10 lat RODO. Ewolucja którą wzięliśmy za rewolucję.

10 lat RODO. Ewolucja którą wzięliśmy za rewolucję.

Rozporządzenie które "wywróciło wszystko do góry nogami" istnieje od dekady. Tyle że przepisy o ochronie danych osobowych istniały w Polsce znacznie wcześniej. Zmieniło się nie prawo – zmieniło się to że zaczęto je egzekwować.

Jest pewne nieporozumienie które towarzyszy RODO od początku.

Że 25 maja 2018 roku coś eksplodowało. Że przed tą datą wszystko było wolno a po niej wszystko stało się zakazane. Że prawo o ochronie danych osobowych pojawiło się znikąd i zaskoczyło polskie firmy znienacka.

Nie. Mija 10 lat od przyjęcia rozporządzenia o ochronie danych osobowych które weszło w życie dwa lata później w maju 2018 roku.

Polska miała ustawę o ochronie danych osobowych od 1997 roku. Przez dwadzieścia lat. Był GIODO. Były przepisy. Były obowiązki. Były kary.

Tyle że nikt się tym za bardzo nie przejmował.

Skąd te dziesięć lat

Technicznie RODO jako rozporządzenie zostało przyjęte w 2016 roku i weszło w życie 25 maja 2018. Dziesięć lat liczy się od przyjęcia – stąd jubileusz w 2026.

Ale żeby zrozumieć co tak naprawdę się zmieniło trzeba cofnąć się dalej niż 2016.

Polska ustawa o ochronie danych osobowych z 1997 roku nakładała na administratorów obowiązki które brzmiały znajomo każdemu kto dziś czyta RODO. Cel przetwarzania. Podstawa prawna. Bezpieczeństwo danych. Prawo do informacji.

Problem polegał na tym że GIODO – poprzednik UODO – miał ograniczone zasoby, ograniczone uprawnienia i ograniczoną zdolność do nakładania kar. Maksymalna kara była symboliczna. Kontrole rzadkie. Świadomość niska.

Firmy działały zgodnie z maksymą którą można streścić jako "coś tam jest w szafie ale nikt nie sprawdza."

Szafą zrobiła się biblioteka. Nikt nie sprawdzał.

Co naprawdę zmieniło RODO

Nie przepisy. Przepisy były w dużej mierze znane wcześniej.

Zmieniły się dwie rzeczy.

Po pierwsze: kary.

Łączna suma kar nałożonych przez UODO na podmioty gospodarcze w latach 2025 roku to 63 mln zł. 

Maksymalna kara z ustawy z 1997 roku – kilkadziesiąt tysięcy złotych (chociaż częściej sięgano po odpowiedzialność karną). Maksymalna kara z RODO – 20 milionów euro lub 4% globalnego obrotu.

Kiedy kara przestała być kosztem który można wliczyć w budżet compliance i stała się potencjalnym egzystencjalnym zagrożeniem dla firmy – prezes zaczął słuchać gdy IOD mówił.

Po drugie: medialność.

Pierwsze kary UODO trafiały na pierwsze strony portali biznesowych. Każda duża kara w Europie była tematem konferencji i szkoleń. RODO stało się brandowane – miało nazwę, miało twarz, miało datę wejścia w życie.

Przed 2018 rokiem ochrona danych osobowych była tematem specjalistycznym. Po 2018 roku stała się tematem który zna każdy i jest nawet częstym motywem fabularnym filmów lub dowcipów.

To była zmiana kulturowa bardziej niż prawna.

Pierwsze lata: chaos i papieroza

Pierwsze dwa lata po wejściu RODO w życie były fascynującym eksperymentem społecznym.

Firmy produkowały dokumentację w tempie którego nie widziały od lat. Polityki prywatności mnożyły się jak grzyby po deszczu. Zgody były zbierane na wszystko i do wszystkiego. Każdy email kończył się dwustronicową stopką z klauzulą informacyjną.

To był czas papierowy w najczystszej postaci.

Papieroza – termin który w środowisku compliance oznacza tworzenie dokumentacji dla samej dokumentacji – kwitła. Firmy myślały że ochrona danych to projekt na wdrożenie a nie proces na lata. Że jak już mają politykę prywatności i rejestr czynności przetwarzania to są bezpieczne.

Były bezpieczne – na tyle na ile UODO miał zasoby żeby sprawdzać.

Środkowe lata: poluzowanie i samozadowolenie

Gdzieś w okolicach kadencji drugiego Prezesa UODO nastąpiła zmiana którą obserwowałem z pewną ulgą.

Pierwsze wielkie kary dotyczyły poważnych naruszeń – wycieków danych milionów osób, braku podstawowych zabezpieczeń, ignorowania obowiązku informacyjnego na masową skalę. Organ nadzorczy pokazał że idzie po tych którzy naprawdę narozrabiali a nie po każdej firmie która ma literówkę w klauzuli informacyjnej.

To zaczęło zmieniać klimat rozmów o RODO.

Pojawiło się podejście które można by nazwać proporcjonalnym. Że mała firma z dziesięcioma pracownikami nie musi mieć dokumentacji jak bank z tysiącami klientów. Że ryzyko powinno wyznaczać poziom zabezpieczeń a nie odwrotnie. Że RODO jest rozporządzeniem opartym na zasadach a nie na checklistach. Że papier nie jest aż tak potrzebny jeśli faktycznie widać że ktoś myśli o RODO i pilnuje jego przestrzegania.

To było dobre. To było właściwe. I to było zgodne z tym co rozporządzenie faktycznie mówi – bo RODO nigdy nie wymagało papierologii dla samej papierologii.

A część firm wyciągnęła z tego okresu wniosek który był błędny – że skoro UODO idzie po największych i za najpoważniejsze naruszenia, to siedzenie cicho zapewnia bezpieczeństwo. Że jeśli nie masz miliona klientów to nie masz problemu.

Ten wniosek właśnie przestaje być bezpieczny.

Teraz: powrót rygoryzmu

Obserwuję w ostatnich decyzjach UODO kilka tendencji które razem składają się na obraz organu który wyraźnie zaostrza kurs.

Papierowe upoważnienia wracają.

Przez kilka lat toczyła się dyskusja czy upoważnienia do przetwarzania danych muszą być pisemne i podpisane czy wystarczy forma elektroniczna albo systemowa. UODO w sprawie DPD uznał że automatycznie generowany plik z systemu nie może być zakwalifikowany jako upoważnienie bo nie zawierał imienia i nazwiska pracownika ani podpisu osoby udzielającej upoważnienia. Ta sprawa jest najgłośniejsza ale nie jedyna. 

Wróćmy do kartki papieru z mokrym podpisem. Nieeleganckie. Archaiczne. Ale zgodne z aktualną linią UODO.

Klauzule informacyjne muszą być przekazywane realnie.

Wklejenie klauzuli do regulaminu który nikt nie czyta przestało wystarczać. UODO coraz częściej bada nie czy klauzula istnieje ale czy dotarła do osoby której dane dotyczą w sposób który można udowodnić.

Zgoda pracownika to fikcja.

Powoli na rynku luzowano podejścia co do znaczenia "dobrowolności" zaczęto naciskać na to, że sprawiedliwa alternatywa wystarczy by uznać zgodę za prawidłową. UODO konsekwentnie podtrzymuje jednak stanowisko że zgoda w stosunku pracy jest czystą fikcją - co moim zdaniem jest zbyt daleko idącym wnioskiem.

IOD ma być niezależny. Naprawdę.

Prezes UODO podkreślił że IOD pełniący jednocześnie funkcję prezesa zarządu jest niedopuszczalny gdyż IOD musiałby monitorować i oceniać własne decyzje jako zarządcy co wyklucza niezbędną na tym stanowisku niezależność. Takie podejście rozumiem - Pisałem od lat i teraz  ciągle dostajemy twarde potwierdzenie w decyzjach. IOD który jest jednocześnie dyrektorem IT, szefem HR albo członkiem zarządu – to nie jest IOD. To jest ktoś z tytułem IOD bez możliwości wykonywania jego funkcji i firma która prosi się o karę.

Ale UODO poszedł w ostatnim czasie znacznie dalej niż zakaz łączenia funkcji z rolami zarządczymi. I tu zaczyna się jedna z gorętszych dyskusji w branży której nie widać w mediach ale która toczy się na każdej konferencji i w każdym środowisku IOD-owym.

Chodzi o zakres tego co IOD w ogóle może robić.

Stanowisko UODO zmierza w kierunku bardzo wąskiej definicji roli. IOD ma doradzać, monitorować i szkolić. Nie może mieć pełnomocnictwa do działania w imieniu administratora. Nie powinien sam zgłaszać naruszeń do UODO – bo zgłoszenie to decyzja administratora a nie IOD (nawet samo pełnienie roli listonosza jest uznawane za zbyt niebezpieczne). Nie może decydować o tym czy dane mogą być przetwarzane – może tylko wydać opinię. Nie powinien mieć podwładnych którymi zarządza bo zarządzanie ludźmi to funkcja menedżerska a nie doradcza.

W teorii to ma sens. IOD który decyduje traci niezależność bo staje się współodpowiedzialny za decyzje które potem sam kontroluje.

W praktyce wygląda to inaczej w zależności od tego po której stronie stołu siedzisz.

Wewnętrzni IOD w administracji – często powołani z łapanki, bez odpowiedniego umocowania i bez wystarczającego wsparcia góry– przyjmują to stanowisko z westchnieniem. Wiedzą że powinno być tak jak mówi UODO. Wiedzą też że w ich organizacji nie ma nikogo kto by te decyzje faktycznie podejmował gdyby oni przestali. Administrator nominalnie decyduje ale w praktyce podpisuje co IOD przyniesie.

Outsourcingowi IOD – a mówię to jako ktoś kto sam działa w tym modelu – czują że bezsensownie zabiera im się pracę bez zapewnienia lepszej ochrony podmiotom danych. Jeśli IOD nie może złożyć zgłoszenia naruszenia bo to decyzja administratora, a administrator nie wie jak to zrobić i nie rozumie przepisów – to kto w praktyce chroni osoby których dane dotyczą? Formularz na stronie UODO nie wypełni się sam.

