W poniedziałek 25 maja 2020 r. minęły dwa lata od wejścia w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: ,,RODO”). W ciągu tego okresu Prezes UODO wystosował wobec podmiotów naruszających postanowienia RODO administracyjne kary pieniężne przekraczające kwotę 4 milionów złotych. Wysokość nałożonych kar za naruszenia waha się od 20 tys. zł do prawie 3 mln zł.
Gdy RODO wchodziło w życie sądzono, że podmiotami, które w pierwszej kolejności mogą liczyć się z sankcją będą podmioty, które nie powzięły żadnych kroków w celu dostosowania się do nowych przepisów. Tymczasem kary dotykają również podmioty które błędnie dostosowały się do RODO, albo dopuszczają się naruszeń i zaniedbań.
Na przykładzie postępowania przeprowadzonego przez Prezesa UODO wobec spółki dwóch spółek z ograniczoną odpowiedzialnością z branży sprzedaży Internetowej oraz wywiadowni gospodarczej należy zauważyć, że niewystarczające jest wykazania przez podmiot przetwarzający dane, iż podejmowane były jakiekolwiek kroki, w tym przeprowadzanie audytu zgodności z RODO, w celu uniknięcia odpowiedzialności, a tym samym kary. Ważne jest aby wdrożone rozwiązania techniczne i organizacyjne jak najskuteczniej minimalizowały ryzyko naruszenia postanowień RODO. Środki zastosowane przed podmiot w celu zapewnienia bezpieczeństwa przetwarzania powinny być zatem regularnie sprawdzane pod względem skuteczności i aktualizowane, co wynika wprost z art. 24 pkt. 1 RODO, który wyraźnie wskazuje, iż wdrożone środki techniczne i organizacyjne należy w razie potrzeby poddawać przeglądom i uaktualnieniom.
Dnia 25.05.2018 r. wiele firm zamknęło etap dostosowywania do RODO i przez 2 lata zupełnie zapomniało o wysiłkach podjętych kilka miesięcy wcześniej pozostawiając stworzone rozwiązania i dokumenty w stanie jak na ten właśnie dzień. Tymczasem już po wejściu w życie RODO zostało wydanych wiele przepisów, wytycznych i opracowań (w tym pochodzących od UODO) które rozstrzygają ogromną ilość wątpliwości których nie dało się rozstrzygnąć na 25.05.2018 r. Dotyczy to nie tylko obowiązków pracowniczych, monitoringu wizyjnego, monitoringu pojazdów służbowych ale również wielu innych aspektów. Wyjaśniło się m.in. kiedy rekomendowane jest wykonanie analizy DPiA. Tymczasem ogromna ilość firm w Polsce nie uwzględniła zmian przepisów, nowych wytycznych i wskazówek poprzestając na stanie przyjętym na 25.05.2018 r. Tymczasem RODO wymaga ciągłego doskonalenia wprowadzanych rozwiązań, aktualizacji dokumentacji, testowania i udoskonalania. Takim podstawowym grzechem jest brak aktualizacji Rejestru Czynności Przetwarzania Danych Osobowych.
W celu uniknięcia błędów, które skutkować mogą nałożeniem kary pieniężnej przez Prezesa UODO na podmiot przetwarzający dane warto przeprowadzić audyt zgodności z RODO, który pozwoli zobrazować w jaki sposób i jakie dane osobowe są przetwarzane przez podmiot. Dzięki powyższym informacjom podmiot będzie mógł podjąć odpowiednie kroki w celu prawidłowego zaktualizowania stanu przestrzegania RODO po 2 latach. Ważnym, choć nieobligatoryjnym elementem audytu RODO jest mapowanie procesów przetwarzania danych, za pomocą którego podmiot uzyska m.in. informacje o tym na jakiej podstawie prawnej przetwarzane są dane osobowe oraz komu są one powierzane. Przyczyni się to do sprawniejszego przygotowania Rejestr Czynności Przetwarzania, do którego prowadzenia administrator zobowiązany jest na mocy art. 30 RODO i za który jest on odpowiedzialny.
Warto również wspomnieć, iż jedna z kontroli dotyczących przestrzegania RODO skończyła się podejrzeniem popełnienia przestępstwa z art. 108 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym za udaremnianie lub utrudnianie prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Prokuratura Rejonowa w Katowicach skierowała już w tej sprawie akt oskarżenia przeciwko prezesowi kontrolowanej spółki do sądu. Należy przy tym wskazać, że art. 108 ww. ustawy wprowadza odpowiedzialność karną nie tylko za udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, lecz także za niedostarczenie niezbędnych danych lub dostarczanie danych uniemożliwiających ustalenie podstawy wymiaru administracyjnej kary pieniężnej. Wynika to z faktu, iż na podmioty wskazane w art. 101 ustawy nałożono prawny obowiązek dostarczania Prezesowi Urzędu na jego żądanie, w terminie 30 dni od jego otrzymania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.
