RODO: gdy ochrona danych staje się celem samym w sobie
Od 25 maja 2018 roku europejscy przedsiębiorcy funkcjonują w rzeczywistości, w której przetwarzanie danych osobowych przestało być zwykłą czynnością operacyjną, a stało się przedmiotem rozbudowanej regulacji. Ogólne rozporządzenie o ochronie danych osobowych – RODO – zmieniło sposób, w jaki firmy myślą o informacjach dotyczących swoich klientów, pracowników i kontrahentów.
Unia Europejska jako globalny regulator
Europa jest jedynym miejscem na świecie, gdzie ochrona danych osobowych została podniesiona do rangi odrębnego prawa podstawowego. Artykuł 8 Karty Praw Podstawowych UE stanowi wprost: „Każdy ma prawo do ochrony danych osobowych, które go dotyczą”. To konstytucyjne zakotwiczenie pozwala – i politycznie uzasadnia – znacznie bardziej ekspansywny program regulacyjny niż gdziekolwiek indziej.
Skutek? Próg objęcia regulacją jest ekstremalnie niski. „Dane osobowe” to dosłownie „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”, a niemal każda operacja na nich stanowi „przetwarzanie”. Połączywszy to z zasadą rozliczalności, administratorzy muszą być w stanie wykazać zgodność z przepisami na każdym etapie cyklu życia danych.
Co więcej, RODO ma zastosowanie eksterytorialne – obejmuje podmioty spoza UE, które oferują towary lub usługi osobom w Unii lub monitorują ich zachowanie. Amerykańscy komentatorzy nazywają to „imperializmem ochrony danych”, ponieważ firmy spoza UE muszą przebudować swoje globalne operacje, aby spełnić europejskie normy, albo wycofać się z unijnego rynku.
Uprawnienia, które „budzą podziw”
Organy nadzorcze na mocy RODO dysponują narzędziami, których skala przewyższa niemal wszystkie inne reżimy ochrony prywatności na świecie. Mogą nakładać kary do 4% globalnego rocznego obrotu lub 20 milionów euro – w zależności od tego, która kwota jest wyższa. Mogą też zakazać lub ograniczyć przetwarzanie, co w praktyce oznacza możliwość zatrzymania całej linii biznesowej przedsiębiorstwa.
Badanie akademickie z 2024 roku opisuje te uprawnienia jako „budzące podziw” (awe-inspiring). Dla porównania: amerykańska CCPA przewiduje kary od 2500 do 7500 dolarów za naruszenie, brazylijska LGPD ogranicza sankcje do 2% przychodów w Brazylii z pułapem 50 milionów reali.
Biurokracja jako forma regulacji
Model RODO opiera się na tzw. regulacji opartej na zarządzaniu: wymaga dokumentacji, procesów i kontroli wewnętrznych, nie tylko jasnych reguł materialnoprawnych. Typowe obowiązki obejmują rejestry czynności przetwarzania, oceny skutków dla ochrony danych, obowiązkowych inspektorów ochrony danych w wielu sektorach, formalne zgłaszanie naruszeń w ciągu 72 godzin oraz rozbudowane obowiązki informacyjne.
Raport szwedzkiej federacji przedsiębiorców ujmuje to następująco: „Model regulacyjny, na którym opiera się RODO, grozi stworzeniem zbędnej biurokracji, nieuzasadnionych ograniczeń dla legalnej działalności, zbędnej papierologii i niepewności prawnej… Istnieje wyraźne ryzyko nadmiernej biurokratyzacji, zwłaszcza dla mniejszych podmiotów lub tych, gdzie ryzyko związane z przetwarzaniem jest minimalne”.
Jeden z amerykańskich właścicieli małej firmy programistycznej, który po prostu przestał sprzedawać do Europy, napisał: „UE – jak to UE – stworzyła kolejnego biurokratycznego potwora, który zajmie wszystkich na długo… Jeśli ktoś poprosi nas o usunięcie danych, nie tylko musimy je usunąć, ale musimy przeprowadzić audyt potwierdzający usunięcie i przechowywać te zapisy dla unijnych władz”.
Koszty, które ponoszą mniejsi
Istnieje spójny obraz empiryczny i anegdotyczny wskazujący, że koszty zgodności są proporcjonalnie najwyższe dla mniejszych i młodszych firm, przy niepewnych korzyściach dla prywatności.
Badania nad startupami AI wykazały, że RODO wymusiło realokację zasobów z rozwoju produktów na zgodność z przepisami, często obejmującą usuwanie danych, co zmniejsza wolumen i różnorodność danych do trenowania modeli. Zeznanie przed amerykańskim Senatem pt. „10 problemów RODO” argumentowało, że rozporządzenie „wzmacnia największych graczy i osłabia małe i średnie firmy”.
Jak ujął to jeden z komentatorów: „Podejście UE wydaje się być, w skrócie, 'Jeśli nie możesz innowować, reguluj’… Nadmiernie nakazowe obciążenia regulacyjne tworzą bariery wejścia… Badania już wskazują, że RODO miało taki efekt, 'tworząc bardziej skoncentrowane struktury rynkowe i utrwalając pozycję rynkową tych, którzy już są silni'”.
Absolutyzm ochrony danych?
Po wyroku Schrems II niektóre interpretacje organów nadzorczych zbliżyły się do tego, co Thomas Christakis nazwał „absolutyzmem ochrony danych”: „Wymagają od administratorów i podmiotów przetwarzających przekazujących dane osobowe poza UE 'wyeliminowania’ wszelkiego ryzyka dostępu ze strony zagranicznych rządów… Ta propozycja 'pozostawania wolnym od zagranicznych przepisów’ jest nadmiernie restrykcyjna, nie jest wymagana przez RODO i może mieć szereg negatywnych skutków”.
Z perspektywy praktyka tworzy to niemożliwy do spełnienia standard – zwłaszcza w porównaniu z bardziej opartym na ryzyku podejściem w innych jurysdykcjach.
Paradoks egzekwowania
Mimo rozległości przepisów Max Schrems – najbardziej znany europejski aktywista prywatności – argumentuje, że egzekwowanie pozostaje daleko w tyle: „Mamy prawo w Europie… mamy całą tę regulację, ale ludzie po prostu nie przestrzegają przepisów w bardzo prostych przypadkach… Sprawy po prostu leżą i nic się nie dzieje… Możesz mieć najwspanialsze prawa, jeśli nie ma miejsca, gdzie możesz je wyegzekwować. Twoje prawa są zerowe. I to jest duża część problemu z RODO”.
Tworzy to paradoks, który wielu praktyków rozpoznaje: ekstrawaganckie formalne prawa przy nierównym i upolitycznionym egzekwowaniu.
Świat podąża za Europą – ale z modyfikacjami
Mimo krytyki kierunek rozwoju na świecie to silniejsza, inspirowana RODO ochrona – choć często z modyfikacjami. Brazylia, Chiny, RPA, Indie, Singapur, Arabia Saudyjska i wiele stanów USA przyjęło koncepcje GDPR, takie jak minimalizacja danych, podstawy prawne przetwarzania, prawa podmiotów danych, zgłaszanie naruszeń i oceny skutków – dostosowując je do lokalnych gospodarek politycznych.
Wielka Brytania po Brexicie wprost dąży do zachowania „podstawowych zabezpieczeń przy jednoczesnym ograniczeniu biurokracji”. Jedno z niedawnych badań konkluduje, że RODO „nie ograniczyło innowacji, ale zmieniło jej formę” – zmuszając firmy do głębszej reorganizacji zarządzania danymi i poprawy istniejących produktów, jednocześnie ograniczając możliwości tworzenia zupełnie nowych.
Z tej perspektywy europejskie przepisy nie są tylko „przesadą” – są punktem odniesienia, który inni selektywnie emulują lub łagodzą.
Co to oznacza dla polskiego przedsiębiorcy
Niezależnie od oceny samego modelu regulacyjnego, RODO obowiązuje i wymaga konkretnych działań. Każdy przedsiębiorca przetwarzający dane osobowe powinien przeprowadzić audyt istniejących procedur i dokumentów, a następnie dostosować je do wymogów rozporządzenia.
Warto przy tym pamiętać, że RODO nie formułuje wprost katalogu wymaganej dokumentacji – z wyjątkiem rejestru czynności przetwarzania. W pozostałym zakresie rozporządzenie pozostawia luz decyzyjny. Nie oznacza to jednak, że dokumentacja jest zbędna – wręcz przeciwnie: stanowi ona podstawowy instrument wykazania zgodności przed organem nadzoru.
Kancelaria Prawna Skarbiec oferuje wsparcie w zakresie:
- audytu zgodności z RODO i weryfikacji istniejącej dokumentacji,
- przygotowania dokumentów wymaganych przez rozporządzenie,
- reprezentacji w postępowaniach przed Prezesem UODO,
- analizy zgodności umów z przepisami o ochronie danych,
- wsparcia przy transferach danych poza granice Polski,
- uzyskania certyfikacji ochrony danych osobowych.
Pytania o ochronę danych osobowych w firmie warto zadać zanim zada je organ nadzoru.
Więcej informacji
Niedozwolone klauzule umowne – Czym są klauzule abuzywne i kiedy postanowienie umowy nie wiąże konsumenta
Kontrola nieuczciwych klauzul umownych — obowiązek sądu, nie przywilej konsumenta
Regulamin strony internetowej – jak go napisać zgodnie z prawem
Regulamin e-commerce – dlaczego Twój sklep internetowy go potrzebuje
Ochrona danych osobowych – moje artykuły
