Rok od początku obowiązywania RODO można podzielić na dwa okresy: euforii i paniki – w pierwszym półroczu oraz względnego spokoju – w drugiej części roku. Okazało się bowiem, że nie taki diabeł straszny jak go malowali, a Prezes Urzędu Ochrony Danych Osobowych (dalej Prezes) nie nakłada milionowych kar za brak zawarcia umowy powierzenia czy upoważnienia pracowników do przetwarzania danych osobowych. Szczególnie wydali się uspokojeni mali przedsiębiorcy, którzy przetwarzali danymi kilku – kilkunastu osób, albowiem zaczęło panować przekonanie, że Prezes nie będzie zainteresowany drobnymi naruszeniami tylko skupi się na dużych podmiotach, administrujących setkami danych osobowych. Cóż, pogląd ten nie zasługuje na uwzględnienie, natomiast wzmacniała go dodatkowo decyzja Prezesa w sprawie naruszeń ochrony danych przez Bisnode Sp. z o.o., którą to decyzją została nałożona pierwsza sankcja pieniężna w niebagatelnej wysokości prawie 1 000 000 zł. Wskazana kara została nałożona za brak realizacji obowiązku informacyjnego, w stosunku do podmiotów, których dane znajdowały się w bazach Bisnode. Z racji ilości podmiotów kara finansowa była znaczna, natomiast powinna ona skłonić do przemyśleń wszystkich administratorów i zmusić do wyciągnięcia w tym przedmiocie wniosków.
Lepiej późno niż wcale
Szereg podmiotów przetwarzających dane osobowe, które RODO niejako pominęła lub potraktowała z przymrużeniem oka, powinna jednak zapoznać się z zawartymi tam przepisami, albowiem jak pokazuje doświadczenie z minionego roku, nie tylko poziom świadomości wzrósł wśród administratorów, ale także wśród podmiotów danych. W przeciągu pierwszych miesięcy stosowania RODO do Prezesa wpłynęła prawie taka liczba skarg, jak w przeciągu całego roku 2017. Pozwala to przypuszczać, że kontroli i wszczętych postępowań może być coraz więcej – także wśród małych administratorów.
RODO powinno stanowić dla przedsiębiorców motywację do przeglądu przetwarzanych przez nich danych i usunięcia tych, które już od dawna nie są potrzebne, a w stosunku do tych aktualnie wykorzystywanych – motywację do ich przetwarzania zgodnie z obowiązującymi zasadami.
Ustawa wdrażająca RODO
Dużym sukcesem było uchwalenie ustawy z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zwana ustawą wprowadzającą lub wdrażającą. Była to druga po ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawa związana bezpośrednio ze stosowaniem RODO w polskim systemie prawnym, która była niezbędna dla możliwości zapewnienia stosowania RODO w Polsce. Ustawa znowelizowała ponad 150 ustaw obejmujących różne obszary, w tym: sport i turystykę, ochronę zdrowia, środowisko, kulturę i oświatę, bankowość, działalność ubezpieczeniową, obszary prawa pracy, prawa karnego i administracyjnego. Wprowadzone zmiany uszczegółowiły kwestie możliwości żądania danych osobowych w określonych sytuacjach, a także wskazały na dodatkowe prawa przysługujące osobom, których dane dotyczą, np. wobec banków, od których podmiot danych może żądać podania informacji związanej z dokonaną oceną zdolności kredytowej. Zmiany dotyczyły także sposobu realizacji obowiązku informacyjnego przez przedsiębiorców i umożliwienie jego wywieszenia lub zamieszczenia na stronie internetowej z podaniem odnośnika.
Ta jedna z większych i znaczących nowelizacji polskiego porządku prawnego rozpoczęła swoje obowiązywanie w dniu 4 maja 2019 roku. Od tego czasu, wszyscy administratorzy powinni dostosować stosowaną dokumentację i być w gotowości na realizację przysługujących podmiotom danych uprawnień.