25 maja minął rok od rozpoczęcia obowiązywania RODO, czyli unijnego rozporządzenia o ochronie danych osobowych. W Polsce wejście w życie ustawy, która dostosowała do RODO setki innych, zakończyło okres przejściowy  i wszelkie dyskusje o wdrażaniu zmian wywołanych przez rozporządzenie. Jak eksperci i rynek oceniają RODO po roku?

Dużo  naruszeń,  mało i niskie kary

Według Komisji Europejskiej w całej Unii do organów trafiło 144 tys. skarg i pytań oraz 89 271 zgłoszeń o utracie danych, które mogły spowodować naruszenie praw lub wolności osób fizycznych. Do Urzędu Ochrony Danych Osobowych do 15 maja 2019 r. wpłynęło 9 246 skarg, a do 15 kwietnia 2019 r. - 3855 zgłoszeń. Czy to dużo trudno powiedzieć, bo nie ma z czym porównać tych danych. Przed 25 maja 2018 r. nie było takiego obowiązku. Prędzej można ocenić liczbę i wysokość kar.

Zobacz: Zasady zapewniania bezpieczeństwa danych osobowych w firmie >

We wszystkich krajach UE za naruszenie RODO nałożono 110 kar, w tym 75 w Niemczech i dwie w Polsce.  Zdaniem Adam Klimowskiego, głównego specjalisty ds. ochrony danych osobowych, prawnika w firmie Jamano, organy nadzorcze wyjątkowo oszczędnie korzystają z możliwości nakładania grzywien w porównaniu do liczby zgłoszeń. Do tej pory największą karę nałożył francuski odpowiednik Urzędu Ochrony Danych Osobowych na Google. Gigant ma zapłacić 50 mln euro za utrudnianie dostępu do informacji o zasadach przetwarzania danych, zwłaszcza tych służących do wyświetlania spersonalizowanych reklam. Z kolei prezes polskiego UODO nałożył 220 tys. euro kary - spółka Bisnode ma zapłacić za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane oraz 13 tys. euro dla związku sportowego za ujawnienie danych 585 sędziów. Z kolei w Niemczech 20 tys. euro ma zapłacić Knuddels (sieć społecznościowa) za nieprawidłowe przechowywanie haseł użytkowników, a dokładniej brak mechanizmów szyfrowania danych. W Austrii przedsiębiorca musi zapłacić 4,8 tys. euro za źle ustawiony monitoring.  Wysoką karę nałożył portugalski organ - 400 tys. euro - na szpital za nieograniczony dostęp do kart pacjentów.  Listę kar upublicznionych przez poszczególne organy można znaleźć na stronie www.enforcementtracker.com. Obecnie są na niej 34 kary.

Zobacz: Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych >

Wojciech Klicki z Fundacji Panoptykon zauważa jednak, że RODO miało przede wszystkim wpłynąć na praktyki internetowych gigantów, którzy oparli swój biznes na masowym zbieraniu i monetyzowaniu danych, a tych efektów wciąż nie widać. - Maksymalna kara dla Google mogła wynieść nawet kilka miliardów euro. Może kilka takich kar pokazałoby Google’owi i innym firmom śledzącym i profilującym nas w sieci, że w Europie poważnie podchodzimy do ochrony danych osobowych? Liczymy na to, że kolejny rok przyniesie przełomowe decyzje, które pozytywnie wpłyną na wolność i prywatność milionów użytkowników Internetu – podkreśla Wojciech Klicki.  W efekcie wciąż rolę RODO przyćmiewają jego absurdy.

Zobacz: RODO a ustawa o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne >

Realne problemy w oparach absurdu

- Przez ostatni rok mieliśmy więcej okazji słyszeć o absurdalnych interpretacjach nowego prawa niż o tym, jakie korzyści przyniosło ludziom, którzy do tej pory nie mieli realnej kontroli nad swoimi danymi, zwłaszcza wobec gigantów z Doliny Krzemowej – mówi Wojciech Klicki. - Jesteśmy rozczarowani brakiem porządnej kampanii informacyjnej w Polsce i w Unii Europejskiej, skierowanej zarówno do przedsiębiorców, jak i do zwykłych ludzi – podkreśla. Podobnie uważa Adam Klimowski. -  Z perspektywy ostatnich 12 miesięcy przyznać trzeba, że RODO było i jest rewolucyjnym aktem prawnym nie tylko ze względu na przepisy, jakie wprowadziło, ale właśnie ich odbiór społeczny  – ocenia.

