25.05.2018 r. – to niezwykle istotna data dla ochrony danych osobowych na terenie całej Unii Europejskiej. Dokładnie dwa lata temu znalazło zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – czyli tzw. RODO.
Dla wielu wprowadzenie nowych wytycznych stanowiło rewolucję dla zarządzania procesami przetwarzania danych osobowych, jeszcze inni mówili, że nic tak naprawdę się nie zmienia i zostaje zachowany status quo z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która została uchylona ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. – co nie do końca jest takie oczywiste, bo pomimo już stosunkowo długiego stosowania wprost RODO i nowej Ustawy o ochronie danych osobowych bardzo często administratorzy odnoszą się do nieaktualnego już aktu prawnego z 1997 r. Korzystając z okazji, jaką jest symboliczna data chcielibyśmy przedstawić krótkie podsumowanie stosowania RODO w Polsce.
RODO jest bardzo często określane mianem rewolucyjnego. Nowe obowiązki na administratorach danych osobowych czy nowe prawa osób, których dane są przetwarzane stanowią po dziś dzień element bardzo żywiołowej dyskusji. Niemniej należy również podkreślić, że nie wszystkie rozwiązania RODO to nowość i realnie większość np. uprawnień podmiotów danych istniało w Polsce (formalnie) od 1997 r. Z powyższych powodów można uznać, że RODO stanowiło bardziej ewolucję dotychczasowych (rzecz jasna na 2018 r.) aktów prawnych np. w zakresie obowiązku prowadzenia rejestru czynności lub kategorii czynności przetwarzania, rozbudowanego obowiązku informacyjnego czy jego realizacji.
Należy uznać jednak, że RODO zrewolucjonizowało np. podejście do bezpieczeństwa oraz co najważniejsze obudziło świadomość ludzi (podmiotów danych, czyli osób, których dane dotyczą) w kontekście zwracania uwagi na to kto, kiedy i jak przetwarza ich dane osobowe – nie bez wpływu jest tu również często mylnie używane „bo RODO”. W zakresie rewolucji należy wskazać też na konieczność większego nacisku na domyślną ochronę prywatności oraz ochronę danych już na etapie projektowania czyli privacy by default oraz privacy by design, konieczność zgłaszania naruszeń do Urzędu Ochrony Danych Osobowych lub podmiotu danych oraz chyba największą zmianę, czyli kary…
Z publicznych informacji wynika, że organy nadzorcze państw UE nałożyły łącznie ok 157 mln Euro kar – z czego 10 kar w Polsce.
Na wielki plus RODO należy zaliczyć to, że obudziło przede wszystkim świadomość. Mamy tu na myśli nie tylko świadomość podmiotów danych – czyli osób, których dane dotyczą, ale również świadomość podmiotów odpowiedzialnych za przetwarzanie – administratorów oraz przetwarzających.
Prywatność stała się elementem budowania wizerunku, gwarantem odpowiednich standardów usług etc. Dzięki RODO tacy giganci jak Facebook czy Google wreszcie wskazali (w pewnej części) swoje praktyki związane z przetwarzaniem. Ponadto można wskazać, że gdyby nie RODO to afery związane np. z Cambridge Analityca mogłyby nie ujrzeć światła dziennego bądź nie byłyby szerzej omawiane i wyjaśniane przez właściwe organy nadzorcze.
Kolejną zaletą czy plusem RODO jest konieczność dostosowania informacji oraz ich treści do odbiorcy – teraz mamy prawo wiedzieć – i to czytelnie, co się z naszymi danymi dzieje, przez kogo i jak są przetwarzane. Niewątpliwym plusem jest również otwartość regulacji na zastosowanie środków ochrony i bezpieczeństwa – brak sztywnych ram prawnych mówiących co jest obowiązkowe, a co nie. Z drugiej strony kryteria nie są aż tak jasne więc zdarzają się problemy interpretacyjne jednak mając do wyboru przymus stosowania konkretnych rozwiązań a swobodę w ich ustalaniu – wybieramy swobodę.
