OKIEM PRAWNIKA: Coraz bliżej do RODO, czyli czego się nauczyliśmy, czego nadal nie wiemy i wyzwania, przed którymi stoimy

0
351

Maj nadchodzi. Część z nas wierzy w duże zmiany, część nie. Szum informacyjny duży, niestety trochę usprawiedliwiony – to w istocie kluczowy akt prawny o dużym znaczeniu praktycznym i bezpośrednim wpływie na organizacje. Akt prawny tak ogólny, że można go rozumieć na wiele sposobów, a każdy z tych sposobów oznacza inne obowiązki i inne wydatki. Patrząc po zapytaniach ofertowych, większość organizacji coś wokół RODO czyni, ale są i tacy, którzy zaczynają ten proces właśnie teraz. Głównie dla tych, którzy zupełnie zaspali, krótka opowieść w odcinkach – RODO w pigułce i uproszczeniu. Dziś o samym RODO, co to jest i po co zostało stworzone. Za kilka dni – co z tego wynika dla nas, podmiotów danych i dla naszych firm, które dane przetwarzają. Na koniec – wnioski praktyczne z implementacji.

POJĘCIA

Zacznijmy od kilku podstawowych pojęć, założeń i wyjaśnień. RODO i GDPR to jedno i to samo. RODO jest skrótem polskiej nazwy „Rozporządzenie o Ochronie Danych Osobowych”, GDPR – skrótem nazwy angielskiej. Spotykane czasem UODO to obecna, polska ustawa o ochronie danych osobowych, która zostanie zastąpiona przez Rozporządzenie oraz nową polską ustawę (w uproszczeniu – purystów prawnych proszę o wyrozumiałość). Z kolei GIODO to ani UODO, ani RODO, ale polski organ nadzoru (Generalny Inspektor Ochrony Danych Osobowych). W nowej polskiej ustawie – tej, która zastąpi UODO – GIODO będzie prawdopodobnie nazwany uroczo PUODO (Prezes Urzędu Ochrony Danych Osobowych). Jak łatwo się domyślić, UODO (czyli: Urząd Ochrony Danych Osobowych, akronim taki sam jak obecnej ustawy) zastąpi GIODO. Tyle, jeżeli chodzi o podstawowe skróty.

LEGISLACJA

Przepisy regulujące ochronę danych osobowych działają na dwóch poziomach – unijnym i krajowym. Rozporządzenie (RODO) jest aktem unijnym, które – w odróżnieniu od dyrektywy – obowiązuje bezpośrednio. Dopóki jesteśmy w UE, traktujemy je na równi z polskim prawem (a nawet trochę lepiej). RODO „osiąga pełną skuteczność” 25 maja 2018 roku – ale, o czym lubi się zapominać, weszło w życie prawie dwa lata temu. Te dwa lata służyły temu, by organizacje dostosowały się do nowych wymagań. W teorii od maja wymagania RODO będą mogły być bezwzględnie egzekwowane – czy to przez klientów, czy organ nadzorczy w ramach kontroli.

Polska nowa ustawa o danych osobowych (ta, która zastąpi obecną ustawę) będzie miała charakter po części ustrojowy (określi działanie PUODO czy sądów), a po części uporządkuje polski system prawny. Jest więc bardzo, bardzo ważna dla sprawnego działania RODO, ale nie jest bezwzględnie konieczna. Co istotne, wszystkie zasadnicze obowiązki wynikają bezpośrednio z samego RODO, dlatego nie ma sensu argument „poczekajmy z wdrożeniem RODO do czasu polskiej ustawy”. Zgodnie z zapowiedziami i patrząc na prace legislacyjne jest spora szansa, że polska ustawa zacznie działać razem z RODO.

