Za nami już pierwszy miesiąc obowiązywania ogólnego rozporządzenia o ochronie danych osobowych tzw. RODO, które swym zasięgiem przekracza granice Unii Europejskiej i dotyka wszelkiej maści podmiotów – począwszy od małych przedsiębiorstw, średnich, a na międzynarodowych korporacjach skończywszy. Uczestnicząc w różnego rodzaju spotkaniach, z przedstawicielami biznesu, nauki, GIODO/PUODO, a także rozmawiając z radcami prawnymi oraz innymi ABI (teraz już IOD) mogę śmiało zidentyfikować dwie frakcje. Jedną uznającą znowelizowane przepisy za konieczność pozwalającą zwiększyć nie tylko bezpieczeństwo ochrony danych osobowych, ale bezpieczeństwo jako takie oraz drugą, dla której jest to zwykły biznes mający na celu wykreowanie dodatkowych kosztów dla różnego rodzaju podmiotów i „zło konieczne”. Prawda moim zdaniem jak zwykle leży pośrodku.

Jak było do 24 maja 2018 r.

Rozpoczynając rozważania sięgnijmy nieco do przeszłości. Zagadnienie ochrony danych osobowych nie jest niczym nowym. Dość powiedzieć, że obowiązująca do dnia 24 maja 2018 r. Dyrektywa 95/46/WE została przyjęta w roku 1995, a nasza rodzima (uchylona już) ustawa o ochronie danych osobowych dwa lata później. Należy zatem zauważyć, że przepisy, które obowiązywały nas jeszcze do niedawna, miały ponad 20 lat. Jak to więc możliwe, że niektórzy o nich nie słyszeli lub twierdzili że „ta sprawa ich nie dotyczy”? Przyczyn było kilka, ale wszystkie sprowadzały się do kluczowego słowa – ŚWIADOMOŚĆ. W związku z jej brakiem wśród społeczeństwa niewiele było sytuacji, w których dany podmiot przetwarzający dane z racji na działania podjęte przez zainteresowaną osobę (choćby w postaci skierowania zapytania czy skargi) stanąłby przed koniecznością pochylenia się nad problemami związanymi z przedmiotowym zagadnieniem. Najczęściej dochodziło do tego wtedy, kiedy Generalny Inspektor Ochrony Danych Osobowych pojawiał się u danego Administratora z kontrolą. A, że tych nie było wiele z racji na zasoby kadrowe i budżetowe organu to i świadomość pozostawała na relatywnie niskim poziomie. Porozumienie zawarte w 2012 roku pomiędzy GIODO a Państwową Inspekcją Pracy może gruntownie nie zmieniło obrazu tej sytuacji, ale na pewno nie pozostało bez wpływu. Inspektorzy PIP zostali bowiem przeszkoleni z zakresu ochrony danych i zaczęli również w podstawowym zakresie zwracać uwagę na tę kwestię przy okazji prowadzonych przez siebie kontroli. W momencie stwierdzenia braków na poziomie podstawowym (przede wszystkim nie posiadanie dokumentacji typu: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym czy upoważnienia do przetwarzania danych) inspektorzy PIP informowali GIODO o zaistniałym fakcie. Pozostawała jednak w dalszym ciągu kwestia konsekwencji jakie można było ponieść z tytułu niezgodnego z prawem przetwarzania danych osobowych. Przepisy przewidywały zarówno kary finansowe jak też w skrajnych przypadkach nawet i kary pozbawienia wolności – maksymalnie do lat 3. Jednak ze względu na zawiły proces ich nakładania (organ nadzorczy nie miał takowej możliwości bezpośrednio i musiał się zwracać do Sądu) w zasadzie nie były one egzekwowane i najczęściej kończyło się na pismach wzywających do zastosowania stosownych rozwiązań organizacyjnych, proceduralnych i informatycznych. Oczywiście całkowicie odrębną kwestią pozostaje analiza w ilu przypadkach takie „kary” rzeczywiście były jak najbardziej adekwatne, a w ilu jednak należało dany podmiot upomnieć nieco bardziej „boleśnie”. Do powyższego należy jeszcze dodać fakt braku stosownej kampanii informacyjnej ze strony GIODO, która ukazywałaby istotę, powagę i znaczenie stosownej ochrony informacji, w tym danych osobowych. Wszystko to złożyło się na wykreowanie sytuacji, w której kwestię ochrony danych osobowych traktowano „po macoszemu”.

Reforma.

Jak już wspomniałem niedawne przepisy miały ponad 20 lat. W informatyce czy rozwoju technologicznym jest to wręcz nowa era. Bardzo dobrze widać to na przykładzie telefonów komórkowych, a raczej miniaturowych centrach przetwarzania danych, bo biorąc pod uwagę możliwości tych urządzań ta nazwa wydaje się być zdecydowanie bardziej właściwa. Nie dość, że wykonamy telefon czy napiszemy smsa, to możemy także dokonywać płatności, nagrywać filmy, dźwięk, robić zdjęcia, wysyłać maile czy przeglądać Internet. Rozwój cywilizacyjny to jednak także rozwój nowych zagrożeń, a na te trzeba reagować i się przed nimi bronić. Tak oto dochodzimy do jednej z przyczyn zmian  w przepisach. Niedawne uwarunkowania prawne w stosunku do postępu technologicznego, który obserwujemy były   po prostu przestarzałe i nie podejmowały tematu wielu ryzyk, które pojawiły się stosunkowo niedawno i które niosą ze sobą bardzo duże zagrożenie. Przy całej, na pewno do pewnego stopnia słusznej, krytyce RODO, reforma przepisów mówiących o ochronie danych osobowych była zwyczajnie nieodzowna. Stąd pojawiły się takie nowe pojęcia jak chociażby „privacy by design” czy „privacy by default”. Polegają one na zwróceniu uwagi na stosowne zabezpieczenie przetwarzanych danych już w fazie projektowania oraz zastosowanie domyślnych ustawień związanych z ochroną danych na najwyższym poziomie. Słuszności tego typu praktyce trudno odmówić, gdyż w społeczeństwie informacyjnym tradycyjna ochrona sądowa okazała się spóźniona jeżeli chodzi o przeciwdziałanie naruszeniom prywatności, dokonywanym przez współczesne środki przekazu. Dlatego też doszło do wdrożenia rozwiązań, które moglibyśmy określić „prewencyjną ochroną danych”.

Idąc dalej, do 24 maja posiadanie co najmniej dwóch dokumentów traktujących o ochronie danych osobowych, tj.: Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi, było obowiązkowe i dotyczyło de facto każdego rodzaju działalności. Tyle teoria, a ta jak wiadomo niekoniecznie szła w parze z praktyką. Wśród małych podmiotów gospodarczych, a przynajmniej tych świadomych przepisów, pojawiały się głosy krytyki (i słusznie), że taki stan rzeczy nie jest niczym innym jak „bublem prawnym”, gdyż ze względu na skalę i charakter działalności tychże podmiotów, posiadanie takiej dokumentacji jest po prostu nonsensem. Obecnie obowiązek ten zniesiono. W nowych przepisach mowa jest o tym aby posiadana dokumentacja była przede wszystkim adekwatna do skali i charakteru działalności danego podmiotu. Jedynymi obligatoryjnymi jej elementami są Rejestr czynności przetwarzania i procedura informowania o naruszeniach, przy czym  od prowadzenia rejestru czynności są wyjątki. Głównym zarzutem w stosunku do obecnych zapisów jest to, że są one ujęte w sposób ogólny, pozostawiający sporo miejsca na interpretację dla Inspektora PUODO, orzekającego o prawidłowości posiadanych przez nas regulacji. O ile można temu przytaknąć to należy się także zgodzić z faktem, że złotego środka/idealnego rozwiązania tej kwestii nie ma. Jeżeli bowiem (jak to chcą niektórzy) obowiązek (lub jego brak) posiadania dokumentacji byłby uregulowany bardziej konkretnie, to jestem przekonany, że wówczas i tak podnosiłyby się głosy niezadowolenia mówiące o tym, że posiadanie takiej czy innej dokumentacji, mniej lub bardziej rozbudowanej, w przypadku takiego czy innego podmiotu jest niepraktyczne. Innymi słowy enumeratywne wykazanie czego i od jakiego rodzaju podmiotów się oczekuje…też nie pozostawałoby bez krytyki. Czy byłoby łatwiejsze? Pewnie tak – w końcu nie trzeba by było się zastanawiać co trzeba mieć, wystarczyłoby zajrzeć do rozporządzenia, wytycznych czy ustawy. Czy byłoby jednak praktyczniejsze? Tu sprawa jest już dyskusyjna, gdyż obecnie Administrator niejako zmuszony jest do wnikliwej analizy swego własnego podmiotu w celu określenia i zidentyfikowania procesów przetwarzania danych i towarzyszących temu ryzyk,  a to z pewnością pozwala bardziej rzeczowo dobrać metody ochrony i skuteczne rozwiązania dokumentacyjno-organizacyjno-techniczne. Naturalnie pojawia się kwestia „wybronienia” swego stanowiska w przypadku potencjalnej kontroli. Cóż można w tej sytuacji rzec…to jest właśnie ta biznesowa strona reformy. Na naszych oczach bowiem tworzy się nowy, kwalifikowany zawód – Inspektor Ochrony Danych. Proszę zauważyć jak wygląda cykl tworzenia przepisów: stworzenie nowego prawa => szkolenia z jego implementacji => usługi związane z pomocą w jego wdrożeniu => usługi związane z nadzorowaniem poprawności jego stosowania => kontrola poprawności jego stosowania => nowelizacja danego przepisu. Za wszystkie te etapy się płaci, ktoś na tym zarabia, jest to biznes. A biznes musi się kręcić…stąd ten ostatni etap cyklu, gdyż on powoduje, że wszystkie poprzednie się powtarzają. Oczywiście musi tu być spełniony jeszcze jeden warunek – odpowiedni stopień skomplikowania przepisu. Gdyby prawo było proste nie mielibyśmy takich zawodów jak radca prawny, prokurator, sędzia, adwokat, doradca podatkowy etc. Taką też przyjęto metodę jeżeli mówimy o ochronie danych osobowych. Na Słowacji już teraz aby zostać Inspektorem Ochrony Danych trzeba zdać egzamin państwowy. W Polsce póki co nie ma skonkretyzowanych wymogów jeżeli chodzi o kwalifikacje, aczkolwiek nie można wykluczyć, że obierzemy drogę podobną do tej, którą już teraz kroczy nasz południowy sąsiad. Zwłaszcza, że konstrukcja przepisów czyni z ochrony danych osobowych „temat poważny”. Uregulowano wszak te kwestie na poziomie europejskim, względnie ujednolicono, przedłożono prawa z których korzystać mogą obywatele, wspomniano o procesach uzyskiwania stosownych certyfikatów czy dano możliwość stosowania horrendalnych kar pieniężnych. To wszystko powoduje, że ochrona danych być może przestanie być traktowana „po macoszemu”. Czy tak będzie? Według mnie to zależy od czterech głównych czynników:

