Ochrona danych osobowych: była, jest i będzie
Zagadnienia związane z ochroną danych osobowych nie są nowością. Na gruncie polskiego ustawodawstwa z dniem 29 sierpnia 1997 roku uchwalono ówczesną ustawę o ochronie danych osobowych, która już wówczas regulowała kwestie związane z przesłankami przetwarzania danych osobowych, realizacją obowiązków ciążących na administratorze, w tym spełnieniem obowiązków informacyjnych i realizacją praw przysługujących podmiotom danych.
Czytaj także: Pierwsza kara za RODO – milion złotych
Inną sprawą było to, że ochrony danych osobowych nikt nie traktował poważnie. Dlaczego? Odpowiedź na to pytanie jest zaskakująco prosta: ponieważ nie było żadnych sankcji pieniężnych związanych z brakiem przestrzegania zasad związanych z ochroną danych osobowych.
2 lata na wdrożenie RODO
Chociaż Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zostało przyjęte z datą 27 kwietnia 2016 roku – czyli na dwa lata przed początkiem jego stosowania, to najbardziej gorący okres rozpoczął się z początkiem roku 2018, kiedy to większość podmiotów zaczęła na poważnie interesować się RODO i tym, co dokładnie będzie wiązało się z rozpoczęciem jego stosowania. Dzięki prowadzonym kampaniom informacyjnym niektórzy dowiedzieli się co to właściwie są dane osobowe i dlaczego wymagają ochrony. Natomiast jedynie niewielka ilość podmiotów przetwarzających dane osobowe jako administratorzy rozpoczęła wdrożenie zasad wynikających z RODO.
Sankcje finansowe
Najgłośniejszym tematem związanym z początkiem obowiązywania RODO były sankcje finansowe, których górne granice mogły wynosić nawet 20 000 000 Euro. Administratorzy nie dostrzegali natomiast już innych aspektów związanych z wejściem w życie RODO, jak chociażby:
• powstania bezpośredniej odpowiedzialności przetwarzającego dane (procesora) z nieprzestrzeganie przepisów RODO,
• konieczności zgłaszania naruszeń (incydentów) danych osobowych do organu nadzorczego - w maksymalnym terminie 72 godzin od wykrycia naruszenia,
• rozszerzenia praw przysługujących podmiotom danych o prawo do bycia zapomnianym i przeniesienia danych,
• wprowadzenia ograniczeń związanych z możliwością profilowania włączając w to obowiązek uzyskania zgody na podjęcie takich działań przed rozpoczęciem zbierania danych,
• obowiązku wyznaczenia Inspektora Ochrony Danych Osobowych w ściśle określonych sytuacjach,
• rozbudowanej treści obowiązku informacyjnego,
• podstaw i zasad transferowania danych osobowych poza strefę Europejskiego Obszaru Gospodarczego.
Rok RODO za nami
Pierwsze pół roku po rozpoczęciu obowiązywania RODO było burzliwe. Można bez wątpienia powiedzieć, że zapanował wszechobecny chaos zarówno interpretacyjny jak i techniczny. W okresie tym wyłoniło się szereg „profesjonalistów", którzy podawali się za znawców tematu i proponowali szkolenia z zasad ochrony danych osobowych, nie mając z tematem nigdy wcześniej styczności. Niewielka ilość ekspertów i praktyków zajmujących się tematem od lat, dwoiła się i troiła, aby jak najszybciej wypracować praktykę i wspomóc w tym temacie administratorów.
Nie można nie zauważyć, że znaczna większość podmiotów zobowiązanych do wdrożenia i stosowania przepisów określonych w RODO podjęła tę próbę. U wielu administratorów przeprowadzone zostały audyty ochrony danych osobowych, podczas których zdefiniowano nieprawidłowości związane z przetwarzaniem danych osobowych oraz przedstawiono zalecenia naprawcze, które miały doprowadzić do przetwarzania danych zgodnie z prawem i obowiązującymi zasadami. Podczas audytów administratorzy otrzymywali informację dotyczącą powierzania do przetwarzania danych osobowych i konieczności zawierania umów powierzenia. Nadto, definiowane były problemy związane z transgranicznym przetwarzaniem danych osobowych oraz transferami danych poza strefę Europejskiego Obszaru Gospodarczego. Także u dużej ilości administratorów dokonywane były wdrożenia przepisów RODO, które polegały na przygotowaniu/dostosowaniu stosowanych dotychczas dokumentów, przygotowaniu klauzul informacyjnych, rejestrów czynności przetwarzania i kategorii czynności przetwarzania, wsparciu w realizacji procedur związanych z powstałymi incydentami naruszeń danych osobowych, ale i realizacji praw podmiotów danych.
Jednak realnym problemem było i wydaje się, że nadal jest zrozumienie istoty ochrony danych i przepisów zawartych w RODO oraz prawidłowe ich stosowanie. Praktyczne stosowanie przepisów Rozporządzenia nadal wywołuje wiele kontrowersji i nieporozumień, co związane jest być może z niedostateczną edukacją społeczeństwa, ale także najbardziej zainteresowanych materią – administratorów i ich Inspektorów Danych Osobowych.
Emocje związane z RODO powoli opadają
Rok od początku obowiązywania RODO można podzielić na dwa okresy: euforii i paniki – w pierwszym półroczu oraz względnego spokoju – w drugiej części roku. Okazało się bowiem, że nie taki diabeł straszny jak go malowali, a Prezes Urzędu Ochrony Danych Osobowych (dalej Prezes) nie nakłada milionowych kar za brak zawarcia umowy powierzenia czy upoważnienia pracowników do przetwarzania danych osobowych. Szczególnie wydali się uspokojeni mali przedsiębiorcy, którzy przetwarzali danymi kilku – kilkunastu osób, albowiem zaczęło panować przekonanie, że Prezes nie będzie zainteresowany drobnymi naruszeniami tylko skupi się na dużych podmiotach, administrujących setkami danych osobowych. Cóż, pogląd ten nie zasługuje na uwzględnienie, natomiast wzmacniała go dodatkowo decyzja Prezesa w sprawie naruszeń ochrony danych przez Bisnode Sp. z o.o., którą to decyzją została nałożona pierwsza sankcja pieniężna w niebagatelnej wysokości prawie 1 000 000 zł. Wskazana kara została nałożona za brak realizacji obowiązku informacyjnego, w stosunku do podmiotów, których dane znajdowały się w bazach Bisnode. Z racji ilości podmiotów kara finansowa była znaczna, natomiast powinna ona skłonić do przemyśleń wszystkich administratorów i zmusić do wyciągnięcia w tym przedmiocie wniosków.
Lepiej późno niż wcale
Szereg podmiotów przetwarzających dane osobowe, które RODO niejako pominęła lub potraktowała z przymrużeniem oka, powinna jednak zapoznać się z zawartymi tam przepisami, albowiem jak pokazuje doświadczenie z minionego roku, nie tylko poziom świadomości wzrósł wśród administratorów, ale także wśród podmiotów danych. W przeciągu pierwszych miesięcy stosowania RODO do Prezesa wpłynęła prawie taka liczba skarg, jak w przeciągu całego roku 2017. Pozwala to przypuszczać, że kontroli i wszczętych postępowań może być coraz więcej – także wśród małych administratorów.
RODO powinno stanowić dla przedsiębiorców motywację do przeglądu przetwarzanych przez nich danych i usunięcia tych, które już od dawna nie są potrzebne, a w stosunku do tych aktualnie wykorzystywanych – motywację do ich przetwarzania zgodnie z obowiązującymi zasadami.
Ustawa wdrażająca RODO
Dużym sukcesem było uchwalenie ustawy z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zwana ustawą wprowadzającą lub wdrażającą. Była to druga po ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawa związana bezpośrednio ze stosowaniem RODO w polskim systemie prawnym, która była niezbędna dla możliwości zapewnienia stosowania RODO w Polsce. Ustawa znowelizowała ponad 150 ustaw obejmujących różne obszary, w tym: sport i turystykę, ochronę zdrowia, środowisko, kulturę i oświatę, bankowość, działalność ubezpieczeniową, obszary prawa pracy, prawa karnego i administracyjnego. Wprowadzone zmiany uszczegółowiły kwestie możliwości żądania danych osobowych w określonych sytuacjach, a także wskazały na dodatkowe prawa przysługujące osobom, których dane dotyczą, np. wobec banków, od których podmiot danych może żądać podania informacji związanej z dokonaną oceną zdolności kredytowej. Zmiany dotyczyły także sposobu realizacji obowiązku informacyjnego przez przedsiębiorców i umożliwienie jego wywieszenia lub zamieszczenia na stronie internetowej z podaniem odnośnika.
