Czym naprawdę jest RODO? Kompromisem i wyzwaniem (analiza)

Od 25 maja 2018 r. zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy dotychczasowej ustawy o ochronie danych osobowych. Przepisy RODO, zwane także GDPR (General Data Protection Regulation) będą dotyczyć wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Obejmą przede wszystkim firmy, które gromadzą i przetwarzają dane dotyczące osób fizycznych, a więc zarówno duże korporacje, jak na przykład firmy ubezpieczeniowe czy instytucje finansowe, ale także niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.

Wokół przepisów związanych z RODO wciąż panuje dezorientacja i chaos, bowiem nie ma szczegółowych wytycznych mówiących o tym jak wdrażać przepisy przewidziane przez unijne rozporządzenie. Dlatego RODO budzi niepokój przedsiębiorców nie wiedzących do końca jak się do niego przygotować, a dane dotyczące wprowadzenia regulacji w życie są niepokojące – jedynie 15 proc. firm w regionie EMEA (Europa, Środkowy Wschód i Afryka) deklaruje swoją gotowość na RODO, a w Polsce tylko 13 proc. menedżerów zna dokładny termin wejścia w życie nowych przepisów.

Niektóre z najważniejszych kwestii związanych z wprowadzeniem RODO w analizie przygotowanej dla serwisu Wirtualnemedia.pl wyjaśniają eksperci firmy Gemius - Małgorzata Jankowska-Blank, dyrektor działu prawnego oraz Jacek Grabowski, pełnomocnik do spraw bezpieczeństwa informacji.

RODO to kompromis

RODO jest odpowiedzią na pytania, które stawia przed nami postęp technologiczny. Jednocześnie pozostaje wyzwaniem. Jak bowiem wygrać wyścig z czasem w sposób, który zabezpiecza sprawy Kowalskiego, a przedsiębiorcy nie pozbawia interesu? RODO próbuje temu wyzwaniu wbrew powszechnej opinii sprostać.

Jako akt prawny Unii Europejskiej rozporządzenie na mocy traktatu o funkcjonowaniu UE przyjęte było wspólnie przez Parlament Europejski i Radę UE na wniosek Komisji Europejskiej. Przyjmowane jest w rezultacie przez przedstawicieli obywateli Unii, czyli Parlament, w tym przez przedstawicieli obywateli polskich i delegowanych ministrów, czyli Radę składającą się także z reprezentanta polskiego. Po drodze prowadzono wiele konsultacji społecznych. Nie wspominając o uwzględnieniu opinii Europejskiego Komitetu Ekonomiczno-Społecznego, czyli przedstawicieli krajów członkowskich, w tym Polski, reprezentujących różne grupy społeczno-zawodowe, i opinii Komitetu Regionów, czyli przedstawicieli samorządów, również samorządów polskich. Samych poprawek w trakcie prac nad tekstem rozporządzenia zgłoszono tysiące, a działania rozpoczęto 25 grudnia 2012 roku. Lata pracy pozwoliły na osiągnięcie konsensusu, który był konieczny, ale z pewnością pozostawia wiele do życzenia, gdyż próbuje równoważyć często sprzeczne interesy. Dyrektywa, która regulowała kwestie ochrony danych osobowych na terenie Unii, obowiązywała bowiem od 1995 roku.

Jaka jest sfera mitów wokół RODO, co jest prawdą?

Wokół RODO narosło wiele mitów. Możemy wymienić cztery, które najczęściej się powtarzają. Pierwszy z nich wskazuje na to, że aby móc przetwarzać dane osobowe, trzeba zawsze mieć do tego zgodę. Owszem, zgoda jest jedną z podstaw przetwarzania danych osobowych przewidzianych w RODO, ale nie jedyną. W ramach stosowania nowego prawa firmy mogą rozważyć zastosowanie innych podstaw, jako jedną z możliwych można wskazać prawnie uzasadniony interes administratora danych. Takie prawne uzasadnienie nie jest łatwe i trzeba je odpowiednio przemyśleć oraz udokumentować, a także wykazać, że ten sposób przetwarzania nie narusza interesów lub podstawowych praw osoby, której dane dotyczą. Paradoksem tej sytuacji i prawdopodobną przyczyną powstania mitu jest fakt, że potencjalnie łatwiej jest firmom wykazać, że mają ważną zgodę, niż właściwie udokumentować powyższe interesy.

