O tych m.in. aspektach nowego prawa, które zacznie obowiązywać od 25 maja tego roku, ekspert mówił podczas spotkania zorganizowanego w miniony wtorek w Business Centre Club.
Czytaj: Będą kary za naruszanie prawa o danych osobowych>>
Jak przekonywał uczestniczących w konferencji przedsiębiorców, jedną z największych wad unijnego rozporządzenia o ochronie danych osobowych jest ogólnikowość tej regulacji. - To jest bardzo wysokopoziomowa dyrektywa, w którą da się wrzucić różne sprawy - stwierdził.
- A problem z tą ogólnikowością jest taki, że to my mamy ją stosować i interpretować. A organy publiczne już teraz mówią, że one czekają na to, jak to wyjdzie w praktyce i wtedy wypracują swoją politykę w tym zakresie. Że będą odcinać i piętnować najgorsze praktyki, tylko nie wiadomo, gdzie umieszczą tę poprzeczkę – na poziomie średnim czy wyższym - dla swojej oceny, co jest dobrą praktyką ochrony danych osobowych - mówił.
Udowodnij swoją niewinność
Inaczej niż generalnie w systemie prawa, gdzie obowiązuje zasada domniemania niewinności, RODO wymaga od podmiotów administrujących danymi osobowymi wykazania, że jest to robione zgodnie z unijną regulacją. – To na przedsiębiorcach spoczywa ten obowiązek i GIODO już zapowiada, że będzie czekać na zachowania podmiotów, które mają wykazać przestrzeganie standardów, a potem sprawdzi, czy to jest w porządku. A więc musimy wykazać zgodność działania i nie możemy liczyć na domniemanie niewinności. Raczej trzeba przyjmować domniemanie winy i wykazywać odpowiednią staranność, by w razie zarzutów wykazać, że postępowaliśmy zgodnie z przepisami – mówi Maciej Gawroński.
Wysoki poziom odpowiedzialności
Jego zdaniem poziom odpowiedzialności wynikającej z RODO jest bardzo wysoki. Bo od odpowiedzialności za naruszenie zasad ochrony danych osobowych można będzie się uwolnić tylko wykazując, że podmiot w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. - Jeśli jednak przetwarzanie danych następuje w pewnym ciągu – administrator komuś przekazuje dane, ten przesyła je dalej – to wszyscy w tym łańcuchu są odpowiedzialni – mówi radca Gawroński. Zarówno wobec osób fizycznych jak i przed organem nadzorczym. Jak podkreśla prawnik, to duża zmiana w stosunku do dotychczasowych przepisów, ponieważ obecnie odpowiada tylko ten najwyżej położony administrator danych, a przetwarzający zasadniczo nie odpowiadają.
Długi katalog powodów do ukarania
Jak mówi mec. Gawroński, w unijnym rozporządzeniu jest „18 plus” kryteriów, które urząd nadzoru będzie brał pod uwagę przy ocenie firm podejrzanych o naruszenie przepisów. Ale dodaje, że ta lista jest znacznie dłuższa, ponieważ na jej końcu jest charakterystyczne sformułowanie „i inne”, które prowadzi m.in. do sformułowania, że firma może być ukarana, jeśli na skutek zaniedbań w ochronie danych osiągnięto bezpośrednio lub pośrednio korzyści finansowe lub uniknięto straty. – A to oznacza, że jeśli oszczędzając na ochronie danych osobowych osiągnęliśmy jakieś korzyści, to organ nadzoru nam to policzy i w takiej wysokości wymierzy nam karę – mówi.
I dodaje, że to ma związek z założeniem o odstraszającym charakterze kar. – Nie można mieć pretensji do generalnej inspektor ochrony danych osobowych, że mówi o odstraszającym charakterze kar, bo to jest zapisane wprost w RODO. Rzeczywiście, ta regulacja mówi, że kary mają być skuteczne i odstraszające – stwierdza Maciej Gawroński. I komentuje, że takich poziomów straszenia jest w tej regulacji wiele.
Jak jednak zaznacza, możliwości kontrolne publicznego nadzorcy będą ograniczone, więc zapewne ograniczy się on do sprawdzania przypadków najbardziej wyrazistych, albo takich, które będą miały pecha i staną się przedmiotem jakiejś publicznej debaty. – Ale wszyscy administratorzy danych osobowych powinni mieć się na baczności – podkreśla.
*Radca prawny Maciej Gawroński jest ekspertem publikującym w serwisie LEX ODO>>
Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>