Dwudziestego siódmego września 2017 r. w Sejmie odbyło się (nagranie można zobaczyć tutaj) posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, dotyczące rozporządzenia RODO oraz wdrożenia jego postanowień do krajowego porządku prawnego. Podczas posiedzenia członkowie komisji mieli możliwość zadawania pytań przedstawicielom Ministra Cyfryzacji oraz GIODO.
Jedno z pytań dotyczyło kwestii kar, które będą mogły być nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (następcą GIODO). Rozporządzenie GDPR mówi bowiem, że Prezes Urzędu będzie mógł nakładać kary za naruszenia przepisów rozporządzenia.
I tu dochodzimy do kwestii, która budzi największe emocje, czyli wysokości tych kar. Generalnie bowiem, Prezes Urzędu (PUODO, jakkolwiek to brzmi) będzie mógł nałożyć karę w wysokości do 10 milionów Euro, albo – w przypadku przedsiębiorstw – do 2% obrotu z poprzedniego roku, w zależności, która kwota będzie wyższa. To robi wrażenie. Jeszcze większe wrażenie robi to, że za „poważniejsze” naruszenia dochodzi do podwojenia tych liczb – mamy więc odpowiednio 20 milionów Euro albo 4% obrotu.
Temat kar pojawiał się w różnych artykułach prasowych na temat RODO chyba najczęściej i szokował najmocniej. Nie ma się co dziwić – kwoty są naprawdę duże, a biorąc pod uwagę, że dotychczas negatywne konsekwencje za nieprawidłowe przetwarzanie danych były bardzo łagodne, zmiana wydaje się być ogromna.
Bali się zwłaszcza niektórzy przedsiębiorcy. Im firma mniejsza, tym miała mieć gorzej – bo dane kontrahentów, pracowników itp. często nie są zabezpieczone, a 10 milionów Euro to kwota dla takiego podmiotu nieosiągalna. Tym samym co odważniejsi dziennikarze wieścili koniec firm, które nie zdążą zapewnić odpowiedniego poziomu ochrony danych i zostaną unicestwione gigantycznymi karami.
Tyle straszenia. A jak jest naprawdę?
Podczas wspomnianego przeze mnie posiedzenia komisji sejmowej, zarówno przedstawiciela Ministra Cyfryzacji, jak i GIODO wskazali na ważną rzecz. Przede wszystkim, przed wejściem w życie rozporządzenia Minister wraz z organizacjami społecznymi i GIODO chcą prowadzić kampanie edukacyjne, która ma na celu zwiększenie świadomości ludzi, w tym również osób decyzyjnych w firmach w tematyce ochrony danych osobowych. Zadanie, jakie wyznaczyły sobie te organy to nie karanie, ale edukowanie.
Poza tym, myślę (ale zaznaczam, to tylko moje zdanie), że na początku GIODO skupi się na „pokazywaniu drogi”, w jaki sposób prawidłowo zbierać i przetwarzać dane, a nakładaniu wysokich kar. Należy pamiętać, że w nowym systemie ochrony danych musi wypracować się pewna praktyka stosowania przepisów. Dopiero po jakimś czasie będziemy mogli stwierdzić jednoznacznie, co zasługuje na wysoką karę, a co na niską.
W końcu, trzeba bardzo wyraźnie wskazać, że wysokość kar wskazana w rozporządzeniu to ich górna granica. Trzeba pamiętać, że kary te mają też zapewniać stosowanie przepisów o ochronie danych przez wielkie, międzynarodowe korporacje. Siłą rzeczy muszą być więc wysokie.
Ale to nie znaczy, że każdy kto nieprawidłowo przetwarza dane osobowe, zostanie ukarany milionową karą.
Samo rozporządzenie wskazuje bowiem na wiele kryteriów ustalenia wysokości kary, takich jak: charakter naruszenia, liczbę poszkodowanych, kategorie danych osobowych, ewentualne skutki naruszenia (np. wyciek danych) albo zachowanie administratora danych po wycieku. Kryteriów jest dość sporo, co daje też szerokie możliwości miarkowania kary.
Podsumowując: wysokość kar pieniężnych ustalana będzie zależnie od okoliczności każdego indywidualnego przypadku. Nie powinieneś bać się ogromnych kar, gdyż najprawdopodobniej one Ciebie i tak nie będą dotyczyły, zwłaszcza na początku.
Natomiast możesz wykorzystać wejście nowego rozporządzenia o ochronie danych osobowych do przyjrzenia się, jakie dane są przetwarzane w Twojej firmie/organizacji i w jaki sposób są zabezpieczone. Obowiązek przystosowania się do nowych zasad uznaj za szansę do wejścia ze swoją firmą na wyższy poziom, a nie przykrą konieczność, zwłaszcza że odpadnie wiele formalnych obowiązków, jak konieczność zgłaszania baz do GIODO. Warto jest szanować informacje o swoich kontrahentach i pracownikach – jestem pewien, że oni się Tobie odwdzięczą. W konsekwencji wraz z , poważnym podejściem do kwestii ochrony danych możesz uzyskać przewagę nad swoją konkurencją.