Rok z niewielkim „hakiem" dzieli nas od dnia, w którym zacznie mieć zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych), czyli tzw. RODO.
Należy zwrócić uwagę, że RODO weszło już w życie, jednak obowiązek zachowania zgodności z jego przepisami zaktualizuje się 25 maja 2018 r. Zdaniem niektórych, nadchodzące zmiany mają charakter ewolucyjny. Inni twierdzą, że to rewolucja i przestrzegają przed bagatelizowaniem znaczenia i wpływu nowych regulacji na niemal każdą organizację – przedsiębiorców, spółki, stowarzyszenia, podmioty publiczne itd. Warto wspomnieć o kilku zmianach, które dotyczą wszystkich administratorów.
Obowiązek informacyjny
W porównaniu z obecnie obowiązującą ustawą o ochronie danych osobowych („UODO"), przepisy RODO (art. 13 i art. 14) wprowadzają dużo bardziej rozbudowane wymogi w zakresie informacji przekazywanych podmiotowi danych przez administratora – zarówno w przypadku, gdy dane osobowe zbierane są bezpośrednio od osoby, której dotyczą, jak i w sytuacji, gdy pozyskiwane są z innego źródła. Rozszerzony na gruncie RODO obowiązek informacyjny obejmuje m.in. podanie okresu, przez który dane będą przechowywane, a gdy nie jest to możliwe – kryteriów ustalania tego okresu, danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie) czy też informacji o zamiarze przekazania danych do państwa trzeciego. Z jednej strony, dążenie do właściwego poinformowania podmiotów danych na temat losu ich danych osobowych wydaje się działaniem ze wszech miar słusznym, gdyż wpływa na bardziej świadome podejmowanie decyzji odnośnie dysponowania nimi, ujawniania ich, a także udzielania wszelkich zgód. Z drugiej strony, rozszerzenie obowiązku informacyjnego powoduje, że objętość tekstu, który będzie go wypełniał, znacząco wzrośnie. Czy taka ilość danych nie zadziała wręcz odstraszająco? Wkrótce się przekonamy.
Ocena skutków dla ochrony danych
Kolejnym obowiązkiem, który już od przyszłego roku będzie dotyczył wielu administratorów danych, będzie powinność przeprowadzenia oceny skutków przetwarzania dla ochrony danych. Zgodnie z art. 35 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania zobowiązany jest dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W praktyce brakuje (na razie) bardziej precyzyjnych wskazówek odnośnie przeprowadzania oceny skutków (DPIA – Data Protection Impact Assessment), co może powodować, że jakość wykonania tej procedury będzie znacząco różnić się w zależności od administratora. RODO wprowadza przy tym pewne odstępstwa w zakresie administratorów z sektora publicznego, tzn. obowiązek przeprowadzenia DPIA jest wyłączony, jeżeli przepisy unijne/krajowe regulują daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków tych przepisów. Sądząc jednak po stopniu zaawansowania prac legislacyjnych związanych z rozpoczęciem stosowania RODO, wydaje się wątpliwym, czy ustawodawca zdąży znowelizować wszelkie stosowne akty prawne tak, by wyłączyć obowiązek przeprowadzenia DPIA w przypadku wszystkich podmiotów publicznych.
Jakie kary
Jedną z najistotniejszych zmian, jakie niesie ze sobą RODO, jest możliwość nakładania przez organ ochrony danych osobowych bardzo wysokich kar administracyjnych. Na chwilę obecną GIODO nie dysponuje możliwością stosowania takich sankcji, choć UODO przewiduje odpowiedzialność karną za nieprawidłowe przetwarzanie danych. Od 25 maja 2018 r. zaczną funkcjonować kary finansowe, które będą mogły sięgać nawet 20 milionów euro albo 4 proc. globalnego obrotu całej grupy kapitałowej. Sądzi się, że widmo tak poważnej odpowiedzialności finansowej spowoduje, iż kwestie związane z ochroną danych osobowych nabiorą w kontekście wielu organizacji należnego im znaczenia, a administratorzy danych zainwestują właściwy czas i pieniądze na dostosowanie swojej dokumentacji i procesów do nowej legislacji. W tym kontekście warto wspomnieć, że w projekcie nowej ustawy o ochronie danych osobowych, który ukazał się na stronach Ministerstwa Cyfryzacji 28 marca 2017 r., przewidziano ograniczenie odpowiedzialności z tytułu ww. kar dla administratorów będących podmiotami publicznymi – w takim wypadku wysokość kary nie będzie mogła przekroczyć 100.000 zł. Z rozmów z przedstawicielami ministerstwa wynika jednak, że nie jest całkowicie wykluczone wprowadzenie do nowej ustawy również przepisów o odpowiedzialności karnej.
