W dniu 25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO). Oznacza to, że w bieżącym roku świętujemy 5 lat obowiązywania RODO w Polsce.
Zmiany jakie wprowadzić miały przepisy RODO budziły z początku dużą nieufność, a nawet strach, zwłaszcza wśród przedsiębiorców, którzy w ramach prowadzonych działalności gospodarczych zmuszeni są do przetwarzania danych osobowych. Wiele osób podchodziło również sceptycznie do praktycznego realizowania postanowień RODO, wskazując, że w praktyce nie będzie można sprawować skutecznej kontroli przestrzegania rygorystycznych przepisów prawa dotyczących ochrony danych osobowych. Po upływie 5 lat można pokusić się o pierwsze podsumowania obowiązywania RODO na gruncie polskiego porządku prawnego.
Największe sukcesy RODO
Okres 5 lat obowiązywania RODO zdaje się potwierdzać, że największym sukcesem wprowadzenia tego rozporządzenia jest znaczące zwiększenie społecznej świadomości problematyki dotyczącej ochrony danych osobowych. Obecnie większość osób zdaje sobie, co najmniej w podstawowym zakresie, sprawę z przysługujących im praw i tego, że przetwarzanie danych osobowych, niemal zawsze, musi odbywać się za zgodą i wiedzą zainteresowanych.
Przepisy RODO, obowiązujące wszakże na terenie całej Unii Europejskiej, zmusiły również do zwiększenia dbałości o bezpieczeństwo przetwarzania i przechowywania danych osobowych także wielkie, globalne marki, takie jak choćby Facebook, czy Instagram. W maju 2023 r. irlandzki organ nadzoru (odpowiednik polskiego UODO) ogłosił zakończenie postępowania w sprawie naruszenia przepisów RODO przez Meta (właściciela m.in. Facebooka) i nałożenie na ten podmiot olbrzymiej kary finansowej w wysokości ok. 1,2 mld euro.
Wejście w życie RODO z pewnością wpłynęło również na ogólny poziom bezpieczeństwa przechowywania i przetwarzania danych osobowych przez podmioty administrujące, tak z sektora publicznego, jak i prywatnego. Większa świadomość społeczna, jak również ryzyko wysokich kar zmotywowało większość firm do wprowadzenia polityk RODO, złożonej dokumentacji dotyczącej procedur w związku z ochroną danych osobowych, czy powoływania nowych stanowisk jak np. Inspektorzy Ochrony Danych Osobowych.
Największe wyzwania RODO
Pomimo istnienia licznych sukcesów w związku z wprowadzeniem RODO, w dalszym ciągu istnieje jeszcze wiele wyzwań związanych z ochroną danych osobowych. Jednym z najczęściej postulowanych wyzwań jest doprowadzenie do sytuacji, w której dokumentacja RODO stosowana przez przedsiębiorców będzie miała wymiar praktyczny, odpowiadający zapotrzebowaniu danego podmiotu, a nie jedynie teoretyczny. Obecnie dużym problemem wciąż jest to, że część przedsiębiorców rezygnuje z audytów RODO i powierzenia przygotowania dokumentacji RODO podmiotom profesjonalnym, na rzecz wykorzystywania ogólnych, nie zawsze sprawdzonych wzorów z Internetu.
Kolejnym wyzwaniem jest rozwój techniki jaki nastąpił od 2018 r., który to rozwój kreuje nowe problemy na gruncie ochrony danych osobowych. Warto tu za przykład podać przede wszystkim rozwój sztucznej inteligencji. Systemy, na których opiera się sztuczna inteligencja muszą przetwarzać ogromną ilość danych, w tym danych osobowych. Z pewnością wymusza to wprowadzenie nowych regulacji prawnych w zakresie gromadzenia i przetwarzania danych osobowych tak względem podmiotów projektujących sztuczną inteligencję, jak również podmiotów ją wykorzystujących w bieżącej działalności.
Obecnie Parlament Europejski, wychodząc naprzeciw tym wyzwaniom, prowadzi prace nad tzw. „AI Act” – aktem prawnym regulującym kompleksowo, w tym w zakresie danych osobowych, problematykę rozwijania i korzystania ze sztucznej inteligencji.
5 lat RODO w Polsce – kary za naruszenie przepisów
Z danych udostępnionych przez UODO wynika, że w okresie 5 lat obowiązywania RODO nałożono w Polsce niemal 60 kar z tytułu naruszeń przepisów ochrony danych osobowych. Najniższa wymierzona kara wynosiła 321 euro, a najwyższa z dotychczas orzeczonych niebagatelną kwotę 1 000 000,00 euro.
Powyższe dowodzi temu, że wdrożenie RODO w Polsce nie ma charakteru wyłącznie teoretycznego, a powołane do kontroli przestrzegania przepisów organy w rzeczywistości realizują swoje funkcje kontrolne. Tym bardziej warto zadbać o możliwie kompleksowe uregulowanie kwestii dotyczących RODO w ramach prowadzonej działalności gospodarczej. Dzięki temu z jednej strony wpisujemy się w pozytywny trend respektowania RODO, z drugiej unikniemy ryzyka nałożenia administracyjnej kary pieniężnej za ewentualne naruszenia.