fbTrack
REKLAMA
REKLAMA

Wywiady

Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych: RODO to odpowiedzialność

materiały prasowe
Absurdy, o których słyszymy w związku z RODO, związane są na ogół z tym, że ktoś nie zna czy nie rozumie przepisów albo źle je interpretuje – przekonuje Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych.

Ile kar finansowych nałożyliście na firmy za nieprzestrzeganie RODO?

Edyta Bielak-Jomaa: Dotychczas – żadnej. Jednak to dobrze, że istnieje zagrożenie tymi karami, dzięki nim ochronę danych osobowych zaczęto traktować w sposób poważny. Chociaż ubolewam, że niektórzy o tej ochronie dowiedzieli się dopiero w końcówce maja zeszłego roku, kiedy zaczęło obowiązywać RODO. Wcześniej część biznesu nie patrzyła na ochronę danych osobowych jako na system, który ma ulepszyć na przykład komunikację z klientem. Owszem, do dzisiaj kary nie nałożyliśmy. Chcę jednak powiedzieć z przykrością, że te kary się pojawią.

Czego będą dotyczyły? Co najczęściej szwankuje w firmach?

Pomijam tutaj wszystkie kwestie zabezpieczenia czy bezpieczeństwa technicznego. Ale dane osobowe często są przekazywane pomiotom, które są do tego nieuprawnione. Czyli na przykład poprzez wysyłanie informacji zbiorczo do wszystkich adresatów, którzy znajdują się na liście mailingowej. Zdarza się, że są to informacje, które zawierają dane wrażliwe, dotyczące zwolnień lekarskich bądź jakichś informacji osobistych. To są rzeczy, które wynikają z zupełnej nieznajomości już nawet nie RODO, ale przepisów sektorowych. Niektórzy z administratorów zaczęli stosować RODO jako jedyny element, który stanowi o ochronie danych. Zapominając o kodeksie pracy, prawie oświatowym, Karcie nauczyciela czy przepisach dotyczących całego sektora medycznego.

To są przepisy obowiązujące od dawna. Co zatem zmieniło RODO?

Przede wszystkim powinno zmienić sposób myślenia. Pokutuje przekonanie, że najlepiej by było, gdybyśmy na przykład jako przedsiębiorcy dostali taki gotowy wykaz dokumentów, które trzeba dostarczyć, i czynności, które musimy wykonać, bez konieczności zastanawiania się nad nimi. A takie formalne podejście nie jest ważne, ważne jest wdrożenie myślenia o ochronie danych osobowych jako o ciągłym procesie zarządzania. W całym życiu informacji. Czyli to, co w RODO nazywa się zasadą rozliczalności.

Najważniejsze jest to, żeby administrator wziął odpowiedzialność za przetwarzanie danych osobowych. On musi wykazać, że to, w jaki sposób przetwarza dane, jest zgodne z tym, o czym mowa w RODO. W razie kontroli nie może powiedzieć, że ja mam dokument, jestem czysty, proszę bardzo, wszystko w porządku. On musi powiedzieć: zastosowałem taki mechanizm zabezpieczenia, taki podział obowiązków organizacyjnych. Upoważniłem i przeszkoliłem pracowników, przy czym upoważnienia nie muszą mieć charakteru pisemnego, tak jak to było wymagane wcześniej.

To działa?

Powinno, bo taki jest cel. Wszystko jednak zależy od tego, jak RODO zostało wdrożone w przedsiębiorstwach. Tymczasem przede wszystkim mówi się o dodatkowych obciążeniach.

A nie ma ich?

Jest zupełnie odwrotnie. Przed RODO mieliśmy przepisy ustawy o ochronie danych osobowych czy akty wykonawcze, które nakazywały administratorom zmianę haseł co miesiąc. W RODO nie ma takich rzeczy, rozporządzenie wskazuje, że to administrator powinien ocenić, jakie są ryzyka, np. wycieku danych, utraty integralności danych, czyli ryzyka bezpieczeństwa danych. Do tych ryzyk trzeba dostosować rozwiązania organizacyjne czy techniczne. W RODO nie ma gotowego rozwiązania. Ty, administratorze, masz sam ocenić, co robisz. To jest trudne, bo trzeba podejść do ochrony danych osobowych z punktu widzenia budowy systemu w swojej organizacji. Czyli – nie od kontroli do kontroli interesujemy się danymi osobowymi, tylko robimy to w sposób systematyczny.

Czy polscy przedsiębiorcy poradzili sobie z tym?

Jest bardzo różnie. Ci, którzy dbali o ochronę danych osobowych przez ostatnie lata, mieli zdecydowanie łatwiej. Mieli świadomość, że RODO nie jest rewolucją. Natomiast ci, którzy dopiero w maju zeszłego roku uświadomili sobie, że trzeba wdrożyć RODO i nie mieli w ogóle pojęcia, na czym to polega, padli ofiarą szaleństwa. Musieli wydawać ogromne pieniądze na to, żeby ktoś ich RODO nauczył, w wielu przypadkach zupełnie niepotrzebnie. A przecież na przygotowanie się do RODO były dwa lata.

