Firma

GIODO: instytucje publiczne też zapłacą kary, ale niższe

123RF
Po 25 maja 2018 r. RODO będzie bezpośrednio stosowane we wszystkich państwach UE i nie będzie już żadnych dodatkowych okresów przejściowych.

dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych

Rz: Unijne rozporządzenie o ochronie danych osobowych, tzw. RODO wprowadza „prawo do bycia zapomnianym". W jaki sposób powinno być to prawo stosowane?

dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych: Wokół prawa do „bycia zapomnianym" narosło wiele mitów. Tymczasem warto zaznaczyć, że prawo to, zwane również prawem do usunięcia danych, nie jest całkiem nowe. Zostało jednak doprecyzowane i dostosowane do cyfrowych realiów. Oznacza, że w określonych przepisami sytuacjach mamy prawo zażądać usunięcia naszych danych. Z wnioskiem takim mamy prawo wystąpić m.in. wówczas, gdy dane nie są już niezbędne do celów, dla których zostały zebrane, lub gdy cofamy naszą zgodę na ich przetwarzanie i nie ma innej podstawy prawnej, która uprawniałaby administratora do dalszego ich wykorzystywania. Usunięcia danych możemy też żądać, gdy dane były przetwarzane niezgodnie z prawem.

Czy w stosowaniu prawa do bycia zapomnianym istnieją jakieś wyjątki? Czy prawo to dotyczy także instytucji publicznych?

W przepisach RODO wskazano wyjątki w stosowaniu prawa do bycia zapomnianym. Jeden z nich dotyczy sytuacji, gdy przetwarzanie danych jest niezbędne do wywiązania się z obowiązku prawnego lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to zatem, że do instytucji publicznych będziemy mogli wystąpić z żądaniem usunięcia danych w bardzo ograniczonym zakresie.

Rozporządzenie nakłada także na podmioty zobowiązane do jego stosowania surowe sankcje, jeśli nie będą wykonywały nakazów w nim zawartych. Kto będzie sprawował kontrolę i nakładał kary? Czy administratorzy danych osobowych mogą liczyć na jakiś „okres dostosowawczy" do nowych rozwiązań bez obaw, że zostaną na nich nałożone sankcje?

Jeszcze raz przypomnę – po 25 maja 2018 r. RODO będzie bezpośrednio stosowane we wszystkich państwach UE i nie będzie już żadnych dodatkowych okresów przejściowych. Każdy administrator danych miał dużo czasu, by przygotować się do czekających nas zmian. Jednocześnie mogę zapewnić, że od 25 maja 2018 r. GIODO będzie realizował wszystkie swoje obowiązki i uprawnienia wynikające z przepisów ogólnego rozporządzenia o ochronie danych osobowych.

Nie oznacza to, że od razu zastosuje surowe sankcje finansowe. Kary przewidziane w RODO są rzeczywiście wysokie, bo w przypadku przedsiębiorstw mogą wynieść do 20 mln euro lub do 4 proc. rocznego, światowego obrotu. Ich górna wysokość nie jest przypadkowa, gdyż mają one mobilizować administratorów do jak najlepszej dbałości o dane i przestrzegania przepisów RODO. Niemniej ich wysokość w każdym przypadku będzie uzależniona od indywidualnych okoliczności sprawy, a przy jej wymierzaniu GIODO musi brać pod uwagę 11 wskazanych w RODO czynników.

Czy te wysokie kary finansowe mogą być nakładane także na instytucje publiczne?

W Polsce ustawodawca proponuje znaczne obniżenie wysokości kar w odniesieniu do jednostek z sektora publicznego. Rozumiem argument, że zrównanie kar dla wszystkich prowadziłoby to sytuacji, w której w przypadku podmiotów publicznych byłoby to przesuwanie pieniędzy publicznych z jednego miejsca w drugie. Natomiast 400-krotne obniżenie kar dla sektora publicznego rodzi pytanie o równość podmiotów wobec prawa. Takim skrajnym przykładem tej nierówności jest np. sytuacja jednostek opieki zdrowotnej. Szpital prywatny za to samo naruszenie może otrzymać karę do 200 mln euro, a szpital publiczny do 100 tys. zł. Z punktu widzenia osoby, której prywatność została naruszona, i ma to dla niej materialne lub niematerialne skutki, nie jest zrozumiałe, dlaczego szpitalowi publicznemu, który dopuścił się naruszenia, grozi mniejsza kara niż placówce prywatnej. Nie dziwi mnie więc brak akceptacji tego rozwiązania przez podmioty prywatne, bo z ich perspektywy jest to zupełnie niezasadne. My również mamy wątpliwości co do takiego różnicowania wysokości tych kar.

Jednocześnie chciałabym podkreślić, że kary to tylko jeden z instrumentów, które GIODO ma do dyspozycji, by zapewnić przestrzeganie nowego prawa. Ogólne rozporządzenie zawiera bowiem całą gamę różnych rozwiązań, służących wzmocnieniu instytucji ochrony danych osobowych obywateli, które powinny być umiejętnie zastosowane. Przykładowo należą do nich takie uprawnienia jak: wydawanie ostrzeżeń administratorowi danych, udzielanie upomnień czy też nakazanie określonego zachowania, takiego jak spełnienie żądania osoby, której dane dotyczą.

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL