Nowe rozporządzenie unijne zrewolucjonizuje system ochrony danych osobowych

Posłuchaj

Obywatele mają się czuć bezpieczniej, ponieważ ich dane osobowe będą lepiej zabezpieczone – wyjaśnia dr Edyta Bielak-Jomaa, GIODO. (Sylwia Zadrożna, Naczelna Redakcja Gospodarcza Polskiego Radia)

Dodaj do playlisty

Dodaj do playlisty

Przez minione dwie dekady poznawaliśmy, czym jest ochrona danych osobowych.

– Do tej pory to był trochę taki okres nauki dla nas wszystkich ochrony danych osobowych. Z jednej strony nauki dla przedsiębiorców, jak nie przesadzać z nadmiernym nękaniem i wkraczaniem w prywatność osób fizycznych. A z drugiej strony taka nauka dla nas, osób fizycznych, jak dbać o swoje bezpieczeństwo i swoją prywatność, i ta nauka nie poszła w las – ocenia gość Polskiego Radia 24 mec. Anna Kobylańska z kancelarii PwC Legal.

Widać, że zaczyna być coraz większe zainteresowanie ochroną danych osobowych i coraz bardziej zdajemy sobie sprawę z tego, co to znaczy, że komuś zostawiamy nasz dowód osobisty.

Anna Kobylańska Nie ujawniamy danych osobowych tak chętnie, jak kiedyś.

– Albo co to znaczy, że komuś przekazujemy informacje o naszej rodzinie. Coraz częściej reagujemy na to poprawnie i nie ujawniamy tych danych tak chętnie, jak kiedyś – dodaje mec. Anna Kobylańska.

Inspektor zamiast administratora

Obowiązująca w Polsce od 20 lat ustawa o ochronie danych osobowych wprowadziła  do krajowego porządku prawnego funkcjonowanie eksperta, zajmującego się w przedsiębiorstwach, organizacjach ochroną danych, czyli administratora bezpieczeństwa informacji (ABI). Unijne rozporządzenie, które będzie już w całości obowiązywać od maja 2018 roku, administratora bezpieczeństwa informacji określa mianem inspektora danych osobowych. Ale zmiana dotyczy nie tylko nazwy.

– Będzie on miał więcej obowiązków. Ponieważ będzie to osoba odpowiedzialna za przeprowadzenie analizy ryzyka, będą musiały być regularnie dokonywane oceny, z jakimi atakami, z jakimi zagrożeniami możemy się spotkać i w jaki sposób możemy na nie odpowiedzieć. Żeby zrozumieć działanie inspektora ochrony danych osobowych trzeba oderwać się od wszelkich aspektów technicznych i skoncentrować się na konieczności przestrzegania przepisów w zakresie danych osobowych – tłumaczy Paweł Gruszecki z kancelarii Kochański, Zięba i Partnerzy.

Paweł Gruszecki Inspektora danych osobowych będzie to osoba odpowiedzialna za przeprowadzenie analizy ryzyka.

Przykładowe dane osobowe to m.in. imię, nazwisko, adres osoby, NIP, PESEL, linie papilarne, DNA, wzór siatkówki, informacje o sytuacji finansowej osoby (zaległości, zadłużenia, stan konta), adres mailowy wówczas, gdy zawiera takie informacje, dzięki którym bez nadmiernych kosztów, działań i czasu możemy ustalić tożsamość osoby (jeśli zawiera np. imię i nazwisko osoby), adres IP komputera danej osoby.

Wzmocniona ochrona danych…

Rozporządzenie będzie obowiązywało od 25 maja 2018 roku i będzie obejmować wszystkich. Jest to rozporządzenie europejskie, a zatem będzie obowiązywać w polskim porządku prawnym bezpośrednio.

Dr Edyta Bielak-Jomaa, GIODO

– Ma ono na celu zharmonizowanie przepisów materialnego prawa ochrony danych osobowych w całej Unii Europejskiej. Mamy nadzieję, że wszystkie systemy prawne krajów Unii osiągną podobny poziom, jeśli chodzi o ochronę danych osobowych. To jest niezwykle istotne z punktu widzenia podmiotu danych osobowych, czyli obywateli państw UE, którzy mają się czuć bezpieczniej, ponieważ ich dane osobowe będą lepiej zabezpieczone. Gospodarka danymi, ich przetwarzanie będzie poddane rygorystycznym przepisom – wyjaśnia gość Jedynki dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych.

Ale to wszystko może być korzystne pod warunkiem, że m.in. firmy będą przestrzegać tych zasad, a mało konkretne przepisy zostaną przełożone na zrozumiałą praktykę.

– Nowe rozporządzenie wprowadza funkcję inspektorów ochrony danych osobowych w firmach. Dobrze by było, żeby był bezpośredni kontakt do tych osób, żeby były formularze zgłoszeniowe, żeby było nam łatwiej zgłaszać nasze żądania dotyczące np. dostępu do danych, czy ich poprawienia – dodaje Jędrzej Niklas z Fundacji Panoptykon.

