Nie da się raz na zawsze zbudować dobrej ochrony

opublikowano: 05-12-2018, 22:00

RODO jest elastyczne, nie wymaga, aby szafa z dokumentami była pancerna, a niszczarka miała określone parametry. Ono stwierdza: masz zastosować dostępne rozwiązania, które odpowiadają twoim potrzebom i na które cię stać — mówi dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych

Puls Biznesu: Panika, strach przed karami, wysyp absurdalnych „dobrych rad”… W takiej atmosferze wchodziło RODO. Za nami pół roku stosowania przepisów tego unijnego rozporządzenia. Czy coś zmieniło w podejściu do ochrony danych osobowych?

Dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych (UODO):

Myślę, że na ochronę danych osobowych należy patrzeć w kontekście całego systemu prawa w tej dziedzinie, bo przecież RODO to tylko jeden z jego elementów. Jest też ustawa o ochronie danych osobowych i przepisy sektorowe stanowiące podstawę do przetwarzania takich informacji w poszczególnych branżach. Przy okazji przypomnę, że ochrona danych osobowych ma już w Polsce ponad dwudziestoletnią tradycję. Niewątpliwie jednak stosowanie RODO, choć początkowo wywołało panikę wśród administratorów, w efekcie przyniosło wiele korzyści — i to zarówno dla obywateli, administratorów, jak i podmiotów przetwarzających. Ci, którzy dane osobowe wykorzystują w działalności, zyskali elastyczne reguły, które — wyznaczając kierunek działania, cel do osiągnięcia — umożliwiają odpowiednie ich zastosowanie, zależnie od specyfiki tej działalności. Nowe przepisy zwiększyły też świadomość obywateli co do potrzeby ochrony ich danych osobowych i prywatności, a także co do przysługujących im praw. Widzimy to chociażby po kierowanych do nas skargach.

Np. jakich?

Niezadowolenie ze sposobu przetwarzania danych skutkuje tym, że gdy ludzie nie widzą odpowiednich reakcji administratorów na swoje zarzuty lub wątpliwości, kierują skargi do organu nadzoru. Coraz więcej osób zdaje sobie sprawę z tego, że RODO daje im określone prawa i że mogą domagać się ich przestrzegania.

Bardzo korzystne jest to, że zmieniły się świadomość i podejście podmiotów wykorzystujących dane osobowe. Rozporządzenie wymusiło na nich działania związane m.in. z uporządkowaniem procesów i procedur dotyczących przetwarzania danych. Określiły role i zadania poszczególnych pracowników mających z nimi styczność, zwiększyły ich odpowiedzialność, zobowiązały do przestrzegania określonych zasad i przeszkoliły w tym kierunku. To z pewnością wymagało pracy, zapewne też zaangażowania finansowego, ale jeśli uporządkowane i wprowadzone praktyki wejdą w krwiobieg zarządzania organizacją, to utrzymanie tego porządku nie będzie już późnej wymagało tak dużego wysiłku organizacyjnego i kosztów.

Skoro mowa o nakładzie pracy przy wdrażaniu RODO: katalog obowiązkowych informacji, które administrator musi przekazać np. klientom, jest obecnie bardzo rozbudowany. Są głosy, że niełatwo się z tego wywiązać.

Każdy musi uzyskać wiedzę, kto i w jakim celu przetwarza informacje o nim, jak długo zamierza to robić, komu je udostępnia. Powinien też wiedzieć, jakie prawa mu przysługują. Informacje na ten temat powinny być przekazywane w sposób zwięzły i zrozumiały — i faktycznie niektórzy mają z tym problem. Zdarza się, że informacje są zbyt obszerne lub wciąż napisane mało przystępnym językiem — z obawy przed zarzutem nieprzestrzegania prawa. Tymczasem nie ma potrzeby przytaczania całych formułek prawniczych, wystarczą proste stwierdzenia, np.: „pańskie dane są przetwarzane przez nas po to, żeby…”. Nie zawsze trzeba podawać wszystkie informacje od razu. Kto jest w stanie zapoznać się z nimi np. wówczas, gdy melduje się w hotelu, rejestruje w przychodni albo dzwoni na infolinię? Dlatego na dopełnianie obowiązku informacyjnego musimy spojrzeć z perspektywy całego procesu komunikacji z klientem i kanału, który jest do niej wykorzystywany.

W niektórych sytuacjach proces ten można podzielić na etapy, czyli zastosować tzw. informowanie warstwowe. Przy pierwszym kontakcie trzeba podać co najmniej to, kto jest administratorem, jaki jest cel zbierania danych, jakie są dane kontaktowe inspektora ochrony danych (IOD), jeśli został wyznaczony — i gdzie można uzyskać więcej informacji. Przykładem zastosowania takiego warstwowego informowania są sytuacje, w których stosowany jest monitoring wizyjny, np. w hotelach. Dzięki oznaczeniom poszczególnych miejsc goście wiedzą, który obszar jest monitorowany, przez kogo, w jakim celu, jak skontaktować się z administratorem lub inspektorem ochrony danych, jeśli został powołany, i gdzie są dostępne pozostałe informacje — np. czy w recepcji, czy na stronie internetowej hotelu.

Czy na powołanie IOD decydują się podmioty, które nie mają takiego obowiązku?

Tak. Widzą korzyść z tego, że w ich strukturze działa osoba mająca odpowiednią wiedzę, która ma ich wspierać w zapewnianiuzgodności z RODO, monitorować, co robią z danymi osobowymi — i czy zgodnie z prawem. To do niej mogą też zwracać się o wyjaśnienia i pomoc ci, których dane są przetwarzane. Administrator z kolei powinien umożliwić inspektorowi podnoszenie wiedzy i zapewnić udział we wszystkich projektach, które wiążą się z przetwarzaniem danych.

Czy poza skargami urząd otrzymuje już także informacje o naruszeniach od samych administratorów, np. o wycieku danych? Rozporządzenie nakłada na nich taki obowiązek.

Tak, otrzymujemy zgłoszenia o naruszeniu ochrony danych. Warto przypomnieć, że zgodnie z art. 33 RODO, jeśli dojdzie do takiego zdarzenia, administrator musi je zgłosić prezesowi UODO bez zbędnej zwłoki — w miarę możliwości, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia — chyba, że jest mało prawdopodobne, aby jego skutkiem było naruszenie praw lub wolności osób fizycznych. Jeśli takie ryzyko jest wysokie, to o sytuacji trzeba powiadomić też osoby, których ona dotyczy, do czego administratorów zobowiązuje art. 34 rozporządzenia.

To niewiele czasu na ocenę skutków.

Owszem, ale jeśli firma uporządkowała procesy przetwarzania danych osobowych, to zdaje sobie sprawę z ewentualnych zagrożeń. Dlatego w razie wycieku danych od razu będzie zorientowana w powstałym ryzyku. Jeśli przetwarza takie dane, jak PESEL czy numer konta bankowego, doskonale wie, że ich utrata może powodować znacznie większe szkody niż gdyby to były tylko imię, nazwisko i numer telefonu. Mając tego świadomość, uda się trafniej ocenić sytuację. Jednocześnie przestrzegam przed taką wiarą, że chociaż sprawa jest poważna, to „w naszym przypadku nic złego się nie stanie”, więc może nie ma sensu jej zgłaszać. Trzeba to robić — i powiadamiać osoby, m.in. po to, aby mogły one błyskawicznie podjąć kroki dla własnej ochrony, np. zablokować kartę płatniczą, zastrzec dowód osobisty.

Powiadomienie kierowanego przez Panią urzędu o naruszeniu we własnej firmie to taki donos na samego siebie…

Urząd może dowiedzieć się o naruszeniu na różne inne sposoby — ze skargi, przy okazji prowadzonej kontroli, z doniesień prasowych. Warto wiedzieć, że to może mieć znaczenie przy decydowaniu, czy nałożyć sankcję i jak wysoką. Administrator musi działać odpowiedzialnie, budując zaufanie klientów, pracowników, partnerów biznesowych. Warto przy tym wspomnieć, że RODO chroni ponad granicami, a jego przepisów muszą przestrzegać wszystkie podmioty, które kierują ofertę do mieszkańców UE. Najlepszym tego przykładem jest sprawa wycieku danych z Facebooka. Po jego stwierdzeniu Facebook zgłosił naruszenie do irlandzkiego organu ds. ochrony danych osobowych. Ponieważ dotyczyło ono również polskich użytkowników tego portalu, prezes UODO, korzystając z przewidzianego w RODO mechanizmu współpracy, przystąpił do postępowania jako organ, którego sprawa dotyczy.

Ile zgłoszeń o naruszeniu wpłynęło od czasu, w którym jest stosowane RODO, czyli od 25 maja tego roku?

Od tego dnia do 30 listopada otrzymaliśmy ok. 1,8 tys. zgłoszeń o naruszeniu ochrony danych. Większość z sektora prywatnego, kilkanaście zostało przesłanych przez podmioty prowadzące działalność transgraniczną. Trzeba przyznać, że zgłaszający naruszenia wywiązują się z tego obowiązku coraz rzetelniej i staranniej, co ułatwia im przygotowany przez UODO formularz. Niemniej wciąż jest wiele przypadków zgłoszeń błędnych lub niekompletnych. Czasami administratorzy wskazują, że zgubiono dokumenty, ale nie podają, jakiego rodzaju ani jaki zawierają zakres danych. Inni z kolei wymieniają nazwiska osób, których dokumenty utracono, co nie jest konieczne. Dla nas ważne jest, jaki zakres danych zawierały. Nie trzeba informować, że to były dane Nowaka czy Kowalskiego, lecz wskazać ich rodzaj.

