RODO – rozporządzenie unijne o ochronie danych osobowych – jest obecnie jednym z wiodących tematów wśród polskich przedsiębiorców. Czy są gotowi na wejście w życie nowego rozporządzenia? Jakie zmiany czekają przedsiębiorców wraz z wejściem w życie tego rozporządzenia? Czy i jakie kary grożą za nie wdrożenie RODO? Na te tematy rozmawialiśmy z mecenasem Mateuszem Grzechem z kancelarii adwokackiej Duraj Reck i Partnerzy.

RODO z każdym dniem staje się coraz gorętszym tematem. Od wejścia w życie tego rozporządzenia dzielą nas w zasadzie już tylko godziny. Czy przedsiębiorcy są już przygotowani na zmiany w prawie ochrony danych osobowych?

Mec. Mateusz Grzech, kancelaria adwokacka Duraj Reck i Partnerzy: RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, uchwalone zostało 14 kwietnia 2016 roku. Minęło zatem już ponad 2 lata, jednak duża część przedsiębiorców czekała z wdrożeniem nowych przepisów do ostatniej chwili i w związku z tym, bardzo wielu z nich dopiero teraz podejmuje starania przystosowania swojej działalności do nowego porządku prawnego.

Jakie zmiany niesie ze sobą RODO? Na co przedsiębiorcy szczególnie powinni zwrócić uwagę?

Przede wszystkim RODO wprowadza zasadę rozliczalności, zgodnie z którą to przedsiębiorca będzie musiał wykazać, że przetwarza dane osobowe zgodnie z przepisami rozporządzenia. Mowa tutaj m.in. o legalnej podstawie przetwarzania danych, realizowaniu wobec podmiotów danych obowiązku informacyjnego w formie wymaganej przez RODO, wdrożeniu adekwatnych do ryzyka środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa przetwarzanych danych osobowych. Ponadto RODO m.in. wprowadza procedurę zgłaszania poważniejszych naruszeń do organu nadzorczego w ciągu 72 godzin oraz nakłada na administratora danych obowiązek prowadzenia rejestru wszystkich stwierdzonych w zakresie ochrony danych osobowych naruszeń. Czasami o naruszeniu będzie trzeba też poinformować osobę, której dane dotyczą. Kolejną nowością jaką niesie ze sobą RODO jest także rejestr czynności przetwarzania, szerszy katalog praw podmiotów danych czy ocena czynności przetwarzania.

Wspomniał Pan o legalnej podstawie przetwarzania. Czy przedsiębiorca powinien więc każdorazowo uzyskiwać zgodę na przetwarzanie danych osobowych od osoby, której te dane dotyczą? Co z dotychczas zebranymi zgodami?

Rozporządzenie wskazuje, że zgoda na przetwarzanie danych osobowych powinna być jednoznaczna, dobrowolna, świadoma i konkretna. Jeżeli zgody pozyskiwane do tej pory przez przedsiębiorców spełniają wymienione przesłanki, to jak najbardziej zachowają one swoją ważność. Jednak trzeba pamiętać o tym, że nie tylko zgoda podmiotu danych stanowi legalną podstawę przetwarzania. Zgoda nie będzie wymagana, jeżeli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy. Obowiązek prawny ciążący na administratorze, ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, interes publiczny, sprawowanie władzy publicznej, prawnie uzasadniony interes administratora – to kolejne przesłanki w przypadku zaistnienia, których można przetwarzać dane osobowe bez pozyskiwania zgody podmiotu danych.

A co z obowiązkiem informacyjnym? Czy wdrażając RODO przedsiębiorca powinien zaktualizować informacje, które przekazał podmiotom danych, zgodnie z wymogami obecnie obowiązującej Ustawy o ochronie danych osobowych?

Tak, trzeba będzie zaktualizować obowiązek informacyjny w stosunku do podmiotów danych, których dane przedsiębiorcy już przetwarzają. Takie stanowisko przedstawiła Grupa Robocza art. 29 w wytycznych z dnia 29 listopada 2017 r., powołując się na motyw 171 preambuły do RODO, w myśl którego przetwarzanie, które w dniu rozpoczęcia stosowania rozporządzenia będzie się toczyć, powinno w okresie dwóch lat przed ww. datą zostać dostosowane do przepisów RODO.

Słyszałem, że Ministerstwo Cyfryzacji, które pracuje nad projektem nowej ustawy o ochronie danych osobowych, postanowiło uwzględnić propozycje Ministerstwa Rozwoju i zwolnić małych i średnich przedsiębiorców z niektórych obowiązków, które nakłada RODO.

Owszem, pojawiło się takie stanowisko. Chodzi przede wszystkim o wyłączenie stosowania art. 13 RODO, czyli realizacji obowiązku informacyjnego, o którym wspomniałem. Projekt ustawy cały czas jest na etapie legislacyjnym, więc nie wiadomo jeszcze jaka będzie jej finalna wersja. Jednakże nie ma wątpliwości, że rozwiązanie w postaci całkowitego zniesienia obowiązku informacyjnego nie zostanie zaakceptowane przez Komisję Europejską, która najpewniej zaskarży je jako niezgodne z RODO. Propozycja ta, zamiast wzmacniać ochronę danych osobowych, burzy podstawowe gwarancje osób, których dane są przetwarzane.

Co tak naprawdę grozi przedsiębiorcom w przypadku nieprzestrzegania przepisów rozporządzenia. Czy będą oni karani tylko i wyłącznie wysokimi karami pieniężnymi, o których tak wiele się teraz słyszy?

Organ nadzorczy, który w toku kontroli ujawni naruszenia z zakresu nieprzestrzegania przepisów dotyczących ochrony danych osobowych, będzie mógł zastosować wobec przedsiębiorców środki naprawcze zamiast lub obok administracyjnej kary pieniężnej. Przykładami środków naprawczych, z których będzie mógł skorzystać organ nadzorczy mogą być: ostrzeżenie, upomnienie, nakazanie spełnienia żądań podmiotu danych, nakazanie poinformowania podmiotu danych o naruszeniu, wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych, w tym zakazu przetwarzania, czy też – nakazania zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej. Oprócz dysponowania bogatym katalogiem środków naprawczych, organ nadzorczy będzie uprawniony do nakładania na przedsiębiorców pieniężnych kar administracyjnych. Wysokość tych kar dochodzi nawet do 20 000 000 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa, przy czym zastosowanie będzie miała kwota wyższa. Stosując kary pieniężne organ nadzorczy będzie miał obowiązek uwzględnić okoliczności każdego indywidualnego przypadku, a sama kara będzie musiała być skuteczna, proporcjonalna oraz odstraszająca. Miejmy jednak nadzieję, że nowy Urząd Ochrony Danych Osobowych podczas realizacji pierwszych kontroli będzie podchodził do przedsiębiorców łagodniej, mając na względzie niedookreśloność, jaką cechuje się RODO.

Źródło: Kancelaria Adwokacka Duraj Reck i Partnerzy