25 maja minął rok od rozpoczęcia obowiązywania RODO, czyli unijnego rozporządzenia o ochronie danych osobowych. W Polsce wejście w życie ustawy, która dostosowała do RODO setki innych, zakończyło okres przejściowy i wszelkie dyskusje o wdrażaniu zmian wywołanych przez rozporządzenie. Jak eksperci i rynek oceniają RODO po roku?
Dużo naruszeń, mało i niskie kary
Według Komisji Europejskiej w całej Unii do organów trafiło 144 tys. skarg i pytań oraz 89 271 zgłoszeń o utracie danych, które mogły spowodować naruszenie praw lub wolności osób fizycznych. Do Urzędu Ochrony Danych Osobowych do 15 maja 2019 r. wpłynęło 9 246 skarg, a do 15 kwietnia 2019 r. - 3855 zgłoszeń. Czy to dużo trudno powiedzieć, bo nie ma z czym porównać tych danych. Przed 25 maja 2018 r. nie było takiego obowiązku. Prędzej można ocenić liczbę i wysokość kar.
Zobacz: Zasady zapewniania bezpieczeństwa danych osobowych w firmie >
We wszystkich krajach UE za naruszenie RODO nałożono 110 kar, w tym 75 w Niemczech i dwie w Polsce. Zdaniem Adam Klimowskiego, głównego specjalisty ds. ochrony danych osobowych, prawnika w firmie Jamano, organy nadzorcze wyjątkowo oszczędnie korzystają z możliwości nakładania grzywien w porównaniu do liczby zgłoszeń. Do tej pory największą karę nałożył francuski odpowiednik Urzędu Ochrony Danych Osobowych na Google. Gigant ma zapłacić 50 mln euro za utrudnianie dostępu do informacji o zasadach przetwarzania danych, zwłaszcza tych służących do wyświetlania spersonalizowanych reklam. Z kolei prezes polskiego UODO nałożył 220 tys. euro kary - spółka Bisnode ma zapłacić za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane oraz 13 tys. euro dla związku sportowego za ujawnienie danych 585 sędziów. Z kolei w Niemczech 20 tys. euro ma zapłacić Knuddels (sieć społecznościowa) za nieprawidłowe przechowywanie haseł użytkowników, a dokładniej brak mechanizmów szyfrowania danych. W Austrii przedsiębiorca musi zapłacić 4,8 tys. euro za źle ustawiony monitoring. Wysoką karę nałożył portugalski organ - 400 tys. euro - na szpital za nieograniczony dostęp do kart pacjentów. Listę kar upublicznionych przez poszczególne organy można znaleźć na stronie www.enforcementtracker.com. Obecnie są na niej 34 kary.
Zobacz: Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych >
Wojciech Klicki z Fundacji Panoptykon zauważa jednak, że RODO miało przede wszystkim wpłynąć na praktyki internetowych gigantów, którzy oparli swój biznes na masowym zbieraniu i monetyzowaniu danych, a tych efektów wciąż nie widać. - Maksymalna kara dla Google mogła wynieść nawet kilka miliardów euro. Może kilka takich kar pokazałoby Google’owi i innym firmom śledzącym i profilującym nas w sieci, że w Europie poważnie podchodzimy do ochrony danych osobowych? Liczymy na to, że kolejny rok przyniesie przełomowe decyzje, które pozytywnie wpłyną na wolność i prywatność milionów użytkowników Internetu – podkreśla Wojciech Klicki. W efekcie wciąż rolę RODO przyćmiewają jego absurdy.
Zobacz: RODO a ustawa o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne >
Realne problemy w oparach absurdu
- Przez ostatni rok mieliśmy więcej okazji słyszeć o absurdalnych interpretacjach nowego prawa niż o tym, jakie korzyści przyniosło ludziom, którzy do tej pory nie mieli realnej kontroli nad swoimi danymi, zwłaszcza wobec gigantów z Doliny Krzemowej – mówi Wojciech Klicki. - Jesteśmy rozczarowani brakiem porządnej kampanii informacyjnej w Polsce i w Unii Europejskiej, skierowanej zarówno do przedsiębiorców, jak i do zwykłych ludzi – podkreśla. Podobnie uważa Adam Klimowski. - Z perspektywy ostatnich 12 miesięcy przyznać trzeba, że RODO było i jest rewolucyjnym aktem prawnym nie tylko ze względu na przepisy, jakie wprowadziło, ale właśnie ich odbiór społeczny – ocenia.
