RODO – co nas czeka w 2020? Subiektywny przegląd z okazji Dnia Ochrony Danych Osobowych
Miniony rok był bardzo dynamiczny z perspektywy ochrony danych osobowych. Na bieżąco pojawiały się kolejne interpretacje przepisów i praktyczne zalecenia Prezesa UODO, a także długo procedowany pakiet ustaw dostosowujący polskie przepisy. Nałożone zostały pierwsze kary, słyszeliśmy o głośnych incydentach, a pod koniec roku także o wyroku uchylającym pierwszą polską karę za naruszenia RODO.
Czy rok 2020 w obszarze danych osobowych będzie równie intensywny? Wydaje się, że można spodziewać się pierwszych zatwierdzonych kodeksów branżowych, pierwszych akredytacji i certyfikacji, a także kolejnych spraw sądowych z powództw podmiotów danych. Być może także branża internetowa i marketingowa doczekają się ostatecznej wersji projektu rozporządzenia ePrivacy, choć ostatnie działania na poziomie unijnym stawiają tutaj duży znak zapytania.
Kodeksy branżowe
Zgodnie z RODO, organizacje reprezentujące administratorów danych lub podmioty przetwarzające, mogą opracowywać kodeksy postępowania, aby doprecyzować zastosowanie RODO w danej branży. W praktyce chodzi o to, aby w danym środowisku wypracować wspólne i dobre praktyki dotyczące przetwarzania danych osobowych, szczególnie w obszarach, gdzie przepisy nie są wystarczająco szczegółowe i mogą być różnie interpretowane.
Kodeksy przygotowywane są najczęściej we współpracy z branżowym izbami i organizacjami oraz podlegają konsultacjom z zainteresowanymi podmiotami w danym sektorze. Przygotowane projekty muszą zostać zatwierdzone przez Prezesa UODO, a następnie ich przestrzeganie powinno być monitorowane przez tzw. podmiot monitorujący - który dysponuje odpowiednim poziomem wiedzy fachowej i został akredytowany w tym celu przez Prezesa UODO. Niestety na dzień dzisiejszy wymogi akredytacji wciąż nie są znane, ale powinny być one jedynie uzupełnieniem normy ISO 17065/2012.
Z informacji dostępnych w Internecie i na stronie UODO wynika, że obecnie prowadzone są prace nad 14 kodeksami branżowymi, z czego tylko 4 zostały przedłożone do zatwierdzenia. Kodeksy tworzą się w branżach bankowej, medycznej (rodowzdrowiu + małe placówki medyczne), reklamowej, marketingowej, rekrutacji, handlowej, badawczej, biobanków, fotograficznej, bibliotekarskiej wodociągowo-kanalizacyjnej, spółdzielczej i inwestycyjnej.
Można więc spodziewać się, że w 2020 r. Prezes UODO zatwierdzi pierwsze kodeksy branżowe, a kolejne zostaną zgłoszone do zatwierdzenia.
Certyfikacja
Proces certyfikacji to w skrócie zdobycie przez określony podmiot potwierdzenia, że sposób przetwarzania przez niego danych osobowych jest zgodny z wymogami RODO. Takie potwierdzenia – w formie certyfikatów - będą wydawać podmioty, które uzyskają odpowiednią akredytację od Prezesa UODO.
I tutaj zaczynają się schody – na ten moment brak jest krajowych kryteriów akredytacji oraz certyfikacji. Nie jest więc jeszcze możliwe uzyskanie certyfikatu zgodności działania z RODO czy ustalenie zatwierdzonych jednostek certyfikujących. Prace w tym zakresie toczą się od 2018 r. na poziomie unijnym, z udziałem Europejskiej Rady Ochrony Danych (EROD), aby zapewnić spójność na poziomie wszystkich krajów członkowskich. W 2018 i 2019 r. EROD i UODO prowadziły konsultacje wytycznych w sprawie certyfikacji i akredytacji.
Z informacji zamieszczonych przez UODO wynika, że obecnie prowadzone są prace nad polskim tłumaczeniem ostatecznych wersji wytycznych. Zgodnie z informacją uzyskaną telefonicznie, Urząd aktualnie pracuje nad krajowymi wymogami i jeżeli nie wydarzy się nic nieoczekiwanego, powinny zostać wydane w tym roku (nieoficjalnie może nawet jeszcze w 1-szym półroczu).
Pozwy cywilne
Zgodnie z art. 82 ust. 1 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO ma prawo uzyskać odszkodowanie. Wydaje się, że ten obszar stosowania RODO dopiero kiełkuje, bo wymaga aktywności podmiotów danych i zdecydowania się na drogę sądową.
Z odpowiedzi Prezesa UODO w ramach dostępu do informacji publicznej (udostępnionej na jednym z portali dot. danych osobowych) wynika, że na dzień 7 stycznia 2020 r. toczyło się 7 spraw sądowych z tytułu naruszenia przepisów o ochronie danych osobowych - żadna nie zakończyła się jeszcze prawomocnym wyrokiem.
Wydaje się, że można spodziewać się kolejnych spraw cywilnych w tym obszarze, szczególnie w związku z głośną sprawą kradzieży laptopa z danymi należącymi do SGGW w Warszawie. Jednak ze względu na ogólną niechęć społeczną do spraw sądowych i przewlekłość postępowań, ten obszar nie powinien być głównym zmartwieniem administratorów danych.
ePrivacy?
Zagadką pozostają losy europejskiego rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (tzw. ePrivacy). Pod koniec ubiegłego roku Rada Unii Europejskiej odrzuciła kolejny jego projekt. Ze względu na silne lobby branży marketingowej i internetowej trudno przewidzieć, kiedy i w jakiej formule ePrivacy zacznie obowiązywać.
Podsumowując, mimo że RODO obowiązuje już od 1,5 roku, zaczynający się rok powinien przynieść kolejne nowości w obszarze ochrony danych osobowych.