Ta jedna z większych i znaczących nowelizacji polskiego porządku prawnego rozpoczęła swoje obowiązywanie w dniu 4 maja 2019 roku. Od tego czasu, wszyscy administratorzy powinni dostosować stosowaną dokumentację i być w gotowości na realizację przysługujących podmiotom danych uprawnień.
Mimo, iż wielu przypadkach globalne wdrożenie RODO znacznie się opóźniło, w szczególności wśród polskich oddziałów zagranicznych koncernów, przepisy związane z ochroną danych osobowych są stosowane przez administratorów. Natomiast, zwrócić uwagę należy na to, że po roku stosowania RODO zdaje się, iż wciąż istnieją problemy związane z prawidłowym zrozumieniem przepisów. Nadal można spotkać wydumane klauzule informacyjne zawierające treści niewskazane w art. 13 lub 14 RODO, umowy powierzenia zawierane z każdym podmiotem, z którym akurat współpracuje administrator (mimo braku przekazywania danych osobowych) lub też tworzenie relacji powierzeń tam, gdzie ich absolutnie nie ma. Wyżej wymienione przypadki należy jednak uznać za pozostające w (zauważalnej) mniejszości.
Większym problemem zdaje się to, że rok stosowania RODO wielu administratorów nie nauczył jeszcze stosowania się do Rozporządzenia i wypełniania jego treści. Jak wspominałam, w szczególności mali przedsiębiorcy nadal nie mają zamiaru realizować obowiązków informacyjnych, czy regulować powierzeń danych, nie mówiąc już o innych bardziej szczegółowych zagadnieniach jak chociażby reagowanie na incydenty naruszenia danych osobowych. Ta ostatnia kwestia zdaje się być problematyczna dla większości administratorów, którzy nie mają świadomości istoty problemu. Nagminnym problemem jest także przetwarzanie danych bez uzyskania zgód osób, których dane dotyczą. Nierzadko zdarza się także, że duże przedsiębiorstwa, które przetwarzają dane na skalę globalną ryzyko związane ze świadomym nieprzestrzeganiem zasad ochrony danych osobowych wpisują w finansowe ryzyko i w ten sposób przygotowują swoje budżetowanie. Praktykę taką należy ocenić jako zdecydowanie naganną i utrwalającą model działania nakierowany na lekceważenie problemu ochrony danych osobowych.
Mimo tego, wejście w życie RODO oraz konieczność jego stosowania ma zdecydowanie więcej plusów niż minusów, albowiem doprowadziło przede wszystkim do wzrostu znaczenia kwestii ochrony danych osobowych jako takich oraz przestrzegania prywatności podmiotów danych. Nadto, nastąpiło uporządkowanie przez przedsiębiorców procesów związanych z przetwarzaniem danych osobowych, przyspieszyło reagowanie na żądania kierowane przez osoby, których dane dotyczą oraz doprowadziło do uwzględnienia przepisów RODO w działalnościach prowadzonych przez firmy o zasięgu globalnym.
Ogromnym plusem jest poprawa komunikacji na linii podmiot danych – administrator, poprzez powołanie osób/wydzielonych komórek zajmujących się ochroną danych w organizacji, a w niektórych przypadkach obligatoryjnych Inspektorów Ochrony Danych Osobowych. Dotyczy to w szczególności administracji publicznej.
Choć zmiany w ochronie danych osobowych są dostrzegalne i oddziałują z korzyścią na prawa osób, których dane dotyczą, nie można zapominać, iż zapewnienie zgodności działań z RODO powinno być procesem ciągłym i długofalowym, a wszyscy administratorzy zobowiązani są do podejmowania działań, które będą skutkowały doskonaleniem procesu przetwarzania danych osobowych. Powinno się to odbywać w szczególności poprzez pogłębianie wiedzy w zakresie zasad związanych z ochroną danych osobowych, analizą ryzyka przetwarzania danych oraz wprowadzaniem rozwiązań mających na celu zwiększenie ochrony danych osobowych dzieci.
- Kinga Majczak, Adwokat w Lubasz i Wspólnicy - Kancelaria Radców Prawnych sp.k.