Mniej niż 100 dni do wejścia w życie RODO - czy rzeczywiście jest takie straszne?

Śledząc różnego rodzaju media można odnieść wrażenie, że nadchodzące zmiany w zakresie ochrony danych osobowych to „armagedon” dla przedsiębiorców. Już same nagłówki ostrzegają przed wielomilionowymi karami i ogromną ilością nowych obowiązków. Niektórzy posuwają się nawet dalej wieszcząc, że 25 maja 2018 r. będzie sądnym dniem dla przedsiębiorców. Wydaje się jednak, że artykuły i informacje pisane w tym tonie mogą być często wyolbrzymione a ich autorzy jedynie powierzchownie omawiają temat nie wskazując innych stron nowelizacji, jak również (projektowanych) wyłączeń.

Co niesie ze sobą reforma?

Rzeczywiście RODO wprowadza szereg dodatkowych wymagań, nowe obowiązki dla administratorów jak np. prowadzenie rejestru czynności, czy obowiązek stałego monitorowania jakości zabezpieczeń i ocen ryzyka. Prawdą jest również, że w ramach RODO wprowadza się możliwość nakładania przez Prezesa Urzędu Ochrony Danych Osobowych wysokich kar finansowych aż do 20 milionów euro lub 4% globalnego, rocznego obrotu danego przedsiębiorcy.

Z drugiej jednak strony, w ramach wskazanego na wstępie projektu ustawy o ochronie danych osobowych zaproponowano szereg wyłączeń, w określonych warunkach, od obowiązków przewidzianych w RODO dla małych i średnich przedsiębiorstw. Jak wynika ze statystyk wskazane przedsiębiorstwa stanowią ok. 99% wszystkich przedsiębiorstw w Polsce. Nie oznacza to oczywiście, że wszystkie będą podlegać wyłączeniu (ponieważ istnieją dodatkowe kwalifikacje), jak również, że zwalniają one całkowicie z obowiązku przygotowania się do wejścia w życie wskazanych przepisów. Stanowią one jednak istotne uproszczenie dla wielu podmiotów na rynku.

Oprócz powyższego, w ramach RODO przewidziano prawa osób fizycznych, które mają służyć zabezpieczeniu ich danych osobowych, co może dotyczyć każdego z nas. Prawa te to w szczególności przemodelowane prawo do „bycia zapomnianym” lub nowowprowadzone prawo do przenoszenia danych. Nie są to jednak jedyne udogodnienia dla osób fizycznych, które zostały w przewidziane w rzeczonym akcie prawnym. Z tego powodu obraz RODO nie może być postrzegany jedynie przez pryzmat obowiązków, ale również zabezpieczeń niezbędnych w niezwykle dynamicznie rozwijającej się gospodarce cyfrowej.

Czy zatem rzeczywiście RODO jest takie straszne?

Odpowiedź na to pytanie jest oczywista i nie odbiega od "standardów" - jeśli czas pozostały do wejścia w życie omawianych przepisów zostanie wykorzystany na ich analizę i przygotowanie w ramach swojego przedsiębiorstwa problemy nie powinny wystąpić. W przeciwnym przypadku można się narazić na negatywne konsekwencje, co jest oczywiste nie tylko w tym przypadku. Ponadto, podana wysokość kar, która jest często podkreślana w mediach, nie oznacza, że w każdym przypadku regulator będzie się chociażby do nich zbliżał. Każdorazowa decyzja będzie bowiem podejmowana po wzięciu pod uwagę wszelkich okoliczności danej sprawy dlatego niewielkie odstępstwa od przepisów nie będą automatycznie skutkowały w karze na sumę, którą trudno sobie nawet wyobrazić.

Na zakończenie gratuluję osobom, które wykonały już pierwsze kroki celem dostosowania swojego przedsiębiorstwa do nowej rzeczywistości. Dla tych, którym się to jeszcze nie udało na pocieszenie przypominam, że jest jeszcze czas. Trzeba jednak zaznaczyć, że w związku z nowelizacją rynek związany z ochroną danych osobowych, w szczególności audytów i wdrożeń zgodności z RODO, dynamicznie się powiększa. Z jednej strony jest to niezmiernie pozytywne ponieważ wskazuje na wzrost świadomości społecznej w tej stosunkowo młodej i trudnej dziedzinie. Z drugiej jednak wskazuje na zainteresowanie się nią osób lub podmiotów, które do tej pory nie przewidywały tego w zakresie swojej działalności. Pomimo istnienia możliwości, że mogą one wykonywać swoją pracę rzetelnie i dokładnie wydaje się, że w przypadku tak trudnej dziedziny i zakresu nowelizacji, niezbędne jest posiadanie wcześniejszego doświadczenia związanego z ochroną danych osobowych dla całościowego zrozumienia zachodzących procesów i zaproponowania odpowiednich (zarówno od strony bezpieczeństwa danych, jak również bezpieczeństwa biznesu) rozwiązań. Z tego powodu polecam również szczególną ostrożność i weryfikację rzeczywistego doświadczenia w procesie wyboru partnera, co może uchronić przed ewentualnymi, późniejszymi problemami.