General Data Protection Regulation, czyli unijne Rozporządzenie Ogólne o Ochronie Danych Osobowych wchodzi w życie w maju 2018 r. Powszechnie określa się je w naszym kraju jako RODO. Rozporządzenie ujednolica na poziomie Unii Europejskiej standardy oraz zasady przetwarzania danych osobowych. Dotyczy w zasadzie wszystkich podmiotów (nie tylko komercyjnych), które przetwarzają dane osób fizycznych.
W większości przedsiębiorstw (zwłaszcza tych dużych i średnich, gdzie świadomość zmian prawnych i wiedza ekspercka jest duża) już od jakiegoś czasu trwają prace dostosowawcze.
W spółkach FinTech, czyli wykorzystujących innowacyjne technologie w celu usprawnienia i ułatwienia dostępu do usług finansowych, bezpieczeństwo danych jest priorytetem i projekt ma szczególnie wysoką rangę.
Należy zaznaczyć, że RODO nie zawiera żadnych konkretnych wytycznych, jak bezpiecznie przetwarzać dane osobowe, jak je zapisywać i przechowywać. Po pierwsze wynika to z faktu, że przepisy mają być ponadczasowe i znajdować skuteczne zastosowanie, niezależnie od szybkości zmian zachodzących w technologii. Po drugie, rozporządzenie ma obejmować wszystkie branże i dziedziny życia. W praktyce, brak konkretnych wytycznych oznacza spore wyzwanie, tak dla dużych, jak i małych podmiotów. Każdy z nich musi samodzielnie określić jakie technologie i poziomy zabezpieczeń są właściwe dla danego rodzaju działalności, a także jakie mechanizmy i procedury wprowadzić. Tylko czy na pewno okażą się one odpowiednie?
Na podstawie ustawy implementującej RODO zostanie powołany nowy Urząd Ochrony Danych Osobowych. Organ ten będzie wyposażony w nowe etaty i budżet oraz upoważniony ustawowo do kontroli i nakładania wysokich kar za naruszenie ochrony danych. Nawet do 20 mln EUR. Biorąc pod uwagę brak konkretnych wymagań prawdopodobne jest, że metody przetwarzania i zabezpieczenia danych wybrane przez przedsiębiorców nie znajdą uznania w oczach urzędników. W takich sytuacjach istnieje ryzyko, że urząd w pierwszej kolejności zastosuje sankcję, zamiast wskazać inne, lepsze rozwiązania.
Wśród projektodawców polskiej ustawy słychać jednak głosy, że urząd będzie w dużym stopniu organem konsultacyjnym. Takie podejście byłoby jak najbardziej słuszne, a taki urząd to marzenie każdego przedsiębiorcy. Oby ten zakres działalności – konsultacje, rekomendowanie standardów a nawet edukowanie uczestników – stanowił podstawę działalności urzędu. Przynajmniej w pierwszym okresie obowiązywania RODO. Umożliwi to wypracowanie wspólnych standardów, zapewniających bezpieczeństwo danych i spełniających wymogi prawa dzięki wspólnym wysiłkom urzędu oraz uczestników rynku.
Implementacja RODO prognozuje dobre zmiany, bowiem dotychczasowe prawo nie do końca odpowiadało realiom dzisiejszego świata, który staje się coraz bardziej ucyfrowiony. To dobry znak, że zmiany zostaną wprowadzone na poziomie europejskim i lokalnym. Należy jednak zwrócić uwagę nie tylko na konieczność nakładania wysokich kar za niedostosowanie się do nowych przepisów, ale przede wszystkim stworzyć przedsiębiorcom przestrzeń do konsultacji w obszarze właściwego zabezpieczenia i przechowywania danych osobowych.
Autorem komentarza jest Bartosz Berestecki, Członek Zarządu PayU S.A. (Grupa Naspers), Regional Legal and Compliance Director