To były incydenty groźne dla czyjejś prywatności?

W niektórych przypadkach postępowania są jeszcze prowadzone, ale do ok. 200 administratorów skierowaliśmy wystąpienia wskazujące na konieczność powiadomienia o naruszeniu ochrony danych osób, których one dotyczą. W kilkunastu sprawach wysłaliśmy pisma przypominające o konieczności przestrzegania przepisów, zwłaszcza dotyczących stosowanych zabezpieczeń, oraz opracowania i wdrożenia stosownych procedur. Nie zdarzyło się, aby nie spełniono takiego zalecenia. Mam jednak świadomość, że nie jesteśmy powiadamiani o każdym naruszeniu, niektóre zapewne odkryjemy podczas kontroli.

Dużo kontroli prowadzicie?

Dla nas najważniejsza jest jakość, a nie ilość. Planując kontrole, staramy się w pierwszej kolejności prowadzić te najistotniejsze, mające największe znaczenie dla ochrony danych wielu osób albo przeprowadzać je w podmiotach czy sektorach, w których najczęściej dochodzi do nieprawidłowości. Część działań podejmujemy też w związku z rozpatrywanymi skargami. W ostatnim czasie kontrole były prowadzone m.in. w firmie udzielającej pożyczek gotówkowych, spółdzielni mieszkaniowej, w firmie zajmującej się obsługą wspólnot mieszkaniowych. Kontrolowaliśmy też tzw. giełdę długów oraz różne urzędy, m.in. gminy.

A planowe?

Takie oczywiście też prowadzimy. Dotyczą m.in. stosowania monitoringu wizyjnego i funkcjonowania rejestrów publicznych, bo one są ogromnym źródłem informacji.

Co wykazują te kontrole?

Uchybienia są różne, poważniejsze i mniej poważne. Czasem samo wskazanie uchybień wystarczy, by zostały one usunięte jeszcze w toku kontroli, ale bywa, że sięgamy po bardziej władcze uprawnienia, nakazując określone działania.

Posypały się już kary?

Jeszcze nie. Chcę jednak nie po raz pierwszy podkreślić, że nakładanie kar to jeden z instrumentów oddziaływania, jakie dało nam rozporządzenie. Zgodnie z RODO, sankcje finansowe mają być skuteczne, proporcjonalne do nieprawidłowości i ich skali oraz dotkliwe odpowiednio do zawinienia. To nie znaczy, że zastosujemy je w każdej sytuacji. Nałożymy, gdy uznamy, że są konieczne. Myślę, że chwila, w której będziemy musieli — niestety — podjąć taką decyzję, zbliża się dużymi krokami.

Czy przepisy się sprawdzają? Może należałoby coś zmienić.

— Minął zbyt krótki czas na taką ocenę. Oczywiście nie ma idealnych rozwiązań prawnych. Ważne jest natomiast, że obecne przepisy są neutralne technologicznie. Europejskiemu prawodawcy chodziło o to, aby rozporządzenie można było stosować dziś i później, w warunkach, których jeszcze nie potrafimy przewidzieć. RODO jest elastyczne, nie wymaga, aby szafa z dokumentami była pancerna, a niszczarka miała określone parametry. Ono stwierdza: masz zastosować takie rozwiązania organizacyjne i techniczne, które są dostępne, odpowiadają twoim potrzebom i na które cię stać. Świat rozwija się szybko, a dane osobowe i prywatność trzeba stale i skutecznie chronić. Administratorom danych umożliwiono wybór służących do tego środków i metod. Jednocześnie powinni mieć oni świadomość, że nie wystarczy raz na zawsze zbudować jakiś system, procedury, organizację. Muszą reagować na nowe zagrożenia. To powinien być proces ciągły, wręcz nawyk, wynikający z ich odpowiedzialności. Reakcja osób, które w wyniku naruszenia ochrony ich danych osobowych poniosą jakąkolwiek szkodę, niekoniecznie materialną, może być dla firmy kosztowna. RODO każdemu z nas daje bowiem prawo, aby w takim przypadku żądać odszkodowania na podstawie prawa cywilnego. Za chwilę takie procesy mogą ruszyć przed sądami — i to niezależnie od tego, czy organ nadzoru będzie prowadził kontrolę lub czy ktoś złoży do niego skargę.

Sprawdź program konferencji "RODO w marketingu", 14-15 stycznia 2019 r., Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Puls Inwestora / Wyniki spółek / Nie da się raz na zawsze zbudować dobrej ochrony