Rok temu RODO weszło w życie
Nieco ponad rok temu, 25. maja 2018 roku w Unii Europejskiej weszło w życie Rozporządzenie o Ochronie Danych Osobowych, znane jako RODO. Jak wpłynęło na przedsiębiorców?
RODO dla przedsiębiorców oznacza, w dużym skrócie, że muszą należycie zadbać o to, by dane osobowe były przechowywane i przetwarzane w bezpieczny sposób. Krytycy zauważają, że przepisy te nie wprowadziły precyzyjnych wytycznych na temat tego, jak przedsiębiorstwo powinno zadbać o ochronę danych (np. jakich programów użyć), a jedynie wskazują to, co warto mieć na uwadze. Jak się okazuje, rozporządzenie dotknęło nawet gigantów. Kary finansowe za naruszenia RODO są bardzo dotkliwe. W rozporządzeniu wyszczególniono dwa stopnie kar. Pierwszy – zakłada przyznanie grzywny w wysokości do 10 milionów euro lub 2% rocznego obrotu przedsiębiorstwa. Drugi – do 20 milionów euro lub 4% rocznego obrotu firmy. Kara uzależniona jest od specyfikacji uchybień. Jak mówi Danny Allan, wiceprezes ds. strategii produktowej w firmie Veeam, przepisy, które zastąpiły wcześniejszą dyrektywę o ochronie danych osobowych z 1995 roku, wykazały w ciągu minionych dwunastu miesięcy dwie kluczowe cechy: konkretność i skuteczność. – Konsekwencją tych cech jest fakt, że ochrona danych stała się kwestią dostrzeganą na całym świecie, podobnie jak podstawowe prawa człowieka. Przedsiębiorstwa przetwarzające dane nie tylko powinny chcieć przestrzegać RODO, lecz także są teraz do tego zobowiązane przez UE. Można to uznać za dynamiczny krok naprzód i sukces dla branży – technologia nie może przecież osiągnąć swojego potencjału, jeśli konsumenci nie będą mieć niezbędnego zaufania w zakresie bezpieczeństwa i ochrony prywatności w odniesieniu do swoich danych – mówi Danny Allan. Jego zdaniem, jedną z najlepszych cech RODO jest konkretność tych przepisów. Wiadomo, komu służą, do kogo się odnoszą, co egzekwują i jakie są kary za ich nieprzestrzeganie. – W związku z tym ludzie coraz częściej postrzegają ochronę danych jako podstawowe prawo człowieka, zbliżone do wolności słowa – uważa.
Z oficjalnych statystyk Komisji Europejskiej wynika, że obywatele wnieśli na podstawie RODO ponad 95 tysięcy skarg, co uwidacznia, że ludzie są obecnie bardziej świadomi naruszania ich praw w zakresie danych osobowych. Dodatkowe statystyki wskazują na większe zrozumienie po stronie przedsiębiorstw, które samodzielnie zgłosiły 41 tysięcy naruszeń.
Jednym z głównych powodów, dla których rozporządzenie RODO wywołało takie poruszenie poza obszarami ochrony danych i korporacyjnych kwestii prawnych, są wspomniane już olbrzymie kary za jego nieprzestrzeganie. Co więcej, organy ochrony danych rzeczywiście te środki stosują – w statystykach Komisji Europejskiej widnieje 91 odnotowanych kar grzywny w ciągu pierwszych ośmiu miesięcy obowiązywania RODO. Najsłynniejszą z tych kar finansowych była grzywna w wysokości 50 mln euro nałożona w styczniu 2019 roku na firmę Google przez francuską komisję ds. informatyki i wolności. Władze niemieckie wymierzyły z kolei za naruszenia rozporządzenia RODO ponad 40 niższych kar pieniężnych. Oprócz sankcji finansowych, które mogą wręcz zrujnować mniejsze przedsiębiorstwa, mające mniej środków niż światowi giganci przetwarzający dane, ważny jest też bardziej subtelny aspekt odstraszający: ryzyko utraty reputacji.
Również polski Urząd Ochrony Danych Osobowych (UODO) przypatruje się naszym rodzimym firmom. Do sądów spływają już pozwy związane z naruszeniem ochrony danych osobowych. W marcu br. poinformowano, że jedna ze spółek za niespełnienie obowiązku informacyjnego dot. przetwarzania danych musi zapłacić ponad 943 tys. zł. To była pierwsza kara UODO po wejściu w życie RODO. Nazwy ukaranej firmy nie podano. Wiadomo tylko, że wyrok dotyczył warszawskiej spółki pozyskującej dane ze źródeł publicznie dostępnych m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). Kara była dotkliwa i w ten sposób ucięła spekulacje, że Urząd będzie tylko pouczał, bez nakładania kar finansowych za naruszenia w zakresie RODO. – Widoczny jest konflikt na linii Urząd Ochrony Danych Osobowych (UODO), a Ministerstwo Cyfryzacji. Dlaczego obie instytucje wchodzą sobie w kompetencje? – Trudno ocenić, kto właściwie ma rację. Inicjatywy UODO nie dostarczają odpowiedzi na wszystkie pojawiające się wciąż pytania. Ministerstwo Cyfryzacji próbuje wyjaśniać część wątpliwości. Jednak wyraźny jest brak porozumienia między tymi dwoma organami – zwraca uwagę Mateusz Górny, prawnik, ekspert Ogólnopolskiego Centrum Rozliczania Kierowców. Ochronę danych osobowych w praktyce sprawdza UODO, a w zakresie zatrudnienia Państwowa Inspekcja Pracy (PIP).
