Od dnia 25 maja 2018 r. przetwarzanie danych osobowych niezgodnie z RODO może skutkować odpowiedzialnością administratora nie tylko w formie administracyjnej kary pieniężnej. Co prawda o karach mówi się najwięcej, ale nie są to jedyne możliwe skutki nieprzestrzegania nowych przepisów o ochronie danych osobowych.

Zacznijmy jednak od historii z życia wziętej.

W społeczeństwie informacyjnym większość ludzi udostępnia na swój temat duże ilości danych, nie mając do końca świadomości możliwych konsekwencji. Klasycznym tego przykładem jest nastolatka, której ojciec odebrał list z reklamą produktów dla mam. Początkowo bardzo się zdenerwował, że firma kieruje do jego młodziutkiej córki tego rodzaju korespondencję. Później okazało się jednak, że dziewczyna rzeczywiście była w ciąży.

Osobiście jestem zwolennikiem dzielenia się informacjami o sobie z innymi, pod warunkiem, że każda osoba ma świadomość skutków swoich działań i, w razie potrzeby, może skorzystać z przysługujących jej praw do usunięcia danych lub ograniczenia ich przetwarzania. Te dwa cele realizuje RODO, z jednej strony przez rozszerzony obowiązek informacyjny administratora, z drugiej nowy katalog uprawnień osoby, której dane dotyczą.

Na wypadek gdy administrator nie będzie przestrzegał nowych przepisów, RODO przyznaje osobie, której dane dotyczą, prawo do odszkodowania za szkodę majątkową lub niemajątkową (krzywdę). Warunkiem odpowiedzialności jest, aby szkoda została poniesiona w wyniku naruszenia przepisów rozporządzenia.

Roszczenie o odszkodowanie może zostać skierowane do administratora lub podmiotu przetwarzającego (procesora), w zależności do tego, który z nich odpowiada za dane naruszenie, przy czym jeżeli administrator i podmiot przetwarzający uczestniczą w tym samym przetwarzaniu, każdy z nich – zgodnie z RODO – odpowiada prawnie za całość szkody.

Administrator lub procesor mogą zwolnić się z odpowiedzialności, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. RODO nie przewiduje bowiem odpowiedzialności absolutnej za naruszenie ochrony danych i nie nakłada obowiązków nie do zrealizowania.

W tym kontekście dla firmy najistotniejsza jest informacja, że właściwe dostosowanie się do RODO zmniejszy prawdopodobieństwo naruszenia ochrony danych osobowych, a w rezultacie także ryzyko powstania szkody po strony osoby, której dane dotyczą. Brak szkody to z kolei brak podstaw do dochodzenia odszkodowania lub zadośćuczynienia. Drobne przypadki raczej nie będą znajdowały finału w sądzie, szczególnie gdy administrator podjął stosowne działania w celu usunięcia skutków naruszenia.

Te podmioty, które przetwarzają szczególne kategorie danych osobowych, np. dane genetyczne, biometryczne, dotyczące zdrowia, seksualności, przekonań światopoglądowych, powinny się liczyć z tym, że naruszenie ochrony tych danych może skutkować bardziej dotkliwymi konsekwencjami dla osób, których te dane dotyczą. Przykładowo, osoby te mogą spotkać się z dyskryminacją na rynku pracy lub przez instytucje kredytowe, ubezpieczeniowe itp.

Każda firma może podjąć określone działania, które zniwelują negatywne skutki naruszenia  bezpieczeństwa danych. W szczególności, warto tutaj wymienić szyfrowanie i pseudonimizację. Dzięki zastosowaniu tych technik, osoba, która uzyskała nieuprawniony dostęp do informacji, nie będzie w stanie zidentyfikować konkretnych osób fizycznych lub będzie to dla niej bardzo utrudnione.

Inną konsekwencją, która może spotkać firmę przetwarzającą dane osobowe z naruszeniem RODO, jest czasowy lub stały zakaz dalszego przetwarzania danych, wydany przez Prezesa Urzędu Ochrony Danych Osobowych. W takim przypadku, praktycznie z dnia na dzień firma może być zmuszona do zaprzestania procesów biznesowych bazujących na przetwarzaniu danych osobowych, np. sprzedaży klientom swoich produktów lub usług, prowadzenia konkursu lub innej akcji marketingowej, wysyłki newslettera itp. W praktyce taki zakaz może okazać się dla firmy bardziej dotkliwy niż kara pieniężna, ponieważ zacznie ona tracić zyski z bieżącej działalności lub poniesie wymierne straty wizerunkowe.

W związku z szybko zbliżającym się rozpoczęciem stosowania RODO, zauważyłem dwie charakterystyczne tendencje. Po pierwsze, firmy są coraz bardziej zainteresowane wdrożeniem RODO z uwagi na presję, którą wywierają na nie partnerzy biznesowi. Najczęściej firma-administrator wywiera presję na firmę-procesora. Z drugiej strony, osoby, których dane dotyczą, są coraz bardziej świadome swoich nowych uprawnień wynikających z RODO.

Warto dodać, że w ramach rozszerzonej klauzuli informacyjnej, administrator będzie miał obowiązek informować o prawie do wniesienia skargi do organu nadzorczego.

O ile na chwilę obecną firmy, które prawidłowo realizują obowiązek informacyjny związany ze zbieraniem danych osobowych, należą do mniejszości, tak od dnia 25 maja 2018 r. będzie to absolutną koniecznością.