Żeby było ciekawiej, obok polskiej ustawy pojawią się też przepisy wprowadzające – regulacje sektorowe, np. specjalne przepisy dla banków, ubezpieczycieli, czy też w zakresie prawa pracy, które w praktyce będą miały istotne znaczenie dla zainteresowanych. Dla niektórych (np. profilowanie w bankach czy zakładach ubezpieczeniowych) te ustawy są fundamentalnie ważne, ale mają wpływ na każdą organizację – aby wyobrazić sobie skalę zmian, wystarczyć zwrócić uwagę, że zmieniamy w polskim systemie prawnym 14000 (czternaście tysięcy) przepisów. To jedna z największych operacji legislacyjnych w historii.

Nie wiemy czy z tymi przepisami zdążymy przed majem 2018. Jeżeli nie – powstanie luka, będzie RODO, nie będzie przepisów sektorowych. Luka dla części bez dużego znaczenia, dla niektórych bolesna, np. dla wspomnianego sektora finansowego. Na dziś nie sposób wyrokować czy rząd i parlament zdążą, będzie to na pewno wyzwanie – dla tych, którzy mogą być „ofiarami luki” ryzyko opóźnienia legislacji oznacza konieczność – nieraz kosztownych – planów awaryjnych.

Podsumowując – mamy RODO (jedyny pewnik na dziś), mamy nową polską ustawę o danych osobowych (w trakcie legislacji) i dziesiątki ustaw sektorowych z tysiącem zmian w obecnych przepisach (też w trakcie legislacji). Te akty prawne wyznaczą nam system ochrony danych w Polsce.

CO SIĘ ZMIENI

Filozofia. Z dość niszowej w praktyce regulacji dane osobowe wyrastają na jeden z najistotniejszych elementów ochrony. Przekonanie było takie, że istniejące instrumenty (w tym poprzednia dyrektywa czy UODO) nie są ani współczesne, ani skuteczne. Trafna analiza. RODO ma ten stan rzeczy zmienić – po pierwsze doprecyzować i przedefiniować zakres ochrony (choć ku zdziwieniu wielu osób nie ma tu aż takiej rewolucji w stosunku do obecnych zasad; problem w tym, że nikt obecnych zasad serio nie traktował), po drugie nadać i opisać konkretne uprawnienia podmiotom danych (np. przedziwnie prawniczo prawo do zapomnienia), po trzecie oderwać przepisy od konkretnych rozwiązań organizacyjnych czy technicznych, odejść od zasady check-listy na rzecz samodzielności i zarządzania ryzykiem, po czwarte – nałożyć realne sankcje, co udało się najlepiej (to zawsze wychodzi ustawodawcy nieźle).

RODO zmienia zasadniczo reguły gry, jeżeli chodzi o dane osobowe. Tytułem przykładu – obecna ustawa oraz rozporządzenia wykonawcze określają warunki, które muszą zostać spełnione przez organizację, by działała zgodnie z prawem. Mamy więc listę, częściowo prześmieszną (vide rozporządzenie dotyczące technicznych sposobów zabezpieczeń z 2004 roku – łatwo sobie wyobrazić, co się w nim znajduje), i jeśli ją zrealizujemy, jesteśmy „zgodni”. RODO podchodzi do zagadnienia inaczej – nakazuje organizacji wymyślić samodzielnie „adekwatny” system przetwarzania i ochrony danych, biorąc pod uwagę ilość danych, ich charakter czy ryzyka naruszenia. Szpital musi zastosować inne mechanizmy ochrony, kwiaciarnia inne, Facebook jeszcze inne. Każda organizacja musi przeprowadzić wewnętrzny proces analizy danych i procesów, po czym zdecydować się na odpowiednie procedury i środki techniczne. To dla wielu olbrzymi projekt. Jeśli natomiast organizacja zdecyduje źle (lub w ogóle nie będzie w stanie udowodnić, że nad tym pracowała), może spotkać się z sankcjami – karami ze strony PUODO lub pozwami klientów.

