Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Kraj

Dane osobowe: Srogie kary za zaniedbania

materiały prasowe
- Przedsiębiorcy nie sš przygotowani na zmianę przepisów o ochronie danych osobowych - mówi Maciej Kawecki, koordynator prac nad reformš ochrony danych osobowych.

Rzeczpospolita: W tym roku wejdš w życie nowe przepisy o ochronie danych osobowych. Ale zmiany będš obowišzywały dopiero od 25 maja, więc chyba na razie nie ma się czym przejmować.

Dr Maciej Kawecki, koordynator prac nad reformš ochrony danych osobowych: To nie do końca tak. Jeœli dostosowanie się do nowych przepisów wymaga tylko zmian organizacyjnych, a przedsiębiorca weŸmie się za nie już w styczniu, to rzeczywiœcie ma duże szanse się przygotować. Jeœli natomiast potrzebne będš zmiany w systemach informatycznych, to może być dużo trudniej.

Przedsiębiorcy sš już przygotowani?

Przeważnie nie. Z różnych badań, które do nas docierajš wynika, że ogromny odsetek z nich w ogóle nie wie, co to jest unijne rozporzšdzenie o ochronie danych osobowych (RODO) i tym samym nie przygotowuje się do zmian.

Co grozi tym, którzy nie dostosujš się do nowych przepisów?

Utrata wizerunku przedsiębiorcy, a także kary. Nie lubię straszyć karami, nie powinno się tego robić. Ale nie mogę nie wskazać. Kary za nieprzestrzeganie przepisów o ochronie danych osobowych mogš osišgnšć nawet do 20 mln euro. To robi wrażenie, bo obecne polskie przepisy nie nakładajš w tym zakresie żadnych sankcji. Tym bardziej, że zmiany wynikajš z przepisów unijnych (szacujemy, że ok. 75 proc. zmian jest właœnie w nich) i nie okreœlajš œciœle zasad, które majš być spełnione, by uznać, że dane sš zabezpieczane należycie. Nie ma żadnych wyznaczonych parametrów technicznych. Każda firma mechanizm ochrony wypracowuje sobie sama. Unijne rozporzšdzenie jest aktem inteligentnym – specjalnie jest skonstruowane tak, aby prawo nie musiało gonić nowych technologii. Zresztš nigdy by nie dogoniło. W przyszłoœci administratorzy będš sami musieli szukać rozwišzań technologicznych zgodnych z duchem zmieniajšcego się czasu.

Czy to oznacza, że gdy dojdzie do cyberataku, to też odpowie za to przedsiębiorca?

Tak. Jego obowišzkiem jest zapewnienie bezpieczeństwa przechowywanych danych. Choć fakt dotrzymania należytej starannoœci z pewnoœciš będzie okolicznoœciš łagodzšcš. Także przedsiębiorca odpowiada za wyciek danych swoich klientów z biura rachunkowego, które rozlicza jego firmę, bšdŸ każdego innego podwykonawcy. A nawet wtedy, gdy np. były pracownik salonu fryzjerskiego wyniesie z zakładu notes, w którym sš zapisywane nazwiska klientów oraz telefony do nich.

O ile się dowiemy, że do wycieku danych doszło.

Zostaniemy o tym powiadomieni, bo podmioty, w których to miało miejsce, będš do tego zobowišzane.

Myœli pan, że ktoœ będzie zgłaszał wyciek danych, żeby zapłacić horrendalnie wysokš karę?

Zgłoszenie będzie podstawš do złagodzenia kary, natomiast ukrycie tego faktu – do dodatkowego ukarania. Będzie stanowiło bowiem samo w sobie naruszenie przepisów RODO. Zakładam też, że po pewnym czasie stanie się to standardem, którego nieprzestrzeganie osłabi wizerunek firmy.

Co poza wszechstronnym zagrożeniem karami zmieni się w zakresie ochrony danych osobowych?