Dr Edyta Bielak-Jomaa Gospodarka danymi, ich przetwarzanie będzie poddane rygorystycznym przepisom.

… i realna ochrona danych

Dlatego to będzie duży krok naprzód, bo uprawnienia osób, których dane dotyczą, zostaną znacząco wzmocnione, a przede wszystkim urealnione.

– To nie będzie tylko ochrona danych na papierze, tzn. napisanie „kawałka polityki prywatności”, która mówi: chronimy twoje dane. Ale kiedy próbujemy to w rzeczywistości wyegzekwować, czyli kiedy prosimy firmę o to, żeby pokazała nam, jakie ma dane o nas, żeby pokazała co zrobiła z tymi danymi, to wówczas natykamy się na różne kłopoty. Jak trudno jest choćby odwołać wcześniej wyrażoną zgodę. Otrzymujemy np. na e-mail różne informacje. Na końcu tej informacji jest napisane, że jeśli nie chcemy takich e-maili, to trzeba kliknąć tutaj. A po takim kliknięciu otrzymujemy masę różnych informacji, tylko nie to, co potrzebujemy. Nawet prośbę wysłania listem poleconym sprzeciwu wobec przetwarzania naszych danych osobowych… I to ma się teraz zmienić – zauważa mec. Anna Kobylańska.

Urealnienie naszej ochrony ma polegać m.in. na tym, że zobowiązanie przedsiębiorców będzie takie: tak łatwo, jak uzyskałeś zgodę na przetwarzanie danych osobowych, tak równie łatwo masz umożliwić jej wycofanie. Czyli też jednym kliknięciem.

Anna Kobylańska Tak łatwo jak uzyskałeś zgodę na przetwarzanie danych osobowych, tak równie łatwo masz umożliwić jej wycofanie.

Przedsiębiorca, czyli administrator danych osobowych

Przedsiębiorcy mają bardzo często do czynienia z tymi danymi, przetwarzają te dane, jeśli np. jesteśmy ich klientami, czyli muszą się do tych zmian przygotować.

– Przede wszystkim trzeba zwrócić uwagę na to, że wszyscy administratorzy danych, czyli też przedsiębiorcy, powinni zapoznać się z rozporządzeniem, które już weszło w życie. Ponieważ dokonuje ono pewnej rewolucji w myśleniu o ochronie danych osobowych, gdyż ciężar odpowiedzialności za proces przetwarzania danych osobowych zostaje przeniesiony na administratora danych osobowych, czyli na przedsiębiorcę. To oznacza, że administrator danych musi określić ryzyko gospodarowania danymi. Musi wiedzieć, jakie dane, w jakim celu powinien mieć i w jaki sposób dokonywać przetwarzania tych właśnie danych, aby było to zgodne z wymogami rozporządzenia europejskiego – podkreśla dr Edyta Bielak-Jomaa.

Dr Edyta Bielak-Jomaa Ciężar odpowiedzialności za proces przetwarzania danych osobowych zostaje przeniesiony na administratora, czyli na przedsiębiorcę.

Ponieważ nie jest to z pewnością łatwe zadanie, biuro GIODO wskazuje na pomoc ekspercką w tym zakresie, a która jest przewidziana przepisami rozporządzenia.

– To wsparcie osoby, która jest kompetentna, wykształcona, ma doświadczenie w zakresie przetwarzania danych osobowych. Czyli osoba, która dzisiaj jest administratorem bezpieczeństwa informacji (ABI), a za chwilę, pod rządami rozporządzenia – będzie nazywać się inspektorem ochrony danych osobowych – dodaje gość Jedynki.

Największe problemy z wprowadzeniem nowych przepisów mogą mieć najmniejsi przedsiębiorcy.

– Najmniejsze firmy mają niedostateczną wiedzę na temat tego, jakie obowiązki ich czekają i w jakim czasie te obowiązki należy wprowadzić. Stąd bardzo cenna jest każda akcja edukacyjna – uważa mec. Anna Kobylańska.

Nowe obowiązki inspektora ochrony danych osobowych

Polska jest w bardzo dobrej sytuacji, jeśli chodzi o te kompetencje ABI, ponieważ w styczniu 2015 roku zmiana ustawy do ustawy o ochronie danych osobowych rozszerzyła zakres kompetencji i obowiązków administratorów bezpieczeństwa informacji.

– Te obowiązki, które zostały na nich nałożone mocą zmiany przepisów ustawy trochę już wychodziły naprzeciw wymogom rozporządzenia, ponieważ ustawodawca znał już projekt rozporządzenia. Umożliwiło to miękkie wprowadzenie wymogów z rozporządzenia. Myślę więc, że osoby, które teraz pełnią funkcje administratorów bezpieczeństwa informacji są dobrze przygotowane do tego, aby stać się inspektorami ochrony danych osobowych – ocenia dr Edyta Bielak-Jomaa.

