Konsekwencje związane z ujawnieniem i utratą danych
Każdy podmiot ma swoje dane, których nie chce ujawniać i które często stanowią tajemnicę przedsiębiorstwa. Zgodnie z art. 11 ust. 2 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. Nr 47 poz. 211 z późn. zm.) przez tajemnicę przedsiębiorstwa rozumie się informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności.
Jak widać, dane stanowiące tajemnicę przedsiębiorstwa mogą mieć bardzo różny charakter. Może to być chemiczna formuła użyta do stworzenia produktu (informacje technologiczne), ale też lista kontrahentów (dane o charakterze handlowym) czy sposób dystrybucji produktów (informacje o charakterze organizacyjnym) – oczywiście wszystko zależy od specyfiki danego podmiotu. Ujawnienie takich informacji może wyrządzić poważne szkody, chociażby w postaci utraty przychodów czy reputacji i zaufania klientów.
Dodatkowo w wielu przypadkach wymóg dochowania tajemnicy może wynikać wprost z przepisów. Pracownicy urzędów skarbowych zobowiązani są do przestrzegania tajemnicy skarbowej, a doradcy podatkowi nie mogą zdradzać tajemnicy zawodowej. Niezależnie od tego, z jakim podmiotem mamy do czynienia, obowiązuje nas także ochrona danych osobowych, co wynika z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) – dalej RODO. Naruszenie obowiązków prawnych administratora lub podmiotu przetwarzającego może skutkować ukaraniem danego podmiotu wysokimi karami – np. za naruszenia dotyczące ochrony danych osobowych kary mogą wynieść 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – zob. art. 83 ust. 4 RODO i art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781).
Ochrona danych osobowych
Przepisy RODO określają zasady, na jakich można przetwarzać dane osobowe. Przetwarzanie jest możliwe tylko wtedy, gdy administrator zapewni podstawę prawną dla takiego przetwarzania – katalog podstaw przewidziany został w art. 6 RODO (np. zgoda na realizację obowiązku prawnego spoczywającego na administratorze czy konieczność jego realizacji), przy czym trzeba pamiętać, że o podstawie zadecyduje kontekst przetwarzania. Dodatkowo administrator, który będzie chciał przetwarzać dane wrażliwe (np. dane o zdrowiu), będzie musiał spełnić również wymogi z art. 9 RODO i kolejnych.
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych (zarówno prawdopodobieństwo jego wystąpienia, jak i wagę), administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Administrator powinien stale monitorować adekwatność dobranych środków, poddawać je przeglądom i aktualizować. Dodatkowo, na gruncie art. 24 RODO, administrator powinien rozważyć wdrożenie odpowiednich polityk ochrony danych.