Od 25 maja 2018 roku administratorzy danych osobowych nie będą już zgłaszali zbiorów danych osobowych do rejestru Generalnego Inspektora Ochrony Danych Osobowych. Ogólne rozporządzenie unijne o ochronie danych osobowych (dalej jako RODO) nie przewiduje bowiem ani obowiązku zgłaszania do krajowego organu nadzorczego posiadanych zbiorów danych osobowych, ani obowiązku organu nadzorczego prowadzenia ogólnego rejestru takich zbiorów.
Administrator bez obowiązku zgłaszania do GIODO
Jest to niewątpliwie istotna korzyść dla administratorów danych, którzy nie będą musieli zaprzątać sobie głowy kierowaniem wniosków do GIODO lub nowego polskiego organu nadzorczego w sprawie zgłaszania, aktualizowania lub usuwania informacji o posiadanych zbiorach danych osobowych.
Niezgłoszenie zbiorów danych osobowych nie będzie jednak zwalniało administratora danych od obowiązku prawidłowego zabezpieczenia i zgodnego z prawem przetwarzania danych osobowych.
Prawidłowe zabezpieczenie danych to podstawa
Unijny prawodawca zrezygnował również ze szczegółowego określenia środków technicznych i organizacyjnych, które administrator powinien wprowadzić, aby spełniać warunki zgodnego z prawem przetwarzania danych osobowych. W miejsce szczegółowych opisów RODO stanowi, że administrator danych ma dokonać oceny zagrożeń dla danych i wdrożyć takie środki techniczne i organizacyjne, które będą odpowiednie dla należytego ich zabezpieczenia uwzględniając ryzyko odnoszące się do danych (art. 32 RODO).
Ryzyko kalkuluje sam administrator danych osobowych
Innymi słowy administrator ma zabezpieczyć przetwarzane przez siebie dane osobowe w odniesieniu do zagrożeń, jak i w stosunku do następstw utraty kontroli nad danymi. Niezbędne jest zatem przeprowadzenie wewnętrznego audytu w tym zakresie i wdrożenia wniosków z niego wynikających.
Jak należy przyjąć jest to krok w dobrym kierunku, gdyż takie podejście pozwoli na utrzymanie aktu unijnego przez dłuższy okres czasu, niezależnie od zmieniającej się rzeczywistości i jednocześnie pozwoli na prawidłową ocenę ryzyk i wprowadzenie odpowiednich rozwiązań przez administratorów.
Dobre praktyki w przetwarzaniu danych
Zgodnie z roboczym projektem nowej ustawy o ochronie danych osobowych nowy organ ochrony konkurencji, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych będzie opracowywał i udostępniał na swojej stronie internetowej tzw. dobre praktyki przetwarzania danych osobowych, które będą zawierały środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych. Takie praktyki mogą ułatwić wdrażanie rozwiązań służących zabezpieczeniu danych. Dobre praktyki nie będą jednak – jak do tej pory – stanowiły obowiązującego prawa.