Nałożona przez Prezes UODO kara wysokości blisko miliona złotych jest pierwszą karą za nieprzestrzeganie rozporządzenia w Polsce. Szczególną uwagę należy zwrócić na fakt, za co przyznano grzywnę. Postępowanie Urzędu nie dotyczyło naruszenia zasad ochrony danych w zakresie ich integralności, poufności czy dostępności, a realizacji obowiązku informacyjnego w związku z przetwarzaniem danych osobowych. – Największe emocje wzbudził ustęp 5 artykuł 14 rozporządzenia, będący kanwą całej sprawy. Przedsiębiorca bronił się, że wykonanie obowiązku informacyjnego będzie zgodnie z ustępem 5 niewspółmierne, przedstawiając wyliczenie kosztu listów poleconych do osób, których dane dotyczą. Urząd nie wskazał właściwej formy informowania osób, natomiast uznał, że forma listu poleconego nie jest wymagana – mówi Mateusz Górny z OCRK. – Decyzja Prezes UODO wywołała niemałą burzę wśród przedstawicieli doktryny. Stanowisko Prezes podważa bowiem przyjmowaną do tej pory analogię do przepisów krajowych. Duża liczba komentarzy dotyczy też milczenia Urzędu w zakresie, w jakim informacja miała by być przedstawiona. Ukarana spółka odwołała się od decyzji i można spodziewać się pierwszych rozstrzygnięć w sądach administracyjnych, możliwe jest również skierowanie sprawy w ramach zapytania prejudycjalnego do Trybunału Sprawiedliwości Unii Europejskiej – dodaje ekspert.
Zdaniem prawnika, często niejasna jest realizacja obowiązku informacji o monitoringu stosowanym w przedsiębiorstwie. O ile ustawodawca uregulował tę kwestię w kodeksie pracy, wskazując, gdzie nie można stosować monitoringu i jaka jest podstawa do jego stosowania, to część pracodawców nadal ma problem z uporządkowaniem tych kwestii w dokumentacji wewnątrzzakładowej. – Powszechnie brakuje ikonografii, oznaczającej teren monitorowany oraz informacji o administrowaniu danymi. Jest to o tyle dziwne, że większość pracodawców posiada już klauzule informacyjne dla klientów indywidualnych. Te są przedstawiane przy zawieraniu umów lub świadczeniu usług. Natomiast brakuje takiej wiadomości przy wejściu do przedsiębiorstwa lub w recepcji – mówi Mateusz Górny.
Niepewność pracodawcy co do przepisów i poprawności funkcjonowania firmy po wejściu ustawy o RODO powoduje szereg niepotrzebnych praktyk. Okazuje się na przykład, że nie jest konieczne zbieranie zgód na przetwarzanie podstawowych danych pracowników takich jak imię, nazwisko i adres korespondencyjny. Co więcej, często obejmują one też okresy zatrudnienia niezbędne do wyliczenia urlopu wypoczynkowego czy stażu pracy. Zastosowanie tego typu dokumentów powoduje, że pracownik, który nie wyrazi zgody na dysponowanie danymi, zostanie potraktowany niezgodnie z przepisami kodeksu, a to może skutkować pozwem przed sąd pracy.
Jaka jest przyszłość RODO? W opinii wiceprezesa w firmie Veeam, w najbliższym roku nie nastąpi żadne radykalne przesunięcie w zakresie samych przepisów. – RODO po prostu działa. Możemy spodziewać się więcej ze strony organów regulacyjnych: więcej grzywien, surowszych kar i dalszych starań ukierunkowanych na ujawnianie niezgodności z przepisami – mówi Danny Allan.
Warto obserwować, czy rozmowy, do których RODO zmusza dyrektorów ds. informatycznych, doprowadzą do konsekwencji na szczeblu globalnym, zwłaszcza w odniesieniu do praktyk w zakresie ochrony danych w takich krajach jak Chiny i Stany Zjednoczone.
Komisja Europejska w dalszym ciągu będzie prężyć muskuły w obszarze ochrony danych, spodziewamy się też jednak zmian w sposobie korzystania z danych osobowych przez przedsiębiorstwa. W dobie cyfrowej dane są fundamentem firm — mimo przykładów niektórych podmiotów, które podeszły do RODO radykalnie i usunęły całe swoje bazy danych użytkowników.
– Dane gromadzone dziś mogą być wykorzystywane do generowania analiz w przyszłości i posłużyć do zapewnienia użytkownikom lepszych doświadczeń, opracowywania produktów dostosowanych do realnych potrzeb rynku i nagradzania klientów za lojalność. Wraz ze wzrostem świadomości użytkowników spadać będzie tolerancja wobec firm, które gromadzą dane, lecz ich nie szanują – mówi Danny Allan. Dlatego przedsiębiorstwa, które nie poradzą sobie z ochroną danych i nie włączą ochrony prywatności w swoją kulturę korporacyjną, muszą spodziewać się gwałtownej reakcji klientów i drakońskich kar ze strony regulatorów. Zdaniem firmy Veeam ochrona danych nie powinna jednak być postrzegana jako coś, co trzeba odhaczyć lub co robi się wyłącznie z przymusu.
