• nieumiejętne podejście do realizacji zasad „privacy by default" oraz „privacy by design", które zakładają, że ochrona danych jest procesem ciągłym i powinna być wpisana w DNA każdej organizacji oraz w świadomość każdego pracownika. Oznacza to, że nie wystarczy już tylko przeprowadzić jednorazowy projekt wdrożenia RODO, zaś ochrona prywatności powinna być uwzględniana w trybie ciągłym i nie może pogorszyć się w wyniku zmian (naturalnych dla dynamicznego środowiska biznesowego).
Idąc zgodnie z duchem RODO, odpowiedź na powyższe problemy stanowić może poprawnie przeprowadzona ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA). Jest to analiza ryzyka naruszenia praw i wolności podmiotów danych wynikającego ze sposobu, w jaki przetwarzane są dane. W dalszym ciągu obserwujemy, że wiele organizacji jak ognia stara się jej uniknąć, traktując jako dodatkowy, niepotrzebny wysiłek, który niewiele wnosi w realną działalność biznesową. W praktyce okazuje się jednak, że to właśnie DPIA pozwala odpowiedzieć na pytania odnośnie do poziomu zabezpieczeń oraz daje organizacji świadomość, że sposób, w jaki przetwarza dane osobowe, jest rzeczywiście zgodny z prawem. Kluczowym elementem w tym zakresie jest zastosowanie spójnego i powtarzalnego podejścia, które minimalizuje ilość subiektywnej oceny na rzecz formalnej i realistycznej analizy ryzyka. Niezbędne jest więc zastosowanie metodyki realizacji oceny skutków dla ochrony danych, która uwzględnia kompetencje w obszarze ryzyka, procesów, kontroli i aspektów technicznych. O ile w początkowej fazie jej funkcjonowania rzeczywiście wymaga większych nakładów pracy i zasobów, o tyle zwracają się one w postaci zabezpieczeń, które dostosowane są do wymagań regulacyjnych, realnego ryzyka i specyfiki działalności biznesowej, jak również realizacji zasady rozliczalności działań administratora (co w przypadku kontroli czy wystąpienia incydentu daje ogromną przewagę i możliwość ograniczania wysokości kar).
Właściwa ocena skutków dla ochrony danych umożliwia realne oddanie pierwotnego celu RODO – zabezpieczenie praw i wolności podmiotów danych w sposób, który nie stanowi opozycji do skutecznego prowadzenia działalności biznesowej i pozwoli uniknąć głośnych ostatnio „absurdów RODO". Świadome podejście do tego zagadnienia może przynieść wizerunkowe korzyści konkurencyjne.
Odrębnym, lecz równie ważnym obszarem, który eksponuje się przy nałożonych karach, jest umiejętne i efektywne zarządzanie i reagowanie na incydenty. Obecny rozwój technologiczny uniemożliwia stuprocentowe uniknięcie incydentów. Sytuacji nie poprawia ryzyko błędów ludzkich – szczególnie wysokie w kontekście modnych ostatnio szkoleń, które przekazują wyłącznie wiedzę prawniczą, bez wyraźnej informacji, jak w bezpieczny sposób postępować z danymi. Taki stan rzeczy skonkludować można do pytania nie „czy", ale „kiedy" nasza organizacja zmierzy się z incydentem.
Z perspektywy odpowiedniego podejścia, gdy incydent już wystąpi, kluczowe są działania pracowników przygotowanych do stosownej reakcji i podjęcie właściwych decyzji pomimo presji czasu. Administrator danych musi błyskawicznie ocenić ryzyko naruszenia praw i wolności podmiotów danych w wyniku incydentu i zadecydować o ewentualnej konieczności poinformowania o nim organu nadzoru oraz podmiotów danych. Z pomocą również przyjść powinno ustandaryzowane, formalne i pragmatyczne podejście do oceny incydentów – metodyka oceny incydentów. Dzięki niej niezależnie od indywidualnej percepcji osoby, która dokonuje oceny, wynik odpowiedzi powinien być taki sam. Z perspektywy regulatora stanowi to jednoznaczny sygnał o poziomie dojrzałości i świadomości podejścia organizacji zarówno do realizacji zasady rozliczalności, jak również do rzeczywistej i świadomej ochrony praw i wolności podmiotów danych.
W dalszym ciągu realia RODO wprowadzają na lokalnym rynku dużą niepewność. Z jednej strony widmo sankcji podsycane jest przez elektryzujące wiadomości o karach. Z drugiej natomiast wdrożenia RODO w wielu organizacjach okazały się nieskuteczne z perspektywy rzeczywistej ochrony prywatności i osiągnięcia celu regulacji – głównie w wyniku konieczności zmiany perspektywy. Kluczem do sukcesu jest opracowanie i przyjęcie spójnych zasad postępowania uwzględniających najlepsze praktyki rynkowe, jasne i powtarzalne zasady działania oraz świadome podejście do ochrony prywatności.
