Roczne doświadczenia z unijną reformą ochrony danych osobowych pokazują, że z jednej strony świadomość co do praw związanych z wykorzystywaniem takich informacji znacznie wzrosła, ale z drugiej wciąż nie jest to łatwa w praktyce materia. Nie dotyczy to tylko Polski.
Po roku stosowania ogólnego rozporządzenia o ochronie danych (RODO) większość organów nadzorczych działających w krajach Wspólnoty zgłosiła, że odnotowują wzrost liczby pytań i zgłoszeń nieprzestrzegania tej ochrony w porównaniu z 2017 r. Instytucje państw Europejskiego Obszaru Gospodarczego (EOG) zarejestrowały ponad 144 tys. zapytań i skarg i ponad 89 tys. sygnałów o naruszeniach, z czego 63 proc. spraw zostało zakończonych — podał na swojej stronie internetowej polski Urząd Ochrony Danych Osobowych (UODO).
Zgłoszenia do organów
Dane pochodzą z raportu Europejskiej Rady Ochrony Danych (EROD), który zawiera wyniki ankiet wypełnionych przez wspomniane organy nadzorcze krajów EOG i bilans jej dotychczasowych osiągnięć. W ocenie rady to m.in. wzrost liczby zapytań i skarg potwierdza rosnącą tendencję świadomości na temat praw związanych z ochroną danych osobowych, co poświadczają tegoroczne marcowe badania Eurobarometru. Jak wynika z raportu, 67 proc. badanych obywateli Unii Europejskiej oświadczyło, że słyszało o RODO, a 36 proc. wie, z czym wiąże się to rozporządzenie. 57 proc. respondentów stwierdziło, że są świadomi istnienia krajowego organu publicznego odpowiedzialnego za ochronę ich praw w zakresie ochrony danych. Rezultaty te wskazują na dwudziestoprocentowy wzrost tych wskaźników w porównaniu z badaniami Eurobarometru z 2015 r.
Z innego bilansu, którego autorem nie była żadna instytucja państwowa, wynika, że Polska przoduje w regionie Europy Środkowej i Wschodniej w statystykach dotyczących skarg na naruszenia postanowień RODO. Dowiadujemy się tego z raportu „Living one year with GDPR”, w którym zebrano spostrzeżenia ekspertów Deloitte z Europy Środkowej — Polski, Słowacji, Rumunii, Bułgarii, Czech, Litwy, Węgier i Chorwacji. Wynikają one z obserwacji rynkowych i doświadczeń zdobytych przy wdrażaniu unijnego rozporządzenia. Wspomniana liczba zgłoszeń o nieprawidłowościach odnotowanych w Polsce przekroczyła 4,5 tys. Na drugim miejscu znalazły się Czechy z ponad 3 tys. skarg. W 626 z tych spraw wszczęto postępowania administracyjne.
Przypadki naruszeń w regionie Europy Środkowej i Wschodniej w większości wiązały się z utratą danych, kradzieżami i nieupoważnionym dostępem do danych osobowych. W Czechach wiadomo na razie o sześciu przypadkach ukarania — przede wszystkim za niewłaściwą ochronę danych i ich przetwarzanie bez niezbędnych pozwoleń, a kary wynoszą od ok. 390 EUR do 1,2 tys. EUR. Na Węgrzech sankcje, którymi objęto dziesięć naruszeń, wahają się między 3 tys. a 40 tys. EUR. Pierwszą nałożoną niedawno na Litwie karę — 61,5 tys. EUR — otrzymała firma FinTech w związku z nieprawidłowym przetwarzaniem danych, ujawnieniem ich i niepowiadomieniem o tym osób, których dotyczą. Do serwera firmy włamano się w lipcu 2018 r., przez co informacje o jej klientach stały się dostępne w formie 9 tys. zrzutów z ekranu transakcji bankowych. Kontrola wykazała, że za bezpieczeństwo i zarządzanie danymi w tej firmie odpowiadała tylko jedna osoba. Najwyższą w regionie karę nałożono jednak w Polsce — w marcu tego roku. To około 1 mln zł za to, że firma nie powiadomiła podmiotów danych o ich przetwarzaniu, tłumacząc, że wiązałoby się to z niewspółmiernym wysiłkiem i kosztami. Ukarana spółka pozyskiwała je ze źródeł publicznych i przetwarzała dla zysku.
Rosnące zaufanie
— Spora część nałożonych w Europie kar dotyczy kwestii bezpieczeństwa i nieumiejętnego radzenia sobie z trudnymi sytuacjami, które przecież zdarzają się wszędzie — zauważa Marcin Lewoszewski, radca prawny, partner w Kancelarii Kobylańska & Lewoszewski.
Uważa on jednak, że przedsiębiorcy na pewno są obecnie bardziej świadomi tego, że nowe prawo ochrony danych osobowych obowiązuje i dotyka również ich działalności w bardzo namacalny sposób.
— Choć przed polskimi firmami jeszcze długa droga do swobodnego funkcjonowania w nowej rzeczywistości, to spora grupa ma już świadomość, że nieprzestrzeganie zasad wynikających z RODO to zwykle problem, który może przynieść bardzo realne szkody dla przedsiębiorstwa. Nie chodzi tylko o potencjalne sankcje, ale przede wszystkim o straty wizerunkowe — podkreśla Marcin Lewoszewski.
Na razie trudno oceniać, czy statystyki o skargach odpowiadają skali naruszeń, czy świadczą głównie o zwiększonej świadomości co do znaczenia danych osobowych i ich ochrony. Jak dowodzi historia, nie wszystkie sygnały są zasadne. By ocenić stopień nieprawidłowości w stosowaniu RODO, przyjdzie jeszcze poczekać, aż zakończy się większość postępowań podjętych w wyniku takich zgłoszeń. Z badania „The Workforce View in Europe 2019”, przeprowadzonego przez firmę ADP, wynika, że Polska znajduje się w czołówce państw w Europie pod względem zaufania do bezpiecznego przetwarzania danych osobowych w miejscu pracy. Uważa tak 60 proc. ankietowanych pracowników naszego kraju, podczas gdy średnia europejska wynosi 56 proc. Jednocześnie o 10 proc. wzrósł odsetek polskich respondentów mających takie zdanie — w porównaniu do badania sprzed roku. Duża zmiana nastąpiła również w postrzeganiu bezpieczeństwa systemów IT. W zeszłym roku według 13 proc. badanych postrzegano je jako często nieodporne na cyberataki, obecnie uważa tak 8 proc.
Porządkowanie archiwów
W ocenie Iron Mountain Polska, firmy zarządzającej informacją i przetwarzającej za zgodą jej klientów dane osób prywatnych, przed polskimi firmami jeszcze długa droga, aby w pełni dostosować się do przepisów RODO.
— Konieczna jest zmiana mentalności polskiego biznesu, bo wiele firm funkcjonuje nadal według starych przyzwyczajeń, które — w obliczu zmian w ponad 160 aktach wprowadzonych obszerną ustawą w maju tego roku — byłyby niestety niezgodne z prawem — twierdzi Sylwia Pyśkiewicz, prezes Iron Mountain Polska.
Zwraca uwagę np. na obowiązek likwidacji przedawnionych danych. W ciągu ostatniego roku Iron Mountain wraz ze swoimi klientami uporządkował archiwa liczące ponad 100 mln dokumentów w wersji papierowej i elektronicznej. Około 40 proc. przechowywanych zasobów wymagało zniszczenia, co zrobiono, chroniąc firmy przed potencjalnymi karami. Poza tym, dzięki prawidłowej identyfikacjiinformacji przeznaczonych do skasowania i ich usunięciu, przedsiębiorstwo może ograniczyć koszty przechowywania danych nawet do 30 proc.
— Z naszych obserwacji wynika, że najsumienniej do procesu RODO podszedł sektor finansowy, w tym banki i ubezpieczyciele. Tuż za nimi na podium plasują się branże medyczna i handlowa, które zarządzają danymi klientów detalicznych — mówi Sylwia Pyśkiewicz.
Jej zdaniem polski biznes ciągle jeszcze z trudem rozstaje się z dokumentacją w postaci papierowej.
— Klienci niejednokrotnie zamawiają u nas oryginał dokumentu zarchiwizowanego w naszych magazynach, powielają go wewnętrznie, nawet jeśli jest już przez nas zdigitalizowany, a następnie nie zwracają do archiwum. Bywa, że zamawiają go ponownie, zapominając, że mają go u siebie — relacjonuje prezes Iron Mountain Polska.
Dodaje, że często takie wypożyczanie prowadzi do zgubienia jedynego istniejącego oryginału.
OKIEM EKSPERTA
Zaufanie do pracodawcy
ANNA BARBACHOWSKA, szefowa pionu zarządzania zasobami ludzkimi w ADP Polska
Wyraźnie widać, że firmy poważnie podeszły do zmian. W wielu przypadkach organizowały dla pracowników szkolenia, podczas których wyjaśniały, jak przestrzegać nowych przepisów. Mogło to wynikać m.in. z surowości sankcji grożących za naruszenia, sięgających nawet 4 proc. wartości rocznego obrotu przedsiębiorstwa. I choć większość kar nie przekracza kilku tysięcy euro, to przykłady British Airways, Marriotta czy chociażby kary w wysokości 1 mln zł dla polskiej firmy dają pracodawcom do myślenia. Dodając do tego przykład Facebooka, ukaranego za sposób obsługi danych użytkownika na kwotę 5 mld dolarów, wyraźnie widać, jak istotne w ujęciu globalnym staje się bezpieczeństwo danych. Przestrzeganie odpowiednich procedur wpływa też pozytywnie na wizerunek firm. Przedsiębiorstwo niestosujące się do RODO, a tym bardziej ukarane przez Urząd Ochrony Danych Osobowych, będzie mniej atrakcyjne dla partnerów biznesowych. Tym bardziej że współpraca z nimi często wiąże się z przetwarzaniem wrażliwych danych. Ich odpowiednia ochrona stała się więc standardem. Co ciekawe, największe zaufanie do pracodawców mają osoby, które dopiero rozpoczynają karierę zawodową. Jak wynika z naszego raportu, aż 76 proc. pracowników w wieku 16-24 uważa, że informacje o nich są odpowiednio przechowywane w pracy. Jednak na takie opinie młodych ludzi oprócz RODO miało też wpływ wychowanie w środowisku wszechobecnych mediów i internetu. Ich świadomość w związku z tym jest wyższa i zdają sobie oni sprawę ze skutków lekkomyślnego podawania danych osobowych. Niekiedy sami pytają przyszłych pracodawców, jak są przetwarzane dane osobowe w miejscu pracy.
Sprawdź program konferencji "RODO praktyka i egzekucja prawa", 26 listopada 2019, Warszawa >>