Social media
#CyberMagazyn: Czy RODO skutecznie chroni nasze dane? „Ekscytacja karami minęła”
Ponad trzy lata temu w Polsce zaczęły obowiązywać przepisy RODO, mające chronić prywatne dane użytkowników. Regulacje do dzisiaj budzą kontrowersje – dla jednych są pomocne, inni uważają, że są jedynie „kwiatkiem do kożucha”. W ocenach ekspertów RODO zwiększyło świadomość Polaków o wartości danych na ich temat, ale zbyt wysokie kary za naruszenie przepisów nie mają już takiego znaczenia, jak kiedyś.
RODO, czyli unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych, zostało wdrożone do polskiego systemu prawnego trzy lata temu, w maju 2018 roku.
Nowe regulacje miały na celu ochronę prywatnych informacji o użytkownikach, szczególnie w warunkach rynkowych, a posiadanie i przetwarzanie danych stało się cennym towarem.
Wciąż jednak aktualne pozostaje pytanie o to, w jakiej kondycji jest RODO i jak regulacje mają się do rzeczywistości? Czy okazało się skutecznym narzędziem w zabezpieczeniu danych Polaków, a kary nakładane na przedsiębiorców są tamą dla niepożądanego wykorzystania informacji? Na te pytania w rozmowach z CyberDefence24.pl odpowiadają eksperci.
Rośnie świadomość
Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych w komentarzu dla CyberDefence24.pl podaje statystyki związane z RODO, które mają być potwierdzeniem na rosnącą świadomość wobec tych przepisów.
„Za sprawą ogólnego rozporządzenia o ochronie danych osobowych (RODO) zauważalna jest zmiana w świadomości wśród obywateli, którzy coraz lepiej znają swoje prawa i wiedzą jak z nich korzystać. Jest to zauważalne choćby z uwagi na dużą liczbę skarg, jakie trafiają do UODO – wyjaśnia Adam Sanocki. - W roku 2020 do Urzędu Ochrony Danych Osobowych wpłynęły w sumie 6442 skargi. W 2019 roku było ich 9304, a w 2018 roku - 5565 skarg. Tymczasem w 2017 roku, czyli jeszcze przed RODO, było ich około 2,9 tys" - informuje nas.
Według UODO świadomość na temat ochrony danych osobowych różni się w zależności od wieku. Jak pokazuje badanie przeprowadzone przez serwis ChronPESEL.pl i Krajowy Rejestr Długów, 84 proc. Polaków deklaruje, że wie, jak zadbać o bezpieczeństwo swoich danych. Jednak o ile zdecydowane przeświadczenie o swojej wiedzy w tym zakresie deklaruje około 26 proc. osób w wieku 18 - 24 lata, to w przedziale 65–74 lata jest ich już tylko ok. 12 proc..
„Za sprawą RODO wzrosła także dbałość administratorów o ochronę danych osobowych – zaznacza Sanocki. - Widać to choćby na podstawie analizy zgłaszanych do UODO naruszeń ochrony danych osobowych z której wynika, że wśród podmiotów przetwarzających dane jest coraz lepsza znajomość przepisów. Ze zgłoszeń naruszeń ochrony danych, jakie do nas wpływają od administratorów wynika, że wiele podmiotów mocno angażuje się nie tylko w identyfikację przyczyn naruszenia, ale i wdrażanie rozwiązań, które mają ograniczać takie przypadki w przyszłości.”
UODO informuje, że w 2020 roku wydał 1866 decyzji administracyjnych. Organ ds. ochrony danych osobowych nałożył w tym czasie 11 kar pieniężnych. Poniżej urząd przedstawia wysokość poszczególnych kar: 20 tys. zł, 20 tys. zł, 15 tys. zł, 5 tys. zł, 100 tys. zł, 50 tys. zł, 100 tys. zł, 1 968 524 zł, 12 838,20 zł, 85 588 zł, 1 069 850 zł.
Wysokie kary są zbędne
Dominik Jędrzejko, adwokat, partner w kancelarii Kaszubiak Jędrzejko Adwokaci i autor bloga NieuczciwePraktykiRynkowe.pl. zwraca uwagę na plusy i minusy związane z RODO.
„Wdrożenie RODO z pewnością przyczyniło się do wzrostu świadomości w zakresie ochrony danych osobowych i to nie tylko po stronie konsumentów, ale również każdej osoby fizycznej – ocenia Dominik Jędrzejko. - Niemniej jednak, ilość obowiązków informacyjnych, które związane są ze stosowaniem tych przepisów w sposób możliwie najbezpieczniejszy dla podmiotów przetwarzających dane osobowe, powoduje, że przeciętnej osobie trudno odnaleźć się w gąszczu klauzul informacyjnych, które zasypują nas niemal przy każdej czynności.”
