RODO negocjowano i uchwalano jako jednolity akt na poziomie europejskim, który kompleksowo, a przede wszystkim spójnie ma kształtować prawo ochrony danych osobowych. Pomimo częstych wątpliwości podnoszonych w czasie konferencji z udziałem przedstawicieli Komisji Europejskiej, Ministerstwa Cyfryzacji, czy Generalnego Inspektora Ochrony Danych Osobowych, przekaz był niezmienny – RODO to pełna harmonizacja prawa, milowy wręcz krok w ochronie danych. Pomimo zapowiedzi już pierwsze analizy tekstu Rozporządzenia zwróciły naszą uwagę licznym odesłaniem do prawodawstwa krajów członkowskich, był to obszar typowany przez wielu jako czynnik komplikujący proces harmonizacji. Teoretycznie Komisja Europejska akceptuje spójny kształt ustaw krajowych dbając o jednolity charakter prawa ochrony danych osobowych, w praktyce zarysowały się już dość istotne rozbieżności pomiędzy poszczególnymi krajami Unii Europejskiej.
Zgłoszenie inspektora ochrony danych (IOD).
W pierwszej kolejności chcieliśmy zwrócić uwagę na nieduży, ale mający istotne znaczenie praktyczne wycinek stosowania RODO rysującego poważne rozbieżności między krajami członkowskimi, a Polską. Rozwiązaniem prawnym nie sprzyjającym harmonizacji prawa jest niestety sposób zgłoszenia Inspektora Ochrony Danych. W Polsce art. 10 naszej ustawy krajowej (Dz.U. z 2018 r., poz. 1000) po pierwsze wyłączył możliwość stosowania KPA, po drugie określił ścieżkę zgłoszenia jako elektroniczną. Powyższe oznacza, że nie można formularza zgłoszeniowego przesłać listem w formie papierowej. Powyższe oznacza również, że udzielane pełnomocnictwo do zgłoszenia, powinno być opatrzone podpisami elektronicznymi przy użyciu kwalifikowanych certyfikatów. Czy jednak niedopełnienie tej formy może stanowić naruszenie? Czy brak zachowania formy przesądza o niezgłoszeniu IOD? Trudno ocenić jednoznacznie – przede wszystkim wyznaczenie i zgłoszenie inspektora opisane w RODO jest czynnością komunikacyjną, mowa o zgłoszeniu tj. przekazaniu informacji w taki sposób, aby dotarła do organu, dlatego dopełnienie zgłoszenia (z pominięciem reguł polskiej ustawy krajowej) do organu nie może zostać zakwalifikowane jako naruszenie podlegające sankcjom RODO, gdyż jako takie zgłoszenie nastąpiło. W samej ustawie krajowej również brak rygoru dotyczącego zawiadamiania organu, stąd na podstawie obowiązujących przepisów nie można skutecznie formułować zarzutu niedopełnienia obowiązku. Wątpliwości się jednak pojawiają, a praktyka do tej pory nie została jeszcze ugruntowana. Przyjęte w Polsce rozwiązanie dziwi tym bardziej, że w wielu krajach (Czechy, Bułgaria, Irlandia, Wielka Brytania, Litwa) zgłoszenie IOD następuje poprzez wysłanie e-maila. Patrząc na przepisy RODO, brak upoważnienia kraju członkowskiego do ustanawiania rygorów dotyczących zgłoszenia inspektora do właściwych organów, dlatego najprostsza i powszechnie dostępna ścieżka (e-mail) zgłaszania inspektorów przyjęta w ww. krajach zasługuje na pełną aprobatę. Art. 37 RODO stanowi, że administrator wyznacza do pełnienia taką osobę i zawiadamia organ podając dane do kontaktu. Ma mieć to charakter informacyjny i ułatwiający komunikację z inspektorem, a nie stanowić wymóg prawa, który dodatkowo przy podmiotach z wieloosobową reprezentacją jest trudny do zrealizowania.
Automatyczne podejmowanie decyzji.
