Nie takie RODO straszne…czyli rok po rewolucji

Autor: Paweł Głąb

68

25 maja 2019 r. minął dokładnie rok, od kiedy stosujemy RODO. Unijne rozporządzenie wprowadziło jednolity system ochrony danych osobowych we wszystkich krajach członkowskich wspólnoty. Zmiany wzbudzały ogromne emocje, zwłaszcza wśród przedsiębiorców — i nic dziwnego, bo to przede wszystkim na nich spadł obowiązek wdrożenia nowych przepisów. Po 12 miesiącach od wprowadzenia RODO sprawdzamy, jak biznes poradził sobie z nowymi regulacjami.

Rewolucja czy ewolucja?

Wejście życie unijnego rozporządzenia [1] dla wielu przedsiębiorców było prawdziwą rewolucją. Mimo że zmian — często daleko idących — było całkiem sporo, to należałoby je raczej traktować jako ewolucję rozwiązań, które obowiązywały w naszym kraju na długo przed wprowadzeniem RODO. Zapowiadany „koniec świata” ostatecznie nie nastąpił, ale jedno jest pewne: obowiązki nałożone przez unijne rozporządzenie oraz kary grożące za niedostosowanie się do nowych przepisów, na zawsze zmieniły podejście przedsiębiorców do kwestii ochrony danych osobowych.   

RODO: dla jednych rewolucja, dla innych ewolucja. Tak czy inaczej, unijne rozporządzenie oraz kary grożące za niedostosowanie się do nowych przepisów, na zawsze zmieniły podejście przedsiębiorców do ochrony danych osobowych.   

RODO wprowadziło sporo zmian, które wymusiły dostosowanie (lub opracowanie od podstaw), obowiązujących w firmach procedur i dokumentów z zakresu ochrony danych osobowych. Co ciekawe, chyba najbardziej problematyczne okazało się spełnienie obowiązku informacyjnego, o którym mowa w art. 13 RODO. Wielu przedsiębiorców zastanawiało się, w jaki sposób i komu należy przekazać wymagane przez ten przepis informacje. W wielu przypadkach problem rozwiązywano, zamieszczając klauzulę informacyjną na stronie internetowej. Jak pokazała praktyka i ostatnie zmiany polskich przepisów (o czym w dalszej części artykułu), takie działanie okazało się prawidłowe.

Po 12 miesiącach obowiązywania nowych przepisów można śmiało stwierdzić, że firma, która odpowiednio wcześnie przygotowała się do wdrożenia RODO, bez problemu sprostała wszystkim wymogom nałożonym przez unijne rozporządzenie. Nowe obowiązki stanowiły natomiast duży problem i spore wyzwanie dla tych firm, które nie tylko kwestia RODO, ale tematem ochrony danych osobowych w firmie w ogóle, zainteresowały się dopiero w maju ubiegłego roku.

RODO wprowadziło sporo zmian, które wymusiły na firmach dostosowanie lub opracowanie od podstaw, procedur i dokumentów chroniących dane osobowe.

Czy proces wdrożenia RODO można uznać za zakończony? Zdecydowanie nie, ponieważ ochrona danych osobowych nie jest tematem, którym można zająć się raz i później o nim zapomnieć. Wymaga on bowiem stałego doskonalenia procedur i czuwania nad dostosowywaniem ich do dynamicznych przemian, jakie zachodzą w biznesie.

Najważniejsze zmiany w przepisach wynikające z RODO

Blisko rok czekaliśmy na tzw. RODO sektorowe, czyli ustawę dostosowującą polskie przepisy do unijnego rozporządzenia. Nowelizacja, która weszła w życie 4 maja 2019 r., objęła ponad 160 ustaw, ale trudno określić te zmiany jako rewolucyjne. Jest to pakiet przepisów umożliwiających stosowanie RODO w polskim porządku prawnym, które nie wpłynęły zasadniczo na stosowanie norm prawa europejskiego, ponieważ obowiązywały w naszym kraju niezależnie od omawianej nowelizacji. Jest jednak kilka wyjątków. Warto wspomnieć przede wszystkim o ustawie o prawach konsumenta, do której wprowadzono przepis stanowiący, że mikro-przedsiębiorstwa mogą spełnić obowiązek informacyjny w zakresie umów zawieranych na odległość i poza lokalem przedsiębiorstwa poprzez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Przepis ten usankcjonował kształtującą się dotychczas praktykę w tym zakresie.

