RODO – ocena skutków finansowych
Ochrona danych osobowych, część 2
Andrzej Jakiel
Do tej pory Generalny Inspektor Ochrony Danych Osobowych (GIODO) mógł stosować środki egzekucyjne, w tym pieniężne. Egzekucji podlegały jego decyzje administracyjne, jeśli nadał im rygor natychmiastowej wykonalności albo stały się ostateczne. Sankcje finansowe mogły być stosowane przede wszystkim w sytuacji, gdy na administratora danych osobowych został nałożony konkretny obowiązek (np. zaprzestania przetwarzania danych czy poinformowania podmiotu danych), gdy administrator nie realizował nałożonego obowiązku. W takich sytuacjach w celu przymuszenia GIODO mogło nałożyć grzywnę. Do tej pory skala stosowania takich środków była niewielka, np. w 2015 r. GIODO wydał tylko 97 decyzji zawierających nakaz wykonania i podlegających egzekucji, ale tylko w dwóch przypadkach nałożył grzywnę.*Internet: https://giodo.gov.pl
© Fotolia
Obecnie organ ochrony danych może nałożyć na przedsiębiorcę karę w wysokości do 20 mln euro jeśli administrator narusza podstawowe zasady przetwarzania danych osobowych, w tym warunki udzielonej mu zgody na przetwarzanie danych (art. 5, 6, 7 oraz 9 RODO). Także, jeśli administrator nie realizuje swoich obowiązków względem osób, których dane dotyczą (art.12–20), narusza zasady dotyczące transferów danych (art. 44–49), nie przestrzega nakazów organu ochrony danych (np. tymczasowego ograniczenia przetwarzania).
Niższe kary w wysokości do 10 mln euro grożą m.in. w przypadku nieuwzględnienia ochrony danych w fazie projektowania lub nieuwzględnienia zasad domyślnej ochrony danych (art. 25 RODO), zaniedbania oceny skutków dla ochrony danych (w przypadku stwierdzenia wysokiego ryzyka dla praw i wolności podmiotów danych (art. 35, 36), zaniedbania wymaganych ustaleń między współadministratorami (art. 26) lub między administratorem i podmiotem przetwarzającym dane (art. 26 i 28), czy też zbierania danych identyfikujących podmiotu, mimo że nie wymagają tego cele administratora (art. 11).
Jak widać porównanie stanu minionego i obecnego w zakresie ochrony danych osobowych uległo bardzo znacznemu zaostrzeniu. *Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Jak słusznie zauważa Katarzyna Szymielewicz w opracowaniu „W ochronie danych osobowych: od oceny ryzyka do spójnej strategii w organizacji”*Katarzyna Szymielewicz „W ochronie danych osobowych: od oceny ryzyka do spójnej strategii w organizacji”, Fundacja Panoptykon, panoptykon.org kwiecień 2018, str. 8., pełne wdrożenie RODO to niewątpliwie wyzwanie, zwłaszcza dla przedsiębiorców i organizacji, które do tej pory traktowały ochronę danych po macoszemu. Tego procesu nie należy jednak utożsamiać z samymi obciążeniami. To szansa na uproszczenie procedur (lub wprowadzenie ich od zera) oraz zbudowanie z odbiorcami relacji opartej na zaufaniu i zrozumieniu ich potrzeb związanych z prywatnością. To też szansa na wzmocnienie u ludzi zrozumienia praw, jakie im przysługują – trudno przecenić, jak wiele dobrego może to przynieść społeczeństwu jako takiemu.
Patrząc ze strony kilku milionów przedsiębiorców, wszystkich instytucji państwowych i samorządowych, banków, organizacji społecznych i zawodowych, problematyka RODO jawi się jako wielkie utrapienie i kolejny ciężar.
Jednakże patrząc ze strony każdego z nas, obywatela RP, konsumenta, mieszkańca – RODO to wreszcie dojrzała regulacja prawna obowiązująca jednolicie w całej Unii Europejskiej chroniąca naszą wolność i prawo do prywatności, tak często nadużywane, marginalizowane i niedostatecznie chronione. Właśnie te realnie grożące monstrualne kary wszystkim podmiotom przetwarzającym dane mają stać się gwarantem przestrzeganiem naszych wolności i praw. Jako obywatele, konsumenci, mieszkańcy, petenci powinniśmy traktować RODO jako europejski akt prawny sprzymierzony z nami, choć dokuczliwy dla podmiotów obowiązanych.
Od ostatniego tygodnia maja zalewani jesteśmy mailami zawierającymi informacje dotyczące naszych danych osobowych u najróżniejszych, często zupełnie nie znanych podmiotów, firm, organizacji. Daje to obraz powszechności posługiwania się naszymi danymi bez naszej wiedzy. To dobry okres aby zredukować mnogość podmiotów przetwarzających nasze dane. Wystarczy tylko w zwrotnym mailu do zbędnych nam lub nieznanych podmiotów złożyć żądanie usunięcia naszych danych. Nie robimy tego oczywiście w sytuacjach gdy mamy zawarte umowy z podmiotami a przetwarzanie naszych danych osobowych jest związane z realizacją tych umów (dostarczanie mediów, zarządcy naszych nieruchomości, telekomunikacja, banki, towarzystwa ubezpieczeniowe itp. instytucje).