  • Sposobu realizowania swych zadań przez organ nadzorczy;
  • Skali korzystania przez obywateli z praw im przysługujących na gruncie RODO;
  • Skali korzystania przez pracowników z praw im przysługujących na gruncie RODO;
  • Działań konkurencji (składanie skarg i zawiadomień o potencjalnych naruszeniach)

To właśnie te, wyżej wymienione działania, określą jak bardzo kwestia ochrony danych osobowych będzie obecna w naszym codziennym życiu i codziennej pracy. W chwili obecnej, po miesiącu obowiązywania RODO oraz naszej nowej polskiej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (weszła w życie 25 maja 2018 r.) na pewno można stwierdzić jedno – panuje wszechobecna panika. Widziałem już „szafy zgodne z RODO”, maile mówiące o „obowiązkowym szkoleniu się” czy informacje przesyłane z firmy do firmy (najczęściej maile przesyłane z adresu typu: sekretariat@firma.pl na adres biuro@firma.pl) mówiące o przetwarzaniu danych osobowych…choć w powyższym przypadku nie ma o tym w ogóle mowy! Absurdów ukazujących mylną interpretację czy też przesadzoną interpretację RODO można podać zdecydowanie więcej. Ktoś powie, że to efekt właśnie ogólnych zapisów tego rozporządzenia i…niewątpliwie będzie miał rację. Jest też jednak jakiś pozytyw – rosnąca ŚWIADOMOŚĆ i to zarówno wśród społeczeństwa jak i różnego rodzaju podmiotów gospodarczych. Także tych, których główna działalność nie jest stricte związana  z przetwarzaniem danych. O tym akurat mam okazję przekonywać się osobiście prowadząc różnego rodzaju szkolenia, na których pada coraz więcej merytorycznych i ciekawych pytań.

Piąte koło u wozu czy koło zapasowe?

Podsumowując, ochrona danych osobowych, pomimo dzielenia się przez ludzi dobrowolnie cała masą informacji na swój temat (choćby przez portale społecznościowe) z całą pewnością jest potrzebna i powinna być prawnie uregulowana. W końcu wypadki czy kolizje drogowe też zdarzają się codziennie, a jeszcze nie słyszałem postulatu, mówiącego o uchyleniu kodeksu drogowego czy zlikwidowaniu szkółek nauki jazdy. Argumenty zatem, że nie wszystkie dane uda się uchronić, że jak ktoś bardzo będzie chciał uzyskać od nich dostęp to i tak nie zostanie powstrzymany, do mnie osobiście nie przemawiają. Owszem ryzyka nigdy nie uda się zniwelować, ale można i trzeba je ograniczać, minimalizować. Należy podnosić ogólną świadomość z tego zakresu, gdyż to powoduje nie tylko większe bezpieczeństwo samych danych osobowych, możliwość stosownego reagowania na irytujące oferty handlowe, większą kontrolę nad swoimi danymi, ale też w przypadku firm ma pośredni wpływ na osiągany przez nich wynik finansowy. Incydenty związane z danymi osobowymi mogą przecież doprowadzić do utraty reputacji, negatywnych opinii, zatrzymania produkcji, uszkodzenia maszyn, defraudacji środków finansowych oraz nakładania kar pieniężnych przez organ nadzorczy. Prawidłowe przetwarzanie i zabezpieczenia danych z kolei może być wykorzystywane w celach marketingowych jako dodatkowy argument przyciągający klientów (np. poprzez uzyskanie stosownego certyfikatu). Stąd na pytanie czy ochrona danych osobowych rzeczywiście jest jak piąte koło u wozu, czy też może w obliczu otaczającej nas rzeczywistości służy bardziej jako koło zapasowe, dzięki któremu możemy dalej kontynuować podróż w momencie złapania kapcia, każdy musi sobie odpowiedzieć w sposób indywidualny. Na pewno w rzeczowej ocenie tego zagadnienia pomoże racjonalne, rozsądne i spokojne podejście do tematu i nie popadanie w panikę, która i tak już osiągnęła spore rozmiary. Jak bowiem mawia klasyk: „tylko spokój może nas uratować”.

 

Autor: Paweł Waniek