Głośno było rodzicach dziecka, którzy twierdzili, że przez unijne rozporządzenie nie mogli dowiedzieć do jakiego szpitala je przewieziono, o tym, że RODO zabrania sprawdzania listy obecności, czy wyczytywania nazwisk na szkolnych uroczystościach. Michał Jaworski, członek zarządu i dyrektor ds. strategii technologicznej Microsoft Polska zauważa, że zdrowy rozsądek, odpowiedź na pytanie czy ja swoimi czynnościami nie naruszam praw i wolności osób, których dane przetwarzam, zagłuszony został przez artykuły, przepisy, interpretacje, liczne publikacje. - To wywołało obawy wśród ludzi, i tu widzę winę palestry. Nie dali szansy powiedzieć ludziom po co jest RODO – mówi.

Zobacz: RODO: Weryfikacja tożsamości pacjenta i jego uprawnień do pobierania świadczeń  >

Ochrona danych osobowych. Zbiór przepisów. Ogólne rozporządzenie o ochronie danych (RODO). Ustawa o ochronie danych osobowych (UODO). Ustawa sektorowa

Sprawdź  

Z takim poglądem zgadza się Wojciech Klicki.  - Dyskusję zdominowali konsultanci i prawnicy, którzy mieli swój własny interes w przedstawianiu regulacji jako skomplikowanej, formalistycznej i niebezpiecznej, promując wizję kar finansowych, które mogą spaść na „niewinne firmy” niemalże bez ostrzeżenia – mówi Wojciech Klicki. Obserwowaliśmy, jak mali i średni przedsiębiorcy, przestraszeni wizją horrendalnych kar, nadgorliwie interpretowali przepisy, które w podobnym kształcie funkcjonują już od ponad 20 lat. Efekt: masowe zbieranie zgód (znane też jako „zgodoza”), ogromne i niezrozumiałe klauzule informacyjne, które koniecznie trzeba podpisać, i zasłanianie się RODO w sytuacjach, które z RODO nie mają nic wspólnego – dodaje Klicki.  Dlatego zdaniem ekspertów wciąż potrzebna jest porządna kampania informacyjna w Polsce i w Unii Europejskiej, skierowana zarówno do przedsiębiorców, jak i do zwykłych ludzi.

Zobacz: Obowiązki małych i średnich firm w świetle RODO >

Kosztowne, ale dobre zmiany

Inaczej na RODO patrzą przedsiębiorcy. 89 proc. przez RODO wprowadziło zmiany w firmach. 69 proc. musiało z tego powodu zainwestować pieniądze oraz czas. Okazuje się jednak, że firmy, które dostosowały się do nowych regulacji, wykorzystały okazję, by wdrożyć w swojej działalności podejście procesowe (82 proc.), zoptymalizować zasoby (70 proc. ) i zwiększyć bezpieczeństwo informatyczne (68 proc.). Tak wynika z raportu „Rok z RODO. Stosowanie RODO w firmach – szanse i zagrożenia: przygotowanego przez EY Polska.  

Zobacz: RODO - bezpieczeństwo danych osobowych w dziale kadr >

- Wyniki badania potwierdzają, że zmiany dla firm wynikające z RODO mają istotny, przekrojowy charakter – mówi Konstanty Dobiejewski, radca prawny, partner w Kancelarii EY Law. - Chociaż po nałożeniu przez francuski i polski organ kar pieniężnych, może błędnie wydawać się, że RODO sprowadza się tylko do zagadnienia klauzul będącego domeną działów prawnych. Oczywiście tak nie jest. W mojej opinii zmiany wynikające z RODO mają w rzeczywistości sens biznesowy – podkreśla.  

Zmiany wprowadzone w firmach, w największym stopniu (70 proc.) wpłynęły na procesy obsługi klienta i procesy rekrutacyjne. Z kolei 67 proc. ankietowanych odczuło skutki RODO w procesach kadrowych, 47 proc. - w marketingowych. Wszystko po to by działać zgodnie z RODO, uniknąć kar, ale też zwiększyć bezpieczeństwo osób, których dane osobowe są przetwarzane.

Poznaj procedury:

Wnoszenie skargi na decyzję Prezesa Urzędu Ochrony Danych Osobowych do sądu administracyjnego >

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >

Realizacja wniosku o usunięcie danych osobowych („prawo do bycia zapomnianym”) >

Postępowanie w przypadku sprzeciwu wobec przetwarzania danych osobowych >