MIT 1 RODO to rewolucja

Ogólne zasady przetwarzania danych osobowych pozostają niezmiennie. RODO wprowadza zmiany i nowe obowiązki dla administratorów danych oraz zwiększa ich odpowiedzialność. Zmienił się sposób podejścia do zabezpieczenia danych poprzez wprowadzenie tzw. podejścia opartego na ryzyku, a przez to samodzielnej ocenie, jakie konkretnie środki zabezpieczenia danych należy wdrożyć.

MIT 2: Musisz mieć zgodę, aby przetwarzać dane osobowe.

Zgoda jest jedną z podstaw przetwarzania danych. RODO wymienia także inne podstawy, w szczególności niezbędność do wykonania umowy, niezbędność do wypełnienia obowiązku prawnego czy niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Przed rozpoczęciem należy określić podstawę prawną przetwarzania, która powinna być ujęta także w prowadzonym przez administratora rejestrze czynności przetwarzania.

MIT 3: Każda firma musi wyznaczyć inspektora ochrona danych (IOD)

Obowiązek wyznaczenia IOD nie dotyczy wszystkich firm. Ocenić przede wszystkim należy, czy  główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę. Grupa Robocza art. 29 w swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku obowiązku wyznaczenia IOD.

MIT 4: Administrator danych lub procesor zapłacą grzywnę za każde naruszenie

Oczywiście czas pokaże, ale kary finansowe powinny być ostatnim krokiem stanowiącym reakcję na naruszenie przez administratora lub podmiot przetwarzający. Należy oczekiwać, że organ nadzorczy najpierw wykorzysta inne narzędzia – upomnienia, ostrzeżenia, decyzje nakazujące usunięcie naruszeń. Ponadto kary powinny być dostosowane do wysokości jednostki.

 MIT 5: Organizacja może osiągnąć zgodność z RODO poprzez zakup narzędzia lub systemu 

Błędem jest założenie, że organizacja może osiągnąć zgodność z RODO poprzez zakup narzędzia lub systemu. RODO odchodzi od praktyki polegającej na wskazaniu w przepisach konkretnych środków zabezpieczenia. Każda organizacja musi stosować własne środki, aby była w pełni zgodna. Dobór środków powinien być oparty przede wszystkim o charakter, zakres i kontekst przetwarzania.