RODO w 2019 roku – nie taki diabeł straszny

W pierwszych dniach nowego roku, kiedy przychodzi moment na podsumowanie tego, co wydarzyło się przez ostatnich 12 miesięcy, można śmiało stwierdzić, że rok 2018 upłynął pod znakiem RODO. 25 maja był dniem wejścia w życie zmian w przepisach prawa, które niemalże wdarły się do życia codziennego na bardzo wielu jego płaszczyznach. Obserwacja tych zmian z perspektywy czasu oraz z pozycji Inspektora Ochrony Danych pozwala też jednak przyznać, że nie taki diabeł straszny, jak go malują.
 
To, że RODO wprowadziło ogromne zamieszanie w firmach, instytucjach czy placówkach przetwarzających dane osobowe, było wynikiem kilku czynników. Przede wszystkim zadziałał strach, spowodowany wysokimi karami finansowymi, które grożą za naruszenia, do jakich może dojść w związku z brakiem odpowiednich zabezpieczeń lub nieprzestrzeganiem procedur systemu ochrony danych osobowych. W ostatnim okresie odnotowano więcej takich przypadków niż na samym początku obowiązywania RODO, co ma swoje uzasadnienie w sposobie funkcjonowania organów nadzorczych, takich jak Prezes Urzędu Ochrony Danych Osobowych.
 
Wysokie kary, o których mówią przepisy rozporządzenia, tj. nawet 20 milionów euro lub równowartość 4 % rocznego dochodu firmy (przy czym obowiązuje kwota wyższa), pełnią przede wszystkim funkcję odstraszającą. Celem działalności organów kontrolnych nie jest bowiem karanie samo w sobie. Decydujące znaczenie ma waga danego incydentu, będącego efektem zarówno świadomego, jak i nieświadomego działania (niestety, nie można tu liczyć na wyjątek od zasady ignorantia iuris nocet).
 
Głośny przypadek nałożenia wysokiej kary za naruszenie miał miejsce w październiku na lotnisku Heathrow w Wielkiej Brytanii, gdzie doszło do zgubienia pendrive’a z danymi, który należał do jednego z pracowników. Pliki znajdujące się w urządzeniu zawierały między innymi dane wrażliwe, a ich udostępnienie nieuprawnionej osobie, która następnie zawiadomiła o tym media, byłą podstawą do wymierzenia lotnisku kary w ogromnej kwocie 120 000 funtów. Co istotne, tamtejszy organ kontrolny – Information Commissioner's Office, ustalając jej wysokość, działał jeszcze na podstawie prawa wewnętrznie obowiązującego, czyli uchwalonej ponad 20 lat wcześniej ustawy o ochronie danych osobowych, ponieważ do incydentu doszło przed 25 maja 2018 roku. Gdyby zastosował kary przewidziane przepisami unijnego rozporządzenia, lotnisko poniosłoby dużo wyższe koszty braku ostrożności oraz niewystarczającego poziomu wdrożenia systemu zabezpieczeń technicznych i organizacyjnych. W Polsce jak dotąd nie odnotowano równie spektakularnego zdarzenia, aczkolwiek nie oznacza to, że ciężkie naruszenia w dużych spółkach nie przyniosą skutków w postaci dotkliwych kar finansowych zgodnych z przepisami RODO. Warto jednak pamiętać, że urzędnicy przeprowadzający kontrole mają do dyspozycji również inne środki (np. upomnienia, nagany), a nałożenie kary pieniężnej to ostateczność.
 
Strach, wynikający z niedostatecznej wiedzy o tym, co należy, a czego nie wolno robić przy przetwarzaniu danych osobowych, otworzył też niestety pole do działania oszustom, którzy – podszywając się w wysyłanych przez nich pismach pod państwowe organy kontroli – wymuszają na przedsiębiorcach uiszczenie opłat administracyjnych i grożą nałożeniem kar pieniężnych. Zdarza się również, że kierują swoje żądania bezpośrednio do osób niebędących administratorami danych, np. pracowników recepcji lub sekretariatu i wykorzystując ich niepewność lub obawę przed konsekwencjami, wyłudzają pieniądze w gotówce, na miejscu. Na szczęście pracownicy są coraz bardziej świadomi, a Prezes Urzędu Ochrony Danych Osobowych publikuje komunikaty, w których ostrzega przed podobnymi praktykami.
 
Nie da się ukryć, że konieczność spełnienia szerokiego obowiązku informacyjnego, jaki RODO nakłada na administratorów danych, wciąż przysparza problemów, między innymi dlatego, że przepisy rozporządzenia zmieniły katalog danych szczególnie chronionych oraz sposobów postępowania z nimi. Z dniem 25 maja 2018 roku wiele pojedynczych przepisów lub całych aktów prawnych straciło moc obowiązującą. Doświadczenie minionych miesięcy pokazuje, że wdrażanie systemu ochrony danych osobowych jest procesem, który wymaga przeprowadzania audytów i reagowania na bieżące zmiany oraz potrzeby związane z przetwarzaniem danych. Wielu firmom, zwłaszcza tym najmłodszym, RODO nie przestaje jednak spędzać snu z powiek. Z pomocą w takiej sytuacji przychodzi Inspektor Ochrony Danych, który może przejąć większość obowiązków administratora związanych z ochroną danych jego pracowników, klientów oraz kontrahentów, czuwać nad prawidłowością wykonywania czynności przetwarzania, pełnić funkcję punktu kontaktowego z organem nadzorczym oraz szkolić pracowników i rozwiązywać problemy, jakie mogą się pojawić w codziennej pracy z danymi.
 
Gdy minie pełny rok od wejścia w życie zmian z rozporządzenia, przyjdzie czas na kolejne podsumowanie. Póki co wydaje się, że wszechobecność nowych uregulowań (na stronach internetowych, w urzędach, sklepach, przychodniach itd.) korzystnie wpłynęła na oswojenie się z tematem RODO, który mimo swojej złożoności, jest przecież bardzo przejrzysty i z pewnością nie należy się go obawiać.