Każdy przedsiębiorca powinien ustawić w centrum swojego zainteresowania kwestię danych osobowych. Privacy by default, privacy by design – cokolwiek zaczynasz, przemyśl najpierw, czy będziesz wykorzystywał dane osobowe, jak i po co będziesz je zbierał (przy czym nie zbieraj danych, których nie masz powodu zbierać – np. nazwiska panieńskiego matki w formularzu sklepu internetowego), na jakiej podstawie będziesz te dane przetwarzał (czy masz na to przepis, potrzebujesz zgody, masz tzw. uzasadniony interes), kiedy je usuniesz (bo kiedyś musisz). Jeśli zbierasz dane, wszelkie zgody oraz informacje o możliwości ich cofnięcia muszą być wyraźnie i nie mogą być „domniemane” (np. poprzez domyślne zaznaczenia zgody na marketing).

Co bardzo ważne – słowo klucz: rozliczalność. To przedsiębiorca będzie musiał wykazać, że o tym wszystkim myśli, dba i stosuje odpowiednie rozwiązania. Wchodzimy w erę powszechnej regulacji i zasad compliance – do tej pory dotyczyło to części sektorów, spółek giełdowych, banków, telekomunikacji. Teraz dotyczy wszystkich – i każda organizacja musi zacząć tak myśleć, musi budować procedury i dokumentację, musi utrzymać ten system w ruchu i musi liczyć się z kosztami obsługi tych regulacji. Niekoniecznie oznacza to wielkie koszty – to jedna z niezbyt sprawiedliwie przyprawionych RODO gąb. Dla części firm to obecne obowiązki (gdyby były wdrożone) są nadmiarowe i zbyt kosztowne. Ale nie da się ukryć, że dla tych, co z danych żyją, to będzie duży wysiłek  –  organizacyjny,  i finansowy.

Zmienią się oczywiście sankcje. Szaleństwa medialnego wokół RODO – niezależnie od faktycznie rewolucyjnych zmian – nie byłoby, gdyby nie kary. PUODO (a także jego odpowiednicy w innych krajach UE) może nałożyć karę do 20 milionów euro lub do 4% rocznego obrotu, którakolwiek z tych kwot okaże się wyższa. Idealna zgodność z RODO w praktyce nie istnieje, więc kara grozi każdemu, a zważywszy na jej wysokość (nikt nie powiedział przecież, że może być nałożona tylko raz), może ona skutecznie zablokować czy wręcz zniszczyć firmę. To ostatnie to zapewne mało prawdopodobny scenariusz, ale wspaniała pożywka dla wielbicieli teorii spiskowych.

RODO przyznaje też znacznie szersze uprawnienia podmiotom danych – w szczególności możliwość dość skutecznej egzekucji praw na drodze sądowej. Tu raczej nie ma ryzyka milionowych odszkodowań (acz to tylko założenia), ale jest ryzyko masowości takich działań. Urząd jest jeden. Potencjalnych egzekutorów RODO miliony. W tym sfrustrowani pracownicy, rozżaleni klienci, osoby słusznie zdenerwowane na zalew spamu, fundacje walczące o prywatność czy przedsięwzięcia widzące w tym szanse na zarobek, jak widzieli przy klauzulach abuzywnych.

Podsumowując – zmienia się filozofia działania. To jest fundamentalna zmiana, nie zakres danych czy definicje przetwarzania. To my jako organizacje będziemy odpowiedzialni za system ochrony, jego stworzenie, utrzymanie i udokumentowanie. Wdrożenie procedur, ich przestrzeganie, ciągłe myślenie o danych osobowych. A w tle mamy dotkliwy system sankcji – i tych urzędowych, i wynikających z działań osób fizycznych. To właśnie pogodzenie tej nowej filozofii z organizacją jest prawdziwym wyzwaniem, a nie poszczególny problem techniczny jak np. szyfrowanie czy notyfikacja naruszeń.

NA KONIEC CZĘŚCI PIERWSZEJ – DLACZEGO BOJĘ SIĘ RODO

Teraz mocna teza publicystyczna – RODO jest rozpaczliwie napisanym zbiorem dość ogólnych założeń, kierunkowych wytycznych i podstawowych obowiązków. Można ten akt prawny czytać na wiele sposobów i interpretować przeróżnie. Podobnie powiedzieć można o wielu innych aktach prawnych, ale tutaj konsekwencje złej wykładni mogą oznaczać albo milionowe kary, albo milionowe inwestycje.

Analizując RODO łatwo dojść do absurdalnych wniosków (np. o niemożliwości automatycznego naliczenia odsetek czy obowiązku informacyjnym przy otrzymaniu wizytówki) lub rekomendacji de facto niewdrażalnych (usuwanie danych z kopii na tasiemkach). Magicy zajmujący się tą regulacją  muszą balansować, nie mając za sobą żadnego sensownego systemu orzecznictwa, doktryny czy innego wsparcia. Dość istotne są np. wytyczne tzw. Grupy 29, które pojawiają się co jakiś czas, ale nawet one potrafią sobie wzajemnie zaprzeczać, a o ich niejasności i możliwościach interpretacji krążą już legendy. Jednym słowem, jesteśmy sami – pozostaje nasz rozsądek i wiedza, możliwości organizacyjne, groźba sankcji i konieczność zaprojektowania „adekwatnego” rozwiązania.

I to jest przyczyna mojej niechęci i obawy – nie do systemu jako takiego, bo tu zmiana była konieczna. Ale wrzucono nam wielką, jedną z największych w historii zmian legislacyjnych, nie dając nam narzędzi. Wiedzy, wytycznych, czasu. Wbrew pozorom dwa lata to niewiele, szczególnie w sytuacji gdy nie uwzględnia się realiów wdrożeniowych – dziesiątek tysięcy zainteresowanych firm i – w skali Polski – być może kilkuset specjalistów.

Jedną z krytycznych wad RODO jest nierozłożenie skutków tej legislacji w czasie – np. sektorowo czy biorąc pod uwagę wielkość przedsiębiorstwa. To nie tylko zasoby doradcze, ale możliwość zdobycia wiedzy, przećwiczenia interpretacji, próby wypracowania odpowiedzi na pytania, gdzie dziś naprawdę dobrych odpowiedzi brak (począwszy od wskazanych wykładni absurdalnych w skutkach, ale niestety w teorii poprawnych, po np. polityki archiwizacji i usuwania danych). Jako prawnik buntuję się przed takim podejściem – naszym priorytetem jest zapewnić klientom bezpieczeństwo prawne, a dziś zajmujemy się zarządzaniem ryzykiem, bo rozwiązań rozsądnych, bezpiecznych i sprawdzonych mamy bardzo mało. I – powtarzając – nihil novi, ale nie w tej skali i nie z takimi sankcjami.

Marcin Maruta

Marcin Maruta, Senior Partner at Maruta Wachta sp.j.

Od ponad 20 lat pomagamy naszym klientom w rozwiązaniu i uchronieniu się od problemów w obszarach prawa związanych z nowymi technologiami i zamówieniami publicznymi. Tworzyliśmy kontrakty systemów informatycznych grubsze niż książka telefoniczna Nowego Jorku, których wartość przekraczała miliard złotych. Współpracujemy od wielu lat z największymi klientami polskimi i międzynarodowymi, tworząc ponad tysiąc indywidualnych umów w rozbudowanych projektach IT. Z sukcesem pomagaliśmy w sporach z zakresu danych osobowych i prawa własności intelektualnej. Prowadzimy szkolenia i wykłady dla prawników i biznesu sektora IT, jesteśmy autorami wielu fachowych publikacji. Dysponujemy jednym z największych w Polsce zespołów prawników ściśle wyspecjalizowanych w sektorze technologii i zamówień publicznych, pracujących ze sobą od wielu lat. Szukasz pomocy? Oficjalna strona kancelarii