Uważna lektura RODO pozwala wskazać kilka narzędzi, które będę przysługiwały krajowym organom nadzorczym w celu monitorowania, udoskonalania oraz egzekwowania obowiązków nałożonych przez ten akt prawny. Niektóre z nich to nowe rozwiązania, inne już są stosowane, ale dopiero przepisy RODO nadały im formalny  kształt i odpowiednią rangę. Uprawnienia te wzmacnia projekt nowej ustawy o ochronie danych osobowych, nakładając jednocześnie na organ kilka obowiązków. Wybrane uprawnienia jak i obowiązki organu są przedmiotem tego artykułu.

Według projektu nowej ustawy o ochronie danych osobowych polskim organem nadzorczym będzie Prezes Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych i to on będzie adresatem tych uprawnień oraz obowiązków.

Zacznijmy od swoistego novum wprowadzonego przez RODO, tj. znajdującego oparcie w art. 33 obowiązku zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych. Obecnie podobny mechanizm dotyczy jedynie operatorów sieci telekomunikacyjnych, którzy mają obowiązek zgłaszania naruszeń bezpieczeństwa danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązek ustanowiony w art. 33 ma być zrealizowany niezwłocznie, nie później niż w ciągu 72 h od naruszenia, chyba, że ryzyko naruszenia praw i wolności jest mało prawdopodobne. Zgłoszenie musi opisywać m.in. charakter naruszenia, zawierać dane kontaktowe osoby, od której można uzyskać więcej informacji o naruszeniu, możliwe konsekwencje naruszenia oraz środki zaradcze. Przepis ten to nie tylko szerokie i „niebezpieczne” uprawnienie organu nadzoru do natychmiastowej interwencji w przypadku takiego zgłoszenia, ale także nakaz samodenuncjacji, który dodaje dodatkowego smaczku tej instytucji. Dlatego też wymieniam ją na pierwszym miejscu.

Co należy podkreślić RODO, w przeciwieństwie do aktualnych przepisów dotyczących ochrony danych osobowych, nie wytycza sztywnych ram w zakresie przetwarzania i zabezpieczenia danych osobowych, a wybór odpowiednich środków i narzędzi pozostawia administratorowi. Projekt ustawy o ochronie danych osobowych nakłada jednak na Prezesa Urzędu obowiązek wydawania rekomendacji określających techniczne i organizacyjne sposoby zabezpieczenia danych, które mają stanowić dla administratorów danych punkt odniesienia w jaki sposób dane skutecznie zabezpieczyć.

RODO przewiduje również możliwość skorzystania przez administratorów danych z pewnej formy dialogu z organem nadzoru. Jednym z obowiązków nałożonych na nich na gruncie nowych przepisów jest przeprowadzenie tzw. oceny skutków dla ochrony danych osobowych, a proces ten będzie mógł być połączony z instytucją uprzednich konsultacji z organem ochrony danych. Taka forma współpracy z organem na etapie projektowania systemu ochrony przetwarzania danych wydaje się bardzo atrakcyjna dla administratorów danych, gdyż stanowi swego rodzaju zabezpieczenie i gwarancję, że wypracowane niejako “wspólnie” z organem nadzoru rozwiązania dotyczące przetwarzania danych, są zgodne z prawem i nie zostaną zakwestionowane przy ewentualnej kontroli. Generalny Inspektor wychodząc naprzeciw oczekiwaniom administratorów danych przygotował propozycję wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych, i zaprosił do konsultacji tego ważnego dokumentu. https://giodo.gov.pl/pl/1520281/10430.

RODO zachęca również do tworzenia i przystępowania do tzw. kodeksów dobrych praktyk. Nie jest to instytucja zupełnie nowa, bo już Dyrektywa 95/46/WE Parlamentu Europejskiego je przewidywała, a GIODO niejednokrotnie inicjował i wspierał ich tworzenie. Niemniej jednak ogólne rozporządzenie w sposób formalny uregulowało kwestie związane z tworzeniem tzw. kodeksów postępowania. Określone zostały również uprawnienia organu nadzorczego w procesie ich tworzenia, a właściwie zatwierdzania, publikacji. Zgodnie z tym nowym rozporządzeniem GIODO zyskał opisane wyżej role wraz z obowiązkiem monitorowania przestrzegania zawartych w tych dokumentach przepisów przez akredytowane przez niego podmioty dysponujące wiedzą w dziedzinie, której dotyczy dany kodeks.

