Nowa rzeczywistość administratorów danych – od wejścia w życie RODO dzieli nas tylko kilka miesięcy

Unijne ogólne rozporządzenie o ochronie danych (tzw. „RODO”) wejdzie w życie w państwach członkowskich Unii Europejskiej 25 maja 2018 roku. Przepisy rozporządzenia będą stosowane w Polsce i w pozostałych krajach UE bezpośrednio, co w praktyce oznacza, że nie wymaga ono implementacji – podstawą praw i obowiązków wynikających z przedmiotowych przepisów będzie sam akt unijny, a nie ustawodawstwo poszczególnych państw członkowskich.

RODO z pewnością będzie rewolucją dla administratorów danych i nie ma w tym stwierdzeniu żadnej przesady. Obecnie obowiązująca w Polsce ustawa o ochronie danych osobowych z 1997 roku obejmowała implementację unijnej dyrektywy z 1995 roku, nie budzi zaś wątpliwości, że na przestrzeni ostatnich 20 lat zakres i sposób przetwarzania danych osobowych ulegał dynamicznym zmianom, za którymi dotychczasowe regulacje nie nadążały. Rozwój społeczeństwa informacyjnego i traktowanie danych osobowych niemalże jako swoistego towaru, którym administratorzy coraz szerzej obracali, wymogły na ustawodawcy unijnym nowe podejście do ochrony danych osobowych osób fizycznych i ujednolicenie zasad ich przetwarzania na poziomie Unii Europejskiej.

Obecny poziom ochrony danych osobowych w Polsce rzadko przystaje do obowiązujących wymagań ustawowych. Każdy z nas odbierając kolejny telefon od marketera coraz częściej zastanawia się, jak jego numer znalazł się w bazie administratora. Nie bez przyczyny mówi się dziś o danych osobowych jako o „złocie XXI wieku” i wielu administratorów, często świadomie, podchodzi do zasad przetwarzania tych danych bardzo wybiórczo. Sytuacji z pewnością nie poprawia brak odstraszających i dotkliwych sankcji za naruszenie przepisów ustawy o ochronie danych osobowych. Po wejściu w życie RODO zmieni się więc sporo.

Dwa punkty widzenia

            Przepisy RODO z jednej strony dostosowują zakres ochrony danych osobowych do obecnych realiów i wprowadzają instrumenty prawne, które rzeczywiście powinny skłonić administratorów do zdecydowanie większej dbałości o zgodność przetwarzania danych z przepisami. Z tej perspektywy regulację z pewnością należy ocenić jako pozytywny krok w stronę ochrony sfery prywatnej każdego z nas. Z punktu widzenia administratorów danych, w tym w szczególności przedsiębiorców, rewolucyjne zmiany będą jednak olbrzymim wyzwaniem – nie tylko organizacyjnym, ale i finansowym.

Mimo że data 25 maja przyszłego roku wydaje się stosunkowo odległa, to już ostatni dzwonek, aby rozpocząć przygotowania do wdrożenia zasad i obowiązków wynikających z RODO w swojej organizacji bez obaw, że nie wszystkie działania administratora odpowiadają nowym regułom.

Pięć zasadniczych zmian

Poniżej przedstawiamy najistotniejsze – z perspektywy administratorów danych będących przedsiębiorcami – zmiany wynikające z RODO:

  • kary pieniężne

Sankcji za naruszenie przepisów należy poszukiwać na końcowych stronach rozporządzenia, ale bez względu na systematykę RODO tę zmianę należy szczególnie zaakcentować. Obecne sankcje dla administratorów danych trudno uznać za motywujące do przestrzegania przepisów ustawy o ochronie danych osobowych, tak naprawdę każdego przedsiębiorcę najskuteczniej odstraszają dotkliwe kary finansowe – ustawodawca unijny nie tylko o nich nie zapomniał, ale i bardzo restrykcyjnie podszedł do kwestii ich ustanowienia. Kary według dwóch progów, w zależności od rodzaju przewinienia, to do 10 milionów euro albo do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego i do 20 milionów euro albo do 4% obrotu.