Wśród tych nowych obowiązków konieczne będzie uwzględnienie ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych, obowiązkowe będzie rejestrowanie czynności przetwarzania danych osobowych, a administratorzy danych osobowych będą zobowiązani do zawiadamiania o naruszeniu przepisów.

– W ciągu 72 godzin od wykrycia naruszenia danych osobowych każdy przedsiębiorca będzie musiał sam zawiadomić organ nadzoru o tym, że naruszył prawo. Może to oznaczać nie tylko kontrolę, ale też bardzo wysokie kary finansowe. W sytuacji np. wycieku danych, przedsiębiorca będzie musiał zawiadomić wszystkie osoby, których dane wyciekły, o tym, jakie jest ryzyko w związku z tym – podkreśla mec. Anna Kobylańska.

Anna Kobylańska W ciągu 72 godzin od wykrycia naruszenia danych przedsiębiorca będzie musiał sam zawiadomić organ nadzoru o tym.

Kiedy musi być powołany inspektor?

Ale też będą takie sytuacje, gdy inspektor dopiero będzie musiał się pojawić.

– Rozporządzenie przewiduje także obowiązek powołania, wyznaczenia inspektora ochrony osobowych i ten obowiązek będzie ciążył na wszystkich administratorach będącymi podmiotami publicznymi oraz na administratorach, którzy przetwarzają dane na dużą skalę. Wtedy, jeśli ich główna działalność jest związana z przetwarzaniem danych osobowych – zaznacza dr Edyta Bielak-Jomaa.

Naruszenie tych przepisów, niedobre przygotowanie się do nich będzie skutkowało karami. Stąd lepiej już teraz zacząć przygotowanie.

– Teraz jest taki czas, kiedy niezbędne jest przygotowanie się do prawidłowego wdrożenia przepisów rozporządzenia. Dla administratorów – do zapoznania się z wymogami stawianymi im, a także dla inspektorów ABI. Ponieważ nie chodzi tylko o przepisy rozporządzenia, ale również o ogromną ilość przepisów sektorowych. Każdy z inspektorów zarządzać będzie danymi u konkretnego przedsiębiorcy czy administratora danych w określonej gałęzi, czy branży. I na znajomość prawa ochrony danych osobowych składać się będzie i znajomość przepisów rozporządzenia, i przepisów sektorowych – zwraca uwagę gość radiowej Jedynki.

Naruszenie przez przedsiębiorcę przepisów rozporządzenia unijnego będzie się wiązać z ryzykiem nałożenia kary finansowej do 20 mln euro lub 4 procent wartości rocznego obrotu. Równie ważne jest też ryzyko operacyjne, czyli ewentualne problemy z działalnością na terenie Unii oraz reputacyjne, związane z utratą zaufania klientów.

Zmiany także dla konsumentów

Dla podmiotów danych osobowych, dla konsumentów także się wiele zmieni. Takim nowym elementem, przewidzianym przez unijnego ustawodawcę, jest możliwość większej kontroli dla nas, czyli użytkowników Internetu nad przetwarzanymi danymi. Wprowadzone zostanie na przykład prawo do bycia zapomnianym, czyli do usunięcia informacji, które nas dotyczą. 

– Rozporządzenie daje poszerzone uprawnienie do kontroli naszych danych, daje też szereg praw, których do tej pory konsumenci nie mieli, jak choćby prawo do bycia zapomnianym. Rozbudowano także obowiązek informacyjny, po to, byśmy wiedzieli komu, ile, jakie dane, po co i na jak długo przekazujemy. I czy jest to niezbędne. Żeby komunikaty, które do nas docierają, np. regulaminy, czy polityka bezpieczeństwa były kształtowane w taki sposób, żebyśmy mogli zrozumieć treść, bez przedzierania się przez ten gąszcz niejasnych dla nas komunikatów, sformułowanych językiem zawiłym, technologicznym, albo prawnym. Żebyśmy mogli zrozumieć treść i wyrazić swoją wolę, czyli np. kliknąć przycisk „Zgadzam się”, ale żebyśmy wiedzieli, na co się zgadzamy – tłumaczy dr Edyta Bielak-Jomaa.

Dr Edyta Bielak-Jomaa Wprowadzone zostanie prawo do bycia zapomnianym, czyli do usunięcia informacji, które nas dotyczą.

Bardziej skomplikowana jest sprawa ochrony danych osobowych, jeśli chodzi o portale prowadzone np. przez firmy ze Stanów Zjednoczonych.

– Ale są już rozwiązania dotyczące Stanów, przyjęte przez Komisję Europejską. Jednak to nie dotyczy tylko USA, to nie tylko portale, ale także serwery, chmury. W takim samym zakresie można też mówić o Chinach. Dlatego trzeba pamiętać, że to my jesteśmy pierwszym ogniwem naszego bezpieczeństwa. Musimy wiedzieć komu, po co i czy udostępniać nasze dane osobowe – zaznacza dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych.

Sylwia Zadrożna, Dominik Olędzki, Aleksandra Tycner, Małgorzata Byrska