Czy wprowadzenie RODO rzeczywiście coś zmieni, czy będzie tylko dodatkowym obciążeniem? Jestem optymistką. Przede wszystkim potrzeba zrozumienia, że stosowanie rozporządzenia leży zarówno w interesie urzędu czy przedsiębiorcy, jak i osoby fizycznej.
W prowadzenie regulacji unijnej ma w pierwszym rzędzie zapewnić spójność systemu ochrony danych osobowych, by prawa i wolności osób, których dane są przetwarzane, były w odpowiedni sposób zagwarantowane w całej Unii Europejskiej. Realizacja tego celu nie będzie oczywista, ponieważ RODO stwarza dla państw członkowskich możliwości wprowadzenia odrębnych rozwiązań prawnych na poziomie krajowym. Przykład: art. 23 pozwalający na dość liczne ograniczenia uprawnień osób fizycznych. Jak wskazują projektowane rozwiązania, polski ustawodawca zamierza z tego przywileju dość szeroko skorzystać.
Wśród innych najważniejszych konsekwencji RODO należy wymienić zwiększenie skuteczności ochrony danych osobowych i wzmocnienie praw osób, których dane są przetwarzane, zwłaszcza w internecie bądź z wykorzystaniem nowoczesnych technologii. Rozwiązania RODO mają na celu zapewnienie ludziom odpowiedniego poziomu wiedzy na temat tego, kto, na jakiej podstawie, w jakim celu i jak długo przetwarza ich dane osobowe, co ma kluczowe znaczenie dla oceny, czy prywatność danej osoby nie została naruszona. To z kolei pozwala na skorzystanie z przysługujących uprawnień, np. żądania od administratora podjęcia odpowiednich działań (m.in. skorygowania prawdziwości danych, zaprzestania ich przetwarzania, usunięcia danych). Poza tym osoba, której prywatność naruszono, może wnieść skargę na nierzetelnego administratora do organu nadzorczego, a w razie wyrządzenia jej szkody majątkowej lub niemajątkowej skorzystać z całkowicie nowego środka, czyli z roszczenia odszkodowawczego. Zwiększeniu transparentności przetwarzania danych dla osoby, której dane są przetwarzane, są podporządkowane obowiązki administratorów dotyczące m.in. zasady rozliczalności danych, która wymaga przestrzegania przepisów dotyczących przetwarzania danych. W efekcie RODO powinno zwiększyć poczucie odpowiedzialności administratorów i sprzyjać budowaniu zaufania w obrocie, co wpisuje się przecież w nurt społecznej odpowiedzialności biznesu.
Na taki kierunek wskazuje neutralność technologiczna RODO. Prawodawca unijny bowiem nie rekomenduje wprost konkretnych środków technicznych i organizacyjnych, jakie należy zastosować w celu zapewnienia właściwej ochrony przetwarzanym danym. Wskazuje jednak, że zastosowane środki powinny być odpowiednio dobrane do zakresu, kontekstu i celu, a także ryzyka naruszenia praw i wolności osób, których dane są przetwarzane. W celu minimalizacji ryzyka naruszenia prywatności należy uwzględnić stan wiedzy technicznej, koszt wdrażania, a także skutki, jakie zidentyfikowane zagrożenia mogą powodować w sferze naruszenia praw i wolności osób, których dane dotyczą.
Oceń ryzyko
Jednym z kluczowych elementów zapewniania zgodności z przepisami RODO jest dochowanie obowiązku polegającego na ocenie ryzyka, co wymaga starannej analizy procesów przetwarzania danych w jednostce, przy czym ocena ta odbywa się z perspektywy ryzyka naruszenia praw i wolności osób, których dane są przetwarzane. Należy zdiagnozować niebezpieczeństwa utraty przez człowieka kontroli nad własnymi danymi, kradzieży lub sfałszowania tożsamości, naruszenia dobrego imienia, naruszenia poufności danych objętych tajemnicą zawodową itp. Jest to dość złożony proces, w który należy zaangażować specjalistów z różnych dziedzin, m.in. informatyków czy prawników, co pozwoli na wybór niezbędnych środków i działań w celu ograniczenia ryzyka (np. pseudonimizacja czy szyfrowanie danych, szkolenia personelu).
Zmiany w systemie ochrony danych osobowych nie są dużą rewolucją. Można raczej mówić o pewnej ewolucji systemu, w ramach której dokonuje się dostosowania rozwiązań prawnych do wyzwań technologicznych, zagrożeń związanych z przetwarzaniem danych, ale również do potrzeby zwiększania bezpieczeństwa osobowego. W części konstrukcje RODO były znane na gruncie dyrektywy 95/46/WE i krajowej ustawy z 1997 r., chociażby w zakresie kluczowych pojęć, zasad i podstaw prawnych przetwarzania danych, wyznaczenia w jednostkach osoby pełniącej funkcję ABI, czyli inspektora danych osobowych, funkcjonowania organu nadzorczego. Natomiast z całą pewnością RODO konsekwentnie dąży do wzmocnienia pozycji osób, których dane są przetwarzane, wykorzystując w tym celu również zróżnicowane sankcje, m.in. nakładanie powinności podjęcia działań korygujących, kary pieniężne czy roszczenia odszkodowawcze.
Ruch daje nadzieję
Czy RODO osiągnie cel? To trudne, choć zasadne pytanie. Obserwacja rynku usług szeroko rozumianego bezpieczeństwa czy edukacyjno-szkoleniowych, liczny udział w wydarzeniach poświęconych ochronie danych osobowych organizowanych przez ośrodki naukowe lub organ nadzorczy bezsprzecznie wskazują na zwiększenie świadomości konieczności przygotowania jednostek „do RODO” w podmiotach sektora publicznego i biznesu. Trudno ocenić, na ile jest to efekt „straszenia” wprowadzanym rozporządzeniem, a na ile odpowiedzialnego podejścia do wdrożenia obowiązków wynikających z przepisów. 10 maja 2018 r. została uchwalona ustawa o ochronie danych osobowych, rozstrzygająca kluczowe kwestie dotyczące, m.in. organu nadzorczego, procesu certyfikacji, procedur kontroli i dochodzenia roszczeń, ale także wprowadzająca niezwykle przydatne rozwiązania, chociażby w postaci przepisów legalizujących stosowanie monitoringu wizyjnego w samorządzie terytorialnym. W obliczu wyłączenia możliwości zastosowania przesłanki uzasadnionego prawnie interesu administratora w celu legalizacji przetwarzania danych osobowych przez organy publiczne powstałby nie lada kłopot z legalnym stosowaniem wideonadzoru w urzędach obsługujących jednostki samorządu terytorialnego.
Obok wzrostu świadomości ochrony danych osobowych istotne dla celów RODO mogą okazać się instrumenty praktycznie wspomagające administratorów. Warto tu wymienić kodeksy postępowania przygotowywane w poszczególnych branżach jako swoiste uzupełnienie RODO, w ramach których dokona się standaryzacja ochrony danych osobowych z uwzględnieniem specyfiki danej branży. Prace nad nimi trwają m.in. w sektorze usług ubezpieczeniowych, bankowych i zdrowotnych. Po ich zatwierdzeniu przez organ nadzorczy będą praktyczną pomocą dla przedsiębiorców w dostosowywaniu ochrony danych do RODO.
Środki ułatwiające wdrożenie rozporządzenia nie pozostają bez wpływu na jeszcze jeden aspekt, który należy wziąć pod uwagę – koszty. W przypadku małych i średnich przedsiębiorców może się to okazać pewną barierą w realizacji wymagań RODO, stąd wynika potrzeba tworzenia pomocniczych narzędzi, chociażby w zakresie pewnej standaryzacji ochrony danych w branżach, możliwości korzystania z usług, na przykład w postaci e-learningu itp.
Nie bez znaczenia będą również sankcje o charakterze administracyjnym, pozostające w gestii organu nadzorczego, jak również możliwość dochodzenia roszczeń odszkodowawczych przez osoby poszkodowane na skutek naruszenia przepisów, które mogą być wspomagane w tym procesie przez podmioty non-profit. Zagrożenie sankcjami spełni niewątpliwie funkcję wychowawczą i prewencyjną. Choć oczywiście bardziej pożądaną motywacją byłoby przestrzeganie prawa wynikające z szacunku wobec niego i odpowiedzialności uczestników obrotu gospodarczego.
Czy wprowadzenie RODO rzeczywiście coś zmieni, czy będzie tylko dodatkowym obciążeniem? Pozostaję w tym zakresie optymistką. Uważam, że faktycznie poprawi się standard ochrony danych osobowych osób fizycznych, choć niewątpliwie stanowi to ogromne wyzwanie. Przede wszystkim wdrożenie rozwiązań RODO wymaga zrozumienia, że leży to zarówno w interesie urzędu czy przedsiębiorcy, jak i osoby fizycznej. Opłaci się nie tylko finansowo (poprzez uniknięcie kar), lecz przede wszystkim wspomoże prowadzenie działalności, wzmagając zaufanie wśród klientów czy konsumentów. Biznes w sieci z pewnością dostosuje się do wymagań RODO nie tylko ze względu budowanie wiarygodności, lecz również z uwagi na opłacalność stosowanych praktyk w zakresie profilowania użytkowników sieci, targetowania reklam itd.
Wyzwanie na stałe
Obowiązki związane z ochroną danych są często postrzegane w kategoriach obciążeń finansowo-organizacyjnych. Administrator musi ponieść nakłady finansowe, związane chociażby z przeprowadzeniem audytu w jednostce, zatrudnieniem inspektora ochrony danych – jeśli jest do tego zobowiązany – lub innego pracownika czy outsourcingiem usług ochrony danych, przeprowadzeniem analizy ryzyka, przygotowaniem i wdrożeniem procedur przetwarzania danych w jednostce, którym powinna towarzyszyć odpowiednia dokumentacja, wprowadzeniem adekwatnych do zagrożeń zabezpieczeń informatycznych i technicznych, szkoleń personelu. Realizacja większości z tych powinności musi mieć charakter stały, niejako wbudowany w funkcjonowanie jednostki, więc stale będzie przynosiła koszty, które podmiot prowadzący działalność musi uwzględnić. Stąd oczekiwanie gotowych wzorów reguł postępowania oraz dokumentacji przetwarzania danych, które czynią przygotowanie do wdrożenia RODO tańszym. Jednakże należy pamiętać, że nie jest to spójne z ideą rozporządzenia, która zakłada m.in. dostosowanie ochrony danych osobowych do specyfiki jednostki, co przesądza o konieczności zindywidualizowanego podejścia administratora do przetwarzania danych opartego na ryzyku. Z tego punktu widzenia tak ważne jest opracowanie kodeksów dobrych praktyk, kodeksów postępowania, wdrożenie mechanizmów certyfikujących oraz w miarę możliwości wydawanie wytycznych przez organy nadzorcze. Administrator, zwłaszcza przedsiębiorca, nie powinien być pozostawiony sam. Zwłaszcza w najbliższych miesiącach, gdy będzie się kształtowała praktyka przetwarzania danych osobowych w oparciu o przepisy RODO.