Prywatność pod większym nadzorem

opublikowano: 17-10-2017, 22:00

Przepisy: Prezes UODO, zanim wyda decyzję o naruszeniu, zastopuje przetwarzanie danych w firmie — aby klienci nie ponieśli więcej szkód

Coraz więcej ekspertów przypomina, że nieubłaganie ucieka czas na przygotowanie firm do przetwarzania danych osobowych zgodnie z zasadami unijnego rozporządzenia dotyczącego tej ochrony i przestrzegania prywatności (RODO).

Damian Karwala, radca prawny w kancelarii CMS, zwraca uwagę, że do nowych wymagań dotyczących danych osobowych można było i należało przygotowywać się od dawna, nie czekając na polską ustawę.
Zobacz więcej

WIADOMO OD DAWNA:

Damian Karwala, radca prawny w kancelarii CMS, zwraca uwagę, że do nowych wymagań dotyczących danych osobowych można było i należało przygotowywać się od dawna, nie czekając na polską ustawę. [FOT. ARC]

Sprawdź program warsztatu "RODO w HR", 24.05.2018, Warszawa >>

Ich zdaniem, zwłoki w tych działaniach nie usprawiedliwia np. oczekiwanie na finał prac nad polskimi ustawami, dostosowującymi krajowe prawo do nowych wymagań. Akty te, których projekty resort cyfryzacji skierował już do konsultacji, w zasadzie dotyczą kwestii proceduralnych, jak np. powołania nowego organu nadzoru, czyli Urzędu Ochrony Danych Osobowych (UODO), w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych (GIODO), jego kompetencji, trybu stosowania kar za naruszenia czy postępowań.

— Do nowych wymagań można było i należało przygotowywać się od dawna, nie czekając na polską ustawę. Przepisy materialne, określające podstawowe zasady przetwarzania danych, w tym np. wywiązywania się z obowiązku informacyjnego wobec osób, od których je pozyskano, są już znane. Zawiera je unijne rozporządzenie. Krajowe ustawodawstwo do tych kwestii nie powinno wnosić nowych rozwiązań — zwraca uwagę Damian Karwala, radca prawny w kancelarii CMS.

Bez zbędnej nadregulacji

Jeśli chodzi o podstawowe zagadnienia wskazane przez radcę, nie ma mowy proc. Taki odsetek przedsiębiorców i osób zarządzających firmami wie, jakie obowiązki nakłada na nie unijne rozporządzenie o ochronie danych. przedsiębiorców — wynika z badania Fundacji Wiedza To Bezpieczeństwo „Co wiemy o ochronie danych”.

o dowolnym ich traktowaniu przez ustawodawców poszczególnych państw. Są jednak sprawy, w których RODO dopuszcza nieco inne podejście. Za taką otwartą kwestię uznano np. zasady powoływania w przedsiębiorstwach inspektorów ochrony danych. Rozporządzenie unijne określa kilka kryteriów z tym związanych, ale pozwala poszczególnym krajom wprowadzić dodatkowe obowiązki wyznaczenia takich osób, np. dla wybranych sektorów. W projekcie krajowej ustawy takich nie ma. — Polski ustawodawca uznał rozwiązania wynikające z unijnego rozporządzenia za wystarczająco szerokie. Widać, że unika nadregulacji, stara się normować przede wszystkim te kwestie, które tego wymagają — ocenia Damian Karwala.

Zdaniem radcy, niektóre zagadnienia wymagają jednak doprecyzowania, np. przepisy dotyczące zasad profilowania danych, czyli tego, kiedy i w jakim zakresie może być ono podejmowane. Według przedstawiciela kancelarii CMS, szczególnie w przypadku bankowości czy branży ubezpieczeniowej, projektowane regulacje zdają się nie uwzględniać wszystkich możliwych sytuacji. Ponadto zwraca uwagę, że zakres spraw, w których przyszły organ nadzoru może podpowiadać przedsiębiorcom rozwiązania pomocne przy stosowaniu nowych wymagań, mógłby zostać poszerzony.

Zdecydowanie na plus ocenia upoważnienie prezesa UODO do wydawania takich rekomendacji, choć jego zdaniem, szkoda, że mają one dotyczyć jedynie zabezpieczeń technicznych i organizacyjnych. Do innych kwestii, które mogą okazać się wyzwaniem dla przedsiębiorców, zalicza m.in. wspomniane profilowanie czy obowiązek informacyjny wobec klientów, w czym kłopotliwe jest np. ustalenie, kiedy należy go spełniać. Rekomendacje przydałyby się również przy podejmowaniu anonimizacji danych, jak również przy realizacji prawa do przenoszenia danych.

