Ten blog korzysta z plików cookies na zasadach określonych tutaj
Zamknij
31.05.2023
NEW TECH & INNOWACJE

5 lat z RODO

Chyba żaden inny akt prawny nie cieszy się tak dużą popularnością i nie jest tak bardzo obecny w naszej świadomości, jak RODO (Ogólne rozporządzenie o ochronie danych). Tylko nieliczne akty prawne mogą pochwalić się artykułami w prasie, czy organizowanymi konferencjami z okazji swoich urodzin. Piąta rocznica obowiązywania RODO nie umknęła zarówno dziennikarzom czy prawnikom, jak i Prezesowi Urzędu Ochrony Danych Osobowych, który opublikował specjalnie przygotowany na ten temat film na swojej stronie.

5 lat obowiązywania RODO to dobry czas na podsumowanie i rozliczenie skuteczności wprowadzonych rozwiązań. Podsumowanie nie jest jednak łatwe. Bez wątpienia RODO przyniosło szereg korzyści i podniosło świadomość w zakresie ochrony danych osobowych, z drugiej jednak strony nie wszystkie cele, jakie stawiano, zostały zrealizowane. Dodatkowo inaczej oceni nowe przepisy przedsiębiorca, na którego nałożono szereg obowiązków, inaczej podmiot danych, a jeszcze inaczej organ nadzorczy, wyposażony w dodatkowe i skuteczne instrumenty do egzekucji ochrony danych.

Poziom świadomości

Wszyscy są zgodni, że najważniejszą zasługą RODO jest podniesienie świadomości w obszarze danych osobowych oraz szeroko rozumianego prawa do prywatności. Dzięki RODO oraz kampaniom edukacyjnym prowadzonym w związku z wejściem w życie nowych przepisów wiele osób dowiedziało się czym są dane osobowe, kto jest odpowiedzialny za ich przetwarzanie, jakie dane można gromadzić oraz co z nimi robić i wreszcie jakie prawa przysługują podmiotom danych.

Wzrosła również świadomość wśród przedsiębiorców, którzy wystraszeni ryzykiem odpowiedzialności i ogromnymi karami finansowymi, masowo przystąpili do wdrażania nowych zasad przetwarzania danych osobowych. Wielu przedsiębiorców poza opracowaniem dokumentacji dotyczącej przetwarzania danych osobowych zmieniło również podejście do gromadzenia i przetwarzania danych osobowych stosując podstawowe zasady przetwarzania danych wynikające z RODO, takie jak minimalizacja danych, zgodność z prawem czy rozliczalność. Część przedsiębiorców już na etapie projektowania modeli biznesowych, mniej lub bardziej świadomie, uwzględnia zasadę privacy by design, uwzględniając należytą ochronę danych w przyszłych projektach.

Uprawnienia podmiotów danych

Z chwilą wejścia w życie RODO podmioty danych zyskały szeroki wachlarz uprawnień, w szczególności prawo do informacji o przetwarzaniu ich danych osobowych, prawo do przenoszenia danych osobowych czy prawo do usunięcia ich danych osobowych. Co istotne, już w chwili udostępniania swoich danych, każdy powinien zostać poinformowany o swoich prawach, a niedopełnienie tego obowiązku może skutkować odpowiedzialnością podmiotów gromadzących dane osobowe.

Przepisy rozporządzenia RODO dają również podmiotom danych prawo wniesienia skargi do organu nadzorczego, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie. Polacy chętnie korzystają z tego prawa, składając w samym tylko 2022 roku ponad 7 tysięcy skarg.

Obowiązki przedsiębiorców

Z punktu widzenia przedsiębiorców i innych organizacji – wejście w życie przepisów rozporządzenia RODO – to przede wszystkim szereg nowych obowiązków oraz jednoczesne zwiększenie poziomu ryzyka prowadzonego biznesu. Wdrożenie nowych zasad ochrony danych osobowych rozpoczęto od audytów oraz przygotowania dokumentacji obejmującej głównie polityki, procedury, wzory umów i klauzul informacyjnych. Przedsiębiorcy zmuszeniu byli również do weryfikacji zakresu gromadzonych danych, mając na uwadze zasadę minimalizacji danych. Większą uwagę zwrócono niewątpliwie na stosowane środki bezpieczeństwa oraz dobór odpowiednich wykonawców, którym powierzane są dane osobowe.

Nowością stał się obowiązek informowania organu nadzorczego o naruszeniu bezpieczeństwa danych osobowych. Ta procedura autodenuncjacji była dotychczas znana wyłącznie przedsiębiorcom telekomunikacyjnym. Odpowiedzialność za niedopełnienie tego obowiązku ukróciła proces zamiatania incydentów pod dywan. Statystyki pokazują, że Polacy w tym zakresie są liderami w Europie. Spośród 18 tys. zgłoszeń w Europie, do polskiego organu nadzorczego trafiło 12 tysięcy.

