RODO: Nie będzie kar na pokaz – Kongres Prawa Bankowego i Informacji
Wystąpienie reprezentanta UODO było jednym z kluczowych punktów drugiej części tegorocznego Kongresu Prawa Bankowego i Informacji, która w całości poświęcona była problematyce ochrony danych w obowiązującym od 25 maja ubiegłego roku stanie prawnym.
Emocje wokół sankcji niedługo wygasną?
Najwięcej emocji budzi oczywiście kwestia wysokich, bo sięgających nawet 2 czy 4% wartości rocznych przychodów przedsiębiorstwa, sankcji za naruszenie postanowień RODO. – Obecnie te kary ekscytują z uwagi na fakt, że wcześniej GIODO nie dysponował takimi kompetencjami, jednak należy sobie uświadomić, że UODO nie jest pierwszym organem regulacyjnym, który może nakładać administracyjne kary pieniężne i który z tej kompetencji korzysta – zadeklarował Piotr Drobek.
Ocenił on, że z biegiem czasu emocje wokół sankcyjnych uprawnień urzędu wygasną, a same kary będą traktowane jako normalny element systemu regulacji ochrony danych osobowych. – Możemy dyskutować o zasadności poszczególnych decyzji, ale musimy pamiętać o tym że rzeczywiście takie narzędzie sankcyjne istnieje – zauważył przedstawiciel UODO.
Podkreślił, iż zamiarem urzędu nie jest stosowanie sankcji w celu, jak to określił, „marketingowym”. – Wyraźnie widać po jakim czasie i w jakich sprawach te kary dotąd były nakładane – wskazał Piotr Drobek.
Należy również pamiętać, iż przyjęty w polskim prawie model karania obejmuje w równym stopniu podmioty prywatne, w tym również przedsiębiorców, i instytucje publiczne, nie można zatem twierdzić, jakoby przepisy wprowadzone na podstawie RODO stawiały administrację państwową i samorządową w uprzywilejowanej pozycji w stosunku do biznesu.
Jednolite zasady RODO kontra lokalna specyfika bankowości
Sankcje dla niepokornych nie były jedynym tematem wystąpienia przedstawiciel UODO. Wspomniał on również o znaczeniu nowego modelu ochrony danych na mocno zróżnicowanym, wspólnotowym rynku usług finansowych. – Kilka tygodni temu uczestniczyłem w panelu, podczas którego poszukiwano odpowiedzi na pytanie, czy mamy jednolity rynek bankowy w Europie. Wszyscy paneliści, głównie bankowcy mówili, że nie do końca – zwrócił uwagę Piotr Drobek.
Tymczasem wejście w życie RODO oznacza istotne ujednolicenie kryteriów w jednym z najistotniejszych obszarów dla funkcjonowania branży bankowej. – To jest bardzo ważne również dla polskiej bankowości, który ma swoją specyfikę lokalną, także ze względu na sposób regulacji i prowadzenia nadzoru nad działalnością bankową – zauważył reprezentant instytucji nadzorczej.
Głównym partnerem instytucji finansowych w kreowaniu odpowiedzialnych praktyk w zakresie przetwarzania danych i ochrony prywatności będzie bez wątpienia Urząd Ochrony Danych Osobowych. Owo wsparcie może okazać się cenne z uwagi na postępującą globalizację unijnego rynku i konsekwencje tego procesu dla przetwarzania danych.
– Akt funkcjonujący na terenie całej Unii Europejskiej powinien być też jednolity sposób interpretowany i w praktyce stosowany jako jednolity, natomiast co najmniej przez ostatnie dwie dekady mieliśmy bardzo różne podejście do podstawowych kwestii na poziomie poszczególnych państw członkowskich – wskazał Piotr Drobek.
A to oznacza, że polscy administratorzy danych coraz częściej będą musieli brać pod uwagę nie tylko regulacje i zalecenia wydawane na szczeblu krajowym i orzecznictwo polskiego wymiaru sprawiedliwości, ale także stanowisko organów wspólnotowych, na czele z Europejską Radą Ochrony Danych.
– Z perspektywy obowiązków nakładanych na banki i instytucje finansowe może się okazać że kluczowe znaczenie będą miały dokumenty unijne – powiedział reprezentant urzędu.
Nowe przepisy muszą sprawdzić się w praniu
Chociaż RODO obowiązuje od maja ubiegłego roku, jednak proces dostosowania polskiego prawa do tego rozporządzenia zakończył się dopiero rok później, wraz z wejściem w życie tzw. ustawy sektorowej.
Przedstawiciel UODO zauważył, że dyskusje bankowców na ten temat ograniczają się z reguły do zmian w Prawie bankowym, tymczasem istotne znaczenie dla branży maja również inne znowelizowane ustawy, w rodzaju Kodeksu Pracy. – Te przepisy oczywiście mają pewne braki, z całą pewnością nie są idealne, ale wydaje mi się, że wszyscy powinni oczekiwać w tej chwili trochę oddechu od strony regulacyjnej. Powinniśmy dać szansę, by te przepisy zaczęły funkcjonować w praktyce, żebyśmy mogli je przetestować z perspektywy organu nadzoru – wskazał Piotr Drobek.
Przykładem przepisów, które muszą sprawdzić się „w praniu”, są chociażby zmienione zasady profilowania klientów. – Musimy zobaczyć, jak będą się one przekładać na prawa i obowiązki banków czy też prawa osób których dane dotyczą – podkreślił reprezentant nadzoru. Przypomniał on również o instytucji kodeksu postępowania, przewidzianej przez RODO jako doprecyzowanie zasad ochrony danych dla poszczególnych branż.
Pierwszy taki dokument w Polsce wytworzony został właśnie przez branżę bankową. Obecnie jest on na etapie formalnej procedury zatwierdzania przez UODO.
Piotr Drobek zwrócił uwagę, że kodeksy postępowania w rozumieniu RODO nie są tylko luźnym i niezobowiązującym zbiorem dobrych praktyk. Po ich akceptacji przez regulatora obejmują one wszystkich przedstawicieli danej branży.