Główne zagrożenia dla przedsiębiorstw w związku z wprowadzeniem RODO w Polsce w maju 2018 r.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie "RODO") zacznie obowiązywać w Polsce już 25 maja 2018 r. Nowe regulacje dotyczące ochrony danych osobowych znacząco wpłyną na komfort życia polskich przedsiębiorców, bo to na nich spocznie odpowiedzialność za ich wdrożenie.
Wprowadzenie RODO do polskiego systemu prawnego wiąże się z koniecznością dostosowania przepisów krajowych do nowego, obowiązującego w całej Unii porządku. Ministerstwo Cyfryzacji we wrześniu 2017 r. opublikowało projekt ustawy o ochronie danych osobowych. Od tego czasu zmieniał się on kilkukrotnie. W ramach przeprowadzonych konsultacji pojawiły się głosy przedsiębiorców, że nowe regulacje mogą być niezrozumiałe dla podmiotów zobowiązanych do ich stosowania.
W obliczu rosnącej liczby odnotowanych przypadków wycieku danych poufnych - zarówno w sektorze prywatnym, jak i publicznym - nowa ustawa powinna precyzować warunki zabezpieczania takich danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, a także przed ich zmianą, utratą, uszkodzeniem lub zniszczeniem. Tymczasem proponowana ustawa w aktualnym brzmieniu nie daje w tym zakresie miarodajnych odpowiedzi.
Projektowana ustawa rozszerza odpowiedzialność cywilną przedsiębiorców z tytułu ochrony danych, wprowadzając nowe i bardziej restrykcyjne sankcje za uchybienie obowiązkom ochrony danych osobowych. Co gorsza, rozporządzenie nie będzie zawierało ich precyzyjnego, zamkniętego katalogu.
Firmy zostaną zmuszone, by wdrożyć odpowiednie środki zabezpieczające dane, ale nie dostaną żadnych wytycznych, w jaki sposób ocenić, które ze środków zastosować. RODO zawiera jedynie lakoniczne stwierdzenie, że "uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku".
Równocześnie szereg nowych uprawnień został nadany osobom, których dane są przedmiotem regulacji. Projekt nowelizacji przewiduje wprowadzenie zasady przenoszalności danych osobowych, prawa do bycia zapomnianym oraz wymogu odebrania zgody rodzica na przetwarzanie danych dziecka.
Prawo przenoszalności danych osobowych daje możliwość żądania przeniesienia własnych danych z jednego podmiotu do innego. Prawo do bycia zapomnianym wiąże się, co do zasady, z koniecznością usunięcia na żądanie zainteresowanego wszystkich informacji na jego temat z posiadanych przez przedsiębiorcę baz danych. Wymóg zgody rodzica na przetwarzanie danych dziecka w związku ze świadczeniem usług via internet nałoży z kolei na przedsiębiorców obowiązek utworzenia dodatkowych formularzy i określenia sposobów korespondencji pomiędzy nimi a klientami.
Obecnie silna jest tendencja do szybkiego wprowadzania zmian, często bez gruntownego przemyślenia ich konsekwencji. Nowe akty prawne powstają w pośpiechu, pod wpływem określonych wydarzeń, a nie jako owoc długoletniej praktyki i dokładnych analiz. To z kolei prowadzi do licznych absurdów w polskim ustawodawstwie. Za jeden z nich należy uznać planowany sposób wprowadzenia RODO.
Czytając proponowany projekt ustawy, można mieć obawy, że przedsiębiorcy "utoną" w gąszczu niejasnych przepisów związanych z ochroną danych osobowych, a obowiązki takie jak "regularne testowanie, mierzenie i ocenianie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania" oraz "zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania" przerosną wielu uczestników obrotu gospodarczego.
Wdrożenie w firmie regulacji unijnego rozporządzenia już dziś spędza przedsiębiorcom sen z powiek. Wymaga to bowiem nie tylko poniesienia pewnych nakładów finansowych, ale i posiadania właściwej wiedzy. By dobrze przygotować się na 25 maja, kiedy wejdą w życie nowe przepisy, i zapewnić odpowiednią ochronę majątku firmy, niezbędne może okazać się przeprowadzenie audytu w przedsiębiorstwie, który pozwoli określić, gdzie i w jakim zakresie należy wdrożyć odpowiednie wymogi wynikające z RODO.
Zapewnienie żądanego przez RODO odpowiedniego stopnia ochrony danych wymaga opracowania kompleksowych procedur, polityk, rejestrów, m.in. polityki ochrony danych osobowych. W razie uchybienia obowiązkom wynikającym z RODO firma może się narazić na wysokie kary finansowe - do 20 mln euro lub do 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa.
Tak restrykcyjne kary będą mogły zostać nałożone przez polskie organy. Podobnie jak we wszystkich gałęziach prawa, również i w tym przypadku przy wymierzaniu kary doniosłe znaczenie będzie mieć to, czy dochowano należytej staranności oraz czy działanie było umyślnie zawinione. A z racji tego, że przedsiębiorcy są uważani za profesjonalnych uczestników obrotu gospodarczego, trudno przypuszczać, by zostali potraktowani ulgowo, jeśli tłumaczą naruszenie RODO nieumyślnością czynu czy też nieznajomością prawa.
radca prawny Robert Nogacki
Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku oraz doradztwie strategicznym dla przedsiębiorców