RODO – czy czeka nas rewolucja?
Od 25 maja 2018 r. zaczną obowiązywać bezpośrednio w krajowych porządkach prawnych, w tym w Polsce, przepisy Rozporządzenia Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Rozporządzenie, RODO).
Rozporządzenie będzie miało zastosowanie w stosunku do wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. 25 maja 2018 r. RODO zastąpi polską ustawę z dnia 19 sierpnia 1997 r. o ochronie danych osobowych. Na skutek tej zmiany zostaną zniesione obowiązki ustawowe, które nie mają swojego odzwierciedlenia w RODO, np. obowiązek rejestracji zbiorów danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Danych Osobowych (GIODO). RODO natomiast, wprowadzi cały szereg restrykcyjnych wymogów względem administratorów danych osobowych oraz podmiotów przetwarzających dane, nieznanych w obecnie obowiązujących przepisach, a których nieprzestrzeganie może okazać się dla przedsiębiorców bardzo dotkliwe w skutkach.
Choć przepisy RODO zaczną obowiązywać za kilka miesięcy, to przedsiębiorcy, którzy w swojej działalności przetwarzają dane osobowe, powinni jak najszybciej zadbać o zbadanie wewnętrznych procedur bezpieczeństwa ich przetwarzania, w tym przechowywania i usuwania, a także wszelkich dokumentów stanowiących podstawę przetwarzania danych osobowych, pod kątem ich zgodności z wymogami RODO. Proces dostosowania procedur i dokumentów do przepisów RODO może się bowiem okazać skomplikowany i czasochłonny.
Rzeczywistość po 25 maja 2018 r. przyniesie nie tylko rozszerzenie zakresu obowiązków ciążących na administratorach danych osobowych, ale również dużo skuteczniejsze narzędzia służące organom nadzorczym do wyciągania konsekwencji wobec podmiotów dopuszczających się naruszeń obowiązków wynikających z RODO, począwszy np. od możliwości stosowania upomnień czy ograniczenia lub zakazu przetwarzania danych, aż do możliwości nakładania kar administracyjnych w wysokości do 10 mln EURO lub 2% rocznego światowego obrotu przedsiębiorcy.
Należy przy tym zauważyć, że zgodnie z zasadą rozliczalności sformułowaną w RODO, administrator danych w celu uniknięcia ewentualnej odpowiedzialności na gruncie RODO, będzie musiał nie tylko wdrożyć odpowiednie procedury w celu zapewnienia przestrzegania obowiązków wynikających z RODO, ale także będzie musiał umieć wykazać, że te procedury pozwalają na skuteczne przestrzeganie ww. obowiązków.
W świetle przepisów Rozporządzenia, obowiązkiem, który ulegnie zdecydowanemu rozszerzeniu jest z pewnością obowiązek informacyjny, realizowany w procesie zbierania danych. Od 25 maja 2018 r. znacznemu wydłużeniu ulegnie lista zagadnień, o których administratorzy będą musieli poinformować osoby przekazujące im swoje dane do przetwarzania.
Należy pamiętać, obowiązek informacyjny powinien być spełniony najpóźniej w chwili zbierania danych. Realizować go można dwojako – zamieszczając stosowne informacje w formularzach służących do zbierania zgód na przetwarzanie danych osobowych, bądź w odrębnych dokumentach – politykach prywatności lub stosownych regulaminach, dla zachowania przejrzystości i czytelności formularzy. Jak sygnalizuje GIODO, nie będzie natomiast zasadniczej zmiany w zakresie wymogów dotyczących treści zgód na przetwarzanie danych, które administratorzy danych będą pozyskiwać. Oznacza to, że zasadniczo, na podstawie zgód uzyskanych przed 25 maja 2018 r., już po wejściu w życie RODO nadal będzie można przetwarzać dane osób, które ich udzieliły, ale pod warunkiem, że spełniono względem tych osób obowiązek informacyjny, m.in. w zakresie możliwości odwołania zgody na przetwarzanie danych osobowych w dowolnym momencie, a procedura jej odwołania będzie równie prosta, jak jej wyrażenie.
W praktyce jednak może się okazać, że sposób sformułowania oświadczeń o zgodach na przetwarzanie danych na stosownych formularzach, nie będzie spełniał wymogów RODO i będą one wymagały zasadniczych korekt.
Rozporządzenie to bowiem nakłada wymóg przestrzegania zasady przejrzystości, która przejawiać się ma w formułowaniu wszelkich informacji adresowanych do osób, których dane dotyczą, w sposób zwięzły, jasny i zrozumiały. Niestety, często oświadczenia o zgodach na przetwarzanie danych i informacje udzielane osobom przekazującym dane osobowe, z których aktualnie korzystają przedsiębiorcy, choć formalnie kompletne, to przez poziom ich skomplikowania, jako mało czytelne i niezrozumiałe nie będą spełniały postulatu przejrzystości.
Ponadto RODO nakłada na administratorów danych obowiązek posiadania dowodu pozyskania zgody na przetwarzanie danych osobowych, dlatego rekomendowane jest ich zbieranie przy użyciu papierowych bądź elektronicznych formularzy.
Przepisy RODO wskazują, że podmiot gromadzący dane osobowe powinien się kierować również zasadą celowości i ograniczenia przechowywania danych osobowych. Oznacza to, że administrator danych powinien precyzyjnie informować o celach w jakich gromadzi dane, zbierać tylko takie dane, jakie są mu potrzebne do realizacji tych celów, a także w odniesieniu do każdego celu – precyzyjnie określić czas, na jaki zamierza dane przechowywać. Administrator musi przy tym umieć wykazać, że wskazany przez niego czas jest rzeczywiście konieczny dla realizacji celu, którego dotyczy. Innymi słowy mówiąc, RODO zakazuje gromadzenia zbędnych danych oraz przetwarzania ich dłużej niż to konieczne. W sytuacjach zaś, w których niemożliwe będzie wyznaczenie sztywnych ram czasowych, administrator danych powinien określić jasne kryterium ustalenia okresu przetwarzania danych (np. do momentu odwołania zgody na przetwarzanie danych osobowych w celach marketingowych). Ważne, żeby cele i czas przechowywania danych były w sposób jasny i precyzyjny określone i zakomunikowane osobom, których dane dotyczą.
Warto mieć na uwadze, że przepisy RODO stanowią odpowiedź prawodawcy na silną potrzebę społeczną podjęcia walki z nieuprawnionym przetwarzaniem danych osobowych osób, które w dobie błyskawicznie postępującego rozwoju technologicznego, zdają się być całkowicie bezradne wobec takich naruszeń.
System przewidzianych w Rozporządzeniu dotkliwych kar i sprawnych mechanizmów ich egzekwowania, którym podlegać będą przedsiębiorcy dopuszczający się naruszenia przepisów RODO, jest jedną z propozycji rozwiązania tego problemu. Uprawnione więc wydaje się założenie, że organy nadzorcze, z przyznanych im uprawnień do nakładania kar będą korzystać. Warto więc przed 25 maja 2018 r. zadbać o dostosowanie wewnętrznych procedur i dokumentacji do wymogów RODO.