Rok 2018 upłynął pod hasłem ochrony danych osobowych. Rozpoczęcie stosowania RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) wywołało w państwach członkowskich UE gorączkę ochrony danych osobowych. Nie było chyba przedsiębiorcy, który nie usłyszał o gigantycznych karach sięgających 20 mln EUR, których nałożeniem RODO złowieszczo groziło za nieprzestrzeganie standardów w zakresie przetwarzania danych osobowych pracowników, klientów, czy kontrahentów.

O ile 2018 był rokiem wdrażania RODO – pełnym spekulacji, niewiadomych, ale również niestety mitów i przekłamań dotyczących tej regulacji, to w 2019 mieliśmy już do czynienia z bardziej świadomym jej stosowaniem przez administratorów danych osobowych oraz początkiem procesu weryfikacji tego stosowania przez europejskie organy nadzorcze, w tym polskiego Prezesa Urzędu Ochrony Danych Osobowych.

Artykuł był publikowany w Dzienniku Rzeczpospolita z dnia 08.01.2020 r. 

2019 – kolejne przepisy

W maju 2019 r. polski ustawodawca uzupełnił RODO o polski pierwiastek czyli ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Dla wielu administratorów danych osobowych oznaczało to kolejność dokonania przeglądu rozwiązań przyjętych rok wcześniej, zwłaszcza, że ustawa nowelizowała szereg ustaw branżowych, przede wszystkim Kodeks pracy, ustawę o ZFŚS, prawo bankowe, prawo telekomunikacyjne, ustawę o świadczeniu usług drogą elektroniczną, ustawę o prawach konsumenta, czy ustawę o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych. Zakres zmian objął również przetwarzanie danych osobowych przez adwokatów, radców prawnych, czy notariuszy – w ustawach samorządowych wprowadzono szczegółowe obowiązki związane przetwarzaniem przez nich danych osobowych, zwłaszcza w zakresie okresu ich przechowywania. Utrwaliła się również praktyka uznawania prawników za samodzielnych administratorów danych osobowych ujawnianych im przez klientów w związku ze świadczeniem obsługi prawnej.

I pierwsze kary

Dużo emocji wywołała również pierwsza administracyjna kara pieniężna nałożona przez PUODO. Kontrowersje związane były z tym, ze ukarana karą w wysokości 943 tys. zł spółka Bisnode dołożyła pewnej staranności w zakresie wypełniania jej obowiązków informacyjnych z art. 14 RODO. Zdaniem organu nadzorczego stopień tej staranności był niewystarczający, a spółka jako przedsiębiorca prowadzący działalność gospodarczą polegającą na pozyskiwaniu informacji, w tym danych osobowych osób prowadzących działalność gospodarczą, z ogólnodostępnych rejestrów publicznych (np. KRS, CEIDG, REGON) oraz analizowaniu, interpretowaniu a następnie udostępnianiu tych informacji zainteresowanym klientom, musi spełnić obowiązek informacyjny wobec tych osób. Wysoki koszt spełnienia tego obowiązku nie może być traktowany jako nadmierny wysiłek, który uzasadniałby odstąpienie od tego obowiązku zgodnie z art. 14 ust. 5 RODO.

PUODO wytknął również nieprzestrzeganie przepisów o powierzaniu przetwarzania danych osobowych burmistrzowi Aleksandrowa Kujawskiego, który za brak umów powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane został obciążony karą w wysokości 40.000 zł.

Błędem byłoby jednak określenie działań organu jako wyłącznie karzących administratorów danych osobowych. PUODO podjął i nadal podejmuje wysiłki mające na celu oddemonizowanie RODO, uświadomienie administratorów danych osobowych o ich obowiązkach (warto wskazać tutaj na publikowane przez organ poradniki i wytyczne), edukacje poprzez organizację licznych szkoleń. Inicjatywy PUODO nie ustępują tym podejmowanym przez jego odpowiedniki np. Wielkiej Brytanii, Liechtensteinu, czy RFN, które również tłumaczą często zawiłe zagadnienia związane z przetwarzaniem danych osobowych w Internecie.

RODO w orzecznictwie administracyjnym

Ze stosowaniem RODO przyszło się również zmierzyć sądom administracyjnym. W roku 2019 zapadło kilka ciekawych orzeczeń z zakresu prawa ochrony danych osobowych. Na uwagę zasługują tutaj wyrok NSA z 14 marca 2019 r. (sygn. akt I OSK 1090/17), w którym sąd stwierdził, że klientowi, który wcześniej cofnął zgodę na przetwarzanie danych osobowych w celach marketingowych, nie można wyświetlać żadnych reklam w sytuacji gdy zaloguje się do serwisu administratora; wyrok NSA 27 sierpnia 2019 roku (sygn. akt I OSK 2567/17), w którym zakwestionowano możliwość przetwarzania przez banki historii (niesfinalizowanych) zapytań kredytowych, zawierających informacje o ilości i częstotliwości występowania o kredyt w przypadku gdy nie doszło do zawarcia umowy kredytowej, czy wreszcie wyrok WSA w Warszawie z 11 grudnia 2019 r., sygn. akt II SA/WA 1030/19, w którym sąd uchylił pierwszą karę nałożoną na spółkę Bisnode, wywołując tym samym kolejną dyskusję o zakresie obowiązku informacyjnego wynikającego z art. 14 RODO.

Zapowiedź roku 2020

Zwiększająca się aktywność orzecznicza w zakresie RODO będzie kontynuowana w kolejnym roku. Jest to aktywność oczekiwana, co pokazuje orzeczenie z 11 grudnia 2019 r. – decyzje PUODO podlegają kontroli sądowej i mogą być skutecznie zaskarżane. Zdecydowanie umacnia to przekonanie, że dla podnoszenia standardów w zakresie ochrony danych osobowych potrzebne są działania nie tylko organów nadzorczych, ale również sądownictwa. Rok 2019 kończy się również miłym akcentem w postaci wyboru Wojciecha Wiewiórowskiego na Europejskiego Inspektora Ochrony Danych Osobowych, co można poczytywać za wyraz uznania dla „polskiej szkoły" ochrony danych osobowych.