Każdy z nas będzie miał prawo do usunięcia, również z internetu, informacji na nasz temat. To dlatego że zostanie wprowadzone tzw. prawo do bycia zapomnianym. Uzyskamy prawo do przeniesienia naszych danych, z jednego, wskazanego przez nas podmiotu, do drugiego. Możliwe, że skróci to czas załatwiania np. kredytu w banku. Zyskamy prawo żšdania odszkodowania za naruszenie prawa do ochrony danych osobowych, czego do tej pory w takim kształcie nie było. A jeœli przedsiębiorca będzie chciał przetwarzać dane dziecka poniżej 13. roku życia, często potrzebna będzie do tego zgoda rodzica.

Na razie nie ma polskiej ustawy do przepisów unijnych, a wchodzš one w życie już za niecałe pięć miesięcy.

Projekty przepisów sš już znane. W najbliższym czasie zostanš udostępnione natomiast ich wersje z już uwzględnionymi uwagami zgłaszanymi w trakcie dotychczasowych prac legislacyjnych. Na pewno tak się stanie względem projektu ustawy o ochronie danych osobowych. W styczniu organizujemy również konferencję podsumowujšcš konsultacje społeczne.

Czym nowy system ochrony danych różni się od poprzedniego?

Przepisy unijne sš restrykcyjne i uszczelniajš dotychczasowe regulacje. Nasze przepisy krajowe sš bardziej probiznesowe. Staramy się znaleŸć złoty œrodek i dostrzegać również ekonomiczny walor danych, które sš paliwem współczesnej gospodarki. Wprowadzamy zasady przetwarzania danych biometrycznych pracowników, czy korzystania z monitoringu wizyjnego w miejscu pracy. Wprowadzamy też regulacje dedykowane małym i œrednim przedsiębiorcom. W sektorze finansowym wprowadzamy możliwoœć profilowania, któremu klienci banków będš się jednak mogli sprzeciwić.

A co zyskajš przeciętni Polacy?

To, co najbardziej nas boli, to spam telefoniczny i internetowy. Teraz będzie łatwiej z tym walczyć. Poza tym poprzez likwidację dwuinstancyjnoœci na rzecz jednoinstancyjnoœci postępowania skróci się czas oczekiwania na decyzje organu nakazujšce usunięcie naruszenia. W projekcie przewidujemy też krótszy okres prowadzonych kontroli do maksymalnie 30 dni. Obecnie procedura skargowa trwa czasami lata. W dodatku prezes Urzędu Ochrony Danych Osobowych będzie miał prawo nakazać czasowe ograniczenie przetwarzania danych, np. klientów przedsiębiorcy, gdy podejrzewa, że doszło do wycieku danych.

To mało proprzedsiębiorcze rozwišzanie.

Ale proobywatelskie. To właœnie jest wskazany uprzednio przeze mnie złoty œrodek pomiędzy interesami obywateli i przedsiębiorców. Zresztš nie zgadzam się, jakoby krótkie postępowania nie były rozwišzaniem proprzedsiębiorczym. Przedsiębiorcom też zależy na możliwie szybkim zaskarżeniu decyzji do sšdu. Ponadto w projekcie wprowadzimy możliwoœć złożenia zażalenia na postanowienia nakazujšce czasowe ograniczenie przetwarzania danych. Wczeœniej takiego rozwišzania nie było.

Jednak nie można oprzeć się wrażeniu, że organy administracji państwowej zostały potraktowane lepiej niż przedsiębiorcy. Za naruszenie przepisów o ochronie danych osobowych zostanie na nich nałożona niższa kara.

Dla podmiotów państwowych kary finansowe nie sš tak dolegliwe jak dla przedsiębiorców. Większe znaczenie ma natomiast utrata reputacji. Dlatego na organy państwowe nakładamy w projekcie przepisów obowišzek informowania o sposobie wykonania adresowanych do nich decyzji prezesa urzędu.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL