Nowe regulacje w zakresie ochrony danych osobowych to nie tylko już znane GDPR, ale także dopiero tworzone przepisy krajowe doprecyzowujące niektóre kwestie (np. podstawy prawne przetwarzania danych w obrębie obowiązku prawnego czy zadania w interesie publicznym, lub warunki przetwarzania danych biometrycznych), modyfikujące przepisy GDPR (np. pułap wiekowy dla zgody osoby małoletniej) czy też ograniczające bądź wyłączające stosowanie GDPR (zakres praw i obowiązków podmiotów danych). Dochodzą do tego wytyczne Komisji Europejskiej, Grupy Roboczej 29 (następnie Europejskiej Rady Ochrony Danych Osobowych), a także np. dobre praktyki branżowe dot. bezpieczeństwa przetwarzania danych osobowych.

Koncepcja ochrony danych osobowych wg. GDPR w pewnych obszarach pozostała niezmieniona (np. przepisy mają zastosowanie do wszelakiego rodzaju procesów przetwarzania danych osobowych osób fizycznych, i odpowiedzialność za zgodność z prawem tym zakresie mogą ponoszą przede wszystkim). Są jednak takie obszary – jak np. nowe obowiązki w zakresie bezpieczeństwa danych osobowych (np. ocena skutków dla ochrony danych osobowych), które mocno wpłyną na biznes, także z punktu widzenia kosztów. I choć unijna reforma w zakresie danych osobowych to nie całkowita rewolucja, zarówno administratorzy i procesorzy (podmioty przetwarzające dane) zdają sobie sprawę z nowego wymiaru odpowiedzialności za nieprzestrzeganie nowych przepisów. GPDR przewiduje surowe kary administracyjne za jego naruszenie, tj. w wysokości do 10.000.000 - 20.000.000 EUR lub do 2 – 4 % rocznego globalnego obrotu (w przypadku przedsiębiorców). Do tego mogą dojść kary czy środki karne na poziomie przepisów krajowych. Dla niektórych podmiotów kara w takim wymiarze to będzie być albo nie być w biznesie.

Dokładając do tego szereg źródeł regulacji w zakresie ochrony danych osobowych, administratorzy i procesorzy nie mogą po prostu czekać do 24 maja 2018 r. i nie zrobić nic.

Niektórzy administratorzy i procesorzy są już w trakcie procesu przygotowawczego. Inny są jednak na początkowym etapie. Administratorzy i procesorzy wyruszają w drogę do pełnej zgodności i gotowości wraz z zespołem niezbędnych ludzi. Z pewnością będą to osoby odpowiedzialne za zarządzanie daną jednostką, jak obecni Administratorzy Bezpieczeństwa Informacji (ABI) czy osoby faktycznie pełniące podobne funkcje (niezarejestrowane formalnie jako ABI), Administratorzy systemów informatycznych czy też informatycy oraz osoby odpowiedzialne za dane departamenty (sprzedaż, marketing, obsługa klienta finansowe, kadry, etc.). Niezbędni też są prawnicy lub nawet zespoły prawników, specjalizujących się w ochronie danych osobowych, szczególnie wobec wspomnianego ryzyka kar, ale też generalnie z uwagi na zetknięcie się z nową materią prawną. Prawnicze podejście do nowego tematu (interpretacja przepisów), wiedza ogólna z zakresu prawa (nie tylko w ramach GDPR), bliskość źródeł informacji prawnych (np. o pracach legislacyjnych), ale także specjalistyczna wiedza branżowa, mogą okazać się niezbędne w procesie dostosowawczym do GDPR.

Prawnik specjalista będzie wsparciem dla administratorów i procesorów, do których zastosowanie ma GDPR. Jednak jego rola patrząc już od środka danej organizacji, może być dedykowana zarówno dla osób zarządzających (np. w zakresie uświadamiającym zasady odpowiedzialności), jak i ABI, ASI. Działy wsparcia jak dział IT, dział compliance, kadry, czy też poszczególne piony stricte biznesowe – sprzedaż, obsługa klienta itp., też mają swoją role do odebrania. Prawnik musi być przynajmniej na początku zarówno inspiratorem, jak i źródłem wiedzy. Wiedza jest zwornikiem dla roli każdego z uczestników. Szef IT nie zrobi wiele, jeżeli nie będzie znał schematów sprzedaży w sieci, zaś szef sprzedaży musi znać strukturę zakupową, żeby dostosować swoje działania. Jeżeli GDPR za kluczową uznaje zasadę privacy by design i stanowiącą jej element privacy by default, to należy oznaczyć centralny punkt decyzyjny parametryzujący wszystkie działania poprzez kryterium ochrony danych osobowych w oparciu o przepisy prawa w tym zakresie. Prawnik i jego wiedza może być takim punktem odniesienia.

Doradztwo prawne może dotyczyć zupełnie wstępnych kwestii jak dokonanie oceny stanu ochrony danych osobowych tu i teraz. W dalszej kolejności ocenie podlegać będzie zakres zastosowania GDPR dla danej organizacji – czy po rozszerzeniu terytorialnego zakresu stosowania, GPDR będzie mieć zastosowanie do podmiotu dotychczas niepodlegającego pod krajowe przepisy danego państwa członkowskiego.

Istotne jest także wsparcie prawnika na zupełnie wstępnym etapie jakim jest zrozumienie podstaw unijnej reformy i zaprezentowanie od strony prawnej podstaw nowego podejścia do ochrony danych (szczególnie podejścia risk based approach).

Kolejna kwestia to pomoc w ocenie wpływu zmian przepisów na biznes, nie tylko na zasadzie wskazania z jakimi nowymi obowiązkami należy się zmierzyć (a czasem nawet ze wskazaniem co dzisiaj jest dalekie od zgodności z przepisami o ochronie danych osobowych), ale także jak to zrobić.

Z uwagi na to, iż na dzień dzisiejszy nie są jeszcze znane przepisy krajowe (będzie uchwalona nowa ustawa dot. ochrony danych osobowych) monitorowanie procesu legislacyjnego, już od samego początku (pozwoli to szybko uchwycić kierunek krajowy) jest niezbędne.

Następnie prawnik będzie niezbędny także w procesie opracowywania jak i wdrażania zmian, które może poprzedzić audyt prawny w zakresie ustalenia tego co jest i co trzeba zmienić. Istotne znaczenie będą miały także szkolenia około-wdrożeniowe.

Rola prawnika nie skończy się 24 maja 2018 r. – stosowanie GDPR i wypracowane w okresie przygotowawczym podejście czy praktyka administratorów czy procesorów będzie weryfikowane przez organy nadzorcze (one-stop shop), ale także samą Komisję Europejską czy Europejską

Radę Ochrony Danych Osobowych. Skutkiem tych ocen mogą być dalsze wytyczne, do których procesy przetwarzania danych osobowych trzeba będzie dostosować.

Poza tym prawnik może okazać się niezbędny także przy obsłudze naruszeń czy roszczeń z tytułu naruszenia praw podmiotów danych, ale także przy reprezentacji organizacji przed organami nadzorczymi.

Jak w każdym przypadku nowych regulacji prawnych zaangażowanie prawnika w procesie dostawczym do GDPR wydaje się oczywistością. Będzie on bowiem wnosił do projektu wiedzę specjalistyczną i ogólną, doświadczenie, szczególnie z ramach projektów łączących prawo z IT, będzie on także szukał możliwych rozwiązań prawnych dla biznesowych potrzeb swojego klienta.

Przez najbliższe półtora roku nie tylko administratorów i procesorów czeka dużo pracy - prawnicy będą mieli z pewnością wiele do zrobienia.