Do czego jeszcze przedsiębiorcy są nieprzygotowani?

Moim zdaniem – do roszczeń obywateli. Do roszczeń odszkodowawczych na podstawie RODO. Bo rozporządzenie daje taką możliwość osobom, których dane są przetwarzane, żeby bez względu na to, czy prezes UODO prowadzi kontrolę czy nie. Jeżeli ktoś uzna, że w przypadku danych osobowych przetwarzanych przez przedsiębiorcę nastąpiło naruszenie ich bezpieczeństwa i poniósł szkodę materialną bądź niematerialną, to ma prawo dochodzić odszkodowania od tego administratora przed sądem cywilnym. Może więc dojść do sytuacji, gdy te procesy cywilne będą bardziej dotkliwe dla przedsiębiorców od kar urzędu.

Czy na konsekwencje RODO nie są najbardziej narażeni mali przedsiębiorcy, którzy nie mają możliwości prawnych i finansowych, żeby dostosować się do rozporządzenia?

Odwróćmy ten problem. Jak duże pieniądze trzeba wydać, żeby zabezpieczyć dane klientów w niewielkiej firmie? Nie trzeba zatrudniać inspektora, tylko określić odpowiednie procedury działania. Przedsiębiorca po prostu musi zabezpieczyć dane osobowe, musi wiedzieć, komu może udostępnić wgląd do faktur. Przecież nie wszyscy pracownicy mogą przetwarzać dane potrzebne do wystawienia faktury. Inny przykład: pracownicy nie powinni spisywać numerów telefonów na kartkach i naklejać ich na tablicy. Tutaj nie potrzeba nie wiadomo jak dużych nakładów pieniężnych, tylko zmiany sposobu myślenia. Trzeba ludziom powiedzieć: ja jestem za to odpowiedzialny. Klient może przyjść i zobaczyć, że wszystkie dane są na wierzchu, zrobić zdjęcie. I możemy mieć za chwilę odszkodowanie do zapłacenia.

Czyli RODO nie wiąże się z żadnymi absurdami?

Zwykle w takich sytuacjach pytam się, który konkretnie przepis jest absurdalny. I wtedy okazuje się, że tutaj nie chodzi o absurdy RODO, tylko o absurdy związane z tym, że ktoś nie zna czy nie rozumie przepisów, albo z ich złej interpretacji. Wtedy ja się z tym zgadzam. Ale nie ma absurdów, które wynikają z RODO.

Absurdem nie jest nawet to, że jeśli nastąpił jakiś incydent, należy poinformować nie tylko UODO, ale i klientów. Administratorzy uważają, że to automatycznie oznacza spadek zaufania do firmy.

Bo oznacza...

Jest zupełnie odwrotnie. To sygnał dla Urzędu, że coś się wydarzyło, że podmiot podjął działania naprawcze. Natomiast dla klientów to oznacza, że do tego podmiotu, do tego administratora można mieć zaufanie, bo on przede wszystkim wie, że coś takiego miało miejsce. Opinia publiczna nie dowie się o tym z mediów czy internetu.

To przykład odpowiedzialności także dla innych firm. Nie ma przecież żadnej gwarancji, że incydent nie zdarzy się u kogoś innego. Te rozwiązania technologiczne, które dzisiaj wydają się doskonałe, jutro mogą być przestarzałe. RODO jest aktem neutralnym technologiczne, nie ma tam wskazówek, np. hasło musi być takie i takie. Daje każdemu administratorowi możliwość oceny tego, czego on potrzebuje, i zastosowania tego, czego on potrzebuje.

Czy nie jest to od strony technologicznej wieczna pogoń za króliczkiem? Nie ułatwia zadania również to, że ludzie zostawiają potężną porcję informacji o sobie w mediach społecznościowych.

W tym drugim przypadku zawsze mówię: trzeba pamiętać, że kiedy będziemy zmieniać pracodawcę, to ten nowy, potencjalny, poczyta sobie o nas w mediach społecznościowych. Z formalnoprawnego punktu widzenia nie powinien, ale pewnie to zrobi. Pytanie, czy to, co przeczyta, będzie dla nas korzystne.

A gonienie króliczka? Nikt nie ma złudzeń, że jakiekolwiek przepisy wyprzedzą rozwiązania technologiczne. RODO nie mówi konkretnie, jak się zmienia technologia. Mówi tylko – to ty dopasuj te zagrożenia do rzeczywistości, w której działa firma.

Edyta Bielak-Jomaa jest absolwentką Wydziału Prawa i Administracji Uniwersytetu Łódzkiego, w 2003 r. obroniła doktorat. Pracowała tam w Katedrze Prawa Pracy, kierowała m.in. Centrum Ochrony Danych Osobowych i Zarządzania Informacją. W kwietniu 2015 r. została generalnym inspektorem ochrony danych osobowych, a od maja 2018 r. jest prezesem Urzędu Ochrony Danych Osobowych.

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA