Temat numeru: Wielkie oczy RODO

BANK 2017/10

Wyjaśnianie takich pojęć, jak GDPR czy RODO pod koniec 2017 r. jest już prawdopodobnie niepotrzebne. Ukazało się tyle artykułów w prasie specjalistycznej, że odczuwamy już pewien przesyt. Tematyka ochrony danych osobowych i zachodzących zmian w prawie ją regulującym, przebiła się do prasy codziennej i telewizji publicznej. Ale czy uda nam się odnieść sukces w implementacji nowego prawa?

image

Jerzy Cichowicz

Pytanie tym trudniejsze, że nie wiemy co miałoby być miarą tego sukcesu. Działania wielu firm wskazują, że podstawowym problemem okazać się może błędna interpretacja podstawowej idei wprowadzanych zmian. Sygnalizował to dr Maciej Kawecki w swoim komentarzu na portalu LinkedIn z 18 sierpnia 2017 r.:

„Jak widzę atakujące mnie na portalach społecznościowych (LinkedIn czy Facebook) reklamy, które straszą karami za naruszenie zasad ochrony danych osobowych dostaję gorączki. Reklamy które straszą, proponując oczywiście remedium na tę bolączkę w postacie skorzystania z usług danej firmy. Dlaczego? Dlatego, że takie podejście spłyca ideę unijnej reformy. Budzi poczucie agresji u przedsiębiorców, którzy wątpią w zasadność zmian uznając je za śmieszne i niedostosowane do polskich realiów. Odstrasza od chęci zapoznania się z przepisami GDPR. A kary będą miarkowane. Kary są tylko jednym z przyznanych organowi środków obok upomnień, obok ostrzeżeń wreszcie obok decyzji nakazujących usunięcie naruszenia. A my staramy się jeszcze dołożyć do tego zestawu poszerzone obowiązki konsultacyjne. Przedsiębiorcy dostają wraz z GDPR bardzo dużo. Kto z Państwa jest gotowy podjąć wyzwanie, by zacząć mówić o GDPR jako instrumencie pro biznesowym?”.

Komentarz dotyczył wypowiedzi Elizabeth Denham1 z 9 sierpnia 2017, w której pani komisarz stwierdziła, że GDPR nie jest o grzywnach, a zagrożenia wielkimi karami dla przedsiębiorców za niezgodność są groźnym mitem.

Pamiętać należy o podłożu wszelkich inicjatyw ustawodawczych, nie tylko tych najnowszych (GDPR/RODO). Dostrzeżono bowiem, że obywatele tracą możliwości wpływania na procesy zbierania i przechowywania informacji ich dotyczących. Jak zauważył Maciej Kawecki w swojej książce, obserwujemy „samonapędzające się zjawisko polegające na tym, że ustawodawca z jednej strony zezwala na gromadzenie coraz szerszego zbioru danych, jednocześnie obostrzając zasady ich ochrony. Jest to jednak, jak się wydaje, normalny proces rozwoju gospodarczego państwa, w którym ze stałym wzrostem liczby usług świadczonych na rzecz obywateli nierozerwalnie wiąże się konieczność ich identyfikacji”2. Nowe prawo ma być przede wszystkim kompromisem, który ma zapewnić danym osobowym właściwą ochronę.

Ten wspaniały dreszczyk emocji…

Prawie wszyscy kochamy się bać. Rola emocji jest nam znana i o ile nie przekraczają one pewnego indywidualnego progu, pozytywnie wpływają na nasze życie. Doświadczamy tego zjawiska w szkole i w pracy, chodząc do kina czy też na wielkie wyprzedaże. Znacznie gorzej radzimy sobie z nimi podczas kontroli drogowej czy też w trakcie rozmowy kwalifikacyjnej u nowego pracodawcy. Są jednak sytuacje, w których chcielibyśmy, aby emocje zupełnie nie występowały. Dotyczy to sytuacji krytycznych, jak np. lądowania samolotu, w którym podróżujemy lub w czasie kontroli naszej firmy przez audytorów NIK lub urzędu skarbowego.

Wraz z nową koncepcją uregulowania ochrony danych osobowych pojawili się siewcy strachu, którzy z jednej strony demonizują wysokość grożących przedsiębiorcom kar, a z drugiej – przekonują o konieczności inwestowania w nowe narzędzia informatyczne. Komu zatem wierzyć: urzędnikom odpowiedzialnym za implementację unijnego prawa, czy handlowcom kancelarii prawnych i firm informatycznych? W takich sytuacjach, gdy trudno o argumenty pozbawione emocjonalnego kontekstu, najlepiej sięgnąć do historii i podobnych przypadków.

image

Dominik Lubasz

Doktor nauk prawnych. Specjalizuje się w prawie nowych technologii, e-commerce, własności intelektualnej, ochronie danych osobowych oraz w prawie gospodarczym, w tym europejskim prawie gospodarczym. Jego rozprawę doktorską pt. „Prawne bariery rozwoju handlu elektronicznego w Unii Europejskiej w świetle polskiej implementacji dyrektywy 2000/31/WE” wyróżniono w prestiżowym Ogólnopolskim Konkursie „Państwa i Prawa”. Jest ekspertem ds. handlu elektronicznego Stowarzyszenia Konsumentów Polskich oraz ekspertem legislacyjnym ds. handlu elektronicznego i ochrony danych osobowych Izby Gospodarki Elektronicznej. W 2017 r. otrzymał rekomendację od GLOBAL LAW EXPERTS w zakresie ochrony danych osobowych.

Czego nauczyła nas „pluskwa”?

Pamiętamy jeszcze zamieszanie, jakie wywołała na przełomie wieków tzw. pluskwa milenijna. Obawy, umiejętnie podsycane przez producentów sprzętu i oprogramowania komputerowego spowodowały, że prawie w każdej firmie powstały wówczas specjalne zespoły. Ich zadaniem było czuwanie nad technicznymi konsekwencjami przyjętego w komputerach zapisu roku za pomocą tylko dwóch cyfr. W wyniku tej „oszczędności”, rok 1901 był zapisywany w pamięci tak samo jak 2001. Zadawano sobie pytanie, jak zachowa się oprogramowanie komputerowe po upływie 59 sekundy ostatniej minuty 1999 r., kiedy to „99” zastąpi „00”? Czy dla oprogramowania będzie to błąd i dosłowne wyzerowanie licznika czasu, czy też cofnięcie zegara o 100 lat? Nie wiedziano czy wówczas oprogramowanie się zawiesi, czy też zachowa się w nieprzewidziany przez programistów sposób. Aby odpowiedzieć na te pytania, potrzebne były testy i sprawdzenia. Ponieważ niektóre krytyczne systemy informatyczne nie są wyłączane, a przynajmniej nie jest to tak proste, jak w przypadku domowego komputera, powstaje pole do spekulacji. Straszono katastrofami samolotów oraz elektrowni atomowych. Nic takiego oczywiście się nie stało. Noc Sylwestrową 31 grudnia 1999 r. informatycy spędzili w pracy, a tylko w nielicznych przypadkach pojawiły się niegroźne problemy techniczne.

Racjonalnie podchodzący do tego problemu menedżerowie wykorzystali tzw. pluskwę milenijną do uporządkowania dokumentacji o posiadanym sprzęcie i oprogramowaniu komputerowym, wymiany przestarzałych komputerów i serwerów, a także poprawy standardów serwisowych. Wszędzie tam, gdzie nie poddano się panice, „pluskwa” pozwoliła poprawić funkcjonowanie infrastruktury teleinformatycznej, a globalnie – spowodowała przyśpieszenie wprowadzania nowych technologii IT oraz wzrost koniunktury.

image

Dr Maciej Kawęcki

Doktor nauk prawnych. Zastępca dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynujący krajową reformę ochrony danych osobowych. W latach 2016–2017 doradca w Gabinecie Politycznym Ministra Cyfryzacji. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie, na którym obronił pracę doktorską nt. unijnej reformy ochrony danych osobowych. Studiował również na Uniwersytecie w Sztokholmie oraz Uniwersytecie J.W. Goethego we Frankfurcie nad Menem. W latach 2015-2016 pracował w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Autor kilkudziesięciu publikacji z zakresu bezpieczeństwa danych osobowych, uczestnik kilkudziesięciu krajowych oraz międzynarodowych konferencji naukowych z zakresu prawa nowych technologii.

Wraz z nową koncepcją uregulo­wania ochrony danych osobowych pojawili się „siewcy strachu”, którzy z jednej strony demonizują wysokość grożących przedsiębior­com kar, a z drugiej – przekonują o konieczności inwestowania w nowe narzędzia informatyczne.

Jak wykorzystać wiedzę i doświadczenie?

Opierając się na opinii dr. Dominika Lubasza, wspólnika w Kancelarii Lubasz i Wspólnicy Kancelaria Radców Prawnych sp. k., także i w przypadku GDPR/RODO przedsiębiorcy mogą nowe prawo wykorzystać do w pełni świadomej i racjonalnej poprawy infrastruktury oraz poprawy stosowanych procedur:

„Należy jednak podkreślić, że nowe przepisy, zachowując neutralność technologiczną, nie narzucają konkretnych rozwiązań technicznych czy technologicznych. By pomóc przedsiębiorcom w ich stosowaniu, w szczególności wdrożeniu odpowiednich środków i rozwiązań organizacyjnych lub technicznych, wprowadzone zostały systemy certyfikacji oraz wytycznych, a także promowane jest opracowywanie przez zrzeszenia przedsiębiorców kodeksów postępowania zatwierdzanych przez organy nadzoru.”

Pamiętajmy, że nowe inwestycje oraz zmiany proceduralne należy właściwie adresować. Mają one przekładać się na poprawę ochrony danych osobowych naszych klientów, a nie na bezpieczeństwo firmy i jej zasobów.

Na zakończenie

W gąszczu różnych porad i wskazówek związanych z implementacją nowego prawa unijnego, warto na zakończenie przypomnieć rekomendacje wynikające z merytorycznych wystąpień i debat Forum GDPR, które odbyło się 20 czerwca 2017 r. Wszystkie one są nadal aktualne i mam nadzieję, okażą się użyteczne.

  1. Projekty związane z GDPR/RODO należy traktować jako proces zmierzający do poprawy ochrony danych osobowych a nie jednorazowe i zamknięte w ramach czasowych przedsięwzięcie.
  2. Nie należy demonizować finansowych sankcji z tytułu niedopełnienia obowiązków określonych przez GDPR/RODO. Dla sektora bankowego znacznie większym zagrożeniem mogą okazać się pozwy zbiorowe osób, których bezpieczeństwo danych osobowych zostało naruszone.
  3. Zaleca się budowę interdyscyplinarnych zespołów wspierających Inspektorów ochrony danych osobowych. Ich twórczy udział w pracach implementacyjnych pozwoli uniknąć wielu podatności i błędów.
  4. Równolegle od implementacji nowych regulacji należy prowadzić prace nad ograniczeniem ilości i porządkowaniem danych niestrukturyzowanych.
  5. Aby wykorzystać w organizacji pozytywny wpływ wcześniejszego wprowadzenia zintegrowanego systemu zarządzania bezpieczeństwem informacyjnym, należy dokonać oceny skutków przetwarzania danych dla osób, których dotyczą.
  6. Zaleca się opracowanie jednolitych zasad postępowania, szczególnie w zakresie zagadnień budzących największe kontrowersje w rodzaju prawa do przenoszenia danych czy prawa do bycia zapomnianym.
  7. Zaleca się aby dane przechowywane były jedynie przez przewidziany prawem okres czasu.
  8. Rekomenduje się, aby w organizacji zdefiniować proces, który w sposób permanentny będzie wyodrębniał informacje osobowe, określał ich zakres oraz sposób wykorzystania. Proces ten powinien eliminować z przetwarzania dane zbyteczne, dublujące się oraz przechowywane wbrew nowym regulacjom.

1 Elizabeth Denham, brytyjski komisarz ds. Informacji.

2 Maciej Kawecki. Reforma ochrony danych osobowych. Współpraca administracyjna w świetle ogólnego rozporządzenia o ochronie danych osobowych. Warszawa 2017, str. 85.