Kwestia ochrony danych osobowych stanie się w najbliższych latach jednym z większych wyzwań dla przedsiębiorców. W prowadzone w tym roku zmiany nakładają na firmy wiele nowych obowiązków.
Kolejne przyniesie nowe unijne rozporządzenie w sprawie ochrony danych osobowych – mówi Arwid Mednis, partner w kancelarii Wierzbowski Eversheds.
– Za naruszanie zasad będą kary. Do tej pory nasz Generalny Inspektor Ochrony Danych Osobowych nie miał uprawnienia do nakładania kar pieniężnych. Natomiast wraz z wejściem w życie rozporządzenia, jeśli zostanie przyjęta taka koncepcja, jak w tej chwili jest w projekcie, GIODO będzie mógł nakładać kary do 3 proc. globalnego przychodu. Więc jeśli firma należy do grupy międzynarodowej, to ten 3 proc. przychód, to jest dużo pieniędzy – wyjaśnia.
Zmiany obejmą praktycznie wszystkie kluczowe obszary działalności firm, w szczególności: zarządzanie zasobami ludzkimi, marketing, sprzedaż, finanse i administrację. Rozporządzenie wejdzie w życie najprawdopodobniej wiosną 2018 roku.
Przedsiębiorcy już dziś powinni się uczyć
Co się może zmienić w obowiązującym obecnie prawie i dlaczego prawnicy już interesują się zmianami i przestrzegają przed nimi firmy?
– To bardzo istotna kwestia. Parlament rzeczywiście kończy prace, wraz z Komisją Europejską i Radą Europy, jeśli chodzi o ostateczną wersję tzw. ogólnego rozporządzenia w sprawie ochrony danych. To rozporządzenie będzie bardzo szczegółowo regulowało różnego rodzaju aspekty funkcjonowania przedsiębiorstwa w kontekście wykorzystywania danych osobowych – mówi mecenas Jakub Wezgraj, kierownik działu audytu i projektów w JDS Consulting, który był gościem radiowej Jedynki.
To kluczowy element przyszłości
Warto o tym rozmawiać już teraz, chociażby ze względu na przewidywane sankcje.
– W mojej ocenie, osoby, która zajmuje się tą tematyką, zarządzanie ochroną danych osobowych, jako element pewnego rodzaju zarządzania ryzykiem, będzie jednym z kluczowych – mówi gość Jedynki.
O tym, co te nowe przepisy mogą oznaczać dla przedsiębiorców, mówi adwokat Julia Kamińska-Kasjaniuk.
– Pierwsza kwestia to pozostawiona po stronie przedsiębiorców w dosyć dużym zakresie ocena tego, jak będą realizować przepisy. Jest to nie ułatwienie, ale trudność tych regulacji. A to dlatego, że każdy przedsiębiorca będzie teraz musiał być specjalistą w zakresie danych osobowych i na poziomie specjalistycznym oceniać swoje ryzyko związane z przetwarzaniem danych osobowych. To ryzyko będzie oczywiście potem oceniane przez organ nadzoru, który zgodnie z nowymi regulacjami – i tu jest największa zmiana – będzie miał prawo nakładania kar finansowych na przedsiębiorców. Bardzo wysokich kar finansowych. Porównywalnych z tymi, które nakłada dziś Urząd Ochrony Konkurencji i Konsumentów – wyjaśnia prawniczka.
Tym organem nadzorującym jest dziś w Polsce GIODO.
Kary są już dziś
Już dziś są nakładane kary finansowe na przedsiębiorców, którzy łamią przepisy związane z ochroną danych osobowych.
– Z tym, że na gruncie dzisiejszych przepisów, czyli ustawy o ochronie danych osobowych – te kary finansowe mają nieco innych charakter. Po pierwsze samą karę finansową może nałożyć sam organ kontrolny, czyli GIODO, ale tylko w sytuacjach, gdy po kontroli z zakresu danych osobowych u konkretnego przedsiębiorcy – dojdzie do wniosku, że doszło do naruszenia określonych przepisów i w ramach decyzji wydanej po kontroli, wskaże te uchybienia i skarze podmiot w określonym terminie: krótkim 14-30 dni na dostosowanie się do wymogów wskazań w decyzji. Jeżeli ten podmiot się nie zastosuje w wyznaczonym terminie, GIODO jako organ egzekucyjny ma prawo wyznaczyć karę grzywny w celu przymuszenia do realizacji postanowień zawartych w tej decyzji – wyjaśnia mecenas Jakub Wezgraj.
Jednorazowo nałożona kara może sięgnąć 50 tysięcy złotych. Natomiast jeśli dany podmiot nadal nie będzie stosował się do wymagań wskazanych w decyzji, ona może wzrosnąć do 200 tysięcy złotych.
Dla dużej firmy taka kara nie jest zbyt dotkliwa.
Jednak po wejściu w życie przepisów, nad którymi pracuje Parlament Europejski, w grę będą wchodziły bardzo wysokie kary.
– To już są niebotyczne sumy. Kary mają być tak skonstruowane i sięgać tak dużych sum, aby były dotkliwe dla każdego rodzaju i wielkości przedsiębiorstwa – wyjaśnia mecenas Jakub Wezgraj.
Jest jeszcze jedna różnica. Ta kara będzie nakładana natychmiast, nie będzie okresu dostosowawczego.
– I to jest zasadnicza różnica, która powoduje, że rozporządzenie nad którym dziś pracują organy unijne, jest tak istotne, jeśli chodzi o wzięcie pod uwagę działalności biznesowej. Otóż w ramach kar przewidzianych w tych przepisach, GIODO już stwierdzając naruszenie przepisów, będzie mógł nakładać określone kary grzywny. Właśnie z tytułu naruszenia przepisów – wyjaśnia gość Jedynki.
To ważne dla każdego przedsiębiorcy
Niemal każdy przedsiębiorca w Polsce, nawet ten który prowadzi jednoosobową działalność gospodarczą, powinien się zastanowić, w jakim stopniu dotyczą go przepisy o ochronie danych osobowych.
– Każdy przedsiębiorca: mały, średni czy duży, zakładając pewien model biznesowy funkcjonowania swojej organizacji, zdaje sobie sprawę, czy będzie w ramach swojej działalności biznesowej wykorzystywał i brał pod uwagę jakąś aktywność osób fizycznych, np. swoich klientów, konsumentów. Pamiętajmy, że zatrudniając pracowników, już przetwarzamy ich dane – mówi przedstawiciel firmy JDS Consulting.
Nie chodzi więc tylko o firmy, które np. dokonują sprzedaży i mają dane swoich klientów. Ale jest to też np. przetwarzanie danych kadrowych, a więc dotyczy niemal wszystkich firm.
– Jeżeli dziś firma zatrudnia pracownika w oparciu o umowę o pracę, ma obowiązek prowadzenia dokumentacji w bardzo szerokim zakresie i jest to kompendium o każdym z nas. I już chociażby te dane, jeśli są przetwarzane przez pracodawcę, muszą być właściwie chronione. A kluczem jest samoocena – uważa gość Jedynki.
Ważna samoocena
W jego opinii, po to ustawa o ochronie danych zawiera pewne definicje ustawowe, żeby każdy podmiot mógł z perspektywy swoje działalności i charakterystyki tej działalności dokonać samooceny, czy przetwarza dane osobowe i w jakim zakresie.
– To jest element ryzyka biznesowego. Jeśli prowadzę jakiś biznes, to muszę brać pod uwagę, jakie aspekty z tą działalnością się wiążą – dodaje ekspert.
Jeśli ktoś prowadzi sklep internetowy w swoim mieszkaniu, to może dysponować danymi wielu tysięcy konsumentów.
Jaki jest cel wprowadzanych zmian?
– Może się wydawać, że Unia wprowadza jakieś kolejne bariery prawne dla przedsiębiorców, które trzeba pokonać. Jednak chodzi o to, że każdy kraj członkowski UE ma dziś wdrożone inne przepisy w dziedzinie ochrony danych – mówi ekspert.
Nowe przepisy mają je wyrównać i ułatwić prowadzenie działalności.
Przepisy nie nadążają za rozwojem technologii
Obowiązujące przepisy dotyczące ochrony danych osobowych nie przystają do obecnego stanu rozwoju technologii. Ale mimo tego, że niektóre obowiązują już od 11 lat, to wciąż część firm ich nie przestrzega.
Przedsiębiorcy czasem nie zdają sobie sprawy z tego, jak ważnymi danymi dysponują, uważa mecenas Izabela Kowalczuk-Pakuła z kancelarii Bird&Bird.
– Firmy nie zdają sobie sprawy z tego, ile danych mają. Bo nie mają tylko danych klientów czy potencjalnych klientów, tych, którzy się zapisują na newslettery, ale też mają dane pracownicze i współpracowników, dane jednoosobowych współpracowników też są chronione, tak samo jak osób fizycznych – podkreśla w Polskim Radiu 24 mecenas.
Nowa unijna dyrektywa dotyczącą ochrony danych osobowych ma ujednolić prawodawstwo 27 państw Wspólnoty. Jednak już wiadomo, że nie uda się tego dokonać w 100 procentach.
Przepisy najpewniej zostaną przyjęte w przyszłym roku i zaczną obowiązywać za dwa - trzy lata. W ocenie Izabeli Kowalczuk-Pakuły, wspólne regulacje ułatwią prowadzenie biznesu globalnym koncernom.
Jakie dziś są konsekwencje?
Konsekwencje dla firm, które nie przestrzegają przepisów, nawet nieświadomie, są poważne.
– Mamy trzy rodzaje sankcji. Są sankcje administracyjne – GIODO ma prawo do tego, by nakazać decyzją administracyjną zaprzestanie przetwarzania danych osobowych, zaprzestanie transferu danych do innego państwa. Może też, jeżeli dany obowiązek nie został wykonany, nałożyć karę finansową. Ale też mamy sankcje karne. Myślę, że mało podmiotów i mało osób sobie z tego zdaje sprawę – mówi gość PR 24.
Za niezgłoszenie danych osobowych, albo za przetwarzanie tych danych poza przesłankami ustawowymi – grożą konsekwencje karne.
– W praktyce bywa różnie, bo to nie są popularne przepisy wśród organów ścigania – mówi Izabela Kowalczuk-Pakuła.
Czasami ściga się przestępstwa na podstawie Kodeksu karnego, gdzie też są odpowiednie przepisy.
Robert Lidke, Krzysztof Rzyman, Kamil Piechowski, Grażyna Raszkowska