Prywatność bez prawnego oręża

opublikowano: 02-06-2015, 00:00

Najczęściej popełniany przez przedsiębiorców błąd to zbieranie danych, które nie są im niezbędne — mówi w rozmowie z „PB” dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych

Już kilka lat trwają prace nad unijnym rozporządzeniem dotyczącym zasad przetwarzania danych osobowych. Mówi się, że to rewolucyjny akt i będzie obowiązywać Polskę bezpośrednio. Kiedy to nastąpi?

Polscy przedsiębiorcy, działający także w innych krajach UE, już nie będą musieli tam jeździć, aby wyjaśnić wątpliwości co do przetwarzania danych osobowych na tamtych rynkach. O pomoc będą mogli zwrócić się do polskiego organu — Biura GIODO. To efekt zasady „wszystko w jednym miejscu”, które wprowadzi rozporządzenie unijne — wyjaśnia dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Zobacz więcej

W JEDNYM MIEJSCU:

Polscy przedsiębiorcy, działający także w innych krajach UE, już nie będą musieli tam jeździć, aby wyjaśnić wątpliwości co do przetwarzania danych osobowych na tamtych rynkach. O pomoc będą mogli zwrócić się do polskiego organu — Biura GIODO. To efekt zasady „wszystko w jednym miejscu”, które wprowadzi rozporządzenie unijne — wyjaśnia dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych. Marek Wiśniewski

Faktycznie, to rewolucyjny akt. Wprowadzi on jednolite rozwiązania prawne we wszystkich krajach Unii Europejskiej. Postanowienia rozporządzeń unijnych muszą być bezpośrednio stosowane w każdym państwie Wspólnoty. Liczymy, że rozporządzenie dotyczące ochrony danych osobowych będzie przyjęte jeszcze w tym roku. Przewiduje ono, co prawda, dwuletnie vacatio legis, ale będzie to czas na przygotowanie się do jego stosowania.

Na czym te przygotowania mają polegać?

Żeby bez problemów stosować regulacje unijnego rozporządzenia, konieczne będą zmiany w polskich przepisach i przygotowanie do realizacji nowych zadań Biura GIODO. Zatem dwuletnie vacatio legis to dość krótki okres, w którym polski ustawodawca musi m.in. dokonać przeglądu wielu aktów prawnych, aby ujednolicić definicje i wprowadzić nowe. Ostatnio bowiem coraz głośniej mówi się o zjawiskach i rodzajach danych, które wymagają uregulowania, a których nie zdefiniowano w polskim prawie. Mam na myśli np. dane biometryczne, dane genetyczne czy biobanki.

Co ważnego wynika z rozporządzenia dla przedsiębiorców?

Przede wszystkim ujednolici ono zasady ochrony danych osobowych na całym rynku europejskim i dzięki temu uprości niektóre procedury. Obecnie na przykład polska firma, która prowadzi działalność także za granicą — powiedzmy w Niemczech i Francji — musi dostosować się do standardów przetwarzania danych, obowiązujących w każdym z tych krajów z osobna i w przypadku wątpliwości wyjaśnia je z tamtejszymi organami. Po wejściu w życie rozporządzenia zacznie działać zasada „one stop shop”, czyli wszystko w jednym miejscu. O wyjaśnienia i pomoc będzie można zwracać się tam, gdzie przedsiębiorca ma swoją siedzibę. Dla polskiej firmy będzie to zatem Biuro GIODO.

Europa zdecydowała się na wprowadzenie sankcji za łamanie zasad przetwarzania danych osobowych. I nie będą one niskie.

Będą dotkliwe, ale ich wysokość nie została jeszcze uzgodniona. Decyzja zostanie podjęta najprawdopodobniej przez Radę ds. Sprawiedliwości w połowie czerwca. Nieoficjalnie potwierdza się stanowisko państw członkowskich utrzymujące wysokość kar w wersji z projektu rozporządzenia, czyli do 250 tys. EUR lub 0,5 proc. obrotu. Nie chcemy straszyć sankcjami, jednak na pewno muszą być one odczuwalne ze względu na interes i dobro ludzi, których prywatność zostanie naruszona, oraz pełnić funkcję prewencyjną. Podmioty dysponujące danymi muszą zdawać sobie sprawę, że nie wolno im lekko traktować takich informacji, handlować nimi ani udostępniać osobom nieupoważnionym, bo grozi za to określona kara. To powinno przyczynić się do większej dbałości o to, aby dane przetwarzano zgodnie z prawem.

Czyli jednak straszak...

Rozporządzenie przewiduje, że naruszenie ujawnione podczas pierwszej kontroli nie musi oznaczać kary, jeśli nie będzie ono działaniem zawinionym. Ale jeżeli druga kontrola wykaże, że przedsiębiorca czy jakikolwiek inny administrator danych nie zastosował się do wcześniejszych zaleceń pokontrolnych, z karą należy się liczyć.

Kto będzie je nakładał?

GIODO. To będą kary administracyjne.

Od których będzie można się odwołać.

Oczywiście.

Co się stało, że wszystkie kraje unijne zgodnie postanowiły o wprowadzeniu sankcji?

W tej chwili żyjemy w wielkiej globalnej przestrzeni. Z jednej strony świat cyfrowy pozwala rozwijać się gospodarce, ale zarazem coraz bardziej narusza sferę prywatności. W sieci krąży ogromna ilość informacji o użytkownikach internetu i nie tak trudno np. o kradzież czyjejś tożsamości. Wiele danych jest przetwarzanych bez udziału i zgody osób, których dotyczą. Trzeba wprowadzić mechanizmy, które zablokują takie działania.

Czy naruszenia prawa wynikają przede wszystkim z nieświadomości czy celowego działania?

Niestety, często wynikają z nieznajomości prawa, chociaż ustawa o ochronie danych osobowych obowiązuje w Polsce od 1998 r., czyli od 17 lat. Poza tym panuje przekonanie, że to nie taka ważna sprawa.

Jakie błędy są najczęściej popełniane?

Przede wszystkim gromadzenie danych, które nie są konieczne do funkcjonowania przedsiębiorstwa. Pracodawcy np. zbierają zbyt wiele informacji o kandydatach do pracy, choć wiele z tych danych nie będzie im potrzebnych. Często chcą wiedzieć o nich wszystko, zapominając o ograniczeniach wyznaczonych przez kodeks pracy. Jestem otwarta na dyskusję, czy ten zakres jest zbyt wąski, czy nie. Jednak ponieważ zasady gromadzenia informacji o człowieku, który tylko potencjalnie zostanie zatrudniony, określa prawo, to trzeba się do nich stosować. Problemem jest też monitoring pracowników, w stosowaniu którego należy wziąć pod uwagę rekomendację Rady Europy z kwietnia tego roku. Chcę zwrócić uwagę, że zgodnie z nią, każdy w miejscu pracy ma prawo do prywatności. Nie można zatem przeglądać e-maili pracowników ani żądać odcisków palców na potwierdzenie czasu ich faktycznej pracy, bo stosunek pracy jest stosunkiem wzajemnego zaufania. Przedsiębiorcom mogę podpowiedzieć, aby tworzyli wewnętrzne regulaminy ochrony prywatności i postępowali zgodnie ze zdrowym rozsądkiem.

Czy GIODO otrzymuje dużo skarg na naruszenia prawa? Czego najczęściej dotyczą?

Najwięcej skarg dotyczy sektora bankowego i innych instytucji finansowych, a także internetu. Coraz lepiej z przestrzeganiem przepisów radzą sobie e- -sklepy. Pojawia się natomiast coraz więcej zgłoszeń związanych z wykorzystywaniem nowych technologii, np. dronów, które zaglądają na prywatne podwórka. Przybywa pytań o monitoring, w tym pracowniczy — o podstawy prawne takiego gromadzenia danych i ich wykorzystywania. Problem istnieje, bo ta kwestia nie jest kompleksowo uregulowana.

Ma pani plan, aby zmienić prawo?

GIODO nie ma takich uprawnień. Może sygnalizować, że istnieje potrzeba zmian. Nie jestem zwolenniczką tworzenia nowych aktów, ale czasami nie ma wyjścia. I właśnie tak jest np. z monitoringiem, sprawiającym wiele kłopotów.

Swego czasu zapowiadano, że rozporządzenie unijne nałoży na wszystkie firmy obowiązek powołania administratorów bezpieczeństwa informacji (ABI). Obecnie jest to wolny wybór.

Prawdopodobnie nie będzie to konieczne w bardzo małych firmach. Na obecnym etapie prac przepis dotyczący ABI brzmi: „Administrator lub przetwarzający może wyznaczyć lub, gdy wymaga tego prawo Unii lub państwa członkowskiego, jest zobowiązany do wyznaczenia urzędnika ds. ochrony danych”...

Ilu ABI powołano do tej pory?

Do GIODO wpłynęło 5,5 tys. zgłoszeń o powołaniu ABI, a do rejestru wpisano już ponad 1,2 tys. Najwięcej zgłoszeń pochodzi od instytucji publicznych, np. szkół, gmin, policji, a niewiele od małych przedsiębiorców.

Przedsiębiorcy obawiali się, że ABI to taka prawa ręka GIODO. Na dodatek zatrudniona na ich koszt.

Chcielibyśmy, żeby taka osoba była w pewnym sensie łącznikiem między GIODO a administratorem danych. Jako specjalista w dziedzinie ochrony danych ABI będzie wiedział, jak w praktyce stosować wyjaśnienia w sprawie, z którą zwróci się do nas. Powinien ułatwić administratorowi wykonywanie zadań, informować go o ewentualnych naruszeniach, szkolić załogę. Tym samym ciężar odpowiedzialności za przetwarzanie danych zostaje rozłożony.

Czy unijne rozporządzenie stawia ABI jakieś szczególne wymagania?

Tak — aby była nim osoba, która ma doświadczenie i wiedzę. Na niektórych uczelniach istnieją już studia podyplomowe i planowane jest utworzenie kolejnych. Ponadto sami prowadzimy szkolenia dla ABI, aby im pomóc.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu