10.01.2023
Wejściu już prawie 5 lat temu, przepisów RODO, towarzyszyło niemałe zamieszanie. Przedmiotem ustawy z dnia 25 maja 2018 r. jest wprowadzenie ogólnoeuropejskich regulacji w przedmiocie ochrony danych osobowych. Co prawda, w tym czasie od ponad 20 lat obowiązywała w Polsce ustawa o ochronie danych osobowych, niemniej jednak, dopiero wejście w życie przepisów RODO spowodowało, że większą uwagę skupiono na regulacjach w tym przedmiocie. Presja towarzysząca wejściu w życie RODO związana była przede wszystkim z akcentowaniem konsekwencji naruszenia przepisów, w szczególności z karami pieniężnymi jakie organy nadzoru będą uprawnione nakładać oraz ich maksymalną wysokością. Przypominamy, maksymalna wysokość kar pieniężnych sięga nawet 20 mln euro lub kwotę stanowiącą 4 % całkowitego światowego obrotu danego przedsiębiorstwa w poprzednim roku obrotowym. Co więcej, stan niepewności powodował sam charakter przepisów, które w dość ogólny sposób formułują zasady przetwarzania danych, pozostawiając w znacznej mierze administratorom dowolność w wyborze środków do ich realizacji. W związku z powyższym przedsiębiorcy czy instytucje, mniej lub bardziej prawidłowo i precyzyjnie starały się dostosować dokumenty i procedury do ogólnych zasad wynikających z Rozporządzenia.
Jak z perspektywy czasu można oceniać wejście w życie przepisów RODO oraz ich wykonywanie?
Niewątpliwie największym walorem wejścia w życie przepisów RODO jest wzrost powszechnej świadomości na temat kwestii związanych z przetwarzaniem danych osobowych. Podmioty profesjonalnie przetwarzające dane w znacznej mierze uświadomiły sobie konieczność ustrukturyzowania procesów, pochylenia się nad zasadnością przetwarzania poszczególnych danych oraz przekazywania danych do innych podmiotów. Wprowadzone obowiązki związane z informowaniem osób, których dane osobowe są przetwarzane o zasadach przetwarzania czy posiadania przez administratora podstawy prawnej na przetwarzanie danych, przyczyniło się do zwiększenia bezpieczeństwa danych oraz dostępności przez osoby fizyczne do wiedzy na temat tego, jakie podmioty i w jakim celu przetwarza dane.
Pomimo powyższych pozytywów, nie sposób jednak nie wskazać, że sama świadomość obowiązywania przepisów RODO, to nadal za mało. Z naszego doświadczenia wynika między innymi, że część podmiotów przetwarzających dane traci z pola widzenia realny cel Rozporządzenia, którym jest przecież faktyczna ochrona praw i bezpieczeństwa osób fizycznych. Ta zaś powinna odbywać się nie tylko na poziomie formalnym tj. poprzez wprowadzanie dokumentacji (polityk bezpieczeństwa, klauzul, czy spisanych procedur), ale również w praktycznym wymiarze polegającym na wprowadzaniu realnych i adekwatnych zabezpieczeń w obszarach, w których dane osobowe są przetwarzane, aktualizacji procesów i praktycznym zapoznawaniu pracowników i współpracowników z zasadami bezpieczeństwa danych osobowych panującymi w organizacji. Ten aspekt wydaje się być jednak wciąż niewystarczająco akcentowany, a przecież przygotowanie najbardziej precyzyjnych dokumentów i zasad bezpieczeństwa, nie będzie stanowiło wystarczających gwarancji bezpieczeństwa przy braku ich stosowania przez wszystkie osoby, które uczestniczą w jakichkolwiek procesach przetwarzania.
Powyższe wnioski dotyczą podejścia do zasad wynikających z RODO przez podmioty przetwarzające dane oraz osoby, których dane są przetwarzane. Przyjrzyjmy się jednak perspektywie Urzędu Ochrony Danych Osobowych. Na ten moment, z publikowanych przez Urząd Ochrony Danych Osobowych (UODO) informacji wynika, że obawy podmiotów przetwarzających dane w zakresie skupienia się przez UODO na kontrolach i nakładaniu wysokich kar pieniężnych okazały się jednak na wyrost.
Zgodnie ze statystykami UODO, jedną z głównych podstaw wszczynania postępowań kontrolnych są indywidualne skargi, które składane są przez osoby fizyczne. Przedmiotem skarg są głównie kwestie związane z przetwarzaniem i pozyskaniem danych bez podstaw prawnych oraz niezasadnym ich przekazywaniem dalszym podmiotom (również bez podstawy prawnej). Z pewnością skargi te są związane z większą świadomością przysługujących osobom fizycznym praw i próbą ich egzekwowania, co wydaje się być w tym przypadku pozytywnym aspektem.
Wbrew wielu obawom, dotychczasowa praktyka UODO wskazuje, że nie skupił się on na nakładaniu kar pieniężnych w przypadku wykrycia nieprawidłowości w przetwarzaniu danych osobowych. UODO skorzystał z tego uprawnienia jedynie kilkadziesiąt razy – w przypadkach, w których naruszenie dotyczyło dużej liczby osób fizycznych i było na tyle poważne, że wpływało na prawa lub bezpieczeństwo tych osób. W takich też sytuacjach kary finansowe sięgały od kilku tysięcy do ponad miliona euro. Znaczna część postępowań została zakończona poprzez udzielenie upomnienia lub nawet ich umorzenie. Nie należy bowiem zapominać, że poza karami pieniężnymi, RODO przyznaje organom nadzorczym inne uprawnienia, którymi są w szczególności prawo do wydawania decyzji nakazujących oraz upominających, i to właśnie z tych narzędzi najczęściej korzystał Urząd.
Działalność UODO to jednak nie tylko działalność kontrolna. W ostatnich latach udzielał on również odpowiedzi na zapytania prawne. Dotychczas było ich po kilka tysięcy rocznie, co ewidentnie sygnalizuje wzrost świadomości podmiotów i instytucji w zakresie przetwarzania danych osobowych oraz chęć realnego dostosowywania procesów przetwarzania danych do przepisów RODO.
W zakresie szczegółowych informacji podsumowujących ostatni rok z RODO, czekamy na wydanie przez Prezesa UODO corocznego sprawozdania, co powinno nastąpić do końca sierpnia bieżącego roku.
Udostępnij post:
