2 lata RODO

25 maja 2018 r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej zwane „RODO”) rozpoczęło swoje stosowanie. Obecnie mijają 2 lata od tego momentu, nadszedł więc czas na małe podsumowanie przygody z RODO.

Początki

Rok 2018 można nazwać rokiem RODO. Pomimo że okres na dostosowanie się do wymogów przewidzianych przez RODO wynosił dwa lata, większość podmiotów rozpoczęła swoją drogę do zgodności z RODO dopiero w 2018 roku. Był to okres wielu wyzwań zarówno dla samych przedsiębiorców, prawników pomagających we wdrożeniu ale także dla organów nadzorczych. Polski organ nadzorczy przeszedł mały rebranding, w wyniku którego Generalny Inspektor Ochrony Danych Osobowych zmienił nazwę na Prezesa Urzędu Ochrony Danych Osobowych.

Początki RODO to okres spekulacji, niewiadomych, wypracowywania odpowiednich koncepcji, oczekiwania na pierwszą karę a także na przepisy dostosowujące inne ustawy. Powszechne stały się komunikaty przestrzegające przed gigantycznymi karami sięgającymi nawet 20 mln EUR, których nałożeniem RODO złowieszczo groziło za nieprzestrzeganie standardów w zakresie przetwarzania danych osobowych. To niestety także czas mitów i przekłamań dotyczących tej regulacji.

25 maja 2018 r. weszła w życie także nowa ustawa o ochronie danych osobowych. Ustawa ta reguluje kwestie ustrojowe organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych, dalej „Prezesa UODO”) oraz proces kontroli i karania za nieprzestrzeganie lub naruszenie przepisów prawa z zakresu ochrony danych osobowych. Niestety ustawa nie rozwiała wszelkich wątpliwości towarzyszących stosowaniu RODO, np. w zakresie konieczności powołania inspektora ochrony danych osobowych.

Niemal od początku stosowania RODO rozpoczęły się prace nad branżowymi kodeksami postępowania. Prym w tym zakresie wiódł sektor medyczny. Oddolne zachowania branżowe przyczyniły się do lepszego zrozumienia przepisów RODO i wydawania zaleceń sektorowych.

Harmonizacja polskich przepisów i pierwsze kary

Rok 2019 przyniósł dalsze prace nad dostosowywaniem polskiego ustawodawstwa do realiów RODO. Dostosowywanie dotyczyło administratorów, podmiotów przetwarzających dane, ale także samego ustawodawcy. Ustawa wdrażająca RODO wprowadziła od 4 maja 2019 r. zmiany w ponad 160 ustawach. Zmian dokonano m.in. w odniesieniu do monitoringu, który od zawsze wzbudzał duże zainteresowanie ze względu na powszechność stosowania przy braku jakichkolwiek konkretnych regulacji prawnych. Dla wielu administratorów danych osobowych oznaczało to konieczność dokonania przeglądu rozwiązań przyjętych rok wcześniej. Ustawa nowelizowała szereg ustaw branżowych, przede wszystkim Kodeks pracy, ustawę o ZFŚS, prawo bankowe, prawo telekomunikacyjne, ustawę o świadczeniu usług drogą elektroniczną, ustawę o prawach konsumenta, czy ustawę o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych. Nowe przepisy przyniosły również wiele rozstrzygnięć dotyczących określenia ról w ramach procesów przetwarzania, poprzez bezpośrednie wskazanie, który z podmiotów jest administratorem.

To także czas zwiększonej aktywności Prezesa UODO i nakładania kar nie tylko na sektor prywatny ale także sektor publiczny. Szerokim echem odbiła się pierwsza administracyjna kara pieniężna nałożona przez Prezesa UODO na spółkę pozyskującą dane z publicznie dostępnych rejestrów. Kara wyniosła 943 tys. zł i wzbudzała kontrowersje dotyczące tego, czy wysoki koszt spełnienia obowiązku informacyjnego nie może być traktowany jako nadmierny wysiłek, który uzasadniałby odstąpienie od tego obowiązku zgodnie z art. 14 ust. 5 RODO. W efekcie wniesionego odwołania, sprawa znalazła swoje rozstrzygnięcie w sądzie. Wojewódzki Sąd Administracyjny uznał, że spółka powinna poinformować indywidualnych przedsiębiorców, że przetwarza ich dane, ale tylko tych, którzy aktualnie prowadzą działalność lub ją zawiesili, wobec czego częściowo uchylił decyzję prezesa Urzędu Ochrony Danych Osobowych, w tym karę w wysokości 943 tys. zł.

