Za rok ma powstać nowy superurząd, będzie mógł nakładać bardzo wysokie kary (do 4 proc. światowego przychodu za poprzedni rok kalendarzowy danego podmiotu lub do 20 mln euro),  wydawać decyzje z rygorem natychmiastowego wykonania. Polscy przedsiębiorcy już zaczęli się bać zmian. Co dla nich oznaczają nowe unijne wymogi?  - pytał swego gościa w programie #RZECZoPRAWIE Mateusz Rzemek.

- Małe sprostowanie: rozporządzenie unijne mówi o organie ochrony danych, nie wprowadza wymogu powołania nowego urzędu. Ochrona danych osobowych ma być efektywna i realizowana przez silny i niezależny urząd. W Polsce jest GIODO, więc to kwestia nazwy.  Nie widzę uzasadnienia dla likwidacji GIODO i powoływania nowego urzędu.  Nie ma chyba potrzeby rezygnacji z 20-letniego doświadczenia GIODO - wyjaśniła dr Edyta Bielak-Jomaa.

Dodała, że rozporządzenie Parlamentu Europejskiego i Rady o ochronie danych z kwietnia 2016 roku (RODO) weszło już w życie, a zacznie obowiązywać od 25 maja 2018, niezależnie od tego, czy państwo unijne wdroży krajowe przepisy na jego podstawie.

- 25 maja budzimy się w nowej rzeczywistości - przestaje obowiązywać polska ustawa o ochronie danych osobowych,  zaczynamy stosować przepisy rozporządzenia europejskiego. Nie wprowadza ono jednak rewolucji w ochronie danych, ale rewolucyjnie zmienia podejście do gromadzenia i przetwarzania danych. Rewolucja polega na tym, że przedsiębiorca będzie musiał pilnować sam siebie, bo będzie ponosił ryzyko niewłaściwej ochrony danych. Będzie musiał oceniać, które dane są niezbędne do realizacji celu np. sprzedaży towaru, przez jaki czas konieczne jest ich przechowywanie, a poza tym oszacować skutki przetwarzania dla ochrony danych i ewentualne ryzyka, zaplanować zabezpieczenia w celu zminimalizowania zagrożeń. Jeśli przedsiębiorca będzie tak podchodził do przetwarzania danych, to nie musi obawiać się kar - mówiła dr  Bielak-Jomaa. Dodała, że GIODO publikuje właśnie wytyczne w języku polskim dla podmiotów zobowiązanych do wprowadzenia nowych zasad.

Pytana o horrendalne kary grożące za nieprzestrzeganie nowych przepisów stwierdziła, że są dotkliwe, bo takie miały być w założeniu.

- Mówimy o prawie podstawowym człowieka: prawie do ochrony własnych danych osobowych. Wysokość kar będzie jednak uzależniona od zachowania administratora danych danej organizacji, od stopnia jego winy, od tego jaką szkodę wywołała utrat danych. Na pewno będzie indywidualna i pogłębiona analiza każdego przypadku. Poza tym rozporządzenie przewiduje ograniczenia kar lub rezygnację z nich w przypadku podmiotów i organów publicznych. Oczywiście rodzi to pytanie o równość podmiotów - stwierdziła dr Bielak-Jomaa.

Czy każda, nawet najmniejsza firma powinna przygotować się do nowych wymogów?

- Będą one dotyczyć wszystkich podmiotów przetwarzających dane, niezależnie od wielkości. Każdy sklep, komis, który gromadzi i przetwarza dane klientów będzie musiał się do nich dostosować - podkreśliła dr Bielak-Jomaa.

Dodała, że rozporządzenie przyznaje szereg praw obywatelom – podmiotom ochrony danych.

- Wprowadzono prawo do bycia zapomnianym, do przenoszalności danych. Będziemy mogli lepiej bronić się przed gromadzeniem danych na wyrost, bez podstawy prawnej - zauważyła GIODO.

Jak powiedział Mateusz Rzemek, przedsiębiorcy obawiają się wymogu powoływania w firmach stanowiska inspektora ochrony danych osobowych. Boją się, że będzie to wtyczka GIODO w firmie, którą będą musieli utrzymywać na swój koszt, a prawo ma go chronić przed zwolnieniem.

- Zadaniem inspektora będzie wspieranie administratora danych czyli najważniejszego organu w organizacji, w firmie. Inspektor ma być także punktem kontaktowym między administratorem a np. pracownikami oraz między organizacją a organem nadzorczym. Nie będzie mógł jednak działać wbrew interesom administratora. Będzie jednak niezależny - wyjaśniła dr Bielak-Jomaa.

#RZECZoPRAWIE: Edyta Bielak-Jomaa - Nowe przepisy o ochronie danych osobowych