RODO: kary za naruszenie przepisów o ochronie danych osobowych

25 maja 2018 r. to ostatnio bardzo popularna data, bo od tego dnia zacznie obowiązywać tzw. RODO. Jego pełna nazwa brzmi: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych).

W panującej od pewnego czasu i wciąż podgrzewanej w różnych publikacjach atmosferze strachu przed RODO na pierwszy plan wybijają się drakońskie kary, jakie przewidziano za naruszenie przepisów o ochronie danych osobowych. Mnożą się też oferty skutecznego zabezpieczenia przed kłopotami, jakie RODO ze sobą niesie. W tych przekazach najczęściej ginie istota nowych regulacji – że jest nią urealnienie ochrony prywatności, a nie wzmożone kontrole i administracyjne represje.

Aktywna ochrona danych

RODO jest w pewnym sensie rewolucją, ale nie tylko dlatego, że jego przepisy będą bezpośrednio stosowane i będą jednolite w całej Unii. Rewolucyjny jest przede wszystkim obowiązek aktywnej ochrony danych osobowych, która ma się opierać na dwóch filarach: privacy by design i privacy by default. Wprawdzie te pojęcia nie doczekały się polskiego odpowiednika, ale sprowadzają się do prostych postulatów – każdy administrator danych ma obowiązek uwzględnić (zaplanować) ochronę danych osobowych w swej działalności i odpowiada za stworzenie skutecznego systemu tej ochrony. Ponadto zawsze musi zapewnić maksymalny poziom tej ochronny, chyba że szczególny przepis lub wyraźna zgoda podmiotu danych pozwala mu na obniżenie tego poziomu.

Nadążyć za rozwojem technologii

RODO oraz uzupełniające je przepisy krajowe mają być odpowiedzią na wciąż przyspieszający rozwój technologii i techniki w zakresie komunikacji. Nie wszyscy są w stanie za nim nadążyć. Badania przeprowadzone w Polsce przez Kantar Public wskazują, że przy wciąż wzrastającym odsetku osób korzystających codziennie z internetu (obecnie już 64 proc.) prawie 3/4 obawia się, że dostawcy usług mają zbyt dużo ich danych osobowych. W sytuacji, gdy nasza codzienna aktywność, w tym kontakty międzyludzkie, w coraz większym stopniu przenoszą się do sieci i lawinowo rośnie ilość danych trafiających do różnych baz, potrzebne są nowe narzędzia ochrony prywatności. Potrzebne jest także zwiększenie świadomości zagrożeń, jakie niesie ze sobą wykorzystywanie danych osobowych. Na przykład zagrożeń wynikających z profilowania, które jest wykorzystywane do wpływania już nie tylko na indywidualne decyzje konsumentów, ale – jak pokazują ostatnie doniesienia na temat Cambridge Analytica wybory – także na układy polityczne i na życie całych społeczeństw.

Patrząc na RODO, warto zatem dostrzec, że jego wprowadzenie dotyczy także każdego z nas indywidualnie, a prawidłowe wdrożenie nowych zasad ochrony danych osobowych będzie się przekładać na nasze codzienne życie. Powinniśmy więc traktować RODO jako sprzymierzeńca, a nie jak kolejną biurokratyczną uciążliwość, do której wprawdzie trzeba się będzie zastosować i wdrożyć procedury, ale o której później będzie można zapomnieć.

Chroniąc dane osobowe, RODO ma jednocześnie zapewniać – co jest najczęściej w publikacjach pomijane, a co wynika już z tytułu Rozporządzenia – swobodny przepływ tych danych. Jest on bowiem warunkiem racjonalnego prowadzenia działalności gospodarczej i stanowi niezbędny element prawidłowego działania wspólnego rynku i wymiany gospodarczej w ramach Unii. Gdy potraktujemy RODO jako instrument, który ma chronić i równoważyć różne słuszne interesy, a nie tylko jako zestaw nowych obowiązków obwarowanych srogimi karami, to jego wejście w życie może się okazać szansą, a nie zagrożeniem.

Obawa przed sankcjami

Trzeba przyznać, że przewidziane w RODO górne limity kar (10 albo 20 mln EURO oraz 2 albo 4 proc. rocznych obrotów) mogą przemawiać do wyobraźni. Będą one jednolite we wszystkich 28 państwach członkowskich Unii Europejskiej, więc raczej nie wchodzi w grę unikanie kar poprzez stosowanie „turystyki" w zakresie ochrony danych osobowych. Jednak to, jak często i w jakiej wysokości kary będą rzeczywiście wymierzane, będzie zależało od polityki karania przyjętej przez poszczególne krajowe organy ochrony danych osobowych. W Polsce kary będą nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Pomijając w tym momencie to, czy ze względu na ograniczony budżet UODO jego Prezes będzie w stanie realizować wszystkie zadania wynikające z RODO i z przepisów krajowych, można zakładać, że potrzeba będzie trochę czasu na wdrożenie nowych zasad karania. Nie można wykluczyć, że Prezes UODO przyjmie podejście podobne do tego, jakie zastosował Prezes UOKiK, gdy wprowadzono równie dotkliwe kary za naruszenie przepisów o ochronie konkurencji i konsumentów. Nakładanie poważnych, idących w miliony złotych, kar za praktyki ograniczające konkurencję zaczęło się dopiero po upływie kilku lat, w czasie których dano przedsiębiorcom czas na oswojenie się z nowymi przepisami.

Polityka karania

W tym miejscu warto zwrócić uwagę na wydane w październiku 2017 r. wytyczne tzw. Grupy Roboczej art. 29 (przedstawicieli organów ochrony danych osobowych wszystkich państw Unii). Już sam fakt wydania tych wytycznych jest potwierdzeniem obaw, że stosowanie kar pieniężnych w ramach RODO, przy tak wyśrubowanych limitach, nie będzie jednolite. Wytyczne wskazują więc na konieczność zachowania zasady równoważnych kar, to jest takich, które będą odzwierciedleniem podobnego stopnia ochrony danych osobowych we wszystkich państwach członkowskich i które nie będą skutkowały zbyt dużymi rozbieżnościami w polityce karania, hamującymi swobodny przepływ danych osobowych wewnątrz Unii.

Trzeba zaznaczyć, że wytyczne, choć wskazują na potrzebę zachowania odstraszającego charakteru kar, nie zawierają podpowiedzi co do ich wysokości. Jednocześnie przytaczają dość szeroki katalog okoliczności, które należy uwzględnić przy nakładaniu kar (katalog ten koresponduje z listą wymienioną wprost w RODO). Okolicznością szczególnie obciążającą ma być naruszenie umyślne, „wykazujące pogardę" wobec przepisów o ochronie danych osobowych.

Z drugiej strony wypada zauważyć, że w projekcie polskiej ustawy o ochronie danych osobowych planuje się ustalenie wyjątkowo niskiego limitu kary za naruszenie zasad ochrony danych osobowych w przypadku tzw. podmiotów publicznych. Limit ten wynosi tylko 100 tys. PLN, co dla Prezesa UODO będzie z pewnością punktem odniesienia przy nakładaniu kar na podmioty prywatne. Trudno bowiem przyjąć, że za podobne przekroczenia kary nakładane na obydwie kategorie administratorów danych będą diametralnie różne.