Bezpieczeństwo danych

Wszyscy są zgodni, że wejście w życie rozporządzenia RODO przyczyniło się do zwiększenia poziomu bezpieczeństwa danych osobowych. Po pierwsze, przedsiębiorcy świadomi nowych przepisów oraz ryzyka odpowiedzialności finansowej zaczęli poważnie traktować dane osobowe i należycie je chronić.

Większość przedsiębiorców przeprowadziła odpowiednie audyty bezpieczeństwa, zweryfikowała zakres i sposób przetwarzanych danych osobowych i wprowadziła odpowiednią dokumentację i procedury przetwarzania danych osobowych. Powszechną praktyką były również szkolenia personelu z zasad przetwarzania i ochrony danych osobowych.

Do zwiększenia poziomu ochrony danych osobowych przyczyniły się niewątpliwie obowiązki nałożone na administratorów przez przepisy RODO, w tym w szczególności obowiązek prowadzenia analizy ryzyka, dobór odpowiednich środków bezpieczeństwa, obowiązek zgłaszania incydentów czy dobór takich podwykonawców, którzy zapewnią odpowiedni poziom bezpieczeństwa powierzonych im danych.

Kary finansowe

To, co od początku przyciągało uwagę to kary finansowe, jakie przewidują przepisy rozporządzenia RODO. Pierwsze miesiące przed wejściem w życie rozporządzenia oraz tuż po jego wprowadzeniu, to wszechobecne straszenie wielomilionowymi karami finansowymi. Celem było oczywiście pozyskanie klientów na usługi wdrożeniowe, czy nabywców „szaf na dokumenty zgodne z RODO”.

Przez pięć lat obowiązywania rozporządzenia, polski organ nadzorczy wydał 67 decyzji nakładających kary finansowe na łączną kwotę 3 449 479 euro. Najwyższa kara finansowa nałożona przez Prezesa Urzędu Ochrony Danych Osobowych to 1 000 000 euro na Fortum Marketing and Sales Polska S.A. za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego.

Liderem w Europie w zakresie ilości nałożonych kar finansowych został hiszpański organ nadzorczy, który nałożył łącznie 580 kar. Najwyższe kary nakładał natomiast Irlandzki organ, łącznie w wysokości 2,5 mld euro. To oczywiście ma związek z siedzibą w Irlandii takich gigantów technologicznych jak Meta, czy WhatsApp.

Co się nie udało?

Niepełnione oczekiwania związane z RODO, to w opinii wielu ekspertów, m.in. zbyt formalne podejście do przepisów rozporządzenia, zarówno przez przedsiębiorców, jak i organy nadzorcze. Skutkuje to produkcją niezliczonych dokumentów, procedur, polityk i zbyt długich obowiązków informacyjnych, zamiast skupienia się na skutecznej ochronie danych osobowych i zmianie filozofii w tym zakresie.

Narzekać możemy również na przewlekłe postępowania przed organami nadzorczymi. Ochrona prywatności osób, które latami czekają na decyzje w swojej sprawie, staje się złudna, a długie postępowania nie sprzyjają również prowadzeniu biznesu przez przedsiębiorców, którym grożą  wysokie kary finansowe, mogące mieć dla nich kluczowe znaczenie.

Podsumowanie

Podsumowując 5 lat obowiązywania RODO, trudno o jednoznaczną ocenę, ponieważ będzie ona inna z punktu widzenia przedsiębiorcy, podmiotu danych, czy organizacji walczącej o poszanowanie prywatności. Niewątpliwym sukcesem jest wzrost świadomości w zakresie danych osobowych, zarówno po stronie osób fizycznych, jak i przedsiębiorców. Pomimo że przepisy o ochronie danych osobowych obowiązywały w Polsce od 1997 roku, to dopiero od wejścia w życie rozporządzenia RODO zaczęto poważnie traktować dane osobowe i prawa jednostek.

Nadal pozostaje wiele wyzwań przed podmiotami przetwarzającymi dane osobowe w zakresie dostosowania do wymogów RODO, ale również przed organami egzekwującymi przepisy rozporządzenia. RODO wciąż pozostaje wyzwaniem po obu stronach.

#dane osobowe #ochrona danych osobowych #RODO

Chcesz być informowany o najnowszych wpisach na blogu?

  • - Podaj adres e-mail i otrzymuj informację o nowym wpisach na blogu SKP/IPblog prosto na Twoją skrzynkę
  • - Nie będziemy wysłać Ci spamu

Administratorem Twoich danych osobowych jest SKP Ślusarek Kubiak Pieczyk sp.k. z siedzibą w Warszawie, przy ul. Ks. Skorupki 5, 00-546 Warszawa.

Szanujemy Twoją prywatność dlatego przekazane nam dane nie będą przetwarzane i udostępniane poza SKP w innych celach niż ujęte w Regulaminie Serwisu. Szczegółowe postanowienia dotyczące naszego IP Bloga, w tym katalog Twoich uprawnień związanych z przetwarzaniem danych osobowych znajdziecie Państwo w Polityce Prywatności.