Wokół RODO narosło kilka mitów, czyli obiegowych informacji, które niewiele mają wspólnego z rzeczywistością. Często wywołują one więcej szkody niż pożytku, wprowadzając niepotrzebny zamęt. Tymczasem, na niespełna 3 miesiące przed rozpoczęciem stosowania RODO potrzebna jest rzetelna wiedza na jego temat, przekazywana w sposób zrozumiały dla nie-prawników.
Z niedawnego komunikatu GIODO wynika, że większość polskich przedsiębiorców wciąż nie wie, co powinna zrobić, aby dostosować się do RODO. Funkcjonowanie mitów z pewnością nie ułatwia im zadania, ponieważ często kieruje ich uwagę na niewłaściwe tory.
MIT 1 – RODO to rewolucja w ochronie danych osobowych
Z różnych stron dochodzą głosy, że RODO wprowadza rewolucję w ochronie danych osobowych. Będąc praktykiem prawa ochrony danych, nie mogę się pod tym twierdzeniem podpisać. RODO istotnie wprowadza liczne zmiany i obowiązki dla administratorów danych oraz zwiększa ich odpowiedzialność za ochronę danych, jednak warto wiedzieć, że punktem wyjścia w pracach nad RODO była dyrektywa unijna z 1995 r.
Ponieważ upływ ponad 20 lat w świecie szybko rozwijających się technologii informacyjnych jest niczym cała epoka, zaszła potrzeba uchwalenia aktu prawnego, który będzie gotów sprostać aktualnym wyzwaniom. RODO jest również odpowiedzią na nowe zagrożenia dla danych osobowych w erze masowego przetwarzania danych. Decydenci w UE dostrzegli ten problem i uznali, że należy zapewnić obywatelom realną kontrolę nad tym, co się dzieje z ich danymi, kto i w jakich celach je przetwarza oraz sprawić, aby dane były właściwie chronione.
Chociaż RODO wprowadza liczne nowe obowiązki dla firm i zwiększa poziom ich odpowiedzialności, to ogólne zasady przetwarzania danych osobowych, jak zgodność z prawem, adekwatność, integralność, poufność czy ograniczenie zakresu zbieranych danych celem przetwarzania, były znane już wcześniej. Duże zmiany dotyczą przede wszystkim dokumentacji, wewnętrznych procedur, sposobu zabezpieczenia danych (adekwatnie do ryzyka) oraz zakresu odpowiedzialności administratora i podmiotu przetwarzającego. Różnica między tymi dwoma podmiotami zostanie wyjaśniona w osobnym wpisie na blogu.
Z pewnością zmieni się również stopień egzekwowania przestrzegania przez firmy przepisów o ochronie danych osobowych. Prezes Urzędu Ochrony Danych Osobowych (następca GIODO) będzie dysponował wzmocnionym kadrowo urzędem i prawem do niezapowiedzianych kontroli.
MIT 2 – RODO utrudni prowadzenie działalności gospodarczej
Drugim z mitów jest twierdzenie, że wyższe standardy ochrony danych osobowych RODO będą utrudniać firmom prowadzenie działalności gospodarczej. Tak może się jednak wydawać tylko na pierwszy rzut oka. Zamiarem unijnego prawodawcy było usunięcie niepewności prawa (czas pokaże, na ile skutecznie) oraz przeszkód w przepływie danych osobowych w obrębie Unii Europejskiej, przy jednoczesnym zachowaniu wysokich standardów ochrony tych danych.
Odbieranie RODO jako aktu prawnego uderzającego w działalność gospodarczą byłoby tyleż nieprawdziwe, co szkodliwe i niepraktyczne. Pewne utrudnienia w działalności firm mogą się oczywiście pojawić w okresie przejściowym, niemniej odpowiednie wdrożenie RODO powinno być korzystne dla firmy w długim okresie. Dla firm myślących perspektywiczne przyjęcie RODO jest świetną wiadomością, ponieważ ułatwi im wiele kwestii prawnych związanych z prowadzoną działalnością, szczególnie gdy swoją ofertę kierują do klientów z innych państw Unii lub planują zwiększyć swoją obecność na rynkach innych krajów UE.
MIT 3 – RODO trzeba się bać
Kolejnym mitem jest postrzeganie RODO jako aktu prawnego, którego należy się bać. Abstrahując już od samego faktu, że decyzje podejmowanie pod wpływem strachu rzadko bywają przemyślane i nie są optymalne, podkreślanie wyłącznie aspektu drakońskich kar pieniężnych grożących za naruszenie przepisów rozporządzenia, bez informowania o tym, jakie działania można i warto podjąć, aby zmniejszyć ryzyko nałożenia kar, jest budowaniem wokół RODO niezdrowej atmosfery.
Dla przedsiębiorcy, który chce racjonalnie podejść do tematu RODO i zabezpieczyć swoją firmę przed ryzykiem kary pieniężnej ważna jest świadomość, że odpowiedzialność za naruszenie ochrony danych po dniu 25 maja 2018 r. będzie mieć charakter zindywidualizowany. Oznacza to, że w razie wszczęcia postępowania przez Prezesa Urzędu Ochrony Danych Osobowych po stwierdzeniu naruszenia, wzięty będzie pod uwagę stopień wdrożonych w firmie zabezpieczeń i zakres dostosowania się do standardów RODO. Urzędnicy zbadają, czy stosowane środki ochrony były adekwatne do ryzyk związanych z danymi operacjami przetwarzania danych.
W centrum dyskusji na temat kar pieniężnych przewidzianych w RODO powinna się znaleźć kwestia działań, jakie każda firma może podjąć, aby zmniejszyć ryzyko ich poniesienia. W szczególności, warto jeszcze raz podkreślić, że w praktyce powinna ona odpowiadać tylko za skutki własnych decyzji (działań lub zaniechań) w obszarze danych osobowych, w których zakres wchodzi również właściwy wybór podmiotów zewnętrznych, który powierza dane osobowe.
Twórcy RODO dążyli do wyważenia interesów administratorów, którzy dane przetwarzają (w tym interesów gospodarczych) i praw osób, których dane dotyczą. Czy przyjęte rozwiązania spełnią oczekiwania, a sam projekt okaże się sukcesem, zobaczymy. RODO nie należy się bać, ale postrzegać je w kategorii wyzwania. Szybko może się okazać, że nie jest ono takie straszne, jak je malują. Problem mogą mieć głównie te firmy, które nie podejmą stosownych działań w celu dostosowania się do nowych przepisów.
Jestem przekonany, że każda firma prędzej czy później będzie musiała stawić czoła RODO. Przez „luźny stosunek” do ochrony danych osobowych zacznie bowiem tracić nie tylko swoich klientów, ale także partnerów handlowych, ponieważ żadna firma nie działa w rynkowej próżni.
Mity warto jednak obalić i podejść do tematu w sposób konstruktywny.