Aktualności

Początek obowiązywania RODO – czy należy obawiać się kontroli?

W końcu nadszedł ten dzień – od dziś zaczynają obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (powszechnie określanego jako RODO). Celem RODO jest m.in. ujednolicenie zasad przetwarzania danych osobowych w całej Unii Europejskiej, co wynika z zasady bezpośredniego obowiązywania tego typu aktów prawnych w każdym Państwie Członkowskim – bez potrzeby implementacji na poziomie ustawodawstwa krajowego. Niezależnie od tego RODO wymusza jednak dostosowanie szeregu istniejących ustaw do nowych regulacji. Wiadomo już, że Parlament zdołał uchwalić nową ustawę o ochronie danych osobowych, która została podpisana przez Prezydenta RP raptem trzy dni temu. Mimo to konieczne zmiany obejmą jeszcze szeroki obszar kilkudziesięciu innych ustaw. Skoro jednak dwa podstawowe akty prawne już obowiązują – czy należy obawiać się kontroli?

Ze swojej strony mamy przyjemność poinformować, że Klienci naszej Kancelarii, którzy zlecili nam kompleksowe wdrożenie procedur ochrony danych osobowych są już w pełni przygotowani do obowiązywania RODO. Natomiast dla tych przedsiębiorców, którzy przespali dwuletni okres od wejścia w życie do dnia rozpoczęcia stosowania RODO, wcale nie jest jeszcze za późno. Należy bowiem zwrócić uwagę, iż przepisy Rozporządzenia mają w głównej mierze charakter prewencyjny – ich zadaniem jest przede wszystkim zmobilizowanie każdego administratora danych osobowych do indywidualnego określenia jakie środki należy przedsięwziąć dla skutecznej ich ochrony (tzw. podejście oparte na ryzyku).

RODO wprowadza nadto tzw. zasadę rozliczalności. Oznacza to, że każdy administrator danych w razie ewentualnej kontroli będzie musiał wykazać przed Prezesem Urzędu Ochrony Danych Osobowych czy i jakie środki bezpieczeństwa zastosował. Rolą organu nadzorczego będzie natomiast weryfikacja przestrzegania norm prawnych Rozporządzenia, w szczególności pod kątem realizacji przez administratora wszystkich wymaganych wobec niego obowiązków i środków ochrony danych osobowych.

Odpowiadając zatem na pytanie, czy w związku z rozpoczęciem obowiązywania przepisów RODO należy obawiać się kontroli – trzeba wskazać, iż jednym z podstawowych zadań Urzędu Ochrony Danych Osobowych jest monitorowanie i egzekwowanie stosowania Rozporządzenia. W ramach realizacji tego zadania organ nadzorczy uprawniony jest do prowadzenia postępowania w formie audytu ochrony danych (art. 57 ust. 1 lit. a) oraz art. 58 ust. 1 lit. b) RODO). Nie zmienia to jednak faktu, iż w świetle pozostałych przepisów Rozporządzenia (zwłaszcza art. 33 RODO nakładającego na administratora danych obowiązek zgłoszenia incydentu naruszenia ochrony danych osobowych organowi nadzorczemu nie później niż w terminie 72 godzin od jego stwierdzenia) ewentualne postępowania kontrolne, co do zasady, będą raczej miały charakter następczy.

Na koniec warto wspomnieć o jeszcze jednej istotnej kwestii. W toku ewentualnej kontroli organ nadzorczy nie będzie badał daty wdrożenia stosownych procedur przez administratora danych – o ile okoliczność ta nie będzie miała związku z konkretnym incydentem naruszenia ochrony danych osobowych. Co za tym idzie wszyscy „spóźnialscy” nadal mają możliwość podjęcia stosownych działań, aby móc spać spokojnie – tak, jak nasz Klient Startit Fund sp. z o.o., który zdecydował się uhonorować usługi naszej Kancelarii w liście referencyjnym, jakim niniejszym mamy wielką przyjemność się pochwalić.

aplikant adwokacki Mariusz Maksis