Niemal każdy proponowany przepis jest kwestionowany. Najwięcej kontrowersji budzi kwestia tzw. „prawa do bycia zapomnianym”, czyli prawa żądania usunięcia danych dotyczących osoby fizycznej z wszelkich portali i stron internetowych. Z jednej strony idea bardzo chwalebna, z drugiej – jej praktyczne wdrożenie i egzekwowanie jest mało realne.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Aktywny udział w kampanii informacyjnej i opiniotwórczej bierze Ministerstwo Administracji i Cyfryzacji oraz sam minister Michał Boni. Organizowane są różnego rodzaju debaty i spotkania, takie jak np. odbyło się 13 maja 2013 r. w warszawskiej SGH, z udziałem komisarz ds. sprawiedliwości praw podstawowych i obywatelstwa - Vivane Reding. Założeniem tych spotkań jest wypracowanie wspólnego stanowiska zarówno przez pracodawców, przedsiębiorców jak i organizacje pozarządowe. Zbyt duże wymagania wobec przedsiębiorców w zakresie zabezpieczania danych osobowych muszą być adekwatne do obywatelskiego prawa do prywatności. Chodzi o takie skonstruowanie przepisów, aby podmioty, które przetwarzają stosunkowo niewielką ilość danych osobowych nie musiały spełniać takich samych, często bardzo rygorystycznych, warunków, jak podmioty, które czasem wręcz opierają swą działalność na przetwarzaniu danych osobowych.
Dyskutowana jest również kwestia obowiązku posiadania przez administratora danych osobowych (ADO), administratora bezpieczeństwa informacji (tzw. ABI) lub specjalisty ds. ochrony danych osobowych (OPO). W Polsce, zgodnie z doktrynalną interpretacją przepisów ABI musi być powołany w każdym podmiocie, za wyjątkiem jednoosobowej działalności gospodarczej lub spółki cywilnej. Dla poszczególnych podmiotów jest to często koszt niewspółmierny do ryzyka, jakie może powstać w związku z niewystarczającym zabezpieczeniem danych osobowych. W związku z tym administratorów bezpieczeństwa informacji jest obecnie stosunkowo niewielu, niemniej ich liczba z roku na rok rośnie. Przykładem skrajności w tym względzie są Niemcy, gdzie każdy podmiot zatrudniający powyżej 9 pracowników (do niedawna 4 pracowników) musi powołać odpowiednika naszego ABI.
Na gruncie europejskim dyrektywa 95/46/WE obowiązuje już długo (od 24 października 1995 r.), jednak rozbieżności w poszczególnych krajach nadal pozostają duże. Jednym z celów nowego rozporządzenia jest ujednolicenie przepisów. Nasuwa się jednak pytanie czy zasady w państwach członkowskich są wystarczająco spójne by jedno rozporządzenie mogło obowiązywać w całej Unii Europejskiej. Czy nie okaże się, że w niektórych krajach wprowadzenie nowych przepisów stanie się groźne dla ich gospodarki. Analizując zasadność wprowadzania nowych regulacji prawnych, rodzi się pytanie o koszty. Jest to szczególnie istotne dla państw najsilniej dotkniętych ostatnią falą kryzysu. Może się okazać, że mogą one nie podołać faktycznemu (kosztownemu) wdrożeniu rozporządzenia. Nowe obciążenia z zakresu ochrony danych osobowych nałożone na ostatnimi siłami wiążące koniec z końcem przedsiębiorstwa mogą się okazać w skutkach co najmniej ryzykowne, o ile nie katastrofalne.
A jak Państwo oceniają proces uzgodnień (postępy prac) oraz rolę Polski w nowelizacji tych regulacji prawnych?