Najgorętszym tematem ostatnich dni jest wprowadzenie RODO. Od 25 maja trzeba je obowiązkowo stosować także w administracji. Podczas organizowanego przez DGP kongresu „Perły Samorządu”, który odbywał się w Gdyni 17–18 maja, nie mogło więc zabraknąć i tego tematu. Tak jak obiecaliśmy, dziś publikujemy relacje ze spotkania z dr. Maciejem Kaweckim, dyrektorem departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynatorem prac nad reformą ochrony danych osobowych
RODO wymaga zmiany więcej niż 150 aktów prawnych. A pakiet przepisów, które obecnie zmieniamy, to absolutne minimum. RODO wymaga zmiany całego systemu prawnego – stwierdził na wstępie Maciej Kawecki. Ekspert przytoczył wypowiedź Angeli Merkel sprzed kilku dni. Kanclerz Niemiec powiedziała, że żadna z reform w UE nie budziła tak dużych kontrowersji i nie miała takiego wpływu na prowadzenie działalności gospodarczej. Przy czym zauważył, że o RODO w ostatnich tygodniach mówiło się bardzo dużo nie tylko ze względu na ich obowiązkowe stosowanie. Przyczyniła się do tego także afera Cambridge Analytica i słynny wyciek danych z Facebooka. – Czy każdy wie już o RODO? – zastanawiał się dyr. Kawecki.
Maciej Kawecki dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator prac nad reformą ochrony danych osobowych / Dziennik Gazeta Prawna
– Prawie każdy. Niestety, związanych jest z tym tak samo dużo plusów, jak i minusów. W Ministerstwie Cyfryzacji widzimy ogromną negatywną kampanię związaną z RODO: zastraszanie, informowanie o obowiązkowych szkoleniach, obowiązkowych certyfikatach czy przekonywanie, że RODO wymusi na zakładach pracy ograniczenie pracownikom dostępu do internetu – wyliczał. Mówił, że spotkał się z prośbą o potwierdzenie numeru PESEL, rzekomo potrzebnego w związku z unijnym rozporządzeniem. Wskazał też na przykład podany przez portal Niebezpiecznik.pl. Otóż niektórzy użytkownicy telefonów komórkowych otrzymali rzekomo od jednego z operatorów sms-y z linkiem do oprogramowania koniecznego ze względu na dostosowanie się do RODO. Tymczasem kliknięcie w link powodowało w rzeczywistości utratę treści telefonu. Kawecki mówił też o incydencie, którzy zdarzył się na Słowacji. Przepytywano tam przedsiębiorców, czy wdrożyli RODO. Zadawano pytania, czy mają hasła, jak dużo, pytano też o pracowników, gdzie konkretnie pracują, jak są zlokalizowane komputery, nawet czy stoją tyłem czy przodem do okien. Te dane wystarczyły, by zastosować skuteczny cyberatak. – I to jest ta druga twarz RODO, o której coraz częściej się mówi i z czym trzeba walczyć – stwierdził.
Przewodnik po przewodniku
W dalszej części spotkania dr Kawecki omawiał przygotowane w resorcie cyfryzacji materiały, które mają pomóc przejść – przede wszystkim przedsiębiorcom, ale także innym instytucjom – przez meandry RODO. Przewodnik został podzielony na trzy części. W pierwszej zawarte jest wszystko to, co trzeba wiedzieć, by wdrożyć przepisy, druga mówi o tym, co warto zrobić, by mieć pewne bonusy, a trzecia dotyczy zakazów, czyli tego, czego absolutnie robić nie wolno. Przewodnik kończy mitami na temat RODO. – Jeżeli będą państwo szukali jeszcze czegoś prostszego, to na stronach MC udostępniliśmy też ulotkę Dekalog RODO, w której informujemy o tym, co najistotniejsze. Tu prelegent przeszedł do omawiania najważniejszych problemów związanych z wdrożeniem unijnych regulacji.
Zasada neutralności
– Jak przygotowywano RODO, zastanawiano się, co zrobić, by przepisy się nie zdezaktualizowały – mówił dr Kawecki do samorządowców. – Jak wprowadzić regulacje, które w krótkim czasie nie trafią do kosza z uwagi na szybki postęp technologiczny. I tak, gdy w 2010 r. rozpoczynały się prace nad RODO, rozważano np. definicję danych biometrycznych. Chodziło o to, by wskazać, że takimi danymi są układ naczyń krwionośnych dłoni, małżowina uszna, odcisk palca itp. – Gdyby to wówczas wprowadzono, dziś byłyby to nieaktualne. Technologia poszła tak do przodu, że danymi stały się nawet bicie serca, drganie palca, zapach człowieka, pole elektromagnetyczne itd. Dlatego właśnie neutralność technologiczna nowych przepisów pozwala stworzyć regulacje, które się nie zdezaktualizują. To jednak oznacza, że ciężar tego, jak zabezpieczyć prawidłowo dane, spoczywa na państwu – kontynuował Maciej Kawecki.
W tym miejscu koordynator reformy wskazał na dwa pomocne instrumenty. Jednym z nich są tzw. kodeksy postępowania, mające doprecyzować kwestie neutralności technologicznej w poszczególnych branżach. Jako przykład wskazał ochronę zdrowia, która sama doprecyzowuje przepisy w wydanym przez siebie kodeksie zatwierdzonym przez Urząd Ochrony Danych Osobowych. Drugi z instrumentów wsparcia to przepis, który w niemal niezmienionej formie przeszedł całą drogę legislacyjną. – Chodzi o obowiązek po stronie prezesa UODO, aby wydawać rekomendacje zabezpieczające dane w poszczególnych sektorach, które zostały wypracowane po konsultacji z określonymi branżami. Rekomendacje wydane przez prezesa UODO nie będą jednak rekomendacjami wiążącymi – wyjaśniał prelegent. – Ale będą stanowiły bardzo cenny punkt odniesienia.
Dziennik Gazeta Prawna
REJESTR CZYNNOŚCI
Minimalizm i rozliczalność
Doktor Kawecki przypomniał też o zasadzie minimalizmu i o tym, że dane należy zbierać w zakresie i celu koniecznym do wykonania określonych zadań. – Jeżeli chodzi o nawiązanie kontaktu z obywatelem, to gromadzimy w tym celu numer telefonu, e-mail oraz adres, który jest do tego niezbędny – mówił. – Jednym z najczęstszych naruszeń, jeśli chodzi o prawo do prywatności, jest gromadzenie danych na zapas.
Nowością jest zasada rozliczalności. – Chodzi o obowiązek wykazania, że realizujemy określone prawa. – UE uznała, że rejestry danych osobowych nie wnoszą zbyt wiele, dlatego RODO znosi obowiązki rejestracyjne w tym zakresie – stwierdził ekspert. – Ale jest za to obowiązek wykazania tego, co robimy z danymi. Tak więc będą państwo zobowiązani do prowadzenia rejestru czynności przetwarzania danych osobowych – mówił.
Kolejną nowością jest obowiązek notyfikacyjny, czyli informowanie o naruszeniach. – Pamiętajmy, że nie każde naruszenie będzie podlegało zgłoszeniu. Chodzi tylko o takie, które może spowodować poważne ryzyko praw i wolności osób, których dane dotyczą. To znaczy, że proste incydenty bezpieczeństwa nie podlegają notyfikacji – wyjaśniał ekspert. – To, że ktoś wyniósł służbowy komputer, by wyliczyć płace w domu, bo nie zdążył zrobić tego w pracy, może być incydentem, ale nie podlega zgłoszeniu. Bo cały czas dostęp do tych danych miała osoba uprawniona. Ale zaginięcie lub kradzież laptopa już będą podlegały notyfikacji – wskazał. I dodał, że zasada rozliczalności zobowiązuje też do wykazania, że skutecznie zostało zrealizowane żądanie osoby, której dane dotyczą. Czyli, że należy przekazać dane konkretnej osobie. Niestety, często zwykłe kanały komunikacyjne nie dają takiej gwarancji. Na przykład, jeśli ktoś odbiera telefon, może nie mieć pewności, kto dzwoni. – Dlatego mamy prawo poprosić rozmówcę o identyfikację, a w razie wątpliwości poprosić o wybór innego kanału komunikacyjnego.
Nie tylko oceny ryzyka
– Muszą państwo potrafić wykazać, że przetwarzając dane, przygotowali się na pewne ryzyko związane z ich naruszeniem – radził uczestnikom spotkania prelegent. – Można np. wyodrębnić odpowiednie kryteria i na ich podstawie ustalić skalę zagrożenia – punktową lub słowną. Następnie wprowadzić ją do rejestru czynności. W ten sposób można prosto wykazać, że dokonali państwo oceny ryzyka.
– A czy Ministerstwo Cyfryzacji przedstawi projekty dokumentów wdrożeniowych? – padło w tym momencie pytanie z sali. – Nie, bo jeśli resort cyfryzacji wydałby takie dokumenty, byłyby one traktowane jak akt prawny. A to państwo muszą dostosować dokumenty do swojej organizacji. Nie do końca jest to też rola ministerstwa. Organem nadzorczym jest GIODO, po 25 maja Urząd Ochrony Danych Osobowych – odpowiedział dr Kawecki. Ekspert przypomniał też, że wiele podmiotów będzie musiało prowadzić rejestr czynności. Wyjaśniał, że przez czynności należy rozumieć m.in. prowadzenie dziennika lekcyjnego czy wykorzystanie wizerunków podczas akademii, czynności rekrutacyjne czy prowadzenie mediów społecznościowych. – Zwłaszcza, że powołana do wyjaśniania wątpliwości z tym związanych Grupa Robocza art. 29 uznała, że rejestr musi prowadzić każda organizacja, która systematycznie przetwarza dane osobowe, a tym dotyczących zatrudnienia – kontynuował. – Tu z pomocą wyszło GIODO (obecnie UODO), na jego stronie jest projekt rejestru przetwarzania danych osobowych dla placówki oświatowej. Część z państwa będzie mogła skorzystać z niego wprost, a część potraktować go jako wzór do swojego rozwiązania – zaproponował dr Kawecki.
Dziennik Gazeta Prawna
IOD W ROLI GŁÓWNEJ
Obowiązki: informacyjny i zgłaszanie naruszeń
Jednym z mitów, który powstał przy wdrażaniu RODO, i który resort obala, jest obowiązek informacyjny. – To, że nagle, od 25 maja jesteśmy zobowiązani do informowania o przetwarzaniu czyichś danych osobowych, czy o tym, kto jest administratorem. Prawo autorskie ma prawie 25 lat, a obowiązek ochrony wizerunku jest zapisany w art. 81 ustawy. Tak samo obowiązek informacyjny, ten znalazł się jeszcze w dyrektywie z 1995 r., a RODO jedynie go poszerza. Ale pamiętajmy, że są i ograniczenia. Jeżeli ktoś wiedział, w jakim celu przekazał dane, to jemu już nie przekazujemy informacji o tym, że je gromadzimy. Tak samo, jeśli na podstawie obowiązujących przepisów przekazujemy dane między organami administracji publicznej. Samo RODO stanowi też, że w określonych sytuacjach możemy informować tylko o kategoriach odbiorców danych, a nie personalnie – powiedział ekspert. I zachęcał do czytania projektu ustawy o ochronie danych osobowych (obecnie ustawy o ochronie danych osobowych z 10 maja 2018 r., Dz.U. poz. 1000 – red.). W pierwszych pięciu jej artykułach są wskazane ułatwienia dotyczące stosowania danych.
Nowością jest natomiast zgłaszanie naruszeń. – RODO rozciąga ten obowiązek i na administrację i na sektor prywatny. Doktor Kawecki przekonywał, że należy zgłaszać te, które skutkują poważnym naruszeniem praw i wolności. – O tym, jak należy zgłosić naruszenie, mówi ustawa. Otóż m ożna zrobić to elektronicznie, jak i pisemnie – wskazał.
Dziennik Gazeta Prawna
ZAKAZY I SANKCJE
Nie poddawać się mitom
Przedstawiciel Ministerstwa Cyfryzacji zwracił uwagę na jeszcze inne mity krążące wokół RODO. – Nieprawdziwe są wiadomości o konieczności przeszkolenia pracowników albo takie, że by zostać inspektorem ochrony danych, trzeba mieć skończony określony kurs, ba nawet egzamin państwowy. Nic z tych rzeczy – zapewniał ekspert. – Oczywiście szkolenia są rekomendowane, ale z pewnością nie są obowiązkowe. Czy nas wyręczą aplikacje i programy? Do końca też nie. Nie ma remedium na RODO, nie ma takiego oprogramowania, które całkowicie rozwiąże problem, dlatego że ono musi być dostosowane do konkretnej organizacji, miejsca pracy i do naszej kultury prawnej, tego, jak mamy skonstruowane normy prawne – uważa Maciej Kawecki. – Oczywiście bardzo dobrze, że powstają mechanizmy, które pomagają we wdrożeniu RODO – mówił. W tym miejscu wspomniał o przetłumaczonym na język polski programie wydanym przez francuski organ ochrony danych osobowych.
Kary finansowe
Kolejny mit, który obalał dr Kawecki, to kary finansowe. Jak tłumaczył, 20 mln euro, którymi straszy się przedsiębiorców, wzięło się stąd, że trzeba było określić granice także dla dużych korporacji. – W przypadku np. naruszenia prywatności nawet przez takie kolosy jak Facebook, Google, Microsoft nie uzasadnia kary, która by doprowadziła do ich upadku. Uznano, że 20 mln euro lub 4 proc. światowego obrotu to jest kara, która ich nie zabije, ale będzie odczuwalna. – Stąd wziął się ten wymiar, który niestety zaczął urastać do rangi mitu, tj. że kara 20 mln euro grozi newet sklepikarzowi, kioskarzowi czy taksówkarzowi. RODO mówi wyraźnie, że kara musi być miarkowana – przypomniał koordynator reformy. I dodał, że jeśli chodzi o administrację, sankcja za naruszenie będzie znacznie niższa – do 100 tys. zł, a dla instytucji kultury do 10 tys. zł. – Trzeba też pamiętać, że kary mamy na końcu. Wcześniej są upomnienia, ostrzeżenia, decyzje, które kar nie nakładają – dodał dr Kawecki.
SAMORZĄDY PYTAJĄ, EKSPERT ODPOWIADA
Ostatnie kilkanaście minut spotkania było okazją do zadawania pytań. Samorządowcy dopytywali przede wszystkim o obowiązek informacyjny. Jak mają go wypełnić administracja publiczna oraz instytucje? Jak to zrobić, by było jak najtaniej?
– Jeżeli odbieramy dane na formularzach, to na nich. Jeżeli pierwszym miejscem pozyskania danych jest recepcja czy lada, to właśnie tam. Jeżeli jest to kwestionariusz na stronie internetowej, to pod spodem treści internetowych. Ważne, by zostało to przekazane prostym językiem, dostosowanym do odbiorcy. Jeśli jest to dziecko, to językiem dla niego zrozumiałym. Musimy też pamiętać, że prawa określone w art. 13 RODO (m.in. prawo do usunięcia danych) nie przysługują wszystkim. Jeżeli np. gromadzimy dane, choćby do rejestru PESEL, które tam pozostają i których nikt nie może usunąć, to o prawie do bycia zapomnianym nie informujemy i wtedy ta klauzula jest krótsza.
A jak połączyć ze sobą prawo do bycia zapomnianym i zasadę rozliczalności? – dociekał jeden z samorządowców.
– Na przykład logami (chronologiczny rejestr zdarzeń w systemie informatycznym – red.) – odpowiedział dr Kawecki. – Jeżeli gromadzimy logi, to fakt ich usuwania już jest na to dowodem. Także procedura realizowania prawa do bycia zapomnianym. Przez pewien czas oczywiście możemy gromadzić też wnioski z żądaniem usunięcia danych. Natomiast zasada rozliczalności nie może prowadzić do tego, że przez nieograniczony czas gromadzimy wszystkie dane, które usunęliśmy. O tym stanowi chociażby art. 11 RODO, zgodnie z którym nie powinniśmy gromadzić danych osobowych tylko i wyłącznie po to, by zrealizować obowiązek wynikający z rozporządzenia UE. Skoro gromadzimy dane anonimowe, to przecież nie będziemy identyfikować osoby tylko po to, by wypełnić przepisy.
Co to znaczy przez określony czas? Pół roku, rok? – padło kolejne pytanie.
– Nie wskażę określonego czasu. Chodzi o to, by był on racjonalny. Mieliśmy ten problem, jeśli chodzi o ustalenie granicy czasu gromadzenia nagrań z kamer monitoringu wizyjnego. I jeszcze na etapie tworzenia przepisów w ramach rządu uznaliśmy wspólnie z Radą Dialogu Społecznego, że trzy miesiące będą najbardziej racjonalne. Posłowie też podjęli taką decyzję.
A jak należy spełniać obowiązek informacyjny w przypadku infolinii? Co zrobić, żeby być w zgodzie z prawem?
– Infolinia jest pewnym przywilejem, nie jest czymś obowiązkowym. Ktoś, kto chce za jej pomocą się z nami połączyć, musi poczekać, aż podamy informację o zasadach dotyczących przetwarzania danych. Musimy ją przeczytać, bo innej metody nie ma. Chyba że jedynym miejscem, w którym podajemy numer telefonu infolinii, jest strona w internecie. Wtedy można tam zamieścić tę informację. Nawet wtedy nie mamy jednak pewności, że ktoś nie otrzymał numeru telefonu tzw. pocztą pantoflową.
A kwestia spełnienia obowiązku informacyjnego. Czy to, co wywiesimy w biurze podawczym, wystarczy? – dociekali samorządowcy.
– Oczywiście, wykonanie obowiązku jest w ten sposób udowodnione. Jeśli taka klauzula wisi na stronie internetowej, to oznacza również, że obowiązek został zrealizowany. Nie musi być żadnych checkboxów (przycisków wyboru – red.), że tak, zaakceptowałem obowiązek. To nie jest zgoda, to jest klauzula, którą musimy po prostu przekazać. Problem pojawia się przy tzw. skrótowcach, gdy mamy bardzo mało miejsca, posługujemy się aktywnymi linkami, tu musimy uważać. Bądźmy jednak racjonalni – apelował dr Kawecki.
Jak można zrealizować obowiązek informacyjny w przypadku monitoringu wizyjnego? Zwłaszcza w przestrzeni publicznej – zastanawiali się samorządowcy.
– Przepisy mówią wyraźnie, nie da się tego zrobić w przestrzeni publicznej inaczej niż przez wywieszenie określonej informacji przy kamerze – wyjaśniał koordynator.
Gdy kamera jest na wysokości 10 metrów, to nikt tego nie przeczyta – zauważył ktoś z sali.
– I tu trzeba być racjonalnalnym. Oczywiste jest, że taka informacja musi być gdzieś zamieszczona. Trudno jest wymagać, żeby przy monitoringu co 2–3 m znajdowała się kartka z obszerną informacją, o której mowa w art. 13 RODO – obszar monitorowany. Przykładem mogą być kamery kontrolujące prędkość na drogach publicznych. Na części z nich jest dobrze zrealizowany obowiązek informacyjny. Jest na nich naklejka, kto jest administratorem, jakie prawa przysługują nagrywanemu. W ten sposób to realizujemy – mówił przedstawiciel resortu.
Czy te kamery mogą być własnością różnych administratorów? – nie ustępowali urzędnicy.
– Tak, ale wtedy każdy administrator z osobna informuje, że dany teren jest monitorowany. Nie każdy obszar monitoruje np. straż miejska na podstawie ustawy o strażach gminnych, czasami monitoruje to np. sam urząd, wtedy musimy traktować to odrębnie – wyjaśniał Kawecki.
Oczywiście samorządowców chętnych do zadawania pytań było znacznie więcej. Jednak czas, jakim dysponował nasz rozmówca był ograniczony. Musiał wracać do Warszawy na kolejne, ważne spotkania związane z wdrażaniem RODO.