Najwyższą jak dotąd karę w Polsce (w wysokości ponad 2,8 mln zł), nałożono w 2019 roku za niewystarczające zabezpieczenie danych osobowych, w wyniku włamania do systemu spółki, które nastąpiło w 2018 roku. W efekcie skradzione zostały dane ok. 2,2 mln osób. Sprawa obecnie czeka na finał w sądzie administracyjnym.

Prezes UODO wydał ponad 200 decyzji między innymi nakazujących usunięcie naruszenia (np. poprzez przekazanie informacji o przetwarzaniu danych) lub umarzających postępowanie z uwagi na brak stwierdzonych nieprawidłowości. W początkowej fazie obowiązywania RODO wiele osób skarżyło przetwarzanie danych przez organy administracji publicznej, np. przez komendantów policji. Takie przetwarzanie danych znajduje co do zasady podstawę w przepisach prawa, wobec czego Prezes UODO uznawał złożone skargi za nieuzasadnione. Decyzje Prezesa UODO są dostępne publicznie na stronie internetowej Urzędu Ochrony Danych Osobowych.

Obecne wyzwania

Rok 2020 to czas dalszych decyzji Prezesa UODO i rozprawiania się z wyciekami danych osobowych. To również dalsze wytyczne Europejskiej Rady Ochrony Danych. Rok 2020 to także próba elastyczności RODO w związku z pandemią COVID-19. Jak podkreślał Prezes UODO, przepisy RODO nie mogą bowiem utrudniać walki z koronawirusem.

Obecnie administratorzy i inspektorzy ochrony danych dysponują wieloma komentarzami prawniczymi, wytycznymi lub poradnikami Prezesa UODO i innych instytucji. Powstało wiele stowarzyszeń zrzeszających osoby zajmujące się ochroną danych osobowych.

Z niecierpliwością wyczekuje się zatwierdzenia branżowych kodeksów postępowania, których zakres sięga teraz także sektora bankowego czy spółdzielni mieszkaniowych.

RODO nie polega na przygotowaniu zbioru dokumentów. RODO to proces polegający na ciągłej edukacji oraz samodoskonaleniu się w dziedzinie danych osobowych. Rok 2020 to także dobry czas na dokonanie wewnętrznego audytu RODO i sprawdzenie, czy procesy i dokumenty wypracowane z rozpoczęciem stosowania RODO są nadal aktualne w świetle nowych wytycznych Prezesa UODO lub nowelizacji prawa. RODO znacznie przyczyniło się do zwiększenia świadomości społecznej dot. prywatności danych osobowych, dlatego tak ważne jest dbanie o bezpieczeństwo danych, ale także o transparentność i sprawność procesów związanych z obsługą zapytań podmiotów danych.

Jak możemy Państwu pomóc?

KPMG świadczy kompleksowe usługi z zakresu weryfikacji stosowanych procedur ochrony danych osobowych. Usługi obejmują przeprowadzenie audytu celem dostarczenia Państwu informacji w przedmiocie identyfikacji miejsc i sposobów przetwarzania danych osobowych oraz określenia ich prawidłowości, weryfikacji prawidłowości posiadanej dokumentacji, weryfikacji prawidłowości udzielonych dostępów, przeprowadzenie testów oprogramowania i stosowanych zabezpieczeń, ogólnej oceny systemu ochrony danych osobowych działającego w Spółce, ze wskazaniem zidentyfikowanych braków.

Jeżeli są Państwo zainteresowani współpracą zapraszamy do kontaktu.