RODO, czyli restrykcyjne przepisy o ochronie danych osobowych i ogromne kary za ich naruszenie

RODO od 25 maja 2018 roku

Już 25 maja 2018 roku w całej Unii Europejskiej zacznie obowiązywać rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znane już powszechnie pod nazwą RODO. Nie jest wielkim nadużyciem stwierdzenie, że nowe przepisy wywracają do góry nogami dotychczasowe regulacje w zakresie ochrony danych osobowych.

Zmiany dotyczą całego szeregu obszarów, począwszy od poszerzonego zakresu informacji, które administrator danych będzie musiał udostępnić osobie, której dotyczą dane, przez ograniczenie możliwości profilowania, obowiązek informowania osoby, której dotyczą dane, o przypadkach naruszenia bezpieczeństwa danych, a skończywszy na obostrzeniach w zakresie przekazywania danych poza terytorium Unii. Osoby fizyczne, których dotyczą dane, skorzystają na wprowadzeniu nowych przepisów, otrzymując między innymi prawo do bycia zapomnianym, prawo przeniesienia danych osobowych do innego administratora czy prawo sprzeciwu wobec profilowania i innych przypadków automatycznego podejmowania decyzji, które ich dotyczą.

Za naruszenie, często bardzo restrykcyjnych, przepisów RODO grożą surowe kary. Za najpoważniejsze przewinienia przedsiębiorca zapłaci do 20 milionów euro lub do 4% światowego rocznego obrotu z poprzedniego roku obrotowego (jeśli ta wartość będzie wyższa). Niewykluczone także, że polska ustawa wdrażająca RODO dołoży do tego odpowiedzialność karną, na co pozwalają przepisy rozporządzenia.

Zakres zmian do uwzględnienia przez przedsiębiorców w procedurach przetwarzania danych jest niemały, a ryzyko odpowiedzialności za naruszenie budzi słuszny niepokój. Jednym ze sposobów na zapewnienie zgodności przetwarzania danych z nowymi przepisami jest wdrożenie i przestrzeganie przez przedsiębiorcę kodeksu postępowania, opracowanego przez podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające dane osobowe. Ustawodawca unijny zachęca do opracowywania kodeksów uwzględniających specyfikę różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikro-, małych i średnich przedsiębiorstw.

Polecamy: INFORLEX Biznes

Kodeksy postępowania

W Polsce trwają już prace nad kodeksami postępowania, między innymi w sektorze ochrony zdrowia i rynku internetowego (komunikacji interaktywnej). Opracowywane rozwiązania będą musiały zostać zatwierdzone przez organ nadzoru (obecnie jest to GIODO), po czym przedsiębiorcy będą mogli wdrożyć je w swoich przedsiębiorstwach.

Zakres regulacji kodeksu może być szeroki, przez co jego wdrożenie będzie mogło w znacznym stopniu ułatwić przedsiębiorcy dostosowanie procedur przetwarzania danych do nowej sytuacji prawnej.

Kodeks postępowania może w szczególności podpowiadać administratorom danych z danego sektora rodzaje prawnie uzasadnionych interesów realizowanych przez nich w określonych kontekstach, które będą stanowiły podstawę legalnego przetwarzania danych bez konieczności uzyskania zgody osoby, której dotyczą dane. Może wskazywać sposoby umożliwienia wykonywania przez osoby, których dotyczą dane, przysługujących im praw, sugerować odpowiednie dla danej branży środki ochrony danych, a także ustanawiać jednolite mechanizmy przekazywania danych do państwa spoza Unii lub procedury komunikacji administratora z organem nadzoru lub z osobami, których dotyczą dane, w przypadku wycieku danych.

Stosowanie zatwierdzonego kodeksu postępowania rozłoży nad przedsiębiorcą parasol ochronny, tworząc domniemanie, że przetwarza on dane osobowe zgodnie z przepisami RODO. Należy jednak pamiętać, że samo formalne wdrożenie kodeksu w firmie nie zagwarantuje przetwarzającemu immunitetu. Organ nadzorczy, jak również akredytowani przez niego inspektorzy, będą mieli prawo monitorowania przestrzegania postanowień kodeksu w stosujących go przedsiębiorstwach.

Tworzenie kodeksów postępowania jest pożądaną praktyką, pozwalającą przedstawicielom poszczególnych branż na ograniczenie przedsiębiorcom z ich sektora dolegliwości organizacyjnych, związanych z wejściem w życie nowych przepisów o ochronie danych osobowych. Poza ograniczeniem ryzyka poniesienia kary przez przetwarzającego dane, ich podstawową wartością jest przyczynienie się do faktycznego zwiększenia bezpieczeństwa i kultury przetwarzania danych osobowych, co jest nadrzędnym celem rozporządzenia. Należy mieć nadzieję, że jak najwięcej zrzeszeń i organizacji przedsiębiorców zdecyduje się na ten krok, i że zdążą zakończyć prace na tyle wcześnie, by firmy zdążyły wdrożyć zatwierdzone procedury przed rozpoczęciem obowiązywania nowych przepisów.

Krzysztof Muciak, adwokat w Jankowski, Stroiński i Partnerzy JSLegal Adwokacka Spółka Partnerska