Drugi mit powstały przy okazji rozporządzenia wskazuje na to, że RODO nie dotyczy pojedynczych jednostek, tylko dużych podmiotów, bo to je będą ścigać urzędy. Tak naprawdę RODO daje każdemu obywatelowi instrumenty do zarządzania własnymi danymi. Dlatego gdy ktoś przetwarza dane osobowe, jest narażony na konsekwencje, jeśli nie będzie przygotowany na nowe przepisy. Oczywiście prawdopodobieństwo nieprzyjemnych wydarzeń w przypadku posiadania małej ilości danych osobowych jest niewielkie. Jednak wystarczy jeden troll prywatności w grupie osób, których dane są przetwarzane, aby wcześniej czy później wymóc na firmie wprowadzenie odpowiednich zmian. A im później, tym boleśniej.

Niekiedy spotkać można opinię, że jeśli jakiś podmiot będący administratorem danych nie ma dostępu do nich, a powierza dane innym, to nie musi się przygotowywać. Ale przepisy są dla administratorów bardzo jasne i nakładają na nich określoną odpowiedzialność i obowiązki – także wtedy, gdy przetwarzanie powierzone jest innej firmie.

Kolejnym mitem jest pogłoska o tym, że w obliczu RODO na firmę może zostać nałożona olbrzymia kara, która wynosi 20 milionów euro. Jaka jest prawda? Kary, owszem, będą. Tam gdzie dane są traktowane bezmyślnie lub ze świadomym pominięciem zasad ich ochrony, mają być one dotkliwe. Celem kar jest zmobilizowanie tych podmiotów, które nie traktują kwestii prawnych wystarczająco poważnie, a także realne zabezpieczenie danych osobowych. W końcu mówimy o danych nas wszystkich i każdego z osobna. To ważna sprawa.

Co RODO oznacza dla Polski, a co dla innych rynków?

RODO jako rozporządzenie obowiązuje bezpośrednio. Jego postanowienia będą zatem stosowane na wszystkich europejskich rynkach w takim samym brzmieniu. Duch rozporządzenia będący odpowiedzią na wyzwania technologiczne się nie zmienia. Polscy przedsiębiorcy przetwarzający dane osobowe, którzy działają nie tylko na rodzimym rynku, będą mogli spokojniej prowadzić swój biznes na terytoriach pozostałych państw członkowskich. Dziś ryzyko niezgodności z przepisami dotyczącymi ochrony danych osobowych przez wzgląd na fragmentaryzację prawną rynku jest duże.

Warto jednak wiedzieć, że RODO pozostawia lokalnym ustawodawstwom pewne pole manewru w kwestiach doprecyzowywania generalnie sformułowanych zasad. Prace nad zagospodarowaniem tych obszarów w Polsce trwają. Przykładem takiego obszaru może być funkcja Inspektora Ochrony Danych Osobowych i warunki, w których powinna zostać u przedsiębiorcy powołana do życia. Francja i Luksemburg zaostrzyły owe warunki i niepowołanie tak zwanego IODO zostało ograniczone. Niemcy utrzymały dotychczasowe wymogi, a propozycje polskie zmierzają na razie jedynie do zmian zasad powoływania i zawiadamiania o powoływaniu. Dużą niewiadomą dla polskich przedsiębiorców pod kątem Brexitu pozostaje Wielka Brytania.

Na co mają się przygotować przedsiębiorcy?

Zadaniem firm w ramach przygotowania się do wejścia w życie RODO jest przede wszystkim zbudowanie świadomości, że sprawa jest poważna i dotyczy każdego podmiotu. Budowanie świadomości to zarówno szkolenia pracowników, jak i informacja docierająca do kierownictwa firmy. To jednak zadanie bardziej dla mediów lub doradców. A jakie zmiany powinny zajść wewnątrz firmy?

Należy na przykład zidentyfikować miejsca i procesy, gdzie w organizacji znajdują się dane osobowe i na jakich zasadach są przetwarzane. Na przykład od kogo otrzymujemy dane, komu je udostępniamy, czy przesyłamy je poza obszar Unii Europejskiej, jak zabezpieczamy je od strony technicznej, organizacyjnej czy prawnej. Kolejnym krokiem będzie zbadanie podstaw prawnych pozwalających na przetwarzanie tych danych i odpowiednie poprawienie polityk prywatności, notki o prywatności i informacji udostępnianych osobom, których dane dotyczą.