Niemcy, którzy jako pierwsi uchwalili krajową ustawę o ochronie danych osobowych, wprowadzili do rozwiązań krajowych przepis odbiegający od ducha i charakteru RODO. W krajowej ustawie zawarli ograniczenie praw osób, których dane dotyczą w związku z podejmowaniem automatycznej decyzji (prawo wynikające z art. 22 RODO). Mowa o ustępie 37 nowej ustawy BDSG, który w sposób uprzywilejowany traktuje firmy ubezpieczeniowe, dając im możliwość stosowania programów do automatycznego podejmowania decyzji, jeśli najprościej rzecz ujmując ma to związek ze świadczeniem umowy ubezpieczenia. Administratorzy reprezentujący ten sektor nie muszą w przeciwieństwie do pozostałych firm stosujących programy do „profilowania” udowadniać, że takie działanie jest niezbędne do zawarcia lub realizowania umowy. Mają wyraźne upoważnienie ustawowe. Nieoficjalnie podnosi się, że taki stan rzeczy jest wynikiem pro-biznesowego podejścia rządu niemieckiego w związku z silną pozycją rynku ubezpieczeń. Jednak przyjęte przez Niemcy rozwiązanie budzi sprzeciw nawet wśród rodzimych prawników. Wyznaczony w ten sposób standard odbiega od przyjętego w RODO. Może to powodować konflikty w rozumieniu przepisów, a przede wszystkim niezgodność prawa krajowego Niemiec z Rozporządzeniem.
Zgoda dziecka.
Wracając w rozważaniach do „krajowego podwórka” w polskiej ustawie ustalona została granica wieku, od której dziecko może samodzielnie wyrażać zgodę na poziomie 16 lat. A jak to się kształtuje na tle pozostałych krajów członkowskich? Belgia 13
Francja 15
Niemcy 16
Irlandia 16
Włochy 14
Holandia 16
Wielka Brytania 13
Więcej na ten temat można przeczytać na portalu betterinternetforkids.eu.
Dostawca rozwiązań (oprogramowania/ produktu), które są skierowane do dzieci i mają być stosowane w wielu krajach jednocześnie ma nie lada orzech do zgryzienia. Tak samo wewnątrz międzynarodowych firm, które mogą w ramach tworzenia środowiska pracy przyjaznego rodzicom kierować do dzieci różnego rodzaju atrakcje zarysowuje się konieczność precyzyjnego określania warunków przetwarzania danych osobowych dziecka.
Sankcje.
Mimo opisywanych we wstępie licznych i głośnych zapewnień w środowisku od momentu opublikowania tekstu RODO pojawiały się wątpliwości bazujące m.in. na motywie 151 RODO „Systemy prawne Danii i Estonii nie przewidują administracyjnych kar pieniężnych określonych w niniejszym rozporządzeniu. Przepisy o administracyjnych karach pieniężnych można stosować tak, że w Danii właściwy sąd krajowy będzie nakładać grzywnę jako sankcję karną, a w Estonii organ nadzorczy będzie nakładać grzywnę w ramach postępowania o wykroczenie, pod warunkiem że takie stosowanie przepisów w tych państwach członkowskich będzie mieć skutek równoważny administracyjnej karze pieniężnej nakładanej przez organ nadzorczy. Dlatego właściwy sąd krajowy powinien brać pod uwagę zalecenie organu nadzorczego, który postuluje nałożenie grzywny. Nakładane grzywny muszą być w każdym przypadku skuteczne, proporcjonalne i odstraszające.” Czyli samo RODO zawierało w sobie jednak element niejednolity od początku. Mając na uwadze, że wszystkie systemy karne w Europie kierują się m.in. zasadą humanitaryzmu, która zakłada że kara nie może być nadmierna, można mieć obawy czy we wskazanych krajach utrzymana zostanie sankcja równoważna z opisaną w RODO. Tak wysokie kary sprawiają wrażenie zbyt dotkliwych, żeby którykolwiek kraj zdecydował się je wprowadzić poprzez prawo karne. Logicznie rozumując, może to doprowadzić do sytuacji gdy maksymalne kary jakie administrator lub podmiot przetwarzający dane osobowe będzie mógł otrzymać w związku z nieprawidłowym przetwarzaniem w Danii i Estonii będą zdecydowanie niższe niż w pozostałych krajach.
Poruszane wyżej kwestie, tak naprawdę stanowią wycinek stosowania przepisów RODO. Mają oczywiście znaczenie dla zmniejszenia efektu harmonizacji, jednak nie podnosilibyśmy tych rozbieżności do rangi przeszkody w stosowaniu RODO, choć oczywiście w przyszłości liczymy na ujednolicenie.