Ekspert przyznaje, że również polityka informacyjna prezesa UODO przyczynia się do stałego zwiększania świadomości po stronie przedsiębiorców. „Nie do końca jestem natomiast zwolennikiem wysokich kar pieniężnych, a mamy przecież przypadki ich nałożenia nawet w sytuacji, w której przykładowo podmiot sam zgłasza naruszenie – zaznacza Jędrzejko. - Już samo zagrożenie wysoką karą ma prewencyjny charakter, a wielu przedsiębiorców z łatwością jest w stanie wyeliminować naruszenia we współpracy z UODO.”
Według naszego rozmówcy co do samej treści przepisów, a w zasadzie ich wykładni, gdyż RODO ma dość ogólny charakter, z przykrością stwierdza on, że dominuje bardzo formalne podejście, co w praktyce utrudnia działalność gospodarczą wielu przedsiębiorców.
„Mam tu na myśli szczególnie restrykcyjne podejście do obowiązków informacyjnych, co skutkuje stosowaniem obszernych klauzul – wyjaśnia adwokat. - Z drugiej strony, jeszcze długa droga przed nami do pełnej świadomości, że właściwe procedury ochrony danych osobowych to nie tylko stosowanie gotowych klauzul, ale przede wszystkim odpowiednia organizacja procesów przetwarzania danych.”
Najlepsze rozwiązanie, problemy z wdrożeniem
Dr Arleta Nerka z Akademii Leona Koźmińskiego również zwraca uwagę na fakt, że kary straciły już na swojej skuteczności w miarę rosnącej świadomości firm dla których kwestie prywatności są także elementem budowy marki.
„Ocena funkcjonowania RODO jest zależna od przyjętej perspektywy – przyznaje Arleta Nerka. - W mojej ocenie RODO spełnia większość swoich celów, w szczególności w zakresie zapewnia obywatelom instrumentów do wyegzekwowania swoich uprawnień w zakresie ochrony danych osobowych. Tutaj poziom świadomości społecznej niewątpliwie wzrósł, za czym idzie również zwiększenie umiejętności korzystania z uprawnień, które daje RODO, o czym świadczy liczba skarg składanych do UODO, czy interwencji podejmowanych u administratorów (zwłaszcza dostęp do danych, sprostowanie, usunięcie czy wniesienie sprzeciwu). Poza tym wzrosło przekonanie, że dane osobowe są ważne, mają wartość dla ochrony prywatności, jak również mają wartość ekonomiczną – danymi się „płaci” za dostęp do rozmaitych dóbr, zwłaszcza w internecie. Duże zamieszanie wokół RODO, hałas medialny, nagłaśnianie sankcji finansowych, oprócz efektu paniki, przyczyniło się do zwiększenia wiedzy – dzięki RODO wiele osób usłyszało o danych osobowych i możliwościach ich ochrony" - stwierdza.
Zdaniem ekspertki, RODO to najlepiej przemyślane jak dotąd przepisy dotyczące ochrony danych osobowych, choć firmy mają trudności z ich wdrożeniem. Rozporządzenie bowiem stawia przed nimi wiele wymogów do wypełnienia w zakresie przetwarzania danych osobowych, zapewnienia im bezpieczeństwa, itd., nie określając jednak wytycznych, jak spełnić te wymagania. Ale tutaj służą pomocą rozwiązania przyjmowane przez branże, duże oczekiwania wiąże się z kodeksami dobrych praktyk czy procesem certyfikacji (choć proces ich zatwierdzania przez organ nadzorczy wydaje się nadmiernie długi).
„Z doświadczeń rynkowych wynika, że RODO nie jest już postrzegane głównie w kategoriach ryzyka biznesowego – zaznacza Nerka. - Przedsiębiorstwa, zwłaszcza duże, rozwijają kulturę ochrony danych osobowych, spełniając obowiązki narzucone przez prawo nie tylko w obawie przed sankcjami. Coraz częściej wykorzystują funkcjonowanie systemu ochrony danych osobowych jako element świadomie budowanej marki, wzmacniania zaufania klientów, budują swoją pozycję na rynkach, na których CSR, etyczność firmy, itp., zyskuje na znaczeniu.”
Według naszej rozmówczyni problemy ze stosowaniem RODO są jednak bardzo demokratyczne – jak pokazała pandemia Covid-19, pracodawcy mierzą się z oceną dopuszczalności przetwarzania danych osobowych dotyczących zachorowania czy szczepień pracowników niezależnie od wielkości firmy. Ma to znaczenie dla planowania działań podejmowanych w celu zapobiegania rozprzestrzeniania się wirusa i ochrony pracowników, klientów, petentów, itd., a brak jasnych przepisów krajowych stwarza trudną sytuację decyzyjną dla pracodawców i groźbę naruszeń prywatności pracowników.