RODO wyposaża każdego z nas w prawa i instrumenty, aby odpowiednio zainspirować podmioty przetwarzające dane do wykonania naszych życzeń. Należą do nich na przykład prawo do zapomnienia, prawo dostępu do danych czy prawo do usunięcia danych. Dlatego równolegle do innych czynności należy się zatroszczyć o zaprojektowanie i opisanie procesów, które zrealizują te prawa. Należy tak zaprojektować system ochrony danych, aby uwzględniał aktualną wiedzę z dziedziny bezpieczeństwa, a także procedurę informowania o naruszeniu ochrony danych – niektóre naruszenia będą wymagały na przykład powiadomienia Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od momentu ich stwierdzenia. Organizacja powinna przemyśleć powołanie Inspektora Ochrony Danych, czyli osoby, która dysponuje specjalistyczną wiedzą w tym zakresie. Nie zawsze jest to wymagane, ale przy pomocy kompetentnej osoby łatwiej zarządza się sprawami, z którymi wcześniej nie miało się do czynienia. Ponadto poszanowanie prywatności i zasad dotyczących danych osobowych powinno się odzwierciedlać w całym sposobie postępowania firmy. Stąd potrzebne będą okresowe kontrole, czy aby na pewno wszystko działa prawidłowo.

Jakie warunki w Polsce będą musieli spełnić giganci tacy jak Google i Facebook?

Firmy, które nie mają siedziby na obszarze państwa członkowskiego Unii Europejskiej, a monitorują zachowania obywateli UE albo dostarczają w UE swoje towary czy usługi, podlegają przepisom RODO. Dotyczy to również gigantów zza oceanów, czy to z USA, czy z Chin. Gdy zatem mówimy o wymogach, na które mają się przygotować polscy przedsiębiorcy, mówimy jednocześnie o wymogach dla Google’a czy Facebooka. Z perspektywy użytkowników bardzo istotne jest tutaj prawo do bycia zapomnianym sprowadzające się do obowiązku usunięcia danych użytkownika, gdy wyrazi takie życzenie. Prawo do żądania przeniesienia danych to kolejna nowość istotna z perspektywy użytkowników popularnych serwisów społecznościowych czy wyszukiwarek, gdyż będą oni mogli otrzymać od administratora swoje dane w ustrukturyzowanej formie, a także nakazać przesłanie ich innemu administratorowi.

RODO łagodniejsze dla małych i średnich firm, czy to dobre rozwiązanie?

RODO dotyczy wszystkich. Według niedawnej propozycji Ministerstwa Rozwoju niektóre podmioty jednak mogłyby być zwolnione z części obowiązków nałożonych przez RODO. Podmioty z taryfą ulgową to według tej propozycji te, które zatrudniają mniej niż 250 pracowników, nie przetwarzają danych wrażliwych i nie przekazują danych osobowych podmiotom trzecim. Takie firmy na przykład nie musiałyby wypełniać obowiązku informacyjnego przy zbieraniu danych osobowych. Tego typu propozycja częściowo ma sens. Jest bowiem jakaś część firm, które do prowadzenia własnej działalności zbierają dane kontaktowe swoich klientów, na przykład z wizytówek. Wydaje się, że oczekiwanie, aby przy odbieraniu wizytówki pracownik firmy informował klienta o możliwości wykorzystania jego danych, mija się z celem reformy.

Kontrowersje w propozycji ministerstwa mogą budzić również inne rzeczy. Przede wszystkim wskazanie na liczbę pracowników. Więksi gracze mogą się czuć pokrzywdzeni, zakładając, że spełniają pozostałe przesłanki. Inną wątpliwością jest określenie, że nieprzetwarzanie szczególnych kategorii danych, czyli danych wrażliwych, jest jednym z kryteriów zastosowania takich ułatwień. Określając, że dane wrażliwe stanowią takie kryterium, możemy nie zauważyć wielu poważnych sytuacji. Przykładem może być to, że dana firma zbiera lub otrzymuje dane, które nie powinny do niej trafić chociażby ze względu na to, że nie są one potrzebne do realizowania żadnych zadań. Wtedy otrzymanie informacji przez konsumenta o takim przetwarzaniu i roszczenie praw mogłoby być utrudnione. Być może odwołanie się do zasad adekwatności i minimalizacji danych oraz nieudostępniania danych dalej byłoby lepszym kierunkiem niż kryteria dotychczas zaproponowane. Trzecią i ostatnią wątpliwością przemawiającą za lepszym przemyśleniem tego rodzaju zwolnień byłoby możliwe zakwestionowanie tego rodzaju przepisów przez Komisję Europejską.

Nowe przepisy o ochronie danych osobowych dla jednych są ewolucją, dla innych – istną rewolucją. Z pewnością można się zgodzić, że otwierają nowy rozdział w zasadach przetwarzania danych o osobach.

Małgorzata Jankowska-Blank, Jacek Grabowski