Deregulacja – słowo, które w ostatnim czasie odmieniane jest przez wszystkie (nie tylko polityczne) przypadki. Kojarzy się pozytywnie, ale niestety polscy przedsiębiorcy i polskie firmy, mają coraz więcej obowiązków do spełnienia. Coraz częściej muszą zgłaszać, raportować, analizować, wdrażać, wnioskować, wysyłać, inwestować w nowe narzędzia i zatrudniać kolejnych, zewnętrznych doradców, ponieważ sami nie są w stanie nadążyć za wszystkimi zmianami i modyfikacjami. A przecież nie mówimy tylko o wyścigu technologicznym, ale przede wszystkim o inflacji nowych rozwiązań prawnych czy wytycznych (jak w przypadku prezesa Urzędu Ochrony Danych Osobowych).
Czytaj komentarz praktyczny w LEX: Gawroński Maciej, Przedmiot, cel oraz wymagania RODO>
Czytaj także: Prezes UODO: Przy wdrażaniu RODO popełniono wiele błędów
Siedem lat RODO, czyli ogromne kary i niezakończone procesy
Tymczasem, po siedmiu latach obowiązywania regulacji w obszarze ochrony danych osobowych (RODO) wciąż mamy bardzo wiele niewiadomych, ale też i wiele kontrowersyjnych rozstrzygnięć w sprawie nałożonych kar. Z perspektywy zwykłego obserwatora regulacje są mało skuteczne, a wzrost poziomu ochrony danych następuje bardzo powoli. Czy ktokolwiek pamięta pierwszą wielką karę, nałożoną na Bisnode w 2019 roku za brak spełnienia obowiązku informacyjnego?
Sprawa przeszła przez wszystkie instancje w sądownictwie administracyjnym i finalnie powróciła w 2023 roku do ponownego rozpatrzenia przez Urząd Ochrony Danych Osobowych (UODO) i nadal jest w toku. Sprawa kary dla Morele.net za wyciek danych pokazała, że pomimo nałożonej kary za brak należytych zabezpieczeń, można się sądzić długo – a polskie sądy potrafią nawet podważyć kompetencje prezesa UODO w tak fundamentalnych aspektach, jak ocena środków technicznych, które były przyczyną wycieku danych (sprawa dalej w toku).
Zobacz szkolenie w LEX: Sakowska-Baryła Marlena, Plan kontroli sektorowych Prezesa UODO na 2025 r. – jak się przygotować na kontrolę?>
Przywołałem te dwie kary tylko dlatego, aby pokazać, jak branżę ochrony danych osobowych, postrzega biznes. Nieustannie słyszymy, że RODO zostało napisane „przez prawników i dla prawników”. W powszechnej opinii uważa się, że tłem nowych regulacji jest potrzeba wykreowania „większej liczby papierów”, a zyskują na nich tylko przedstawiciele branży prawnej, drenując jednocześnie kieszenie przedsiębiorców. Natomiast nadużycia, które z perspektywy zwykłych konsumentów są denerwujące, uprzykrzające życie i po ludzku niesprawiedliwe, dzieją się w najlepsze. Cold calling, cold mailling, handlowanie danymi działają dalej i nikt nie ma pomysłu, jak z tymi zjawiskami walczyć – chociaż ewidentnie takie praktyki łamią nie tylko RODO.
Jak to odczarować? Co i czy można coś zrobić lepiej?
Niestety najnowszy poradnik UODO, wydany w połowie lutego br., jeszcze bardziej komplikuje sytuację. Dokument z jednej strony daje bardzo jasne wytyczne w zakresie tego, co trzeba zgłaszać, jak interpretować przepisy - co czyni go bardzo dobrym materiałem dla Inspektorów Ochrony Danych i doradców, którzy stosunkowo rzadko mają do czynienia z incydentami. Z drugiej strony, kiedy już niby wszystko wygląda dobrze i klarownie pojawia się zapis: „naruszenia ochrony danych osobowych, w przypadku których ryzyko prawdopodobnie nie wystąpi, nie wymagają zgłoszenia. Są to jednak wyjątkowe sytuacje, a administratorzy muszą być w stanie wykazać brak ryzyka.” Takie stwierdzanie, pomimo innych przykładów wymienionych w poradniku, budzi już teraz gorące dyskusje w środowisku. Wszystko zmierza w kierunku, w którym doradcy będą rekomendować swoim klientom „ostrożnościowe zgłoszenie” każdego incydentu, bo przecież jakieś ryzyko istnieje zawsze i nie da się go w stu procentach wykluczyć.
Zobacz także poradnik w LEX: Fajgielski Paweł, Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych>
Czy w Polsce mamy inne RODO?
Specyfika polskiego rynku jest taka, że mamy coraz więcej firm działających jako część grup kapitałowych spółek z innych krajów UE. Bardzo często „centrala” powołuje własnego inspektora ochrony danych, który koordynuje obszar ochrony danych i oczekuje dodatkowego powiadamiania o zaistniałym incydencie. Nierzadko chce zweryfikować jego klasyfikację jeszcze przed zgłoszeniem do lokalnego, w tym przypadku, polskiego organu.
Ponieważ RODO obowiązuje na terenie całej UE, powszechnie przyjętym standardem oceny ryzyka związanego z incydentem są wytyczne ENISA (European Union Agency for Network and Information Security). Dlatego wielkie zdziwienie w oczach „grupowych inspektorów” budzi fakt, że polska ocena wielu incydentów rekomenduje zgłoszenie zdarzeń nawet przy niskim ryzyku dla praw i wolności osób fizycznych. Przypomnijmy, że ujawnienie podczas incydentu np.: numeru PESEL jest dla nas jednoznacznym sygnałem raportowania do urzędu. Tymczasem przy analogicznej sytuacji np. we Francji incydent nie wymaga zgłoszenia. Kluczowe są tu wytyczne polskiego UODO. I nie sposób oprzeć się wrażeniu, że z każdą kolejną konferencją i każdym kolejnym poradnikiem te wytyczne zaostrzają się. Międzynarodowym koncernom przybyło więc kłopotów i zagadnień i chyba na nic się zda zaklinanie rzeczywistości w ramach deregulacji.
Czytaj także pytanie w LEX: Czy naruszenie przepisów dot. danych osobowych dotyczy tylko RODO?>
Czy chcemy być liderem w UE?
Warto zaznaczyć, że według oficjalnych statystyk - w 2023 roku do urzędu zgłoszono ponad 14 tysięcy incydentów, a na przestrzeni ostatnich kilku lat podwoiła się liczba zgłoszeń. Oczywiście, każde zgłoszenie nie jest z automatu traktowane jako naruszenie przepisów i nie każde rozpoczyna formalne postępowanie. Eksperci i praktycy na rynku polskim szacują ostrożnie, że z uwagi na potencjalną kontrolę i możliwe sankcje, co najmniej połowa incydentów nie jest zgłaszana do UODO przez administratorów. I być może to jest powód, dla którego Urząd tylnymi drzwiami zaostrza kurs. Stawiam tezę, że liczba zgłaszanych incydentów wzrośnie lawinowo. I takie zgłaszanie na wyrost będzie dodatkowo obciążać biznes, ale także urząd. Czy rzeczywiście powinniśmy zmierzać w tym kierunku?
Zobacz również szkolenie w LEX: Gumularz Mirosław, Identyfikowanie i zgłaszanie incydentów na gruncie NIS 2 i RODO>
Kolejnym niezwykle ciekawym aspektem jest to, że samo RODO wprost określa w art. 33 ust 1 konieczność zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że naruszenie jest mało prawdopodobne. Niestety według nowego poradnika należy rozumieć „mało prawdopodobne” jako „nieprawdopodobne”, co z jednej strony nie pozostawia wątpliwości co do linii UODO, a z drugiej wydaje się być w sprzeczności z zapisami RODO. Czy także w świetle wytycznych EROD okaże się, że jednak „nieprawdopodobne” musi zostać zamienione na „mało prawdopodobne” – czas pokaże. Za niepewność zapłacą przedsiębiorcy – budżetami, czasem, zaangażowaniem i stresem.
To, co już teraz budzi obawę biznesu, to możliwa sytuacja, gdy podczas kontroli, UODO poprosi o rejestr incydentów i kierując się oficjalnymi wytycznymi może zapytać administratora o dostarczenie dowodów na potwierdzenie braku ryzyka dla wcześniej niezgłoszonych incydentów. Tutaj nie będzie można powiedzieć: „prawo nie działa wstecz”, bo UODO poprzez poradniki tylko potwierdza swoje stanowisko, obowiązujące i niezmienne od lat. Czy zatem możliwe są kontrole i weryfikacja niezgłoszonych incydentów? Jak najbardziej tak. Nie należy zakładać złej woli ze strony urzędu, ale furtka na pewno została otwarta, co naturalnie budzi niepokój ze strony biznesu. Pytanie, czy aby na pewno nie oznacza to konieczności ponownej oceny incydentów i dokonania zgłoszenia. Ponownie więc wskażę, za tę niepewność zapłacą przedsiębiorcy – budżetami, czasem, zaangażowaniem i stresem.
Czytaj komentarz praktyczny w LEX: Czub-Kiełczewska Sylwia, Kontrola UODO 2025 – dokumentowanie naruszeń ochrony danych osobowych>
Deregulacja to przyszłość?
Przed nami kolejne wytyczne UODO – choćby te w obszarze niezależności inspektora ochrony danych. Biznes oczekuje, że będą ułatwiać stosowanie i tak skomplikowanych przepisów. I nie chodzi o to, aby coś ukrywać czy unikać odpowiedzialności, ale o to, aby upraszczać i zmniejszać obowiązki nakładane na administratorów. Raportowanie wszystkiego z powodu ostrożności i z obawy przed sankcjami jest krokiem w złą stronę. Znaczna część regulacji w Polsce obowiązuje także w innych krajach UE. Natomiast interpretacje na poziomie krajowym są już w gestii naszych, lokalnych urzędów. I tutaj apel o większą koncentrację na działaniach probiznesowych, które niech surowo karzą za ewidentne nadużycia, ale z drugiej strony zmniejszają biurokracji.
Cena promocyjna: 179.1 zł
|Cena regularna: 199 zł
|Najniższa cena w ostatnich 30 dniach: 143.27 zł
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