Powyższe kary powinny motywować administratorów zwłaszcza w zestawieniu z tzw. zasadą rozliczalności wyrażoną w RODO. W praktyce przejawia się ona tym, że to administrator danych osobowych będzie zobowiązany niejako „rozliczyć” się z realizacji obowiązków przewidzianych w RODO i wykazać zgodność przetwarzania z przepisami w razie ewentualnej kontroli.

  • szerszy obowiązek informacyjny

W porównaniu do obecnej regulacji zakres informacji, które administrator będzie zobowiązany przekazać osobie, której dane zbiera, będzie zdecydowanie szerszy. Obowiązek informacyjny będzie wzbogacony o informacje o:

  1. danych kontaktowych inspektora ochrony danych;
  2. podstawie prawnej przetwarzania;
  3. prawnie uzasadnionym interesie administratora, jeżeli przetwarzanie odbywa się na tej podstawie;
  4. zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
  5. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
  6. prawie do żądania od administratora sprostowania danych, ich usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  7. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie tej zgody);
  8. prawie wniesienia skargi do organu nadzorczego;
  9. zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Lista dodatkowych informacji nie pozostawia złudzeń – klauzula informacyjna administratora danych ulegnie znacznemu poszerzeniu. Dodatkowo RODO nakłada obowiązek przekazania tych informacji przejrzyście i prostym językiem, co biorąc pod uwagę choćby objętość niezbędnych informacji jawi się jako spore wyzwanie dla administratorów danych.

RODO nakłada także obligo udzielania przez administratora informacji na żądanie osoby, której dane dotyczą. W przypadku wystosowania do administratora jednego ze wskazanych w RODO wniosków czy żądań administrator będzie zobowiązany odpowiedzieć i to w terminie miesiąca od otrzymania żądania. Termin może ulec przedłużeniu o kolejne dwa miesiące, ale tylko w przypadku żądań o skomplikowanym charakterze lub dużej liczby żądań. Co istotne, administrator odpisać musi zawsze – nie wystarczy, że np. we wskazanym terminie usunie dane zgodnie z wnioskiem.

  • rejestr przetwarzania

Obecnie funkcjonujący system rejestracji zbiorów danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych zostanie zastąpiony rejestrem przetwarzania prowadzonym wewnętrznie przez administratora danych. Co istotne, także podmioty, którym powierzono przetwarzanie danych osobowych, będą objęte tym obowiązkiem.

Rejestr przetwarzania powinien obejmować informacje wskazane wprost w RODO, w tym m. in. cele przetwarzania czy planowane terminy usunięcia poszczególnych kategorii danych (jeśli to możliwe).

Administrator i podmiot przetwarzający powinni prowadzić rejestry w formie pisemnej, dopuszcza się także formę elektroniczną. Co istotne, rejestry będą musiały być udostępniane na żądania organu nadzorczego (w Polsce najprawdopodobniej będzie to Prezes nowego Urzędu Ochrony Danych Osobowych, który zastąpi obecnie funkcjonującego Generalnego Inspektora Ochrony Danych Osobowych).

Obowiązek prowadzenia rejestru nie będzie miał zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe, których katalog także uległ poszerzeniu) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

  • zgłaszanie własnych naruszeń do organu nadzorczego i zawiadamianie o nich osób, których dane dotyczą

Całkowitym novum przewidzianym w RODO będzie obowiązek zgłoszenia przez administratora naruszenia ochrony danych osobowych organowi nadzorczemu. W praktyce oznacza to, że jeśli w toku przetwarzania danych dojdzie do uchybienia obowiązkom wynikającym z RODO administrator będzie musiał zaraportować to do Prezesa Urzędu Ochrony Danych Osobowych. Ustawodawca unijny nie dał administratorom zbyt wiele czasu na takie powiadomienie – RODO wymaga zgłoszenia bez zbędnej zwłoki,  ale nie później niż w czasie 72 godzin po stwierdzeniu naruszenia. Ewentualne opóźnienie będzie trzeba uzasadnić. Zakres powiadomienia precyzuje RODO.

