Kraj

Dane osobowe: Srogie kary za zaniedbania

materiały prasowe
- Przedsiębiorcy nie są przygotowani na zmianę przepisów o ochronie danych osobowych - mówi Maciej Kawecki, koordynator prac nad reformą ochrony danych osobowych.

Rzeczpospolita: W tym roku wejdą w życie nowe przepisy o ochronie danych osobowych. Ale zmiany będą obowiązywały dopiero od 25 maja, więc chyba na razie nie ma się czym przejmować.

Dr Maciej Kawecki, koordynator prac nad reformą ochrony danych osobowych: To nie do końca tak. Jeśli dostosowanie się do nowych przepisów wymaga tylko zmian organizacyjnych, a przedsiębiorca weźmie się za nie już w styczniu, to rzeczywiście ma duże szanse się przygotować. Jeśli natomiast potrzebne będą zmiany w systemach informatycznych, to może być dużo trudniej.

Przedsiębiorcy są już przygotowani?

Przeważnie nie. Z różnych badań, które do nas docierają wynika, że ogromny odsetek z nich w ogóle nie wie, co to jest unijne rozporządzenie o ochronie danych osobowych (RODO) i tym samym nie przygotowuje się do zmian.

Co grozi tym, którzy nie dostosują się do nowych przepisów?

Utrata wizerunku przedsiębiorcy, a także kary. Nie lubię straszyć karami, nie powinno się tego robić. Ale nie mogę nie wskazać. Kary za nieprzestrzeganie przepisów o ochronie danych osobowych mogą osiągnąć nawet do 20 mln euro. To robi wrażenie, bo obecne polskie przepisy nie nakładają w tym zakresie żadnych sankcji. Tym bardziej, że zmiany wynikają z przepisów unijnych (szacujemy, że ok. 75 proc. zmian jest właśnie w nich) i nie określają ściśle zasad, które mają być spełnione, by uznać, że dane są zabezpieczane należycie. Nie ma żadnych wyznaczonych parametrów technicznych. Każda firma mechanizm ochrony wypracowuje sobie sama. Unijne rozporządzenie jest aktem inteligentnym – specjalnie jest skonstruowane tak, aby prawo nie musiało gonić nowych technologii. Zresztą nigdy by nie dogoniło. W przyszłości administratorzy będą sami musieli szukać rozwiązań technologicznych zgodnych z duchem zmieniającego się czasu.

Czy to oznacza, że gdy dojdzie do cyberataku, to też odpowie za to przedsiębiorca?

Tak. Jego obowiązkiem jest zapewnienie bezpieczeństwa przechowywanych danych. Choć fakt dotrzymania należytej staranności z pewnością będzie okolicznością łagodzącą. Także przedsiębiorca odpowiada za wyciek danych swoich klientów z biura rachunkowego, które rozlicza jego firmę, bądź każdego innego podwykonawcy. A nawet wtedy, gdy np. były pracownik salonu fryzjerskiego wyniesie z zakładu notes, w którym są zapisywane nazwiska klientów oraz telefony do nich.

O ile się dowiemy, że do wycieku danych doszło.

Zostaniemy o tym powiadomieni, bo podmioty, w których to miało miejsce, będą do tego zobowiązane.

Myśli pan, że ktoś będzie zgłaszał wyciek danych, żeby zapłacić horrendalnie wysoką karę?

Zgłoszenie będzie podstawą do złagodzenia kary, natomiast ukrycie tego faktu – do dodatkowego ukarania. Będzie stanowiło bowiem samo w sobie naruszenie przepisów RODO. Zakładam też, że po pewnym czasie stanie się to standardem, którego nieprzestrzeganie osłabi wizerunek firmy.

Co poza wszechstronnym zagrożeniem karami zmieni się w zakresie ochrony danych osobowych?

Każdy z nas będzie miał prawo do usunięcia, również z internetu, informacji na nasz temat. To dlatego że zostanie wprowadzone tzw. prawo do bycia zapomnianym. Uzyskamy prawo do przeniesienia naszych danych, z jednego, wskazanego przez nas podmiotu, do drugiego. Możliwe, że skróci to czas załatwiania np. kredytu w banku. Zyskamy prawo żądania odszkodowania za naruszenie prawa do ochrony danych osobowych, czego do tej pory w takim kształcie nie było. A jeśli przedsiębiorca będzie chciał przetwarzać dane dziecka poniżej 13. roku życia, często potrzebna będzie do tego zgoda rodzica.

Na razie nie ma polskiej ustawy do przepisów unijnych, a wchodzą one w życie już za niecałe pięć miesięcy.

Projekty przepisów są już znane. W najbliższym czasie zostaną udostępnione natomiast ich wersje z już uwzględnionymi uwagami zgłaszanymi w trakcie dotychczasowych prac legislacyjnych. Na pewno tak się stanie względem projektu ustawy o ochronie danych osobowych. W styczniu organizujemy również konferencję podsumowującą konsultacje społeczne.

Czym nowy system ochrony danych różni się od poprzedniego?

Przepisy unijne są restrykcyjne i uszczelniają dotychczasowe regulacje. Nasze przepisy krajowe są bardziej probiznesowe. Staramy się znaleźć złoty środek i dostrzegać również ekonomiczny walor danych, które są paliwem współczesnej gospodarki. Wprowadzamy zasady przetwarzania danych biometrycznych pracowników, czy korzystania z monitoringu wizyjnego w miejscu pracy. Wprowadzamy też regulacje dedykowane małym i średnim przedsiębiorcom. W sektorze finansowym wprowadzamy możliwość profilowania, któremu klienci banków będą się jednak mogli sprzeciwić.

A co zyskają przeciętni Polacy?

To, co najbardziej nas boli, to spam telefoniczny i internetowy. Teraz będzie łatwiej z tym walczyć. Poza tym poprzez likwidację dwuinstancyjności na rzecz jednoinstancyjności postępowania skróci się czas oczekiwania na decyzje organu nakazujące usunięcie naruszenia. W projekcie przewidujemy też krótszy okres prowadzonych kontroli do maksymalnie 30 dni. Obecnie procedura skargowa trwa czasami lata. W dodatku prezes Urzędu Ochrony Danych Osobowych będzie miał prawo nakazać czasowe ograniczenie przetwarzania danych, np. klientów przedsiębiorcy, gdy podejrzewa, że doszło do wycieku danych.

To mało proprzedsiębiorcze rozwiązanie.

Ale proobywatelskie. To właśnie jest wskazany uprzednio przeze mnie złoty środek pomiędzy interesami obywateli i przedsiębiorców. Zresztą nie zgadzam się, jakoby krótkie postępowania nie były rozwiązaniem proprzedsiębiorczym. Przedsiębiorcom też zależy na możliwie szybkim zaskarżeniu decyzji do sądu. Ponadto w projekcie wprowadzimy możliwość złożenia zażalenia na postanowienia nakazujące czasowe ograniczenie przetwarzania danych. Wcześniej takiego rozwiązania nie było.

Jednak nie można oprzeć się wrażeniu, że organy administracji państwowej zostały potraktowane lepiej niż przedsiębiorcy. Za naruszenie przepisów o ochronie danych osobowych zostanie na nich nałożona niższa kara.

Dla podmiotów państwowych kary finansowe nie są tak dolegliwe jak dla przedsiębiorców. Większe znaczenie ma natomiast utrata reputacji. Dlatego na organy państwowe nakładamy w projekcie przepisów obowiązek informowania o sposobie wykonania adresowanych do nich decyzji prezesa urzędu.

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL