Z Agnieszką Kulej, specjalistką ds. ochrony danych osobowych rozmawiamy o tematyce związanej z problematyką RODO, o tym kto powinien chronić nasze dane, a także o konsekwencjach wynikających z zaniedbań i nieprawidłowości w ich przetwarzaniu.
Pojęcie RODO wciąż budzi niepokój nie tylko wśród przedsiębiorców, ale i w ogromnej mierze wśród pracowników instytucji publicznych. Czy mogłaby pani przybliżyć zagadnienie samego RODO?
RODO to skrót od ogólnego rozporządzenia o ochronie danych, które zostało przyjęte przez Unię Europejską w 2016 roku. Zmieniło ono podejście do zasad bezpieczeństwa i spowodowało reformę w zakresie ochrony danych osobowych. Jest obligatoryjne dla każdego podmiotu, który je przetwarza, czyli w praktyce obejmuje większość przedsiębiorców i instytucji. W Polsce mieliśmy dwuletni okres przejściowy, który pozwolił na dostosowanie się do nowych przepisów. Ten okres zakończył się pod koniec maja 2018 roku.
Jaka jest różnica pomiędzy RODO, a poprzednimi przepisami z zakresu ochrony danych osobowych?
Bardzo duża. Pomimo, że większość przepisów zawartych w RODO jest powtórzeniem tego, co znajduje się w ustawie o ochronie danych osobowych z 1997 roku, to rozporządzenie z 2016 roku dokonuje zmian w sposobie myślenia o tym czym są dane osobowe. Nowe przepisy wprowadziły na przykład obowiązek powołania osoby, która będzie odpowiedzialna za nadzorowanie przestrzegania przepisów i procedur wewnętrznych, związanych z danymi osobowymi. Funkcję taką pełni inspektor ochrony danych. Wcześniej wyznaczenie takiej osoby było dobrowolne i określano ją mianem administratora bezpieczeństwa informacji. Obecnie wszystkie podmioty publiczne, jak również niektórzy przedsiębiorcy, mają obowiązek wyznaczyć w swojej organizacji taką osobę. RODO wprowadziło również prawo do bycia zapomnianym, żądania przeniesienia danych oraz wzmocnione prawo dostępu i wglądu osoby, której dane dotyczą.
Skoncentrujmy się na najistotniejszym aspekcie. A mianowicie, co mają robić w tej sytuacji – dla przykładu – choćby włodarze gmin, aby móc spać spokojnie?
Wraz z nowymi przepisami wprowadzone zostało podejście oparte na analizie ryzyka. Oznacza to, że każdy podmiot przetwarzający dane osobowe musi rozpoznać i oszacować zagrożenia oraz skutki ich wystąpienia. Następnie na podstawie tej analizy powinny zostać wdrożone właściwe metody organizacyjne, czyli procedury postępowania, środki techniczne, informatyczne i teleinformatyczne, które odpowiednio zabezpieczą przetwarzane dane osobowe na przykład przed udostępnieniem, ujawnieniem, utratą czy zniszczeniem. Istotne jest to, że zgodnie z zasadą rozliczalności, którą wprowadza RODO oprócz wprowadzenia zabezpieczeń, które będą gwarantowały bezpieczeństwo danych i przestrzegania obowiązujących przepisów, wymagane jest stworzenie dokumentu w postaci polityki wewnętrznej zwanej polityką bezpieczeństwa danych osobowych czy polityki ochrony danych osobowych. W dokumencie tym powinien znaleźć się opis procedur oraz metod i narzędzi, które przedsiębiorstwo czy instytucja stosuje w praktyce w celu ochrony danych.
I taki się faktycznie dzieje?
Życie pokazuje, że niestety różnie z tym bywa.
Kolejnym obowiązkiem przedsiębiorcy czy instytucji będącej administratorem danych jest zgłaszanie tzw. incydentów, czyli naruszenia danych do Urzędu Ochrony Danych Osobowych.
Zgadza się. W takim wypadku administrator ma siedemdziesiąt dwie godziny na poinformowanie organu nadzorczego, a także osoby, której te dane dotyczą, od chwili stwierdzenia naruszenia. Dlatego tak istotne są jasne procedury postępowania wewnątrz podmiotu, które pozwolą na sprawne podjęcie działań w takiej sytuacji i właściwe reagowanie.
Co grozi za niedostosowanie się podmiotu do obowiązujących przepisów?
I tutaj dotarliśmy do sedna. Oczywiście główną motywacją do tego aby przedsiębiorstwa i instytucje publiczne stosowały RODO są kary finansowe i odpowiedzialność karna. Według mnie właściwe przetwarzanie danych to przede wszystkim budowanie zaufania pomiędzy podmiotem i osobą, której dane są przetwarzane. To istotnie wpływa na wizerunek przedsiębiorstwa czy instytucji publicznej, jako profesjonalnej i godnej zaufania. Wracając jednak do kar finansowych, to maksymalne administracyjne kary pieniężne wynoszą nawet 20 mln euro, lub do 4 proc. całkowitego rocznego obrotu. Kraje członkowskiej miały możliwość obniżenia administracyjnych kar finansowych w odniesieniu do sektora publicznego. Oczywiście Polska skorzystała z tej możliwości i zgodnie z zapisami ustawy o ochronie danych osobowych prezes wspomnianego wcześniej UODO może nałożyć maksymalnie 100 tys. zł kary na jednostki sektora finansów publicznych.
Czy w Polsce zostały już nałożone kary tego typu?
Tak. Najlepszym przykładem konsekwencji dla podmiotu sektora publicznego była decyzja prezesa UODO, który w październiku ubiegłego roku podjął decyzję o nałożeniu takowej na burmistrza Aleksandrowa Kujawskiego.
Jaka to była kwota?
40 tys. zł.
Sporo.
Owszem. Dlatego tak ważne jest to, by osoby zarządzające gminami zwracały szczególną uwagę na kwestie związane z przestrzeganiem przepisów o ochronie danych osobowych oraz obowiązków, jakie na nich ciążą. Tym bardziej, że to właśnie prezydenci, burmistrzowie czy wójtowie zobligowany są do dostosowania nowych standardów w swojej strukturze.
Były jeszcze jakieś głośne przypadki?
Tak. Prezes Urzędu Ochrony Danych Osobowych nałożył osiem kar, ale szczegóły nie zostały podane do publicznej wiadomości. Pozostałe przypadki to prawie 1 mln zł kary dla spółki Bisnode, 3 mln zł dla spółki z branży e-commerce morele.net za wyciek danych, 201 tys. zł dla spółki z branży reklamowej ClickQuickNow czy 56 tyś. zł dla Dolnośląskiego Związku Piłki Nożnej. Szerzej o karach finansowych, nie tylko w Polsce ale innych krajach członkowskich można poczytać w raporcie dotyczącego naruszeń danych osobowych pt. Data Breach Survey. To raport opracowany przez kancelarię DLA Piper. Zainteresowanym gorąco polecam jego lekturę.
Jest więc się czego obawiać.
Zdecydowanie. Ale proszę pamiętać, że można i należy się przed tym chronić. Wystarczy skorzystać z określonych narzędzi i umiejętności osób, które specjalizują się w zagadnieniach związanych z RODO, jaki i również wiedzą, w jaki sposób swobodnie poruszać się po tej materii.
I tym pozytywnym akcentem zakończymy. Serdecznie dziękuję za rozmowę.
Ja również dziękuję.