Groźna utrata danych

Tymczasem o naruszenie przepisów może nie być tak trudno. — Eksperci zgodnym chórem twierdzą, że będzie o to bardzo łatwo — podkreśla Maciej Kaczmarski, prezes ODO 24. Jak mówi, wyciek danych osobowych to niemal codzienność i może spotkać każde przedsiębiorstwo.

— Gdy do tego dojdzie, władze firmy będą musiały niezwłocznie powiadomić o tym organ nadzorczy, ale nie później niż w ciągu 72 godzin. Jeżeli tego nie zrobią, grozi im kara do 10 mln EUR. Jeśli zrobią, muszą spodziewać się kontroli i zagrożenia karą do 20 mln EUR lub do 4 proc. obrotu, a zgłoszenie będzie okolicznością łagodzącą — zwraca uwagę Maciej Kaczmarski.

Jego zdaniem, okoliczności łagodzących jest więcej — i że chociaż wiele się ostatnio mówi o wysokości przewidzianych kar, to jednak organ nadzorczy wcale nie musi, a nawet nie powinien nakładać ich w maksymalnym wymiarze. Według projektu przyszłej ustawy prezes urzędu będzie mógł odroczyć zapłatę kary pieniężnej za naruszenie ochrony danych osobowych albo rozłożyć ją na raty.

— To ma być możliwe tylko ze względu na ważny interes wnioskodawcy. Będzie on musiał do wniosku dołączyć uzasadnienie. Trzeba mieć przy tym świadomość, że od odroczonej kary lub od rat naliczone zostaną odsetki za zwłokę w wysokości 50 proc. ich stawki. Poza tym prezes urzędu może cofnąć decyzję w przypadku ujawnienia nowych lub wcześniej nieznanych okoliczności istotnych dla rozstrzygnięcia — zwraca uwagę prezes ODO 24.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych będzie prowadzone przez prezesa UODO i będzie jednoinstancyjne. Przedsiębiorcy zgłaszają w tym zakresie zastrzeżenia. Zdaniem Damiana Karwali, wprowadzenie takiego trybu wynika po części z tego, że jak pokazują dotychczasowe statystyki, GIODO z reguły podtrzymuje swoje decyzje i sprawy ostatecznie trafiają do sądu administracyjnego.

— Myślę, że projektowany tryb może przyspieszyć postępowania, co może okazać się korzystne również dla przedsiębiorców — uważa radca.

Przed wydaniem decyzji

Jego zdaniem, mniej korzystne dla przedsiębiorców może okazać się inne rozwiązanie. Prezes UODO będzie mógł zobowiązać podmiot, któremu zarzucono naruszenie przepisów, do ograniczenia przetwarzania danych osobowych ze wskazaniem jego dopuszczalnego zakresu — jeszcze przed wydaniem decyzji, czyli w trakcie prowadzonego postępowania, jeśli łamanie prawa zostanie uprawdopodobnione.

— Wydanie takiego postanowienia ma zapobiec poważnym i trudnym do usunięcia skutkom dalszego gromadzenia i wykorzystywania danych, czyli zjawiskom, których nie sposób odwrócić. Tak sformułowane ustawowe rozwiązanie jest jednak nieprecyzyjne, w praktyce może wiązać ręce przedsiębiorcom. Wyobraźmy sobie, że prezes UODO wszczyna postępowanie wobec operatora serwisu internetowego i dochodzi do wniosku, że ten przetwarza dane bez podstawy prawnej albo stosując nieprawidłową. Jeśli uzna, że to może szkodzić użytkownikom, i nakaże zaprzestania przetwarzania danych osobowych z wyjątkiem ich przechowywania, serwis może stanąć przed koniecznością zawieszenia działalności — wyjaśnia Damian Karwala.

Podkreśla, że taka sytuacja może mieć dla przedsiębiorcy poważne konsekwencje — na dodatek znajdzie się on w niej jeszcze przed wydaniem przez organ finalnej decyzji w sprawie badanych nieprawidłowości. Ponadto na tym etapie nie będzie można zaskarżyć postanowienia o ograniczeniu przetwarzania danych. Radca przyznaje rację projektodawcy, że naruszenie prywatności wymaga szybkiej reakcji. Niemniej przesłanki działań organu sformułowane ogólnie w projektowanej ustawie są na tyle pojemne, że konieczna jest ogromna dbałość, aby nie było uznaniowości przy nakładaniu takich zakazów.

Specjalny fundusz

Resort cyfryzacji chce stworzyć Fundusz Ochrony Danych Osobowych, którego przychody będą pochodzić z 1 proc. kar pieniężnych nakładanych przez prezesa UODO. Organ ten ma być też jego dysponentem.

Projektowana ustawa zapowiada, że pieniądze z funduszu mają być przeznaczane na inicjowanie i podejmowanie przez ten organ przedsięwzięć w zakresie: upowszechniania w społeczeństwie wiedzy o potrzebie ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z ich przetwarzaniem — szczególna uwaga ma być poświęcona działaniom skierowanym do dzieci upowszechniania wśród administratorów i podmiotów przetwarzających dane wiedzy o obowiązkach spoczywających na nich na podstawie przepisów o ochronie danych osobowych.

Damian Karwala ma nadzieję, że ta kwestia będzie przedmiotem dalszych prac legislacyjnych nad przyszłą ustawą. Doprecyzowania wymaga też m.in. odpowiedzialność karna związana z przetwarzaniem danych wrażliwych, do których należą np. informacje ujawniające pochodzenie rasowe, przekonania światopoglądowe czy przynależność do związków zawodowych. Projekt ustawy przewiduje bowiem grzywnę, karę ograniczenia wolności albo pozbawienia jej do roku za ich gromadzenie i wykorzystywanie bez podstawy prawnej. Według radcy, jednoznaczne przesądzenie w każdej sytuacji o tym, czy przedsiębiorca ma do czynienia z danymi wrażliwymi, może być problemem.

— Jak pokazuje badanie fundacji Wiedza To Bezpieczeństwo, 42 proc. ankietowanych twierdzi, że w podmiotach, z którymi są związani, nigdy nie było incydentów naruszenia ochrony danych osobowych. Pozwala to przypuszczać, że wśród przedsiębiorców nie ma w ogóle wiedzy o tym, co to jest incydent i jakie konsekwencje mogą się z tym wiązać — mówi Maciej Kaczmarski.

Na bakier z ochroną

Zwraca uwagę, że np. do wycieku danych dochodzi także w dużych firmach, takich jak banki czy telekomy, mimo że są one nadzorowane prze państwowe instytucje, które wprowadzają wytyczne i rekomendacje często zmierzające do podniesienia bezpieczeństwa danych.

— W takich firmach od lat kwestie bezpieczeństwa są uważane za szczególnie ważne. Zatrudniają one zespoły ekspertów do tych spraw, wykonują testy penetracyjne swojej infrastruktury i systemów, a mimo to co jakiś czas słyszymy o dużych wyciekach danych. Pod rządami RODO będą one znacznie kosztowniejsze. Co w takim razie czeka firmy małe i średnie albo nawet duże z innych branż, gdzie kwestie bezpieczeństwa nie były dotychczas traktowane priorytetowo? — pyta szef ODO 24. Jak zauważa, dopiero teraz duże firmy zaczynają poważnie myśleć o dostosowywaniu się do przepisów RODO. Czasu nie mają jednak wiele.

— Proces dostosowawczy w dużych przedsiębiorstwach, gdy go mądrze zaplanować i dynamicznie przeprowadzić, potrwa od kilku do kilkunastu miesięcy. Ponadto samo przygotowanie systemów informatycznych do spełnienia nowych praw przyznanych podmiotom danych, czyli klientom, kontrahentom, w firmach, gdzie systemów bywają dziesiątki, a nawet setki, wydaje się trudną misją. Należy je dostosować do nowych wymagań, czyli zidentyfikować niezgodności, zaplanować optymalne rozwiązanie, wyłonić wykonawcę, zrealizować zlecenie, sprawdzić, wdrożyć. Na to trzeba czasu — wylicza Maciej Kaczmarski.

Dodaje dla przykładu, że sam proces wyłonienia wykonawcy dla jednego systemu informatycznego, którego właścicielem jest duży podmiot, może potrwać co najmniej trzy miesiące. Kraje członkowskie UE będą musiały stosować wymagania RODO od 25 maja 2018 r.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Puls Firmy / Prywatność pod większym nadzorem