Ochrona danych osobowych to zagadnienie funkcjonujące w polskim systemie prawnym od przeszło 20 lat. Ustawa o ochronie danych osobowych z 1997 roku była wielokrotnie nowelizowana i dostosowywana do zmieniającego się otoczenia biznesowego i technologicznego. W 2016 roku ustawodawca europejski wychodząc naprzeciw oczekiwaniom społeczeństwa informatycznego podjął kroki zmierzające do stworzenia jednolitych zasad zapewniających bezpieczeństwo przetwarzanych danych osobowych na terenie Europejskiego Obszaru Gospodarczego (EOG). Wynikiem prac Parlamentu Europejskiego i Rady UE jest rozporządzenie RODO (ogólne rozporządzenie o ochronie danych), które zaczęło być stosowane na terenie całego EOG od 25.05.2018 roku. Polski ustawodawca idąc w ślad za Parlamentem Europejskim i Radą UE w maju 2018 roku ustanowił nową Ustawę o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000).

Dotychczasowe obowiązki związane z przetwarzaniem danych osobowych nakładały na Administratorów Danych sztywne zasady i obostrzenia, których sposób wykonania ściśle określały przepisy prawa. Wejście w życie nowych przepisów wymusiło na podmiotach przetwarzających dane osobowe zmianę sposobu podejścia do zagadnienia ochrony danych osobowych. Zgodnie z zapisami rozporządzenia RODO to Administrator Danych podejmuje decyzje o tym jakie środki techniczne i organizacyjne zastosuje, aby zabezpieczyć przetwarzane dane osobowe. Dowolność ta jest jednak ograniczona, ponieważ zastosowane zabezpieczenia muszą dawać gwarancję bezpiecznego przetwarzania – zgodnego z ogólnymi zasadami określonymi w rozporządzeniu RODO. Należy przy tej okazji zaakcentować, że dla organizacji, które w ramach prowadzonej działalności przetwarzają dane osobowe, dobrowolność doboru stosowanych zabezpieczeń jest tak błogosławieństwem, jak i przekleństwem, bowiem wiele podmiotów organizując sposób swojej ochrony danych pomija istotne jej elementy czyniąc system ochrony danych niekompletnym lub wybrakowanym.

Innym bardzo istotnym aspektem wiążącym się z przetwarzaniem danych osobowych jest wymóg rozliczalności, a więc zdolności Administratora Danych do wykazania, że przetwarza dane osobowe zgodnie z rozporządzeniem RODO. Pomimo braku bezwzględnego obowiązku prowadzenia polityk bezpieczeństwa, zasada rozliczalności zobowiązuje administratorów do dokumentowania procesu przetwarzania danych osobowych. Równocześnie rozliczalność to zdolność Administratora Danych do wskazania pracownika, grupy pracowników lub podmiotów zewnętrznych, które przetwarzają konkretne dane osobowe w związku z wykonywaniem poleconych im zadań.

W świetle ogólnych wymogów rozporządzenia RODO i w związku z istotną dowolnością po stronie Administratorów Danych nasuwają się uzasadnione pytania, jakie konkretnie zabezpieczenia przyjąć, aby spełnić wymogi poufności, integralności i dostępności danych? Jak dokumentować przetwarzanie danych osobowych, aby zapewnić atrybut rozliczalności? Pytania o tyle istotne, że wraz ze zmianą przepisów o ochronie danych osobowych zmieniło się nie tylko podejście do tego trudnego zagadnienia, ale także uległ zmianie system kar nakładanych za niewłaściwe, lub sprzeczne z prawem przetwarzane danych osobowych.

Obowiązujący w Polsce od 25.05.2018 roku system kar pieniężnych przewiduje możliwość nałożenia przez organ nadzorczy na Administratora Danych kary pieniężnej w wysokości do 20.000.000 Euro! Kary o tak astronomicznych wartościach, w myśl zasady proporcjonalności, zostały przewidziane dla korporacji i grup kapitałowych, niemniej rozporządzenie RODO stanowi także o dotkliwości wymierzanych kar. Ewentualna, wymierzona kara musi zatem być proporcjonalna do skali niezgodności oraz dotkliwa dla ukaranego nią podmiotu.