Edyta Bielak-Jomaa o RODO: Kary będą surowe i dotkliwe – jako ostrzeżenie

Nigdy nie było i nie będzie zabezpieczenia, które dawałoby pewność, że nigdy i żadne dane nie wyciekną – przewiduje prezes Urzędu Ochrony Danych Osobowych w rozmowie z Mateuszem Rzemkiem.

Publikacja: 22.10.2018 07:30

Edyta Bielak-Jomaa

Edyta Bielak-Jomaa

Foto: materiały prasowe

Rz: Urząd Ochrony Danych Osobowych opracował wskazówki do monitoringu wizyjnego, ochrony danych osobowych w oświacie czy w czasie kampanii wyborczej, a także poradnik dla pracodawców. Ministerstwo Cyfryzacji wydało własne wytyczne w sprawie ochrony danych osobowych w służbie zdrowia. Specjalna grupa robocza powołana przy tym resorcie pracuje nad poradnikiem dla branży telekomunikacyjnej, finansowej i ubezpieczeniowej. Wskazówki do stosowania nowych przepisów płyną z różnych źródeł. Czy te prace są skoordynowane?

Edyta Bielak-Jomaa: Jednym z celów reformy przepisów o ochronie danych osobowych było zapewnienie spójności stosowania tych regulacji na poziomie europejskim, by przedsiębiorca działający w Polsce, na Węgrzech czy we Francji był tak samo traktowany. Nad tą spójnością czuwa Europejska Rada Ochrony Danych Osobowych, która wydaje wytyczne związane z różnymi aspektami rozumienia i stosowania nowego prawa ochrony danych osobowych. My jako urząd chroniący dane osobowe w Polsce, będąc członkiem tej Rady, mamy wpływ na jej działania i wydawane przez to gremium wytyczne. Na poziomie krajowym za nadzór nad przestrzeganiem przepisów o ochronie danych osobowych odpowiedzialny jest wyłącznie Urząd Ochrony Danych Osobowych (UODO). To niezależny organ i jedyny uprawniony do działań nadzorczych związanych z przestrzeganiem prawa ochrony danych osobowych. To nie jest rola ani zadanie Ministerstwa Cyfryzacji.

Cieszy mnie, jeśli inne podmioty, zarówno ministerstwa, jak i inne instytucje czy organizacje zrzeszające przedsiębiorców, a także firmy komercyjne, włączają się w szerzenie wiedzy o ochronie danych osobowych. Musimy jednak pamiętać, że publikowane w ramach takich działań materiały odzwierciedlają jedynie stanowiska instytucji, które je przygotowały. Nie one jednak biorą odpowiedzialność za kontrolę przestrzegania prawa. Pomimo miękkiego charakteru publikowanych materiałów informacyjnych dobrze by było, żeby ich przekaz był zgodny ze standardami wskazywanymi przez UODO. Niemniej prawo nie przewiduje żadnego trybu zatwierdzania przez Urząd treści materiałów informacyjnych przygotowanych przez inne instytucje lub organizacje.

Czytaj także: RODO: kary za naruszenie przepisów o ochronie danych osobowych

Czy ma pani zastrzeżenia do wytycznych Ministerstwa Cyfryzacji dla służby zdrowia?

Dotyczą tego, że branża medyczna jest na zaawansowanym etapie prac nad własnymi kodeksami postępowania, które będą podlegały ocenie i zatwierdzeniu przez UODO. Wtedy staną się standardem branżowym dla podmiotów nimi objętych. Zawarte w nich regulacje będą też punktem odniesienia dla kontrolerów UODO. RODO przewiduje szczególną rolę dla takich kodeksów w całym systemie ochrony danych osobowych. Dlatego na nich należy się skoncentrować.

Czy wytyczne grupy roboczej dla branży teleinformatycznej i finansowej będą wiążące dla kontrolerów UODO?

To kolejne branże, które pracują nad kodeksami postępowań. Poradniki nie będą miały wiążącego charakteru, bo nie mogą go mieć. Kontroler podejmie decyzję na podstawie przepisów, zgodnie z ich interpretacją wypracowaną przez UODO, który za nią bierze odpowiedzialność i której poprawność może być zweryfikowana w trybie określonym przepisami prawa. Dlatego żadne poradniki czy wytyczne innych instytucji nie mogą wiązać kontrolerów UODO.

Rozumiem, że powołanie grupy roboczej przez Ministerstwo Cyfryzacji jest odpowiedzią na oczekiwania przedsiębiorców, którzy szukają wsparcia w stosowaniu nowych przepisów.

Ciekawe jest to, że większość wątpliwości nie dotyczy nowych obowiązków wprowadzonych przez RODO, lecz kwestii wyjaśnianych wcześniej. Niemniej jeśli pojawiające się na rynku poradniki lub wskazówki pozwolą na prawidłowe przestrzeganie nowych przepisów i pomogą w ich zrozumieniu, a co ważniejsze, będą spójne z tym, co mówi UODO, to nie mam nic przeciwko temu.

Wiążące wytyczne mogą znaleźć się w branżowych kodeksach postępowania. Branża zdrowotna przygotowuje taki kodeks. Kto jeszcze?

Przykładowo nad takim kodeksem pracują bankowcy, szeroko rozumiana branża marketingowa, branża internetowa, sektor ochrony zdrowia. Również sektor szkolnictwa wyższego zabiera się do przygotowania takiego kodeksu. Myślę, że już kilkanaście branż pracuje nad stworzeniem takich dokumentów.

Czy to dobry pomysł?

Kodeksy postępowania to bardzo dobry i potrzebny instrument. Przepisy RODO nadają im wysoką rangę. Dzięki temu ze znanego dotąd w postaci kodeksów dobrych praktyk narzędzia wizerunkowo-promocyjnego stały się instrumentem o charakterze prawnym. Jednocześnie dla podmiotów, których dotyczą, są cenną pomocą w przestrzeganiu przepisów rozporządzenia. Takie kodeksy mogą bowiem doprecyzować różne wymogi z uwzględnieniem specyfiki poszczególnych sektorów, w których dochodzi do przetwarzania danych osobowych. Co istotne, stosowanie zatwierdzonego kodeksu postępowania jest też jednym z czynników, który urząd musi brać pod uwagę, podejmując decyzje o nałożeniu administracyjnej kary pieniężnej. Nie oznacza to jednak, że każdy przedsiębiorca działający w branży, który zobowiąże się do przestrzegania jego postanowień, ale nie wdroży go w praktyce, będzie w jakikolwiek sposób chroniony. Przedsiębiorca w każdej sytuacji będzie musiał wykazać, że przetwarza dane zgodnie z prawem i kodeksem.

Samo przygotowanie kodeksu ochrony danych osobowych wymaga od przedsiębiorców zrzeszonych w danej organizacji, która wypracowuje taki dokument, oceny rozwiązań przyjętych w poszczególnych firmach, porównania ich i stworzenia jednolitych standardów. Już samo takie działanie może pomóc przedsiębiorcom zrozumieć istotę ochrony danych osobowych i uporządkować procesy związane z przetwarzaniem danych. Po rozpoczęciu stosowania RODO i tak mają ułatwione zadanie, bo przepisy dają im większą samodzielność i zapewniają elastyczność. Nie w każdym np. przypadku muszą stosować bardzo skomplikowane zabezpieczenia przetwarzanych danych, łatwiej mogą dostosować je do specyfiki swojej działalności i związanych z nią ryzyk.

Brak jasnych wytycznych, np. listy dokumentów, które można gromadzić, a których nie, jest największym problemem w stosowaniu nowych przepisów. Skoro przedsiębiorca musi sam określić, jakie zabezpieczenia wdrożyć, to bierze na siebie ryzyko, że kontroler je zakwestionuje.

Nigdy nie było i nie będzie zabezpieczenia, którego zastosowanie dawałoby pewność, że nigdy i żadne dane nie wyciekną. Jeśli już do tego dojdzie, to UODO będzie sprawdzał, jakie dane wyciekły, w jaki sposób, jak przedsiębiorca współpracuje przy wyjaśnieniu sprawy, kiedy poinformował o takim wycieku. Jeśli zgodnie z zasadą rozliczalności wykaże, że zrobił wszystko, aby zabezpieczyć dane, a jednak do wycieku doszło, to kontroler weźmie to pod uwagę. Jeśli naruszenie nie będzie miało dużej skali, nie trzeba będzie nakładać kary. Jeśli jednak przedsiębiorca będzie unikał kontroli, kłamał, ukrywał wyciek wrażliwych danych i zdarzy mu się to już kolejny raz, to nie wykluczam, że kara będzie i nie wykluczam, że dotkliwa. Także po to, by podobnych sytuacji nie było w przyszłości. Bardzo ważne jest, że RODO odchodzi od czysto formalnego sposobu zapewnienia zgodności z przepisami, co wymaga od przedsiębiorców bardziej świadomego podejścia do obowiązków.

Ostatnie miesiące to żniwa dla firm doradzających w stosowaniu RODO. Na rynku działają świetni eksperci, zdarzają się jednak i tacy, którzy próbują wykorzystać okazję. Bywa, że do firmy dzwoni prawnik i przekonuje właściciela, że działa niezgodnie z RODO i powinien czym prędzej zamówić jego usługi, inaczej „ktoś" może złożyć doniesienie w jego sprawie. Jak reagować na takie telefony?

Do nas też docierają sygnały o takich przypadkach. Uważam, że przedsiębiorcy powinni informować o nich organy ścigania, bo dochodzi wtedy do próby wymuszenia.

Jak odróżnić prawdziwych ekspertów od szarlatanów?

Myślę, że każda firma przy odrobinie staranności, konsultacji z innymi przedsiębiorcami działającymi w branży jest w stanie znaleźć rzetelnych ekspertów. Przedsiębiorca może też zatrudnić inspektora ochrony danych, który zajmie się zabezpieczeniem danych osobowych w danej organizacji.

