Widmo krąży po UE i po polskim sektorze MŚP, tudzież bankach i zakładach ubezpieczeń – widmo rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzeni o ochronie danych).
Podpisany przez Martina Schultza (tak, tak, tego samego!) akt polskiego prawa wewnętrznego (tak, tak, polskiego! to nas obowiązuje bezpośrednio!) w jego podsystemie unijnym 25 maja 2018 r. wchodzi w życie. Internet zaroił się od liczników „do wejścia w życie” i szkoleń. Niektórzy celują w straszeniu karami.
Czy jest się czego bać?
Jak wynika zarówno z informacji od moich kolegów, adwokatów i radców prawnych, jak i z moich doświadczeń zawodowych w aspekcie ochrony danych o osobowych, korporacje i administracja publiczna zwykle stosują w Polsce – z lepszym lub gorszym skutkiem – ustawę o ochronie danych osobowych. Natomiast sektor MŚP w mojej ocenie, ale także w ocenie moich kolegów – w ograniczonym zakresie lub w ogóle nie. Klienci pytają się wstępnie, czy powinni tę regulację stosować, a następnie lekko przestraszeni zamykają temat.
Temat niestety wróci ze zdwojoną siłą w związku z RODO i z punktu widzenia rygoryzmu regulacji pewna zmiana nastawienia w sektorze MŚP do ochrony danych osobowych i sposobu korzystania z systemów IT byłaby uzasadniona.
Na czym rzecz polega?
Do tej pory GIODO w przypadku kontroli wydawał decyzję nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych, czyli w gruncie rzeczy – przygotowywał bezpłatną opinię prawną (por. zestawienie wyników kontroli… http://www.giodo.gov.pl/pl/259/9985 – w nielicznych przypadkach kontrolowanych kancelarii prawniczych wszczęto postępowanie administracyjne).
Jednak od zbliżającego się wielkimi krokami wdrożenia RODO, PUODO obok tego będzie mógł nakładać kary do wysokości milionów EUR, a uprawnieni będą mogli wnosić pozwy cywilnoprawne. Zapowiadane jest także już teraz podwojenie personelu i więcej niż podwojenie budżetu Prezesa Urzędu Ochrony Danych Osobowych. Kontrole PUODO staną się zatem częstsze i bardziej dotkliwe niż dotychczasowe kontrole GIODO, a ewentualne naruszenia będą mogły skutkować sporem w sądzie bezpośrednio z uprawnionym.
Jest (15.1.2018) pewna szansa na wyjęcie spod części rygorów większej części polskiej sfery prywatnej, tj. wszystkich MŚP (Małych i Średnich Przedsiębiorstw, tj. przedsiębiorstw zatrudniających na dowolnej podstawie prawnej poniżej 250 osób). Jednak zdecydowanie nawet to nie będzie oznaczało, że nie muszą stosować regulacji z zakresu ochrony danych osobowych.
Czy warto na opisane dodatkowe kłopoty biernie czekać?
W tej sytuacji wydaje się, że jednak nie…