Unijne rozporządzenie o ochronie danych osobowych (RODO) nie traktuje jednorodnie administratorów danych osobowych – tak jak dotychczas ustawa o ochronie danych osobowych. Dlatego odpowiedź na tytułowe pytanie zależy od tego, o jakim przedsiębiorcy mówimy. Przykładowo, większy zakres obowiązków został nałożony na administratorów (i podmioty przetwarzające), których główna działalność polega na regularnym i systematycznym monitorowaniu na dużą skalę osób, których dane te dotyczą, albo też przetwarzają dane szczególnego rodzaju, jak dane dotyczące zdrowia. Tacy administratorzy wyznaczają inspektora ochrony danych, którego obowiązki będzie znaczące.
Działalność takich podmiotów zazwyczaj wiąże się również – ze względu na swój charakter, zakres, kontekst i cele – z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Wówczas taki administrator przed rozpoczęciem przetwarzania będzie zobowiązany również dokonać kompleksowej oceny jego skutków dla ochrony danych osobowych (tę ocenę w określonych wypadkach będzie konsultować z osobami, których dane przetwarza).
Nie od razu miliony euro
Na postrzeganie RODO na pewno wpływa wysokość przewidzianych w tym akcie kar pieniężnych. Miejmy jednak na uwadze, że nie będziemy mieli do czynienia z sytuacjami, w których organ nadzorczy nakłada karę w wysokości 20 mln euro (albo w wysokości do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa) z marszu. Będę miarkowane, a wręcz zamiast kary organ może udzielić upomnienia, jeżeli naruszenie jest niewielkie lub jeżeli grożąca sankcja pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Organ przed jej nałożeniem zobowiązany będzie szczegółowo zbadać przesłanki i kontekst naruszenia.
Samo rozporządzenie mówi wprost o co najmniej jedenastu okolicznościach do zbadania, między innymi o charakterze, wadze oraz czasie trwania naruszenia, a także czy naruszenie nie było umyślne. Ma także badać działania podjęte w celu zminimalizowania szkody, stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Generalnie, duża część obowiązków administratorów (i podmiotów przetwarzających) w RODO jest miarkowana. Przykładowo, stopień zaawansowania środków technicznych i organizacyjnych, do których wdrożenia zobowiązani będą administratorzy, zostanie uzależniony od kosztów wdrażania oraz od charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub też wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
