Czym grozi brak wdrożenia RODO w Twojej firmie?

Jakie były założenia unijnej reformy i czym grozi brak wdrożenia RODO w Twojej firmie?

Mimo, że RODO obowiązuje już od 25 maja 2018 r., nie wszyscy dokonali w swoich organizacjach odpowiednich zmian, żeby spełnić wymagania unijnego rozporządzenia, co może nieść negatywne konsekwencje.

Czym jest RODO i po co zostało uchwalone?

Mimo, że o RODO zrobiło się głośno dopiero w tym roku, a zwłaszcza w maju, kiedy przepisy wchodziły w życie, reforma unijnego systemu ochrony danych osobowych sięga swoją historią nieco wcześniej. W Unii Europejskiej obowiązywała do tej pory dyrektywa w sprawie ochrony danych z 1995 r.[1]Komisja Europejska jednak już w 2010 r. wydała komunikat[2], w którym zapowiedziała konieczność reformy przepisów unijnych. Potrzebę reformy uzasadniano szybkim rozwojem technologii, globalizacją i wzrostem ilości przekazywanych danych osobowych. Prace jednak ruszyły i tak, w maju 2018 r. RODO ukształtowało nową rzeczywistość prawną.

Zasadnicze cele unijnej reformy to:

1. wzmocnienie praw osób fizycznych – unijna dyrektywa z 95 r. była tylko wytycznymi dla państw członkowskich, które na gruncie prawa krajowego implementowały jej postanowienia. RODO, jako rozporządzenie unijne, jest aktem obowiązującym wprost, nie wymaga wydania aktów prawnych w krajach członkowskich. Obywatele mogą powoływać się na swoje prawa powołując się bezpośrednio na przepisy RODO;
2. harmonizacja przepisów na terenie UE – przetwarzanie danych osobowych ma się odbywać według jednolitych standardów, ale z zapewnieniem swobodnego przepływu danych osobowych między państwami członkowskimi w obrębie rynku wewnętrznego;
3. ogólna poprawa mechanizmów umożliwiających międzynarodowy transfer danych osobowych – Komisji zależało z jednej strony na uproszczeniu mechanizmów, a z drugiej strony ujednoliceniu podejścia do przekazywania danych i wprowadzenia jednoznacznych standardów bezpieczeństwa, zwłaszcza dla danych przekazywanych poza EOG;
4. zwiększenie kompetencji krajowych i unijnych organów nadzoru oraz wzrost odpowiedzialności administratora.

Ostatni cel unijnej reformy sprowadza się na gruncie RODO do tego, że to administrator danych osobowych ponosi odpowiedzialność za wdrożone rozwiązania w zakresie ochrony danych osobowych. Przy podjęciu decyzji, jakie rozwiązania organizacyjne, techniczne i proceduralne wdroży, administrator musi wziąć pod uwagę jaki jest obecny stan wiedzy technicznej, jakie koszty niosą poszczególne rozwiązania i jak to się ma do jego możliwości. Ponadto ocenić trzeba, jakie dane i w jakich ilościach przetwarza administrator, po co to robi, na jakiej podstawie i jakie ryzyko naruszenia ochrony danych osobowych istnieje w jego przypadku.

Z poniższego wynika, że RODO nakłada na administratora dużą odpowiedzialność i decyzyjnośćw tym zakresie.

O RODO było też głośno z uwagi na kary, jakie wprowadza – cel reformy unijnej w postaci zwiększenia uprawnień organów kontroli został osiągnięty. Administrator musi liczyć się z tym, że brak wdrożenia RODO lub jego nieprawidłowe wdrożenie może skończyć się dla niego nałożeniem kary finansowej. Kary mogą być nałożone do wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

[1]Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995 r.).

[2]Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego oraz Komitetu Regionów „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej, źródło: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52010DC0609&from=PL.