6 lat obowiązywania RODO

rodo

25 maja 2018 na obszarze Unii Europejskiej zaczęło obowiązywać Rozporządzenie o Ochronie Danych Osobowych (RODO). Jego podstawowym celem było wzmocnienie ochrony danych osobowych obywateli UE, dopasowanie przepisów do dynamicznie rozwijającej się cyfrowej rzeczywistości oraz ujednolicenie przepisów dotyczących prywatności w całej Unii. Sześć lat później można już dokonać oceny, jakie efekty przyniosło to rozporządzenie, na jakie napotkano wyzwania oraz jakie są perspektywy na przyszłość.

 

Osiągnięcia RODO

Wzmocnienie praw obywateli

RODO znacząco wzmocniło prawa obywateli w zakresie ochrony danych osobowych. Wprowadziło szereg nowych praw, takich jak prawo do bycia zapomnianym, prawo do przenoszenia danych oraz prawo do sprzeciwu wobec przetwarzania danych. Osoby, których dane są przetwarzane, zyskały większą kontrolę nad swoimi danymi osobowymi, co przyczyniło się również do zwiększenia świadomości na temat ochrony prywatności.

Zwiększona przejrzystość

RODO zmusiło przedsiębiorstwa działające na terenie UE do zapewnienia większej przejrzystości w zakresie przetwarzania danych osobowych. Ich administratorzy muszą znacznie szczegółowiej informować użytkowników o celu ich zbierania, okresie przechowywania oraz o prawach przysługujących osobom, których dane dotyczą. Dzięki temu użytkownicy mają lepszy wgląd w to, jak ich dane są przetwarzane i mogą podejmować bardziej świadome decyzje.

Sankcje i egzekwowanie przepisów

RODO wprowadziło wysokie kary finansowe za naruszenie przepisów dotyczących ochrony danych. Maksymalna kara może wynosić do 20 milionów euro lub 4% globalnego obrotu firmy, w zależności od tego, która suma jest wyższa. Te surowe sankcje mają na celu zniechęcenie przedsiębiorstw do lekceważenia przepisów i zmuszenie ich do przestrzegania rygorystycznych standardów w zakresie ochrony danych.

W Polsce, od momentu wejścia w życie przepisów RODO, Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na polskie firmy 74 kary na łączną kwotę ponad 3,5 miliona euro. Dotychczasowe sankcje za naruszenie RODO dotyczyły dość szerokiego zakresu sektorów, obejmując w szczególności branże finansową, ubezpieczeniową, telekomunikacyjną oraz podmioty sektora publicznego.

Do najczęstszych powodów nakładania przez UODO kar finansowych należy brak wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących dane oraz niedopełnienie obowiązku zgłaszania naruszeń danych.

Dla przykładu – w kwietniu 2024 za niezgłoszenie incydentu w zakresie ochrony danych, Prezes UODO nałożył karę w wysokości 1 440 000 zł na jeden z największych polskich banków – Santander Bank Polska S.A.

Wyzwania związane z wdrażaniem RODO

Koszty wdrożenia

Jednym z głównych wyzwań, z jakimi borykają się firmy, są wysokie koszty wdrożenia przepisów RODO. Szczególnie dla małych i średnich przedsiębiorstw (MŚP) dostosowanie się do wymagań RODO może być kosztowne i czasochłonne. Wymaga to inwestycji w nowe technologie, szkolenia pracowników oraz zatrudnienia specjalistów ds. ochrony danych.

Problemów przysparza przedsiębiorcom również właściwa wykładnia art. 32 RODO dotyczącego bezpieczeństwa przetwarzania danych. Niektórzy administratorzy danych mają kłopoty z jego właściwym stosowaniem, nie wszyscy wiedzą, jakie mają wdrożyć rozwiązania aby spełnić wymagania.

Stosowanie przepisów i rozwlekłe klauzule informacyjne

RODO zostało zaprojektowane tak, aby było jednakowo stosowane w całej UE, jednak różnice w kulturze biznesowej i prawniczej poszczególnych krajów członkowskich sprawiają, że jego stosowanie i sposób interpretacji poszczególnych wymogów mogą się różnić. Ponadto szybki rozwój nowych technologii, takich jak sztuczna inteligencja i internet rzeczy, stawia przed prawodawcami nowe wyzwania, które RODO nie zawsze jest w stanie skutecznie rozwiązać.

Często sygnalizowanym problem są rozwlekłe treściowo klauzule informacyjne, które przedsiębiorcy zobowiązani są umieszczać przy niemal każdej okazji, a których realnie nikt, poza prawnikami z branży, nie czyta. Założona przy tym funkcja informacyjna bywa niestety nieco iluzoryczna. Zdaniem części przedstawicieli przedsiębiorców – klauzule w takiej formie nie przyczyniają się w żaden sposób do zwiększenia świadomości osoby, której dane dotyczą. Zmienia się to dopiero, gdy pojawi się spór lub roszczenie po stronie tejże osoby. Wówczas rzeczywiście sięga ona do tych treści w celu rozliczenia administratora.

Część przedsiębiorców postuluje wobec tego, iż obowiązkiem administratora danych powinno być zagwarantowanie użytkownikom możliwości łatwego i stałego dostępu do potrzebnych informacji w sposób umożliwiający im skorzystanie z nich wtedy, kiedy tylko będą chcieli, nie zaś umieszczanie ściany tekstu przy każdej możliwej okazji/interakcji.

Egzekwowanie przepisów

Mimo wprowadzenia wysokich kar finansowych, egzekwowanie przepisów RODO w praktyce nie zawsze jest skuteczne. Wiele krajowych organów ochrony danych boryka się z problemami kadrowymi i finansowymi, co utrudnia skuteczne monitorowanie przestrzegania przepisów. To z kolei może prowadzić do nierówności w egzekwowaniu prawa na terenie różnych państw członkowskich.

Perspektywy na przyszłość

Adaptacja do nowych technologii

Aby RODO mogło skutecznie chronić dane osobowe w dynamicznie rozwijającej się erze cyfrowej, konieczne jest dostosowywanie przepisów do nowych technologii i zmieniającej się cyfrowej rzeczywistości. W przyszłości można spodziewać się nowych regulacji prawnych i wytycznych organów nadzorujących ochronę danych, które będą uwzględniać procesy związane z rozwojem sztucznej inteligencji, big data, internetem rzeczy oraz cyberbezpieczeństwem.

Wzmocnienie międzynarodowej współpracy

Dane osobowe nieustannie przepływają przez granice państw i kontynentów. Dlatego też międzynarodowa współpraca w zakresie ochrony danych jest kluczowa. Unia Europejska dąży do zawierania umów z państwami trzecimi, w celu ułatwienia transferu danych poza granice UE i zapewnienie odpowiedniego poziomu ich ochrony. W lipcu 2023 Komisja Europejska wydała długo oczekiwaną decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. „Ramy ochrony danych UE-USA” (EU-US Data Privacy Framework).

Wsparcie dla małych i średnich przedsiębiorstw

Aby ułatwić małym i średnim przedsiębiorstwom przestrzeganie przepisów RODO, przydatne byłyby dodatkowe działania wspierające i edukacyjne propagowane przez UODO i organizacje biznesowe zrzeszające poszczególne sektory. Obejmuje to zarówno zapewnienie jasnych i praktycznych wytycznych, jak i rozwój narzędzi i technologii, które pomogą w zapewnieniu zgodności z przepisami w sposób bardziej efektywny i ekonomiczny.

Podsumowanie

Sześć lat po wprowadzeniu, RODO pozostaje kluczowym narzędziem ochrony danych. Wzmocnienie praw obywateli, zwiększenie przejrzystości oraz surowe sankcje finansowe przyczyniły się do znaczącego podniesienia standardów ochrony danych. Sukcesem jest podniesienie rangi prywatności jako wartości osobistej. Giganci technologiczni musieli poprawić standardy przetwarzania danych.

RODO wiąże się jednak również z wyzwaniami, takimi jak wysokie koszty wdrożenia, potrzebą uproszczenia klauzul informacyjnych oraz koniecznością dostosowywania się do szybko zmieniającego się otoczenia i dynamicznie rozwijających się technologii. W celu zapewnienia skutecznej ochrony danych osobowych w coraz bardziej cyfrowym, zglobalizowanym świecie konieczne wydaje się wzmocnienie międzynarodowej współpracy oraz zapewnienia większego wsparcia dla małych i średnich przedsiębiorstw.

11.07.2024
Select Country: