Mentionsy

Dostrzegam całą masę właśnie zastosowań RODO, które wcześniej były mniej wykorzystywane albo też nie rozumieliśmy do końca jak istotne one są i najlepszym tego przykładem jest chociażby mechanizm czy wymóg związany z automatycznym podejmowaniem decyzji.

W RODO jest zaszyty taki wymóg, taki mechanizm, który mówi, że jak

I można nawet powiedzieć, że to już nawet wychodzi poza samo RODO, bo tu bardziej chodzi o to, żeby chronić po prostu ludzi przed takim niesprawiedliwym traktowaniem, dyskryminacją, które łączy się często właśnie z taką

No i to jest właśnie problem RODO.

Myśmy powiedzieli, no ale dlaczego RODO?

No właśnie w RODO jest zaszyty taki mechanizm, który mówi, że jeżeli korzystamy z automatycznych mechanizmów i one bazują na przetwarzaniu danych osobowych, no to musimy spełnić dodatkowe wymagania.

Myślę, że największy problem tkwi w niezrozumieniu, jakie są wymagania wynikające z RODO.

Jak nie poznamy po prostu tych procesów w naszej organizacji, no to nie będziemy w stanie wdrożyć RODO i właśnie uniknąć tych skrajności.

No i teraz bardzo często to widać, że chociażby, to może niekoniecznie jest RODO, ale chociażby właśnie, jeżeli chodzi o regulację DORY.

Wielu przedsiębiorców, którzy, ja widzę, wdrażają taki model, dają pewne rabaty, czy właśnie dostęp do darmowych usług w zamian za wyrażenie zgody, zapomina o tym, że zgoda każda, każda zgoda na gruncie RODO, nawet w takim mechanizmie, w cudzysłowie, płatności danymi osobowymi, jest możliwa do wycofania i taką możliwość trzeba zapewnić.

No sposobu spełnienia obowiązków informacyjnych, już mówiąc tak bardziej formalnie, czyli przekazania tych informacji, które wynikają z RODO o tym, kto jest administratorem, jakie są cele przetwarzania, na jakiej podstawie przetwarzamy właśnie, czy dokonujemy tych automatycznych decyzji, czy nie.

Ja tutaj nie jestem jakimś wielkim zwolennikiem wrzucania tych klauzul do każdego możliwego dokumentu, bo to się robi już naprawdę przesyt tych informacji, ale trzeba powiedzieć uczciwie, że jest to wymóg wynikający wprost z RODO i trzeba go realizować.

Jeżeli kupimy ludziom telefony służbowe, miałem taką sytuację, że firma mówi, że ona jest zgodna z RODO, bo kupiła telefony służbowe.

Być może powinno tak być, być może w RODO powinien być taki mechanizm umożliwiający jeszcze bardziej elastyczną wymianę danych w ramach różnych grup podmiotów.

Przede wszystkim trzeba sobie uświadomić, że naruszenie ochrony danych, bo taka jest formalna nazwa właśnie tych wycieków na gruncie RODO, to jest pewien stan faktyczny, pewne zdarzenie.

że jeżeli nawet wdrożymy wymagania, czyli przykładowo mamy taki plan w naszej firmie, że z jakichś względów postanowiliśmy mieć całkowitą zgodność z RODO i wdrożyć wszystkie procedury, zinwentaryzować wszystkie rzeczy, ocenić umowy z zewnętrznymi dostawcami, to jeżeli nie mamy pomysłu na to, żeby to trwało dalej, żeby to był jakiś proces ciągły, żeby wszystkie nowe procesy były weryfikowane, żeby wszystkie nowe narzędzia były sprawdzane,

żeby umowy były też weryfikowane pod kątem zgodności z RODO, żeby środki, które tam sobie zaplanowaliśmy, bezpieczeństwa, rzeczywiście były wdrożone, a nie tylko zaplanowane, to jeżeli nie ma na to pomysłu, to absolutnie jestem pewny, że po miesiącu już można spokojnie powiedzieć, że już tego stanu wdrożenia RODO nie ma.

Ktoś mówi na przykład, no mieliśmy wdrożone RODO trzy lata temu, no i w sumie po tym się nic nie wydarzyło.

No to z góry można powiedzieć, że w takim razie nie mają wdrożonego RODO, bo z pewnością mają jakieś procesy, które nie zostały sprawdzone, mają jakieś narzędzia, które nie zostały właśnie zweryfikowane, że są jakieś nowe ryzyka, które nie zostały oszacowane i zabezpieczenia, które nie zostały wdrożone.

że to można zrobić jednorazowo i później już mamy taki certyfikat zgodności z RODO na dłuższy czas.

No niestety tak jest, że zwykle już następnego dnia, jeżeli nie mamy pomysłu na to, jak tym zarządzać w czasie, no już nie jesteśmy zgodni z RODO.

Okazuje się po tych wielu latach od wejścia w życie RODO i w związku z tym, że ten kontekst technologiczny się zmienił, że takie mechanizmy, które wynikają z ochrony, które traktowaliśmy w ten sposób, że one są, oczywiście trzeba zawsze to sprawdzić, czy w naszym procesie nie ma właśnie jakiejś automatyzacji, czy nie występuje ryzyko, że ten wynik działania algorytmu będzie niesprawiedliwy itd.,

była interwencja człowieka, który sprawdza te wszystkie odrzucone CV-ki i faktycznie ostatecznie podejmuje decyzję, czyli to co Rodo mówi, że jeżeli nie mamy podstawy prawnej do tego, żeby automatycznie przetwarzać dane, tą podstawą może być zgoda, umowa, może przepis prawa i jeżeli jej nie ma, nie powinniśmy tego robić, czyli powinien być człowiek, mówiąc najogólniej.

w tym procesie i tak jak mówię, być może dla tego kandydata ważniejsze by było, żeby ten wymóg RODO właśnie tego udziału człowieka był spełniony niż jakieś formalności związane ze sposobem sformułowania klauzuli informacyjnej, więc pewnie jesteśmy w takim momencie, gdzie też definiujemy trochę i mam nadzieję, że to też będzie praktyka organów nadzorczych, te kierunki

nadzoru, kontroli, że naprawdę w tym momencie powinniśmy się skupić na tych ważnych kwestiach, które rodzą realnie konsekwencje dla ludzi, rodzą te ryzyka, które nie są czysto hipotetyczne, bo my często na przykład, to jest też taka tendencja, jak widzę, jak organizacje oceniają ryzyko, no to to jest jeden z takich formalizmów wynikających z RODO, który trzeba zrobić, odhaczyć i już