Jak każdy medal ma dwie strony tak RODO ma również minusy – może nie wynikające z samej treści (głównie), ale bardziej już z zakresu zmian oraz sposobu dostosowania przepisów krajowych. W Polsce można wskazać, że RODO spowodowało duży chaos organizacyjny, w tym też informacyjny. Mityczne bo RODO wynika właśnie z tego, że w pewnym momencie wszyscy zaczęli zajmować się RODO oraz ochroną danych osobowych (z różnym skutkiem). Kolejnym problemem na naszym podwórku było późne wprowadzenie zmian dostosowujących prawo krajowe do Rozporządzenia. RODO znalazło zastosowanie 25.05.2018 r. i wtedy też weszła w życie nowa Ustawa o ochronie danych osobowych z 10.05.2018 r. Kolejna ustawa zmieniająca przepisy ponad 170 ustaw została uchwalona… 21.02.2019 r. – należy wskazać, że RODO weszło w życie w maju 2016 r. i w krajach członkowskich 4 lata (i więcej) zajęło faktyczne zaimplementowanie regulacji do porządku krajowego. Zakres regulacji był ogromny i należy oddać (szczególnie polskiemu Ministerstwu Cyfryzacji) ogrom pracy włożony w dostosowanie przepisów krajowych do Rozporządzenia.
Kolejnymi wadami czy minusami RODO jest brak jednolitości w działaniach organów nadzorczych – w Polsce brak do tej pory skutecznej certyfikacji czy brak zakończenia konsultacji związanych z jakimkolwiek kodeksem branżowym (tutaj najbliżej jest podobno sektor bankowy). Niestety należy też wskazać, że nie wszyscy w pełni i zgodnie z ideą RODO respektują prawo np. dostępu do danych, w szczególności banki w zakresie szczegółowej informacji o kryteriach weryfikacji zdolności kredytowej.
Oczywiście, że TAK!
Każda zmiana ukierunkowana na ochronę podstawowych praw człowieka jaką jest prywatność jest dobra. W przypadku RODO można stwierdzić, że z jednej strony zagwarantowało ono prawa podmiotu danych, z drugiej zaś umożliwiono przetwarzanie podmiotom gromadzącym dane dalsze prowadzenie działalności – ale pod warunkiem przestrzegania określonych reguł, szczególnie w aspekcie bezpieczeństwa oraz transparentności działań wobec podmiotu danych. Nie ma przepisów idealnych, ale obiektywnie można stwierdzić, że RODO należy do tych, które unijnemu prawodawcy się udały i były skuteczną odpowiedzią na zmieniającą się rzeczywistość.
2 lata stosowania RODO to zdecydowanie bardzo pożyteczny czas dla ochrony danych osobowych. Zmiany jakie zaszły w tym zakresie ukazały nam jak olbrzymie znaczenie w życiu mają operacje na naszych danych osobowych. Oczywiście naiwnością byłoby określenie, że administratorzy czy organy nadzorcze bądź też ustawodawcy uniknęli błędów przy implementacji założeń. Pewne niedociągnięcia naturalnie były, są i będą, ponieważ cały czas uczymy się stosowania RODO w praktyce. Jednak finalnie należy ocenić zasadność regulacji z jednoczesnym podkreśleniem, że czeka wszystkich jeszcze dużo pracy w implementacji i właściwym stosowaniu RODO.
Zachęcamy też do zapoznania się z „Testem zderzeniowym” RODO przeprowadzonym przez Fundację Panoptykon – gdzie przedstawiono case study stosowania RODO w poszczególnych aspektach m.in. prawa dostępu czy naruszeń.
Z materiałem można zapoznać się tutaj
Autor: Marcin Kaleta (IT Law Solutions), Eryk Brodnicki (Centrum Audytu Bezpieczeństwa)