Za ok. 14 miesięcy zacznie obowiązywać wprowadzona unijnym rozporządzeniem reforma ochrony danych osobowych. Według niektórych przedsiębiorców może zabraknąć czasu na właściwe przygotowanie się do zmian.
Duża rozpiętość
International Association of Privacy Professionals (IAPP), międzynarodowe stowarzyszenie osób zajmujących się ochroną danych osobowych, podczas inaguracyjnego spotkania w Polsce przeprowadziło we współpracy z kancelarią CMS wśród polskich specjalistów ankietę na temat wyzwań związanych z wdrożeniem w podmiotach w naszym kraju nowego prawa. Jedna piąta respondentów wskazała, że na przygotowanie przedsiębiorstw do zmian wynikających z unijnego rozporządzenia potrzeba minimum 1,5 roku lub nawet dwa lata. Jednocześnie ponad 64 proc. ankietowanych ocenia, że w ich firmach wdrożenie koniecznych rozwiązań zajmie ok. 12 miesięcy, a według 16 proc. wystarczy pół roku.
Przedsiębiorcy państw członkowskich UE będą musieli przestrzegać nowego prawa od 28 maja 2018 r. i nie na zasadzie dobrowolności, lecz obowiązku.Unijne rozporządzenie ma być stosowane bezpośrednio. — To ostatni dzwonek, aby rozpocząć przygotowania do nowych regulacji, szczególnie jeżeli wziąć pod uwagę potrzeby kadrowe czy finansowe, a także konieczność uwzględnienia zmian w istniejących czy planowanych rozwiązaniach informatycznych. Unijne rozporządzenie jest dobrym punktem wyjściowym, aby rozpocząć dostosowywanie własnych firm w takich sprawach, jak weryfikacja dostawców usług przetwarzania czy badanie zgodności procesów biznesowych z nowymi przepisami — komentuje Marcin Lewoszewski, radca prawny w kancelarii CMS i jeden z organizatorów spotkania IAPP w Polsce. W ocenie ankietowanych brakuje jednak krajowych przepisów wykonawczych, które mogłyby doprecyzować unijne wytyczne. Marcin Lewoszewski przyznaje, że to ważna kwestia. — To, jaka będzie praktyka generalnego inspektora, na ile lokalne prawo ograniczy możliwości pozostawione w rozporządzeniu — np. pobierania od pracowników zgody na przetwarzanie danych osobowych — i jak będą interpretowane rozbieżności na styku z aktami krajowymi, ma konkretne znaczenie praktyczne — przyznaje Marcin Lewoszewski. Wśród ankietowanych wiele emocji wywołuje przyzwolenie na pozyskiwanie od pracowników informacji o karalności i danych biometrycznych. Zwolennicy pozyskiwania wiedzyo karalności to 54 proc. respondentów, przeciwnego zdania jest 46 proc.
Uwagi do wytycznych
O tym, że przedsiębiorcy oczekują konkretnych wskazówek, świadczą też wyniki prowadzonych przez generalnego inspektora ochrony danych osobowych konsultacji wytycznych do unijnego rozporządzenia przygotowanych przez wspólnotowy organ doradczy Grupę Roboczą art. 29. Środowisko biznesu oczekuje, że same wytyczne zostaną jeszcze doprecyzowane. Wielu przedsiębiorców wskazuje poza tym na zbyt szeroką według nich wykładnię przepisów rozporządzenia. Miało to dodatkowo uelastycznić je, a okazało się, że stworzyło dla firm stan niepewności. Wiele zgłoszonych uwag dotyczyło np. przenoszenia informacji o kliencie do innego podmiotu. Według przedsiębiorców Grupa Robocza Art. 29 przyjęła m.in. zbyt szeroki zakres danych podlegających prawu do przeniesienia, np. listę piosenek użytkownika portalu muzycznego czy informacje na temat zakupów. Zdaniem uczestników konsultacji, zaklasyfikowanie tego rodzaju wiedzy do danych osobowych wykracza poza zakres ich definicji określonej w rozporządzeniu. Uważają oni, że nałożenie na administratorów obowiązku przekazywania takich informacji niepotrzebnie zwielokrotni ilość przenoszonych danych. Uwagi z konsultacji zostaną przekazane Grupie.