Pierwszy pełny rok z przepisami RODO – podsumowanie 2019 roku

graf. ODO 24 sp. z o.o.

Ciągła edukacja oraz samodoskonalenie – to stwierdzenie, które najlepiej obrazuje rok 2019 z perspektywy ochrony danych osobowych. W tym czasie wszelkie podmioty oraz osoby stosujące RODO w praktyce miały możliwość weryfikacji, czy interpretacje przyjęte na gruncie wdrożenia wymogów unijnego rozporządzenia były właściwe. Podmioty, które odłożyły prace nad dostosowaniem do przepisów na czas po tzw. „RODO gorączce”, przekonały się, że Prezes UODO nie jest bierny, a postępowania są prowadzone z wymiernymi efektami. Administratorzy musieli dostosować procesy przetwarzania danych osobowych do nowych przepisów przewidzianych w ustawach krajowych, będących pochodną RODO. Ponadto, dla części administratorów, miniony rok przyniósł również konieczność dostosowania do nowych wymagań stawianych przez przepisy tzw. ustawy DODO. Jakie wydarzenia w 2019 r. wywarły największy wpływ na ochronę danych osobowych w Polsce? Na co trzeba przygotować się w kolejnym roku?

Za nami rok ciężkiej pracy

Dostosowanie do przepisów RODO to nie tylko obowiązek administratorów czy podmiotów przetwarzających. Swoją pracę w tym zakresie musiał wykonać sam ustawodawca, a polegać ona miała na harmonizacji wewnętrznych przepisów krajowych z wymogami unijnego rozporządzenia. Efektem tych działań była ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO (tzw. ustawa wdrażająca RODO). Akt prawny, obowiązujący od 4 maja 2019 r., wprowadził modyfikacje w 162 ustawach z różnych obszarów, m.in. prawa pracy, prawa oświatowego, oraz przepisach istotnych dla takich branż jak ubezpieczeniowa, bankowa czy telekomunikacyjna. Przywołane zmiany wymusiły na administratorach weryfikację oraz niejednokrotnie zmianę przyjętych po 25 maja 2018 r. rozwiązań w zakresie przetwarzania danych dotyczących w szczególności podstaw prawnych przetwarzania danych oraz ich zakresu.

Dla części podmiotów zobowiązanych do przestrzegania przepisów z zakresu ochrony danych osobowych początek 2019 r. okazał się równie istotny jak maj 2018 r. Wszystko za sprawą wejścia w życie 6 lutego 2019 r. ustawy o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości (tzw. ustawy DODO).

Prawie roczny okres obowiązywania ustawy DODO nie rozwiał wielu kontrowersji towarzyszących jej stosowaniu. Pomimo pojawiania się licznych głosów negatywnie oceniających m.in. nieprecyzyjne określenie kręgu podmiotów zobowiązanych do stosowania ustawy, zbyt szerokie wyłączenie w zakresie obowiązywania ustawy oraz podważających poprawność dokonania samej implementacji dyrektywy 2016/680, nie doczekaliśmy się jednoznacznego stanowiska Prezesa Urzędu Ochrony Danych Osobowych (lub innych organów nadzorczych) w tym zakresie. Niezależnie od tego ustawa obowiązuje, organy i podmioty przetwarzające dane osobowe w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, oraz wykonywania tymczasowego aresztowania, kar, także porządkowych, i środków przymusu skutkujących pozbawieniem wolności stoją przed dylematem jak w praktyce stosować przepisy ustawy – wskazuje adw. Łukasz Pociecha, ekspert ds. ochrony danych w ODO 24.

Aktywność Prezesa UODO oraz organów nadzorczych z innych krajów europejskich

Doczekaliśmy się demonstracji siły ze strony Prezesa Urzędu Ochrony Danych Osobowych. Tylko w 2019 r. organ wydał 94 decyzje (stan na grudzień 2019 r.). Jest to o tyle istotne, że przywołane decyzje stanowią cenne źródło informacji na temat interpretacji przepisów prawa z zakresu ochrony danych osobowych. W tym miejscu nie sposób pominąć pięciu nałożonych przez organ nadzorczy, w ramach wydanych decyzji, kar administracyjnych w przedziale od 40 000zł do 2 200 000zł. Co ważne, działania organu nadzorczego wskazują, że nakierowane są one nie tylko na sektor prywatny, ale również podmioty publiczne, których dotknęła jedna z ostatnich kar administracyjnych.  

