Zawód – adwokat

RODO. Kto pomoże administratorom danych?

– Na odbiór RODO na pewno wpływa wysokość przewidzianych w akcie kar pieniężnych – potwierdza Aleksandra
Maciejewicz, partner w kancelarii Lawmore. – Jednak miejmy na uwadze, że nie
będziemy mieli do czynienia z sytuacjami, kiedy organ nadzorczy „z marszu”
nakłada karę w wysokości 20 mln euro (albo w wysokości do 4 proc. całkowitego
rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa). –
Kary pieniężne – przypomina ekspert – będą miarkowane, a wręcz zamiast kary,
organ może udzielić upomnienia, jeżeli naruszenie jest niewielkie lub jeżeli
grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne
obciążenie.

Warto zauważyć, że zapisy RODO ujmują
nie tylko potrzeby osób, których dane są przetwarzane, ale również potrzeby i
możliwości przedsiębiorców,  a kary –
choć wysokie w maksymalnym wymiarze – obwarowane są szeregiem zastrzeżeń. Organ
przed nałożeniem kary pieniężnej zobowiązany będzie szczegółowo zbadać
przesłanki i kontekst naruszenia. – Samo rozporządzenie mówi wprost o co
najmniej 11 okolicznościach do zbadania – zaznacza ekspert. Chodzi mi.in. o
charakter, wagę oraz czas trwania naruszenia, to czy naruszenie nie było
umyślne, jakie działania podjęto dla zminimalizowania szkody, stopień
odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia. Pod
uwagę brany będzie również sposób, w jaki organ nadzorczy dowiedział się o
naruszeniu, to czy podmiot przestrzega nałożonych nań środków, czy stosuje się
do kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Mówi o tym ten sam art. 83 Rozporządzenia, w którym wymieniono maksymalny
wymiar kar.

– W przypadku RODO nie mamy do
czynienia z jednorodnym traktowaniem administratorów danych osobowych,  tak jak miało to miejsce dotychczas w
przypadku ustawy o ochronie danych osobowych – przypomina Aleksandra Maciejewicz.
– Generalnie, duża część obowiązków administratorów (i podmiotów przetwarzających)
w RODO jest miarkowana. Przykładowo, stopień zaawansowania środków technicznych
i organizacyjnych, do jakich wdrożenia zobowiązani będą administratorzy, będzie
zależny od kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów
przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze zagrożenia.

Kategorie danych, które wymagają
najściślejszej ochrony wskazuje punkt 75 preambuły RODO. Chodzi o przypadki, w
których niewłaściwe przetwarzanie danych może prowadzić do uszczerbku
fizycznego lub psychicznego lub szkód majątkowych lub niemajątkowych.
Rozporządzenie wymienia tu możliwe skutki takie jak m.in. dyskryminacja,
kradzież tożsamości, straty finansowe, naruszenie dobrego imienia, a także
naruszenie poufności danych chronionych tajemnicami zawodowymi. Wśród  danych, których przetwarzanie wiąże się ze
szczególnym ryzykiem wymienione są m.in. te, dotyczące pochodzenia rasowego lub
etnicznego, poglądów politycznych, wyznania lub przekonań światopoglądowych,
przynależności do związków zawodowych. Szczególną kategorią są również dane
genetyczne, dotyczące zdrowia lub dane o 
seksualności lub wyrokach i naruszeniach prawa. Zwłaszcza, jeśli przetwarzane
są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą
liczbę osób, których dane dotyczą.

RODO rozróżnia podmioty na te,
które zajmują się przetwarzaniem danych i te, dla których taka działalność jest
niejako „dodatkowa”. – Większy zakres obowiązków został nałożony na
administratorów (i podmioty przetwarzające), których główna działalność polega
na regularnym i systematycznym monitorowaniu na dużą skalę osób, których dane
te dotyczą, albo na takich, którzy przetwarzają dane szczególnego rodzaju, jak
dane dotyczące zdrowia. Tacy administratorzy wyznaczają inspektora ochrony
danych, którego zakres obowiązków będzie znaczący – wyjaśnia Aleksandra
Maciejewicz. – Działalność takich podmiotów zazwyczaj wiąże się również – ze
względu na swój charakter, zakres, kontekst i cele – z wysokim ryzykiem
naruszenia praw lub wolności osób fizycznych. Wówczas taki administrator, przed
rozpoczęciem przetwarzania, będzie zobowiązany również dokonać kompleksowej
oceny skutków przetwarzania dla ochrony danych osobowych, a ocenę w określonych
wypadkach będzie konsultować z osobami, których dane przetwarza.

Będą „ściągawki”

Ekspert zwraca jednak uwagę na
to, że administratorzy nie zostaną pozostawieni sami sobie z niuansami RODO.
Wprowadzone zostaną bowiem instytucje ułatwiające administratorom stosowanie
przepisów z zakresu ochrony danych osobowych, w tym zatwierdzone kodeksy
postępowań, jak również zatwierdzona certyfikacja. O kodeksach postępowania i
certyfikacji mówi Sekcja 5 Rozporządzenia. Sprawę kodeksów reguluje art. 40,
ich monitorowanie – art. 41. Certyfikacja ujęta jest w art. 42, a określenie
roli podmiotu certyfikującego ujmuje art. 43.

Kto będzie opracowywać takie
kodeksy i mechanizmy certyfikujące? O ile certyfikaty wydawać będą „podmioty
(…), które dysponują odpowiednim poziomem wiedzy fachowej w dziedzinie ochrony
danych”, co weryfikowane będzie przez organ nadzorczy lub krajową jednostkę
akredytującą, o tyle jako źródło kodeksów Rozporządzenie wymienia „zrzeszenia i
inne podmioty reprezentujące określone kategorie administratorów lub podmioty
przetwarzające”.

Art. 24 RODO, który rozpoczyna
rozdział dotyczący administratorów danych, mówi o tym, że stosowanie kodeksów
postępowania lub mechanizmu certyfikacji może być wykorzystane jako element dla
stwierdzenia, że administrator przestrzega ciążących na nim obowiązków. – Będą
one zawierały wskazówki co do tego, jak wdrożyć odpowiednie środki oraz jak
wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane
– zaznacza Aleksandra Maciejewicz z Lawmore, dodając, że ich stosowanie może
również wpłynąć na wysokość kary pieniężnej, albo jej brak.


Source: Gazeta prawna

Powered by WordPress | Designed by Elegant Themes