RODO – co nas czeka w 2020? Subiektywny przegląd z okazji Dnia Ochrony Danych Osobowych

Miniony rok był bardzo dynamiczny z perspektywy ochrony danych osobowych. Na bieżąco pojawiały się kolejne interpretacje przepisów i praktyczne zalecenia Prezesa UODO, a także długo procedowany pakiet ustaw dostosowujący polskie przepisy. Nałożone zostały pierwsze kary, słyszeliśmy o głośnych incydentach, a pod koniec roku także o wyroku uchylającym pierwszą polską karę za naruszenia RODO.

Czy rok 2020 w obszarze danych osobowych będzie równie intensywny?  Wydaje się, że można spodziewać się pierwszych zatwierdzonych kodeksów branżowych, pierwszych akredytacji i certyfikacji, a także kolejnych spraw sądowych z powództw podmiotów danych. Być może także branża internetowa i marketingowa doczekają się ostatecznej wersji projektu rozporządzenia ePrivacy, choć ostatnie działania na poziomie unijnym stawiają tutaj duży znak zapytania.

 

Kodeksy branżowe

Zgodnie z RODO, organizacje reprezentujące administratorów danych lub podmioty przetwarzające, mogą opracowywać kodeksy postępowania, aby doprecyzować zastosowanie RODO w danej branży. W praktyce chodzi o to, aby w danym środowisku wypracować wspólne i dobre praktyki dotyczące przetwarzania danych osobowych, szczególnie w obszarach, gdzie przepisy nie są wystarczająco szczegółowe i mogą być różnie interpretowane.

Kodeksy przygotowywane są najczęściej we współpracy z branżowym izbami i organizacjami oraz podlegają konsultacjom z zainteresowanymi podmiotami w danym sektorze. Przygotowane projekty muszą zostać zatwierdzone przez Prezesa UODO, a następnie ich przestrzeganie powinno być monitorowane przez tzw. podmiot monitorujący – który dysponuje odpowiednim poziomem wiedzy fachowej i został akredytowany w tym celu przez Prezesa UODO. Niestety na dzień dzisiejszy wymogi akredytacji wciąż nie są znane, ale powinny być one jedynie uzupełnieniem normy ISO 17065/2012.

Z informacji dostępnych w Internecie i na stronie UODO wynika, że obecnie prowadzone są prace nad 14 kodeksami branżowymi, z czego tylko 4 zostały przedłożone do zatwierdzenia. Kodeksy tworzą się w branżach bankowej, medycznej (rodowzdrowiu + małe placówki medyczne), reklamowej, marketingowej, rekrutacji, handlowej, badawczej, biobanków, fotograficznej, bibliotekarskiej wodociągowo-kanalizacyjnej, spółdzielczej i inwestycyjnej.

Można więc spodziewać się, że w 2020 r. Prezes UODO zatwierdzi pierwsze kodeksy branżowe, a kolejne zostaną zgłoszone do zatwierdzenia.

 

Certyfikacja

Proces certyfikacji to w skrócie  zdobycie przez określony podmiot potwierdzenia, że sposób przetwarzania przez niego danych osobowych jest zgodny z wymogami RODO. Takie potwierdzenia – w formie certyfikatów – będą wydawać podmioty, które uzyskają odpowiednią akredytację od Prezesa UODO.

I tutaj zaczynają się schody – na ten moment brak jest krajowych kryteriów akredytacji oraz certyfikacji. Nie jest więc jeszcze możliwe uzyskanie certyfikatu zgodności działania z RODO czy ustalenie zatwierdzonych jednostek certyfikujących. Prace w tym zakresie toczą się od 2018 r. na poziomie unijnym, z udziałem Europejskiej Rady Ochrony Danych (EROD), aby zapewnić spójność na poziomie wszystkich krajów członkowskich. W 2018 i 2019 r. EROD i UODO prowadziły konsultacje wytycznych w sprawie certyfikacji i akredytacji.

Z informacji  zamieszczonych przez UODO wynika, że obecnie prowadzone są prace nad polskim tłumaczeniem ostatecznych wersji wytycznych. Zgodnie z informacją uzyskaną telefonicznie, Urząd aktualnie pracuje nad krajowymi wymogami i jeżeli nie wydarzy się nic nieoczekiwanego, powinny zostać wydane w tym roku (nieoficjalnie może nawet jeszcze w 1-szym półroczu).

 

Pozwy cywilne

Zgodnie z art. 82 ust. 1 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO ma prawo uzyskać odszkodowanie. Wydaje się, że ten obszar stosowania RODO dopiero kiełkuje, bo wymaga aktywności podmiotów danych i zdecydowania się na drogę sądową.

Z odpowiedzi Prezesa UODO w ramach dostępu do informacji publicznej (udostępnionej na jednym z portali dot. danych osobowych) wynika, że na dzień 7 stycznia 2020 r. toczyło się 7 spraw sądowych z tytułu naruszenia przepisów o ochronie danych osobowych – żadna nie zakończyła się jeszcze prawomocnym wyrokiem.

Wydaje się, że można spodziewać się kolejnych spraw cywilnych w tym obszarze, szczególnie w związku z głośną sprawą kradzieży laptopa z danymi należącymi do SGGW w Warszawie. Jednak ze względu na ogólną niechęć społeczną do spraw sądowych i przewlekłość postępowań, ten obszar nie powinien być głównym zmartwieniem administratorów danych.

 

ePrivacy?

Zagadką pozostają losy europejskiego rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (tzw. ePrivacy). Pod koniec ubiegłego roku Rada Unii Europejskiej odrzuciła kolejny jego projekt. Ze względu na silne lobby branży marketingowej i internetowej trudno przewidzieć, kiedy i w jakiej formule ePrivacy zacznie obowiązywać.

 

Podsumowując, mimo że RODO obowiązuje już od 1,5 roku, zaczynający się rok powinien przynieść kolejne nowości w obszarze ochrony danych osobowych.

Autor: Magdalena Kaleta-Maniak

SENIOR CONSULTANT
ADWOKAT

magdalena.kaleta@olesinski.com

Więcej