Od kilku miesięcy rząd pracuje nad tzw. dużą nowelizacją wdrażającą RODO do polskich przepisów. Formalnie powinna ona wejść w życie 25 maja 2018 r. Potem usłyszeliśmy, że projekt trafi do Sejmu w wakacje. Jest połowa października i ciągle nie wyszedł z rządu. Czy pani wie, co się z nim dzieje?

Jest mi bardzo trudno odpowiedzieć na to pytanie. Odpowiedzi na nie powinno udzielić Ministerstwo Cyfryzacji i określić, czy i kiedy ten projekt będzie procedowany. To są niewątpliwie bardzo potrzebne przepisy. Kolejne wersje tego projektu trafiały do nas do konsultacji i bardzo się od siebie różniły. Do pierwszej zgłosiliśmy blisko 140 stron uwag. Do ostatniej wersji uwag było znacznie mniej, ale ciągle mieściły się one na kilkudziesięciu stronach. To jednak ustawodawca, a nie urząd ostatecznie zdecyduje, jakie regulacje i kiedy zostaną wprowadzone.

Czy to dobry sytuacja, jeśli przedsiębiorcy musieli się najpierw dostosować do ogólnych regulacji RODO obowiązujących bezpośrednio w Polsce od 25 maja 2018 r., a teraz będą musieli się drugi raz dostosować tym razem do zmienionych polskich przepisów, gdy wejdzie w życie nowelizacja wdrażająca RODO do prawie 200 ustaw? Czy można było tego uniknąć?

Sądzę, że nie jest to pożądany stan i można było go uniknąć. Ustawodawca unijny przewidział, że dostosowanie przepisów krajowych do RODO może być skomplikowane i dał państwom członkowskim aż dwa lata na przygotowanie się do zmian. Ten czas przed 25 maja 2018 r. można było wykorzystać na dostosowanie naszych regulacji.

Jakie vacatio legis powinna mieć ustawa zmieniająca prawie 200 ustaw?

Nie ja powinnam być adresatem tego pytania. Z jakimkolwiek vacatio legis te przepisy wejdą, UODO będzie miał obowiązek je stosować od pierwszego dnia po jego upływie.

W stale zmieniającym się systemie prawnym, pojawiają się poradniki UODO, wytyczne resortu cyfryzacji, różne firm doradcze samodzielnie interpretują nowe przepisy. Za chwilę pewnie nastąpi duża nowelizacja prawie 200 ustaw. Kiedy pani powie: sprawdzam?

Ja powiedziałam: sprawdzam, już 25 maja 2018 r. Od tego momentu już sprawdzamy, co się dzieje z danymi osobowymi Polaków. Urząd wydaje decyzje, prowadzi kontrole, kontaktuje się z administratorami i inspektorami ochrony danych.

Ale żadna kara nie została jeszcze nałożona.

To nie znaczy, że boimy się je nakładać. Podobnie jest w innych krajach Unii Europejskiej. Od 25 maja do tej pory nałożono raptem dwie kary. To świadczy wyłącznie o tym, że wszystkie urzędy ochrony danych osobowych, w tym polski organ nadzorczy, niezwykle odpowiedzialnie traktują swoje zadania. Jak widać, dla 28 organów działających w państwach UE nakładanie kar nie jest celem samym w sobie.

Czy obecnie trwa nieformalny okres przejściowy i polskie firmy mają jeszcze czas na dostosowanie się do nowych regulacji?

Na okresie próbnym nowego pracownika nie wrzuca się na głęboką wodę. Kontrole jednak się już toczą i jeśli np. za tydzień się okaże, że dany przypadek zasługuje na nałożenie kary, to zostanie ona nałożona. Nikt się z nikim nie umówił, że nie nakładamy kar. Kontrolerzy urzędu zostali jednak zobowiązani przeze mnie do odpowiedzialnego stosowania nowych przepisów. Zależy nam na budowaniu świadomości społecznej, tak by ochrona danych osobowych weszła wszystkim w krew. Tak by nie dochodziło do sytuacji, w której osoba np. jako pacjent oburza się na to, jak szpital przetwarza jej dane osobowe, a za chwilę jako pracodawca chce podglądać zatrudnionych u siebie pracowników i gromadzić na ich temat wszystkie informacje, także te wrażliwe, dotyczące ich prywatności. Problemy i absurdy związane ze stosowaniem RODO wynikają albo z nieznajomości tych przepisów, albo ze złej woli. W takich sytuacjach myślę, że dobrze, że są wysokie kary, bo jak inaczej nie uda się uporządkować ochrony danych osobowych, to może te kary zadziałają porządkująco. ©?

Rz: Urząd Ochrony Danych Osobowych opracował wskazówki do monitoringu wizyjnego, ochrony danych osobowych w oświacie czy w czasie kampanii wyborczej, a także poradnik dla pracodawców. Ministerstwo Cyfryzacji wydało własne wytyczne w sprawie ochrony danych osobowych w służbie zdrowia. Specjalna grupa robocza powołana przy tym resorcie pracuje nad poradnikiem dla branży telekomunikacyjnej, finansowej i ubezpieczeniowej. Wskazówki do stosowania nowych przepisów płyną z różnych źródeł. Czy te prace są skoordynowane?

Pozostało 96% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe