- Firmy mają już bardzo mało czasu. Jeśli nie zaczęły się szykować do RODO, to nie zdążą - mówi money.pl dr Maciej Kawecki, który pilotuje wdrożenie nowej unijnej dyrektywy w Polsce.
Co czeka przedsiębiorców po 25 maja, czy będzie to rewolucja? Jakie prawa zyskuje Kowalski, czy zawsze będzie mógł skorzystać z prawa do bycia zapomnianym?
Money.pl spróbuje rozwiać te i inne kontrowersje dotyczące RODO, debatując wraz z wybitnymi ekspertami: dr. Maciejem Kaweckim - koordynatorem krajowej reformy ochrony danych osobowych z Ministerstwa Cyfryzacji, mec. Maciejem Gawrońskim - pomysłodawcą zasad Ogólnego Rozporządzenia EU o Ochronie Danych Osobowych (RODO) oraz dr. Arwidem Mednisem - specjalistą w zakresie prawa ochrony danych osobowych. Na relację live z debaty zapraszamy we wtorek 27 lutego o godzinie 15.30 na money.pl.
Huber Orzechowski, money.pl: Jakiej zmiany można się spodziewać w maju 2018 roku?
Dr Maciej Kawecki, koordynator prac nad reformą ochrony danych osobowych w Ministerstwie Cyfryzacji: Należy ich oczekiwać na dwóch płaszczyznach. Pierwsza to zupełnie nowy unijny system ochrony danych osobowych. W maju wchodzi w życie RODO, a więc rozporządzenie unijne o ochronie danych osobowych, które przyznaje wszystkim osobom, których dane dotyczą, ponad dwadzieścia nowych uprawnień. Każde z nich nakłada na przedsiębiorcę dodatkowy obowiązek. Najlepsze przykłady to pojawienie się prawa do bycia zapomnianym, możliwość żądania przeniesienia danych czy wydania ich kopii.
Po dwudziestu latach przyjęta zostanie także tworzona przez Ministerstwo Cyfryzacji nowa ustawa o ochronie danych osobowych. W Ministerstwie pracujemy również nam zmianami sektorowymi.
Jak ocenia pan stopień przygotowania polskich przedsiębiorców do RODO?
Ciężko jest mi na takie pytanie odpowiedzieć. Nie dysponuję statystykami. Nie wiem, czy te, o których czytam w prasie, są przygotowane rzetelnie. Czy te, które nam są doręczane z różnych źródeł, są przygotowane rzetelnie. Ja ze swojej strony spotykam się z ludźmi, dziennikarzami, przedsiębiorcami, którzy w jakiś sposób do mnie trafili, więc siłą rzeczy ich świadomość jest większa. Mogą dawać więc zafałszowany obraz rzeczywistości. Ale jednym zdaniem: jeżeli wierzyć badaniom, z przygotowaniami nie jest w Polsce dobrze.
A co z administracją publiczną?
Administracja ma trochę trudniejszą rolę, bo musi nie tylko przestrzegać przepisów RODO, ale również je wdrażać, a w przypadku organu nadzorczego i sądów – wręcz je stosować. To ogromna odpowiedzialność, której jesteśmy świadomi. Zarówno ja, całe Ministerstwo Cyfryzacji, jak i GIODO robimy co możemy, by administrację edukować i będziemy to robili dalej. Pracownicy Ministerstwa Cyfryzacji uczestniczą w posiedzeniach Związków Miast Polskich i innych organów, które pozwalają nam dotrzeć do administracji w całej Polsce.
Polski organ jest przygotowany na stosowanie RODO?
Skuteczne wdrożenia i stosowanie RODO to jest nasza wspólna odpowiedzialność dla całej administracji publicznej. Nie chciałbym tego dzielić na organ, ministerstwo, itd. Dla "Kowalskiego" administracja to administracja. Ona musi być wydolna. Więc musimy się wzajemnie w tym wspierać. Widzę, że przedsiębiorcy przygotują się do przestrzegania RODO, a my robimy co w naszej mocy, by przygotować się do jego stosowania i przestrzegania. To ogromne wyzwanie, ale dla wszystkich bardzo ważne.
Dobrze, ale dla mnie najważniejsze jest, czy nowe przepisy sprawią, że wielkie korporacje będą mogły żądać ode mnie dostępu do moich maili czy wiadomości na komunikatorach.
Absolutnie nie. To już dzisiaj jest praktycznie bezprawne. Ale RODO da lepsze instrumenty egzekwowania prawa. Na przykład taka wyszukiwarka internetowa będzie w pełni objęta prawem europejskim. Dotychczas duże firmy były w stanie obchodzić regulacje dzięki umiejscowieniu siedziby w innym kraju. Teraz, w kwestii ochrony prywatności, będą traktowane jednakowo na terenie całej Unii Europejskiej.
Poza tym zmienią się zasady odpowiedzialności. Oprócz kar finansowych będzie to np. Europejska Sieć Ochrony Danych Osobowych. Stworzą ją wszystkie organy nadzorcze z państw członkowskich. Gdy powstanie podejrzenie naruszenia ochrony danych osobowych w Hiszpanii, a serwery firmy są ulokowane w Polsce, to hiszpańskie organy będą mogły poprosić swoich kolegów o kontrolę, a jej wyniki zostaną dostarczone do Madrytu.
Są jakieś negatywne wpływy RODO?
Myślę, że projektując nową, tak ogromną regulację o ochronie danych osobowych wielu rzeczy na poziomie unijnym zwyczajnie nie przewidzieliśmy. Myślę tutaj zwłaszcza o dwóch kwestiach. Przede wszystkim zasobach, potrzebnych na wdrożenie rozporządzenia i potem jego stosowanie. I nie mówię tutaj o finansach, mówię o tym, że to jest zmiana wymagająca ogromnego zaplecza ekspertów, specjalistów, którzy zdecydują się specjalizować w tematyce ochrony danych.
Obowiązek powołania inspektora ochrony danych przez każdy organ publiczny, przez dużą część podmiotów prywatnych, wymóg "dozasobowania" organu nadzorczego. To wymaga ogromnej liczby ludzi. Ich zwyczajnie nie ma. W Polsce jesteśmy w o tyle lepszej sytuacji, że od lat coraz popularniejszym stanowiskiem jest administrator bezpieczeństwa informacji. Są kraje, gdzie taki zawód w ogóle nie istniał, bądź był marginalny.
Drugi problem to reakcja rynku na samo RODO. Musimy sobie przypomnieć, jakie były podwaliny stworzenia reformy ochrony danych osobowych. Ochrona danych miała stać się dzięki nowym regulacjom pewnym ogólnounijnym standardem. Nowe technologie tak, ale bezpieczne. Coraz częściej zaczyna się jednak kojarzyć z firmami, które straszą nas karami wynikającymi z RODO, obowiązkowymi szkoleniami, skargami. Zaczynają więc kojarzyć się z batem – i może to osiągnąć odwrotny skutek. Tak więc pod tym względem, się zawiodłem. Nie na RODO, ale na reakcji rynku na same przepisy. Zakładam, że jest to też odpowiedź na ogólny kryzys usług prawniczych, a więc nadprodukcję prawników względem ogólnych potrzeb.
RODO lekarstwem na taki kryzys?
Nie wiem, czy lekarstwem. Ale nie chciałbym na tę zmianę tak patrzeć i mogę tylko apelować do tych, którzy ochroną danych się zajmują, by patrzyli na nią nie tylko przez walor ekonomiczny. Ochrona prywatności to jest prawo podstawowe. Nasza tożsamość, którą musimy chronić.
A jak nowe prawo ma się do słynnego Safe Harbour, czyli porozumienie między UE a USA, dzięki któremu amerykańskie firmy internetowe długi czas mogły omijać europejskie przepisy o ochronie prywatności i danych osobowych?
Po pierwsze Safe Harbour już nie ma. Wyrok Trybunału Sprawiedliwości UE unieważnił decyzję Komisji Europejskiej w tej sprawie. Teraz obowiązuje Privacy Shield, czyli tarcza prywatności. Zakładam jednak, że RODO spowoduje konieczność zrewidowania tego projektu. Zresztą już od pewnego czasu UE mocniej egzekwuje przestrzeganie ochrony danych osobowych. Pod tym względem Safe Harbour było fikcją. Ale to się zmienia. Spójrzmy na ostatnie zmiany zapowiedziane przez Facebooka. W strumieniu wiadomości podobno aż 80 proc. treści będzie dostarczanych przez naszych znajomych. Tylko 20 proc. to będą reklamy, a dotychczas było na odwrót. Takie działanie to też odpowiedź na zmiany w unijnym prawie o ochronie prywatności.
Dotychczas Facebook był przykładem, jak złe zarządzanie danymi może powodować wypaczenie świadomości. Gdy pytam swoich studentów jaką czytają gazetę, to podają mi jeden tytuł. Bo Facebook pokazuje im na news feedzie tylko artykuły z tego właśnie periodyku. Sieci społecznościowe kreują więc swoim użytkownikom rzeczywistość i kreują pewien sposób myślenia.
Czy można przyjąć, że RODO wpłynie na walkę z fake newsami?
W pewnym sensie tak. Fake newsy mogą być tworzone przez tworzenie sylwetek użytkowników na podstawie treści przez nich udostępnianych. Takie profilowanie to jest jeden z instrumentów, który po raz pierwszy w Unii Europejskiej został uregulowany w RODO. Firmy będą miały obowiązek informowania klientów, że są profilowani. Będą określone przesłanki, kiedy będzie to legalne. Nawet ich spełnienie nie zwalnia z obowiązku poinformowania o prawie do sprzeciwienia się profilowaniu.
Ze względu na RODO firmy, które przetwarzają dane osobowe, będą musiały powołać Inspektora Danych Osobowych. O ile tacy giganci jak Google czy Facebook nie odczują tego specjalnie, to są jednak mniejsze firmy, które także będą musiały takiego eksperta zatrudnić. To nie będzie tanie.
Uspokajam: nie każda firma będzie do tego zobowiązana. Za to organy administracji publicznej - już tak. Ale jedna osoba będzie mogła pełnić taką funkcję w kilku podmiotach. Jeśli chodzi o firmy to takie, które przetwarzają dane wrażliwe w ogromnych zasobach, tzw. "large scale processing". Będą to np. szpitale czy przychodnie.
Jakie szanse niesie RODO dla przedsiębiorców?
Są takie okazje, choć przede wszystkim RODO jest pakietem proobywatelskim. RODO można potraktować jednak jako produkt marketingowy. Sam fakt, że wdrażamy rozporządzenie z sukcesem, może być czynnikiem wyróżniającym naszą firmę.
Wraz z RODO pojawia się także certyfikacja bezpieczeństwa. Chcemy, by mogły ją także przeprowadzać podmioty prywatne. A posiadanie samego certyfikatu wpłynie pozytywnie na wizerunek firmy, jako dbającej o prywatność swoich klientów. Zresztą konieczność posiadania takowego może być jednym z kryteriów przy rozstrzyganiu przetargów zamówień publicznych.
Czy zatem RODO to przykład, że jeżeli Unia Europejska działa jako całość, to potrafi te wielkie korporacje przymusić do działania prokonsumenckiego?
Zdecydowanie tak. W RODO są postanowienia, które są dedykowane wprost tym korporacjom. Dla takich gigantów przewidziany jest właśnie maksymalny wymiar kary, wskazany na ogromną kwotę prawie 100 mln zł. RODO jest przykładem solidarnego działania wszystkich państw członkowskich. Unia Europejska jest ogromnym rynkiem zbytu dla wszystkich korporacji, więc nie mogą sobie pozwolić na to, żeby ze względu na niedostosowanie się do ram prawnych opuścić Europejski Obszar Gospodarczy.
Jak Polska wypada na tle innych państw członkowskich, jeśli chodzi o wdrażanie RODO?
Nie chce oceniać innych krajów. Każdy kraj powinien oceniać siebie i swoje postępy. Polska i polski rząd na tym tle wygląda jednak dobrze. Wyprzedziły nas Niemcy czy Austria, gdzie odpowiednie akty prawne już przyjęto. Jednocześnie jednak jesteśmy pierwszym krajem w UE, które rozpoczęło prace nie tylko nad projektem ustawy o danych osobowych, ale nad zmianą całego systemu. To dlatego ten proces trwa u nas już prawie dwa lata. Kładziemy też ogromną rolę na edukację.
Dane osobowe są wszędzie: w rolnictwie, zdrowiu, funduszach inwestycyjnych, handlu internetowym itd. To pokazuje skalę wyzwania, jakie jest przed nami. Biorąc jednak pod uwagę etap prac, jesteśmy w unijnej czołówce.
Niedługo będziemy uzgadniać zmiany w około 150 ustawach. Zakładamy, że projekt ustawy o ochronie danych osobowych trafi na obrady rządu niebawem. Przez ostatnie dwa lata spotkaliśmy się na konferencjach, warsztatach, w wywiadach z tysiącami osób. Nie jest źle. Mogło być oczywiście jeszcze lepiej. Zorganizowaliśmy w Sejmie konferencję dla 400 osób podsumowującą konsultacje społeczne. Musieliśmy uwzględnić uwagi obywatelskie. To też kosztuje czas.
Wróćmy jeszcze na moment do kwestii kar. Jakby pan mógł uspokoić przedsiębiorców szczególnie tych mniejszych?
Mogę uspokoić wszystkich. Reforma po pierwsze nie jest o karach. Ochrona danych osobowych nie jest o karach. Prezes Urzędu Ochrony Danych Osobowych to nie będzie pierwszy regulator w Polsce, który będzie uprawniony do ich nakładania. Mamy UKE, URE, UOKiK. Mógłbym tak wymieniać. Jak widać, żaden z tych organów nie zabił przedsiębiorcy. Po drugie - kara powinna być ostatecznością. Mamy w RODO ostrzeżenia, upomnienia, decyzje niezawierające kar.
Poza tym wiele zależy od przedsiębiorcy. Jeśli ma on certyfikat bezpieczeństwa, sam poinformował o możliwym naruszeniu przepisów, współpracował z organem czy wdrożył własny kodeks postępowania w przypadkach naruszenia prywatności, to wszystkie te okoliczności będą brane pod uwagę i działały jako okoliczność łagodząca. Decyzja o ukaraniu jest zarezerwowana dla najbardziej opornych.
Co by pan powiedział tym przedsiębiorcom, którzy jeszcze nie dostosowali swojego systemu teleinformatycznego do nadchodzących zmian?
Mają już bardzo mało czasu. Jeśli nie zaczęli jeszcze tego robić, to nie zdążą. Ale też nie zapomnijmy. RODO nie kończy się 25 maja, tylko zaczyna.
W jakiej rzeczywistości obudzą się 25 maja?
To będzie bardzo ważna data dla rozwoju nowych technologii, dla których zarządzanie szeroko rozumianymi danymi to jeden z filarów. Dane są dzisiaj wartością - walutą, którą instrumenty technologiczne obracają. RODO to pierwsza legislacja ogólnounijna, która unifikuje sektor danych – tutaj danych osobowych. UE robi jednak krok dalej i podejmuje prace nad rozporządzeniem o swobodnym przepływie danych nieosobowych. Jesteśmy na etapie opracowania formuł prawnych dla "free flow of data", a więc prawa o swobodnego przepływu danych w UE. To będzie jej kolejny krok, ale RODO te działania zapoczątkowało. Zaczęliśmy więc od prywatności, bo bezpieczeństwo jest w tym wszystkim najważniejsze.
RODO jest w tym wszystkim inteligentną legislacją, bo w jego świetle to przedsiębiorcy będą odpowiedzialni za ochronę danych osobowych. Jakie wybiorą do tego narzędzia, będzie ich decyzją. Państwa unijne będą ich tylko rozliczać z efektów, a nie rozwiązań.