„Ekscytacja karami pieniężnymi, które może nakładać organ nadzorczy, już minęła ocenia Nerka. - Koncentracja uwagi na karach pieniężnych, na obawie przed nią, powoduje sytuację, w której firmy nie zauważą potencjalnie korzystnych efektów wdrożenia przepisów RODO w ich organizacjach, czyli swobodniejszego i bezpiecznego przepływu danych w całej Europie. Jasne jest również, że kary pieniężne bardziej motywują firmy do przestrzegania przepisów. Jednak grzywny w wysokości do 4 proc. globalnego obrotu mogą wydawać się bardzo wysokie, a nawet nadmierne dla firm, dla których zapłacenie tak wysokiej grzywny może być równoznaczne z zamknięciem działalności.
Ekspertka z ALK zaznacza, że zgodnie z art. 83 RODO organ nadzorczy może nakładać na administratorów danych administracyjne kary pieniężne w wysokości do 10 mln euro lub do 2 proc. całkowitego światowego obrotu z poprzedniego roku obrotowego, a w określonych przypadkach (np. naruszenia podstawowych zasad przetwarzania lub praw osób, których dane są przetwarzane, wskazanych w art. 12-22) nawet do 20 mln euro lub do 4 proc. całkowitego światowego obrotu, w zależności która z kwot jest wyższa.
„Z praktyki wynika, że organ nadzorczy nie szafuje nadmiernie karami pieniężnymi, nakładając je w sytuacjach stwierdzenia rażącego naruszania przepisów o ochronie danych osobowych. O wiele częściej korzysta z uprawnień naprawczych wymienionych w art. 58 ust. 2 RODO. Najwyższa kara w biznesie w wysokości 2 830 410 zł została nałożona na spółkę Morele.net, z kolei w sektorze publicznym – 40 tys. zł na Burmistrza Aleksandrowa Kujawskiego - należy wszakże mieć na uwadze, że przepisy krajowe ograniczyły wysokość kar w sektorze publicznym do 100 tys. zł, a w stosunku do instytucji kultury – do 10 tys zł” – podkreśla Nerka.
Giganci pod okiem RODO
Karolina Iwańska z Fundacji Panoptykon zwraca uwagę na jeszcze inny aspekt RODO dotyczący szerszej, europejskiej perspektywy.
„Po trzech latach funkcjonowania RODO europejskie urzędy ochrony danych w końcu zaczęły wydawać pierwsze decyzje kwestionujące najbardziej kontrowersyjne praktyki wielkich cyfrowych korporacji – zaznacza Karolina Iwańska. - Kilka tygodni temu organ w Luksemburgu nałożył największą do tej pory karę prawie 750 mln euro na Amazona za to, że zmuszał klientów do akceptowania śledzącej reklamy w pakiecie z usługą sklepu internetowego. Niedługo później irlandzki organ ochrony danych nałożył 225 mln euro kary na WhatsAppa, m.in. za to, że nie informuje swoich użytkowników o tym, jak dokładnie dzieli się z danymi na ich temat ze swoją spółką-matką Facebookiem. Z kolei włoski urząd ochrony danych aktywnie działa na rzecz pracowników platformowych, wydając w tym roku dwie precedensowe decyzje wobec aplikacji do zamawiania jedzenia, w których nakazał im informować kurierów o zasadach działania algorytmów decydujących o zarobkach i zleceniach, a nawet tak przeprojektować algorytm, by nie był dyskryminujący”.
Przedstawicielka Panoptykona uważa, że niestety to nadal za mało, a przed urzędami piętrzą się kolejne ważne sprawy.
„Już ponad dwa i pół roku Panoptykon czeka na rozpatrzenie skarg na systemy śledzącej reklamy Google'a i Interactive Advertising Bureau, złożonych w polskim urzędzie, ale przekazanych odpowiednio do Irlandii i Belgii, ponieważ tam te podmioty mają swoje siedziby – informuje Iwańska. - Dodatkowo, opublikowany we wrześniu raport organizacji Irish Council for Civil Liberties pokazuje nieskuteczność mechanizmu one-stop-shop, zgodnie z którym skargi złożone w różnych krajach trafiają do organu w kraju, gdzie firma ma swoją siedzibę. Ponieważ większość gigantów technologicznych ma swoją siedzibę w Irlandii, to irlandzka Komisja Ochrony Danych jest wąskim gardłem egzekwowania RODO. A niestety, aż 98 proc. przekazanych Irlandii spraw nadal nie została rozstrzygnięta”.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.