Wiele mówi się i pisze w ostatnim czasie o unijnej reformie ochrony danych osobowych. Mowa jest o większej ochronie konsumenta, w szczególności na rynku usług świadczonych drogą elektroniczną. Zwraca się też uwagę na fakt wprowadzenia do europejskiego systemu prawnego nowych instytucji mających służących obywatelom, takim jak tzw. prawo do bycia zapomnianym. Warto jednak przyjrzeć się bliżej nowym zasadom odpowiedzialności administratorów danych osobowych z tytułu naruszenia przepisów nowego rozporządzenia, które najwięcej mówią o motywach europejskiego prawodawcy.

Gwoli przypomnienia, przyjęte przez Parlament Europejski w dniu 14 kwietnia 2016 r. ogólne rozporządzenie o ochronie danych osobowych zastąpi w ciągu dwóch lat przepisy krajowe, w tym w szczególności ustawę o ochronie danych osobowych. Rozporządzenie, stosowane bezpośrednio we wszystkich krajach członkowskich, ujednolici zakres ochrony danych osobowych oraz procedury z tym związane. Celem reformy nie jest jednak wyłącznie unifikacja w obszarze ochrony danych osobowych w skali całej Unii Europejskiej lecz również, a może przede wszystkim, podwyższenie poziomu tej ochrony oraz dostosowanie regulacji do dzisiejszych realiów.

Jak było…?

Z punktu widzenia polskiego systemu prawnego bardzo duże zmiany dotyczą zasad odpowiedzialności z tytułu naruszenia przepisów z zakresu ochrony danych osobowych. Dotychczas polskie przepisy obowiązki w obszarze ochrony danych osobowych obwarowywały sankcjami o charakterze karnym. Organem właściwym do ukarania winnych naruszenia przepisów były więc sądy powszechne.

Powyższe powodowało, że w praktyce trudno było zarówno Generalnemu Inspektorowi Danych Osobowych, jak również osobom, których dane były przetwarzane w sposób niezgodny z prawem, doprowadzić do ukarania niefrasobliwych administratorów danych. Postępowania sądowe w warunkach polskich potrafią trwać latami, co osłabiało społeczne oddziaływanie wyroku. Również mała determinacja organów ścigania, tj. policji i prokuratury w ściganiu sprawców przestępstw przeciwko bezpieczeństwu danych osobowych, prowadziła do marginalizowania znaczenia reguł rządzących przetwarzaniem danych.

W skrócie, nie wszystko działało tak jak powinno.

Jak będzie…?

Na pewno inaczej! Przede wszystkim europejski prawodawca zdecydował, że obok krajowych przepisów karnych, na szczeblu wspólnotowym winny funkcjonować przepisy, na podstawie których możliwe będzie nakładanie kar administracyjnych na naruszających zasady ochrony danych osobowych. I to kar niemałych…

Wspomniane kary będą miały charakter „mandatów” nakładanych przez upoważnione do tego, krajowe organy ochrony danych osobowych (np. polski GIODO). Na wyobraźnię działa jednak najbardziej nie sam fakt stworzenia możliwości nałożenia kary ale potencjalna wysokość tych kar. Za najcięższe przewinienia mogą one bowiem wynieść nawet 20 000 000 EUR lub do 4% wartości rocznego światowego obrotu z poprzedniego roku obrotowego!

Warto więc zwrócić uwagę, że nawet dla „dużych graczy”, takich jak Google czy Apple, kara może być dotkliwa. Już sam fakt posłużenia się wartością obrotu jako podstawą wyliczenia wysokości kary administracyjnej powinien dawać do myślenia. Europejski prawodawca reformując przepisy z zakresu ochrony danych osobowych daje nam jasny sygnał – koniec z naruszeniami w tym obszarze!

Nic już nie będzie takie samo…

Wnioski jakie płyną z analizy przepisów rozporządzenia są jasne. Prawodawcy chcą lepiej chronić dane osobowe obywateli, a przede wszystkim surowiej i przykładniej karać winnych naruszeń.

Administratorze danych osobowych, pamiętaj że krajobraz „po rozporządzeniu” będzie już inny. Obowiązków będzie więcej, a kary będą surowsze. Warto się do tego przygotować…