Rozporządzenie wystawi na próbę korporacje technologiczne, ale nie zniszczy regulacjami i karami małych oraz średnich przedsiębiorstw.
Jakie skutki może przynieść wejście w życie unijnego rozporządzenia RODO dotyczącego ochrony danych osobowych, pokazały w piątek (pierwszego dnia obowiązywania nowych regulacji) witryny internetowe amerykańskich gazet należących do firmy Tribune Media. „Los Angeles Times” czy „Chicago Tribune” po prostu... wyłączyły swoje portale dla użytkowników z Europy. „Angażujemy się w rozwiązanie problemu, analizujemy i próbujemy wybrać opcję, która najlepiej wesprze nasz produkt cyfrowy na rynku UE” – zapowiadają gazety.
Ostrożność nie dziwi. Kary przewidziane w rozporządzeniu są ustalone tak, żeby nawet najwięksi odczuli skutki nieprzestrzegania nowych przepisów. Chodzi o kwoty dochodzące do 20 mln euro lub 4 proc. rocznego globalnego przychodu firmy – zależnie od tego, która suma jest wyższa. Dla Tribune Media, która w 2017 r. miała 1,8 mld dol. obrotów, mogłoby to oznaczać karę przekraczającą 72 mln dol.
Ale serwisy tych amerykańskich tytułów, dla których unijni użytkownicy stanowią znaczący procent odbiorców, działały. Nie przestały także działać portale i usługi takich firm jak Facebook, Google czy Twitter.
Wśród zasad, na których opiera się rozporządzenie RODO, są minimalizacja danych oraz legalność. Pierwsza zakłada, że administrator nie powinien zbierać więcej danych niż to konieczne do realizacji usługi, którą świadczy. Jeśli użytkownik zainstaluje na swoim smartfonie aplikację „latarka”, ta nie będzie mogła zbierać danych o lokalizacji, bo nie jest to niezbędne do jej działania. Druga mówi, że każda operacja na danych osobowych musi mieć podstawę prawną. – Firma dużo ryzykuje, jeśli zbiera i wykorzystuje dane osobowe, bo po prostu ma taki pomysł na biznes. Potrzebuje wskazać podstawę prawną – mówi Katarzyna Szymielewicz, prezes fundacji Panoptykon.
Dlatego dla firm technologicznych RODO może być problemem. – Facebook czy Google oferują złożone usługi, co uzasadnia pobieranie różnych danych. Ale często różne usługi funkcjonują niezależnie, dlatego firmy nie powinny tych danych integrować. Przykładowo zbieranie lokalizacji dla każdej usługi z zasady będzie naruszeniem RODO – komentuje Szymielewicz. – Dużo danych jest zbieranych domyślnie przez firmy technologiczne. To się kończy dopiero, kiedy klient się sprzeciwi. Myślę, że wiele z tych spraw znajdzie swój finał w sądzie – dodaje.
Dokument często odnosi się do niezdefiniowanych wcześniej pojęć, np. „na dużą skalę” czy „znaczący wpływ”. Prawnicy zwracają uwagę, że wymagać to będzie „dotarcia się” praktyki stosowania nowych regulacji. Ten proces potrwa co najmniej pół roku. Dopiero wtedy będą zapadać pierwsze interpretacje i wyroki.
Według Szymielewicz unijne rozporządzenie ochrony danych osobowych jest na tyle elastyczne, że nie powinno uderzać w mniejsze przedsiębiorstwa.
Katarzyna Ułasiuk, ekspert ochrony danych osobowych w firmie iSecure, zauważa, że zmiany będą, ale nie na płaszczyźnie informatycznej. – W mojej ocenie największe zmiany w MSP będą dotyczyć kwestii zabezpieczeń o charakterze organizacyjnym, czyli uaktualnień wewnętrznych procedur i umów z dostawcami – wskazuje. – Przykładowo zdarza się, że zewnętrzna kadrowa ma dostęp do umów zawartych z pracownikami, listy płac itp. To trzeba będzie uaktualnić pod kątem wymagań RODO – zaznacza.
