kolejne tego typu wytyczne czy wspomniane kodeksy postępowania. Także jak najbardziej jest o czym opowiadać. Faktem który to potwierdza jest to, że czasem firmy same zgłaszają się z prośbą o zorganizowanie im szkolenia z tego zakresu. Osobiście otrzymałem tego typu zapytanie w ostatni piątek.

    1. Albert Sadowski

      W tym układzie – masz rację. Nie pozostaje nic innego, jak szkolić bezpośrednio z RODO. Ale to nie jest dobra wiadomość, zważywszy na jakość tego dokumentu. Liczyłem, że w polskiej implementacji sporo zostanie „wyczyszczone”, uspójnione i – przede wszystkim doprecyzowane. Ale się chyba na to nie zanosi. Polska ustawa ODO będzie jedynie suplementem do RODO, choć… cały czas mam nadzieję, że może jednak legislatorzy pokuszą się i napiszą nasze, własne prawo. Ono byłoby, rzecz jasna, zgodne z unijnym, ale może choć nie byłoby takiej niskiej jakości jak RODO. Ale chyba to nadzieja płonna.

    2. Albert Sadowski

      Byłoby najsensowniej, gdyby właśnie te wytyczne zostały przekonwertowane na polską postać Ustawy o ODO. Bo jeśli nie będą, to będziemy mieli do czytania:
      – RODO
      – naszą Ustawę o ODO – jako suplement do RODO
      – wytyczne Grupy Roboczej – jako „rekomendacje” GIODO.
      Mówiąc językiem młodzieżowym, będzie to tzw. „masakra” – żeby coś ustalić, będziemy musieli penetrować 3 dokumenty. A co jeśli okażą się niespójne (jak to nierzadko bywa przy takich rozproszonych źródłach informacji)?