Ta dyskusja nie ma jeszcze rozstrzygnięcia. UODO ma swoje stanowisko. Rynek ma swoje realia. Gdzieś pomiędzy jest rzeczywistość organizacji które potrzebują kogoś kto realnie zadba o ochronę danych a nie tylko wyda opinię że ktoś inny powinien zadbać.

Finalnie kończy się tym że coraz mniej firm korzysta z usług IOD a po prostu posiada "ekspertów od ochrony danych osobowych" - skoro można mieć więcej i przy mniejszym ryzyku to po IOD?

Każdy wyciek jest jakimś ryzykiem.

To jest zmiana która boli najbardziej i która generuje najwięcej pracy reaktywnej.

Aby uznać że mówimy o ryzyku mało prawdopodobnym należało wykazać że skutek naruszenia nie urzeczywistni się w ogóle. UODO wskazał że już samo ujawnienie danych podmiotom nieuprawnionym wywołuje ryzyko które obliguje administratora do podjęcia konkretnej reakcji. 

Argument "dane trafiły do instytucji publicznej więc ryzyko jest zerowe" nie przeszedł. Argument "to był jeden mail z jedną osobą" nie przechodzi regularnie.

Progiem dla braku ryzyka jest niemal niemożliwość zmaterializowania się skutków. Nie "mało prawdopodobne" w potocznym rozumieniu ale bliskie pewności że nic się nikomu nie stanie.

W praktyce oznacza to że znacznie więcej naruszeń wymaga zgłoszenia do UODO niż firmy dotychczas zakładały. To powoduje że jesteśmy częściej widoczni przez UODO a ich kaprys dla nas nigdy nie jest pewien. Sama obsługa naruszenia to też często stres i sporo organizacyjnej pracy.

Co nadal nie działa po dekadzie

Mógłbym napisać artykuł jubileuszowy z samymi sukcesami. Byłby nieprawdziwy.

Analiza ryzyka nadal jest problemem.

Przepisy wymagają analizy ryzyka przy każdym procesie przetwarzania i DPIA przy procesach wysokiego ryzyka. W praktyce większość firm nie wie jak to robić. Nie ma jednego wzoru który jest poprawny – metodyki są różne, poziom szczegółowości niejasny, kryteria oceny dyskusyjne.

Przez dekadę branża nie wypracowała prostego i powszechnie akceptowanego standardu dla małych i średnich firm. Są wzory od ICO oraz CNIL, są wytyczne EROD, są narzędzia komercyjne – ale żadne nie stało się powszechne.

Podstawy prawne wciąż generują więcej dyskusji niż powinny.

Uzasadniony interes kontra zgoda kontra umowa. Przez dekadę ta dyskusja pochłonęła gigantyczne zasoby prawne i compliance-owe. Tymczasem w większości przypadków wybór podstawy prawnej ma mniejsze znaczenie niż to czy przetwarzanie w ogóle jest transparentne, minimalne i bezpieczne.

Kłócimy się o literki zamiast pytać czy system jest odporny na atak phishingowy na pracownika działu HR.

Świadomość pracowników pozostaje niska.

Szkolenie raz w roku z testem który wszyscy zdają za pierwszym razem. Certyfikat do teczki. I pracownik który tydzień później klika w link w mailu od "banku" bo nikt nie powiedział mu jak wygląda prawdziwy atak socjotechniczny.

Wdrożenie uwierzytelniania dwuskładnikowego dla dostępu do systemów kluczowych mogło znacząco utrudnić skuteczny atak. Techniczne środki bezpieczeństwa nadal są w wielu firmach niedoinwestowane względem dokumentacji compliance. 

Co się naprawdę zmieniło

Jedno zdanie.

Przed RODO ochrona danych osobowych była tematem dla specjalistów od prawa. Po dekadzie RODO jest tematem w komedii romantycznej w TV.

Nie dlatego że przepisy stały się mądrzejsze. Dlatego że dane osobowe i ich ochrona stały się nieodłączną częścią naszego życia.

To jest zmiana kulturowa której już nie da się cofnąć. A widać to po innych krajach poza EU które przyjmują podobne standardy.

Następna dekada

Digital Omnibus zakłada istotne modyfikacje RODO które mogą zacząć obowiązywać w 2026 roku i w kolejnych latach. Wydłużenie terminu zgłoszenia naruszenia. Zmiana progu zgłoszeniowego. Uproszczenia dla małych firm.

Kierunek jest ciekawy – mniej biurokracji, wyższy próg dla naprawdę nieistotnych naruszeń, więcej skupienia na rzeczywistym ryzyku a mniej na formalnym spełnieniu każdego checkboxa.

Ale niezależnie od zmian legislacyjnych jest jedno pytanie które pozostaje takie samo przez całą dekadę.

Czy Twoja firma chroni dane osobowe dlatego że musi czy dlatego że rozumie że to jest właściwe?

Odpowiedź na to pytanie jest ważniejsza niż znajomość każdego artykułu RODO.

I po dziesięciu latach wciąż zbyt wiele firm odpowiada źle.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.