RODO: czy jest się czego bać?

Rozporządzenie Parlamentu Europejskiego i Rady (2016/679) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, znane w Polsce jako RODO, weszło w życie niemal dwa lata temu (24 maja 2016 roku). Do niedawna niewiele słyszeliśmy o tym, czy i w jakim zakresie zmienią się obowiązki administratorów danych osobowych w związku z RODO; ale im bliżej do daty, od której Rozporządzenie będzie obowiązywać w całej Unii Europejskiej (tj. 25 maja 2018 roku), tym częściej jesteśmy bombardowani informacjami o RODO, a w zasadzie straszeni tym, jak bardzo RODO utrudni wszystkim życie. Czy faktycznie jest się czego bać?

Na pierwszy rzut oka mogłoby się wydawać, że zasady przetwarzania danych osobowych nie zmienią się znacząco, ale w praktyce analiza przepisów RODO prowadzi do wniosku, że jest to jednak rewolucja, a nie ewolucja, w prawie o ochronie danych osobowych. Zasadniczą zmianą (z punktu widzenia administratora, a więc podmiotu, który decyduje o celu i zakresie przetwarzania danych) jest fakt, że RODO nie daje prostego i zamkniętego katalogu dokumentów i kroków formalnych, których przygotowanie i przejście gwarantuje nam zgodność przetwarzania danych z prawem. Obecnie obowiązujące przepisy polskiego prawa w dość prosty i bardzo szczegółowy sposób określają, co administrator danych powinien mieć i zrobić, żeby móc wykazać zgodność z Ustawą o ochronie danych osobowych; RODO natomiast w znacznym stopniu przerzuca ciężar oceny, jakie działania i jakie środki są konieczne do podjęcia, na administratora. Co więcej, RODO wprowadza zasadę rozliczalności, zgodnie z którą administrator danych osobowych nie tylko jest odpowiedzialny za przestrzeganie w jego firmie (organizacji) przepisów Rozporządzenia, ale musi także być w stanie to wykazać. Przykładowo, w świetle RODO zgoda osoby, której dane dotyczą, nadal stanowi ważną podstawę do przetwarzania danych osobowych. RODO nie przesądza, czy ma to być zgoda pisemna, ale zastrzega, że powinna ona być jednoznaczna (a także świadoma, dobrowolna, konkretna). W związku z tym, zgodnie z RODO administrator mógłby (teoretycznie) przetwarzać dane osobowe na podstawie zgód ustnych, ale jednocześnie będzie rozliczony z obowiązku uzyskania zgody przed przystąpieniem do przetwarzania danych osobowych. W związku z tym w praktyce zgody powinny być zbierane w taki sposób i w takiej formie, aby w razie kontroli administrator mógł wykazać w sposób niewątpliwy, że wypełnił obowiązek informacyjny i uzyskał świadomą zgodę osoby, której dane przetwarza.

RODO wymaga zresztą od administratorów jeszcze dalej idącej samodzielności w zarządzaniu procesami przetwarzania danych osobowych. Przykładowo, to administrator (a także podmiot przetwarzający dane) decyduje o tym, jakie środki techniczne i organizacyjne powinien wdrożyć, aby zapewnić bezpieczeństwo danych osobowych. W celu ustalenia, jakie to są te odpowiednie środki techniczne i organizacyjne administrator powinien przeprowadzić analizę ryzyka naruszenia praw osób, których dane osobowe są przetwarzane; a jeżeli w efekcie tej analizy administrator ustali, że zachodzi wysokie ryzyko naruszenia praw i wolności tych osób, wówczas powinien jeszcze przeprowadzić analizę skutków dla ochrony danych (Data Protection Impact Assessment – DPIA). W dodatku administrator nie może polegać na jednorazowej ocenie i powinien ją w zasadzie powtórzyć, jeżeli zmieni się poziom ryzyka naruszenia praw i wolności osób, których dane są przetwarzane, w jego przedsiębiorstwie. Last but not least, RODO przewiduje konkretne kary finansowe za naruszenie przepisów o ochronie danych osobowych, których górna granica to 20 milionów EUR lub 4% rocznego globalnego obrotu – w zależności od tego, która wartość jest wyższa...

Niewątpliwie zatem do RODO należy się solidnie przygotować i można powiedzieć, że to już ostatni dzwonek na podjęcie starań w celu dostosowania się do postanowień Rozporządzenia. Wprawdzie mamy jeszcze ponad dwa miesiące do 25 maja b.r., a więc daty, od której RODO będzie obowiązywać, ale obowiązków administratorów w związku z RODO jest naprawdę dużo i wymagają one solidnej pracy.