Kolejną z instytucji, gdzie organ nadzoru odgrywa ogromną rolę, jest certyfikacja. Według projektu ustawy o ochronie danych osobowych do wydawania certyfikatów będzie uprawniony nie tylko Prezes Urzędu Ochrony Danych Osobowych, ale również  przedsiębiorcy. Właściwymi do ustalenia kryteriów, na podstawie których będzie dokonywana certyfikacja będzie Prezes Urzędu lub podmiot certyfikujący np. Polskie Centrum Certyfikacji. Szczegółowy tryb i terminy na dokonywanie czynności w ramach procesu certyfikacji zostały zaś określone w projekcie ustawy o ochronie danych osobowych, w którym organ zyskał szczególną rolę jako organ certyfikujący, ale także kontrolujący w tym zakresie.

Opisując mechanizmy egzekwowania postanowień RODO, które będą przysługiwały organowi nadzoru, nie sposób oczywiście nie wspomnieć o rozbudzających wyobraźnię wszystkich zainteresowanych, dotkliwych sankcjach finansowych za złamanie obowiązków nałożonych przez RODO. Odcinając się od powszechnej obecnie licytacji co do wysokości kar, pozwolę sobie pominąć ten szczegół, zwracając jedynie uwagę na to, że do tej pory organ nadzoru w zasadzie nie dysponował żadnymi narzędziami. Co istotne, administracyjne kary finansowe nakładane będą niezależnie od zawinienia administratora zamiast lub obok uprawnień korekcyjnych (ostrzeżeń, upomnień, nakazów, zakazów, obowiązku zaprzestania przetwarzania danych). Głównym ich celem będzie prewencja ogólna, bo jak stanowi RODO, nakładanie grzywien powinno być skuteczne, proporcjonalne i odstraszające. Nakładając zaś karę, organ nadzorczy musi wziąć pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych podmiotów, rozmiar poniesionej przez nie szkody, umyślny lub lekkomyślny charakter naruszenia, działania podjęte w celu zminimalizowania szkody poniesionej przez podmioty pokrzywdzone.

Mimo nieuchronności kary, nie należy demonizować wskazanych w RODO górnych granic jej wysokości. W tym tonie wypowiada się zarówno Ministerstwo Cyfryzacji odpowiedzialne za przygotowanie projektów ustaw wprowadzających RODO, jak i Generalny Inspektor Ochrony Danych Osobowych, którzy wskazują, że każdy przypadek ma być analizowany dogłębnie i indywidualnie, a kara stanowi ostateczną formę nacisku na administratora.

Nowy organ ochrony danych osobowych będzie jedynym uprawnionym do nakładania administracyjnych kar finansowych za naruszenie przepisów RODO. Nie jest to jednak jedyne jego nowe uprawnienie, zwrócić uwagę należy również na szereg nowych możliwości w zakresie szeroko pojętej działalności legislacyjnej. Zgodnie z założeniami projektu ustawy jak i przede wszystkim samego RODO podkreślić należy rolę nowego organu przede wszystkim jako konsultanta i doradcy, a nie egzekutora.

Ze względu na rozmiary tego artykułu ograniczyłem się do wybranych i moim zdaniem jednych z najciekawszych zadań i uprawnień organu. Ma to szczególne znaczenie w ostatnich dniach, gdzie kampania straszenia administratorów danych przybrała na sile i jak należy się spodziewać, ci którzy to czynią nie powiedzieli jeszcze ostatniego słowa. Tym bardziej warto nie tylko poznać upewnienia jakie przysługują nowemu organowi, ale także śledzić jego wypowiedzi, które mogą być ważnym wyznacznikiem polityki jaką może stosować, a ta w pierwszym okresie może okazać się kluczowa dla całego sytemu ochrony danych w Polsce.

Autor: mec. Tomasz Osiej