Należy wskazać, że polski urząd ochrony danych nie wybija się w swej aktywności ponad standardy organów z pozostałych państw europejskich. Niewątpliwy prym w tym zakresie wiodą organy z Niemiec i Hiszpanii, nakładające najwięcej kar administracyjnych. Co istotne, nie omijają one również wielkich graczy takich jak GOOGLE Inc. – francuski organ nadzorczy nałożył na spółkę karę w wysokości 50 mln euro. Najbardziej dotkliwe były jednak kary będące efektem działań brytyjskiego organu nadzorczego, który w 2019 roku wydał dwie decyzje na łączną kwotę około 315 mln euro. Ogółem, według informacji z grudnia 2019 r., europejskie organy wydały około 110 decyzji nakładających kary finansowe za naruszenie przepisów RODO – mówi adw. Łukasz Pociecha, ekspert ds. ochrony danych w ODO 24.

Warto pamiętać, że każda decyzja niesienie ze sobą dodatkowe informacje dotyczące rozumienia przepisów unijnego rozporządzenia w zakresie m.in. realizacji podstawowych zasad przetwarzania danych, stosowanych podstaw prawnych przetwarzania danych osobowych, realizacji praw osób, których dane dotyczą, oraz stosowanych technicznych i organizacyjnych środków zapewniających bezpieczeństwo przetwarzania danych osobowych.

Co przyniesie 2020 rok?

Najbliższy rok nie upłynie pod znakiem tak spektakularnych zmian w przepisach krajowych odnoszących się do ochrony danych osobowych, jak miało to miejsce w 2018 czy też 2019 r. W dalszym ciągu z zaciekaniem będziemy jednak spoglądać na prace nad Rozporządzeniem w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (ePrivacy). Biorąc pod uwagę dotychczasowe tempo prac legislacyjnych w tym zakresie trudno wskazać datę finalizacji tego projektu.

W 2020 r. oczy wszystkich osób zainteresowanych ochroną danych osobowych będą zwrócone na działania samego Prezesa UODO. Wynika to w szczególności z faktu reorganizacji struktury samego urzędu, w ramach której 1 grudnia 2019 r. powołany został odrębny Departament Skarg oraz Departament Kontroli i Naruszeń. Ich pracownicy mają skupić się na przypisanych im zadaniach – odpowiednio rozpatrywaniu skarg związanych z naruszeniami przepisów o ochronie danych osobowych i prowadzeniu kontroli w imieniu Prezesa UODO. Szczególnym zainteresowaniem praktyków może cieszyć się również Departament Orzecznictwa i Legislacji, odpowiedzialny m.in. za udzielanie odpowiedzi na pytania kierowane przez inspektorów ochrony danych – wskazuje adw. Łukasz Pociecha, ekspert ds. ochrony danych w ODO 24.

2020 r. upłynie również na oczekiwaniu na orzeczenia sądów administracyjnych, które rozpatrywać będą skargi od decyzji wydanych przez Prezesa Urzędu Ochrony Danych. Największą popularnością cieszyć się będą postępowania dotyczące nałożonych przez organ nadzorczy kar administracyjnych. Nie należy jednak tracić z pola widzenia orzeczeń krajowych sądów powszechnych, mogących dotyczyć roszczeń bazujących na naruszeniu przepisów o ochronie danych osobowych. Obok decyzji samego organu nadzorczego, orzeczenia sądów stanowić będą kolejne cenne źródło interpretacji przepisów.

Należy pamiętać, że każda nowa decyzja lub orzeczenie oznaczać może zmianę w podejściu do przepisów z zakresu ochrony danych osobowych, a co za tym idzie możliwość lub konieczność wprowadzenia przez administratorów modyfikacji w poszczególnych procesach przetwarzania danych – podkreśla adw. Łukasz Pociecha, ekspert ds. ochrony danych w ODO 24.

***

Informacja redakcji:

Wszelkie prawa do tekstu i grafiki zastrzeżone dla ODO 24 sp. z o.o., wyłączenie licencji CC 3.0.

5 thoughts on “Pierwszy pełny rok z przepisami RODO – podsumowanie 2019 roku

  • 31 grudnia 2019 o 05:02
    Permalink

    K…a jak jeszcze jeden tekst zobacze o SRODO to wyrzucę monitor przez okno. Nie chce o tym gównie czytać na moim ulubionym portalu! Precz ze SRODO – sztucznym wymysłem biurokratów które dało prawnikom wielką rzekę kasy z naszych kieszeni – niepotrzebnie i bez sensu bo media społecznościowe wiedzą o nas więcej niż my sami i nasze matki także…

    Odpowiedz
  • 1 stycznia 2020 o 13:55
    Permalink

    web!!! CZY TY MUSISZ WIERZGAĆ NOGAMI JAK CIEBIE NIE KOPIĄ W …UPĘ ???!!!

    Odpowiedz
  • 14 stycznia 2020 o 23:45
    Permalink

    Rodo to gniot, wiele jego zapisów bym bezwzględnie zlikwidował, a co pierwsze? WYSKAKUJĄCY obowiązek informacyjny, zbędne to to i niepotrzebne, spowalniające korzystanie z sieci

    Odpowiedz

Dodaj komentarz

Twój adres email nie zostanie opublikowany.