Powyższy obowiązek nie będzie miał zastosowania wyłącznie w sytuacji, gdy okaże się, że jest mało prawdopodobne, by naruszenie zasad ochrony skutkowało naruszeniem praw lub wolności osób fizycznych.

W szczególnych sytuacjach notyfikacja naruszenia do organu nadzorczego nie wystarczy. W przypadku, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator będzie zobowiązany niezwłocznie zawiadomić o tym osobę, której dane dotyczą. Zawiadomienie, zawierające określone elementy, administrator będzie musiał sporządzić też jasnym i prostym językiem. Wyjątkowe sytuacje, w których realizacja obowiązku zawiadomienia będzie wyłączona, precyzuje RODO.

  • nowe prawa osób, których dane dotyczą

Osoby, których dotyczą dane przetwarzane przez administratora, zyskają całkowicie nowe, następujące uprawnienia:

  1. prawo do bycia zapomnianym – tj. do żądania (z pewnymi wyjątkami) od administratora usunięcia danych osobowych bez zbędnej zwłoki w określonych przypadkach (np. w przypadku, gdy dane nie jest już konieczne do realizacji celu, w którym były przetwarzane, czy też w razie cofnięcia zgody, na podstawie której dane były przetwarzane). Wskazane uprawnienie jest m.in. pokłosiem wyroku TSUE w sprawie Google Spain SL i Google Inc. przeciwko hiszpańskiej agencji AEPD i Mariowi Costesze Gonzálezowi z 2014 roku;
  2. prawo do ograniczenia przetwarzania – tj. do żądania od administratora w określonych sytuacjach oznaczenia przechowywanych danych w celu ograniczenia ich przyszłego przetwarzania (działania ograniczające przetwarzanie to m. in.: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych);
  3. prawo do przenoszenia danych – w określonych w RODO przypadkach osoba, której dane dotyczą, będzie mieć prawo otrzymania w powszechnie używanym formacie jej danych osobowych, które dostarczyła administratorowi, oraz prawo przesłania tych danych osobowych innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. W praktyce przedmiotowe uprawnienie, póki co mało precyzyjne, może zrewolucjonizować zasady korzystania m. in.: z muzycznych i filmowych serwisów streamingowych, czy choćby poczty elektronicznej. Z perspektywy osób fizycznych może ono okazać się przełomowym ułatwieniem likwidującym bariery w swobodnym wyborze nowego dostawcy usługi, jednak dla administratorów będzie zapewne wiązać się z istotnymi utrudnieniami i dużymi nakładami finansowymi;
  4. prawo do niepodlegania profilowaniu – profilowanie dotyka praktycznie każdego z nas – to właśnie z uwagi na profilowanie osoby urządzające mieszkanie i szukające w tym celu towarów w sklepach internetowych już po chwili oglądają reklamy kafli i baterii łazienkowych, a szukający dofinansowania mogą spodziewać się decyzji kredytowej w 15 minut. Wszystko to jest możliwe dzięki profilowaniu. RODO, z pewnymi wyjątkami, przewiduje uprawnienie do niepodlegania decyzji, która oparta jest wyłącznie na profilowaniu i wywołuje wobec osoby fizycznej skutki prawne.

W kolejnych publikacjach na blogu MGS poszczególne zmiany wynikające z RODO i związane z tym obowiązki przedsiębiorców będących administratorami będą szczegółowo omawiane.

Anna Eliszewska  – radca prawny, ukończyła „Praktyczne szkolenie z europejskiego Rozporządzenia o ochronie danych osobowych”