Ogromne kary finansowe i nowe obowiązki. Konieczność przyjrzenia się stosowanym w firmie procedurom i powołania osób odpowiedzialnych. To wszystko sprawia, że firmy nerwowo czekają na maj 2018 roku. Wtedy zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych, tzw. RODO. Czy jest się czego obawiać? I jak ratować się przed wizją dotkliwych kar?

- Na odbiór RODO na pewno wpływa wysokość przewidzianych w akcie kar pieniężnych - potwierdza Aleksandra Maciejewicz, partner w kancelarii Lawmore. - Jednak miejmy na uwadze, że nie będziemy mieli do czynienia z sytuacjami, kiedy organ nadzorczy „z marszu” nakłada karę w wysokości 20 mln euro (albo w wysokości do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa). - Kary pieniężne - przypomina ekspert - będą miarkowane, a wręcz zamiast kary, organ może udzielić upomnienia, jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie.

Warto zauważyć, że zapisy RODO ujmują nie tylko potrzeby osób, których dane są przetwarzane, ale również potrzeby i możliwości przedsiębiorców, a kary – choć wysokie w maksymalnym wymiarze – obwarowane są szeregiem zastrzeżeń. Organ przed nałożeniem kary pieniężnej zobowiązany będzie szczegółowo zbadać przesłanki i kontekst naruszenia. - Samo rozporządzenie mówi wprost o co najmniej 11 okolicznościach do zbadania - zaznacza ekspert. Chodzi mi.in. o charakter, wagę oraz czas trwania naruszenia, to czy naruszenie nie było umyślne, jakie działania podjęto dla zminimalizowania szkody, stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia. Pod uwagę brany będzie również sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, to czy podmiot przestrzega nałożonych nań środków, czy stosuje się do kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Mówi o tym ten sam art. 83 Rozporządzenia, w którym wymieniono maksymalny wymiar kar.

Więcej obowiązków dla dużych

- W przypadku RODO nie mamy do czynienia z jednorodnym traktowaniem administratorów danych osobowych, tak jak miało to miejsce dotychczas w przypadku ustawy o ochronie danych osobowych - przypomina Aleksandra Maciejewicz. - Generalnie, duża część obowiązków administratorów (i podmiotów przetwarzających) w RODO jest miarkowana. Przykładowo, stopień zaawansowania środków technicznych i organizacyjnych, do jakich wdrożenia zobowiązani będą administratorzy, będzie zależny od kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Kategorie danych, które wymagają najściślejszej ochrony wskazuje punkt 75 preambuły RODO. Chodzi o przypadki, w których niewłaściwe przetwarzanie danych może prowadzić do uszczerbku fizycznego lub psychicznego lub szkód majątkowych lub niemajątkowych. Rozporządzenie wymienia tu możliwe skutki takie jak m.in. dyskryminacja, kradzież tożsamości, straty finansowe, naruszenie dobrego imienia, a także naruszenie poufności danych chronionych tajemnicami zawodowymi. Wśród danych, których przetwarzanie wiąże się ze szczególnym ryzykiem wymienione są m.in. te, dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, wyznania lub przekonań światopoglądowych, przynależności do związków zawodowych. Szczególną kategorią są również dane genetyczne, dotyczące zdrowia lub dane o seksualności lub wyrokach i naruszeniach prawa. Zwłaszcza, jeśli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

RODO rozróżnia podmioty na te, które zajmują się przetwarzaniem danych i te, dla których taka działalność jest niejako „dodatkowa”. - Większy zakres obowiązków został nałożony na administratorów (i podmioty przetwarzające), których główna działalność polega na regularnym i systematycznym monitorowaniu na dużą skalę osób, których dane te dotyczą, albo na takich, którzy przetwarzają dane szczególnego rodzaju, jak dane dotyczące zdrowia. Tacy administratorzy wyznaczają inspektora ochrony danych, którego zakres obowiązków będzie znaczący - wyjaśnia Aleksandra Maciejewicz. - Działalność takich podmiotów zazwyczaj wiąże się również – ze względu na swój charakter, zakres, kontekst i cele – z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Wówczas taki administrator, przed rozpoczęciem przetwarzania, będzie zobowiązany również dokonać kompleksowej oceny skutków przetwarzania dla ochrony danych osobowych, a ocenę w określonych wypadkach będzie konsultować z osobami, których dane przetwarza.

Będą "ściągawki"

Ekspert zwraca jednak uwagę na to, że administratorzy nie zostaną pozostawieni sami sobie z niuansami RODO. Wprowadzone zostaną bowiem instytucje ułatwiające administratorom stosowanie przepisów z zakresu ochrony danych osobowych, w tym zatwierdzone kodeksy postępowań, jak również zatwierdzona certyfikacja. O kodeksach postępowania i certyfikacji mówi Sekcja 5 Rozporządzenia. Sprawę kodeksów reguluje art. 40, ich monitorowanie – art. 41. Certyfikacja ujęta jest w art. 42, a określenie roli podmiotu certyfikującego ujmuje art. 43.

Kto będzie opracowywać takie kodeksy i mechanizmy certyfikujące? O ile certyfikaty wydawać będą „podmioty (…), które dysponują odpowiednim poziomem wiedzy fachowej w dziedzinie ochrony danych”, co weryfikowane będzie przez organ nadzorczy lub krajową jednostkę akredytującą, o tyle jako źródło kodeksów Rozporządzenie wymienia „zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające”.

Art. 24 RODO, który rozpoczyna rozdział dotyczący administratorów danych, mówi o tym, że stosowanie kodeksów postępowania lub mechanizmu certyfikacji może być wykorzystane jako element dla stwierdzenia, że administrator przestrzega ciążących na nim obowiązków. - Będą one zawierały wskazówki co do tego, jak wdrożyć odpowiednie środki oraz jak wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane – zaznacza Aleksandra Maciejewicz z Lawmore, dodając, że ich stosowanie może również wpłynąć na wysokość kary pieniężnej, albo jej brak.