Blisko rok czekaliśmy na tzw. RODO sektorowe, czyli ustawę dostosowującą polskie przepisy do unijnego rozporządzenia. Nowelizacja, która weszła w życie 4 maja 2019 r., objęła ponad 160 ustaw, ale trudno określić te zmiany jako rewolucyjne.

Z kolei do ustawy o świadczeniu usług drogą elektroniczną i Prawa telekomunikacyjnego wprowadzono przepisy stanowiące, że do zgody, o której mowa w tych ustawach stosuje się przepisy o ochronie danych osobowych. Oznacza to, że zarówno do zgody na przesyłanie informacji handlowych, jak i zgody marketingowej stosuje się przepisy dotyczące zgody na przetwarzanie danych z RODO w zakresie warunków wyrażenia zgody, jej wycofania, czy też sposobów jej wyrażenia, w tym również poprzez wyraźne działanie potwierdzające.

W zakresie zmian istotnych z perspektywy przedsiębiorców nowelizacja objęła również przepisy Kodeksu pracy, wskazując zakres danych, które pracodawca może przetwarzać w rekrutacji, a także doprecyzowując kwestie przetwarzania danych biometrycznych i funkcjonowania monitoringu w miejscu pracy.

Niedopełnienie obowiązku informacyjnego – pierwsza kara od UODO

Jednym z głównych wyzwań związanych z RODO było spełnienie obowiązku informacyjnego. To w tej kwestii przedsiębiorcy mieli wiele obaw i wątpliwości. Jak się z czasem okazało, niestety nie były to obawy pozbawione podstaw. W marcu br. Urząd Ochrony Danych Osobowych nałożył pierwszą karę za naruszenie RODO i dotyczyła ona właśnie obowiązku informacyjnego. O sprawie było dosyć głośno, ponieważ sankcja sięgnęła blisko miliona złotych. Kara nałożona została za niedopełnienia przez spółkę obowiązku informacyjnego wobec podmiotów, których dane przetwarzała. Chodziło o blisko 6 milionów osób — spółka zajmowała się przetwarzaniem danych z publicznych rejestrów typu KRS i CEiDG. Powoływała się przy tym na jeden z przepisów RODO umożliwiający zaniechanie obowiązku informacyjnego w przypadku, gdy wiązałby się on z nadmiernymi kosztami (chodziło o wysyłkę listów poleconych). Urząd uznał jednak, że obowiązek informacyjny powinien być spełniony w odniesieniu do każdej osoby. W konsekwencji spółka, oprócz zapłaty kary, musi przekazać wszystkim informacje wymagane przez art. 13 RODO. Sankcja została powszechnie uznana za co najmniej kontrowersyjną, ponieważ dotyczyła nie tyle jawnego naruszenia RODO, ile interpretacji jednego z jego przepisów, a dokładnie analizy ryzyka dokonanej przez spółkę wobec niespełnienia obowiązku informacyjnego w stosunku do wszystkich osób, których dane przetwarzała.

W marcu br. Urząd Ochrony Danych Osobowych nałożył pierwszą karę za naruszenie RODO i dotyczyła ona właśnie obowiązku informacyjnego. O sprawie było dosyć głośno, ponieważ sankcja sięgnęła blisko miliona złotych.

RODO – to nie koniec zmian

Mimo że minął już roku, od kiedy stosujemy RODO, w dalszym ciągu czekamy na uchwalenie rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, powszechnie znanego jako ePrivacy. To rozporządzenie ma stanowić uszczegółowienie i uzupełnienie przepisów RODO w odniesieniu do danych wykorzystywanych w zakresie usług świadczonych drogą elektroniczną. Przepisy ePrivacy miały zacząć obowiązywać równocześnie z RODO, tj. 25 maja 2018 r., jednak mimo upływu roku w dalszym ciągu nie jest znany ich ostateczny kształt. Rozporządzenie to będzie miało znaczący wpływ na prowadzenie działalności marketingowej w Internecie, ureguluje też kwestie korzystania z plików cookies, zatem jego wejście w życie będzie kolejnym, ważnym etapem wdrożenia RODO w firmach zajmujących się e-biznesem.

[1]  RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

Paweł Głąb – radca prawny, wspólnik w Kancelarii Prawnej Kantorowski i Wspólnicy sp. k. Specjalizuje się wokół zagadnień związanych z przetwarzaniem i ochroną danych osobowych. Jest specjalistą z zakresu prawa Internetu. Obszar jego praktyki obejmuje obsługę prawną podmiotów branży internetowej, usług mobilnych oraz sektora e-commerce.