fbTrack
REKLAMA
REKLAMA

Rzecz o prawie

Aleksandra Maciejewicz: Czy firmy muszą się bać RODO?

Fotorzepa, Marta Bogacz
Wysokie kary nie takie straszne.

Unijne rozporządzenie o ochronie danych osobowych (RODO) nie traktuje jednorodnie administratorów danych osobowych – tak jak dotychczas ustawa o ochronie danych osobowych. Dlatego odpowiedź na tytułowe pytanie zależy od tego, o jakim przedsiębiorcy mówimy. Przykładowo, większy zakres obowiązków został nałożony na administratorów (i podmioty przetwarzające), których główna działalność polega na regularnym i systematycznym monitorowaniu na dużą skalę osób, których dane te dotyczą, albo też przetwarzają dane szczególnego rodzaju, jak dane dotyczące zdrowia. Tacy administratorzy wyznaczają inspektora ochrony danych, którego obowiązki będzie znaczące.

Działalność takich podmiotów zazwyczaj wiąże się również – ze względu na swój charakter, zakres, kontekst i cele – z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Wówczas taki administrator przed rozpoczęciem przetwarzania będzie zobowiązany również dokonać kompleksowej oceny jego skutków dla ochrony danych osobowych (tę ocenę w określonych wypadkach będzie konsultować z osobami, których dane przetwarza).

Nie od razu miliony euro

Na postrzeganie RODO na pewno wpływa wysokość przewidzianych w tym akcie kar pieniężnych. Miejmy jednak na uwadze, że nie będziemy mieli do czynienia z sytuacjami, w których organ nadzorczy nakłada karę w wysokości 20 mln euro (albo w wysokości do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa) z marszu. Będę miarkowane, a wręcz zamiast kary organ może udzielić upomnienia, jeżeli naruszenie jest niewielkie lub jeżeli grożąca sankcja pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Organ przed jej nałożeniem zobowiązany będzie szczegółowo zbadać przesłanki i kontekst naruszenia.

Samo rozporządzenie mówi wprost o co najmniej jedenastu okolicznościach do zbadania, między innymi o charakterze, wadze oraz czasie trwania naruszenia, a także czy naruszenie nie było umyślne. Ma także badać działania podjęte w celu zminimalizowania szkody, stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Generalnie, duża część obowiązków administratorów (i podmiotów przetwarzających) w RODO jest miarkowana. Przykładowo, stopień zaawansowania środków technicznych i organizacyjnych, do których wdrożenia zobowiązani będą administratorzy, zostanie uzależniony od kosztów wdrażania oraz od charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub też wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Ochroni ich kodeks i certyfikacja

Co więcej, administratorzy nie zostaną pozostawieni sami sobie z niuansami RODO. Wprowadzone zostaną bowiem instytucje ułatwiające im stosowanie przepisów z zakresu ochrony danych osobowych, w tym właśnie zatwierdzone kodeksy postępowań, jak również zatwierdzona certyfikacja. Będę one zawierały wskazówki, jak wdrożyć odpowiednie środki oraz jak wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane. Przykładowo, wywiązywanie się z obowiązków dotyczących odpowiedniego stopnia środków techniczno-organizacyjnych będzie można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji. Ich stosowanie może wpłynąć na wysokość kary pieniężnej (albo jej brak).

Autorka jest partnerem w kancelarii Lawmore

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA