Rok RODO: liczba skarg wzrosła dwukrotnie
– Po roku obowiązywania RODO wiemy już, że panika z tym związana nie miała większego sensu. Do tych przepisów trzeba podchodzić w sposób racjonalny i myślę, że to już dotarło do firm – mówi Piotr Drobek, dyrektor Zespołu Analiz i Strategii w Urzędzie Ochrony Danych Osobowych. – Przepisy RODO to jedno z większych wyzwań dla firm, które dotąd niewłaściwie wdrażały ochronę danych osobowych. Dla tych, które podeszły do tego rzetelnie, RODO niewiele zmieniło, bo okazało się tylko kontynuacją wcześniejszych praktyk.
Czytaj także: Rok wzmocnionej ochrony prawa osobowych. Jaka jest przyszłość RODO?
Nowe podejście do ochrony danych osobowych
Nieco ponad rok temu, 25 maja 2018 roku, weszło w życie Rozporządzenie o Ochronie Danych Osobowych, które narzuciło szereg nowych obowiązków na podmioty gromadzące i przetwarzające dane osobowe. Firmy i organizacje – pod groźbą kar finansowych nakładanych przez UODO – muszą m.in. stosować takie rozwiązania techniczne i organizacyjne, które zagwarantują maksymalnie wysoki poziom bezpieczeństwa informacji o ich klientach.
– Zapewnienie zgodności z przepisami o ochronie danych osobowych to proces ciągły i RODO właśnie tego wymaga. Ostatni rok pokazał, że to stanowi pewien problem, bo konieczne jest nowe podejście do ochrony danych osobowych – skoncentrowane nie tylko na kwestiach formalnych, lecz także na rzetelnym wdrożeniu procedur wewnątrz organizacji. To proces, który będzie wymagał lat, aby zapewnić, że wszyscy przedsiębiorcy właśnie w ten sposób do ochrony danych osobowych będą podchodzić – mówi Piotr Drobek.
Czytaj także: Jak RODO zmieniło polskie firmy?
Jak podkreśla, na ocenę funkcjonowania nowych przepisów jest wciąż zbyt wcześnie, ale niestety część zmian ustawodawczych, które były w Polsce wprowadzane na przestrzeni ostatnich kilkunastu miesięcy, nie przysłużyła się do właściwego stosowania przepisów RODO.
– Przykładowo, w świetle RODO nie występuje wprost instytucja upoważnienia do przetwarzania danych. Mowa tu o dokumencie, w którym administrator formalnie potwierdza, że pracownik jest upoważniony, aby przetwarzać dane w jego imieniu. W świetle RODO upoważnienie służy określeniu, kto i do jakich danych może mieć dostęp oraz co może z nimi robić, i nie wymaga to dokumentu na papierze. Można to zapewnić poprzez wewnętrzne procedury i mechanizmy, które powinny być wdrożone w organizacji. Natomiast polskie przepisy, niezwiązane bezpośrednio z RODO, tylko z tzw. dyrektywą policyjną, wracają do modelu pisemnych upoważnień do przetwarzania danych – wyjaśnia Piotr Drobek.
Wzrost świadomości konsumentów
Ekspert podkreśla, że nowe przepisy, które weszły w życie na początku maja, są niespójne z RODO i rozstrzygająca będzie w ich przypadku interpretacja Prezesa Urzędu Ochrony Danych Osobowych.
Pozytywny jest natomiast wzrost świadomości konsumentów związany z wejściem w życie RODO, który odzwierciedla liczba skarg wpływających do prezesa UODO. Na przestrzeni ostatniego roku było ich ok. 8 tys., podczas gdy w poprzednich latach – dwukrotnie mniej. Skargi są składane zarówno na podmioty sektora prywatnego, jak i publicznego.
– To jest duży wzrost. Widzimy też zainteresowanie konsumentów, którzy pytają nas o informacje, porady np. poprzez naszą infolinię. Wydaje się, że świadomość jest coraz większa. Oczywiście, to nie oznacza od razu, że konsumenci wiedzą, jakie uprawnienia im przysługują. Raczej jest to taka świadomość na poziomie ogólnym – wiedzą, że jest RODO, mają pewne prawa, ale nie zawsze zdają sobie sprawę z tego, czego konkretnie mogą od przedsiębiorstw oczekiwać – mówi Piotr Drobek.
Nałożone kary
Jak dotąd UODO wydało dwie decyzje nakładające kary administracyjne na podmioty, które nie stosowały się do przepisów RODO. Ekspert podkreśla, że oba przypadki były przykładem „rażącego naruszenia przepisów o ochronie danych osobowych”.
– To, czy pojawią się kolejne decyzje, będzie uzależnione od przebiegu toczących się obecnie postępowań. Kiedy wszczynamy postępowanie administracyjne – zainicjowane skargą, informacją mediów bądź w wyniku czynności kontrolnych, to nie wiemy, czy ono zakończy się karą. Wszystko zależy od tego, jaki materiał dowodowy zbierzemy i jak współpracuje z nami przedsiębiorca w trakcie czynności kontrolnych czy postępowania administracyjnego – mówi dyrektor Zespołu Analiz i Strategii w UODO.