Głośno było rodzicach dziecka, którzy twierdzili, że przez unijne rozporządzenie nie mogli dowiedzieć do jakiego szpitala je przewieziono, o tym, że RODO zabrania sprawdzania listy obecności, czy wyczytywania nazwisk na szkolnych uroczystościach. Michał Jaworski, członek zarządu i dyrektor ds. strategii technologicznej Microsoft Polska zauważa, że zdrowy rozsądek, odpowiedź na pytanie czy ja swoimi czynnościami nie naruszam praw i wolności osób, których dane przetwarzam, zagłuszony został przez artykuły, przepisy, interpretacje, liczne publikacje. - To wywołało obawy wśród ludzi, i tu widzę winę palestry. Nie dali szansy powiedzieć ludziom po co jest RODO – mówi.
Zobacz: RODO: Weryfikacja tożsamości pacjenta i jego uprawnień do pobierania świadczeń >
Cena promocyjna: 53.1 zł
|Cena regularna: 59 zł
|Najniższa cena w ostatnich 30 dniach: zł
Z takim poglądem zgadza się Wojciech Klicki. - Dyskusję zdominowali konsultanci i prawnicy, którzy mieli swój własny interes w przedstawianiu regulacji jako skomplikowanej, formalistycznej i niebezpiecznej, promując wizję kar finansowych, które mogą spaść na „niewinne firmy” niemalże bez ostrzeżenia – mówi Wojciech Klicki. Obserwowaliśmy, jak mali i średni przedsiębiorcy, przestraszeni wizją horrendalnych kar, nadgorliwie interpretowali przepisy, które w podobnym kształcie funkcjonują już od ponad 20 lat. Efekt: masowe zbieranie zgód (znane też jako „zgodoza”), ogromne i niezrozumiałe klauzule informacyjne, które koniecznie trzeba podpisać, i zasłanianie się RODO w sytuacjach, które z RODO nie mają nic wspólnego – dodaje Klicki. Dlatego zdaniem ekspertów wciąż potrzebna jest porządna kampania informacyjna w Polsce i w Unii Europejskiej, skierowana zarówno do przedsiębiorców, jak i do zwykłych ludzi.
Zobacz: Obowiązki małych i średnich firm w świetle RODO >
Kosztowne, ale dobre zmiany
Inaczej na RODO patrzą przedsiębiorcy. 89 proc. przez RODO wprowadziło zmiany w firmach. 69 proc. musiało z tego powodu zainwestować pieniądze oraz czas. Okazuje się jednak, że firmy, które dostosowały się do nowych regulacji, wykorzystały okazję, by wdrożyć w swojej działalności podejście procesowe (82 proc.), zoptymalizować zasoby (70 proc. ) i zwiększyć bezpieczeństwo informatyczne (68 proc.). Tak wynika z raportu „Rok z RODO. Stosowanie RODO w firmach – szanse i zagrożenia: przygotowanego przez EY Polska.
Zobacz: RODO - bezpieczeństwo danych osobowych w dziale kadr >
- Wyniki badania potwierdzają, że zmiany dla firm wynikające z RODO mają istotny, przekrojowy charakter – mówi Konstanty Dobiejewski, radca prawny, partner w Kancelarii EY Law. - Chociaż po nałożeniu przez francuski i polski organ kar pieniężnych, może błędnie wydawać się, że RODO sprowadza się tylko do zagadnienia klauzul będącego domeną działów prawnych. Oczywiście tak nie jest. W mojej opinii zmiany wynikające z RODO mają w rzeczywistości sens biznesowy – podkreśla.
Zmiany wprowadzone w firmach, w największym stopniu (70 proc.) wpłynęły na procesy obsługi klienta i procesy rekrutacyjne. Z kolei 67 proc. ankietowanych odczuło skutki RODO w procesach kadrowych, 47 proc. - w marketingowych. Wszystko po to by działać zgodnie z RODO, uniknąć kar, ale też zwiększyć bezpieczeństwo osób, których dane osobowe są przetwarzane.
Poznaj procedury:
Wnoszenie skargi na decyzję Prezesa Urzędu Ochrony Danych Osobowych do sądu administracyjnego >
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >
Realizacja wniosku o usunięcie danych osobowych („prawo do bycia zapomnianym”) >
Postępowanie w przypadku sprzeciwu wobec przetwarzania danych osobowych >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.