Wywiad z ekspertem – RODO

  • RODO
download

Wywiad z ekspertem – RODO dla SageAcademy.pl

Zobacz co ekspert mówi o RODO? kogo dotyczy RODO? Czy różni się od obecnych przepisów i czy wystarczy przeczytać ustawę, żeby być „gotowym do RODO”? Na te pytania odpowiada Elżbieta Puławska, adwokat, specjalistka od ochrony danych osobowych.  To MUSISZ wiedzieć o RODO!

 

 

zdjęcie_E.P.Elżbieta Puławska

Adwokat
Od 1992 roku wpisana na listę radców prawnych Okręgowej Rady Radców Prawnych w Warszawie, zaś od 2013 roku wpisana na listę adwokatów Okręgowej Rady Adwokackiej w Warszawie, od 1994 roku wspólnik kancelarii Kulczycki, Puławska Kancelaria Prawnicza S.C., od 1999 roku członek kolegium redakcyjnego „Monitora Podatkowego”, publikuje między innymi na łamach „Rzeczpospolitej” i „Monitora Podatkowego”.
Specjalizacja: prawo pracy i ubezpieczeń społecznych, prawo podatkowe, ochrona danych osobowych

SageAcademy: Już 25 maja 2018 zaczną obowiązywać nowe przepisy, które opisuje jeden tajemniczy skrót: RODO. Kogo dokładnie dotyczy rozporządzenie?

Elżbieta Puławska: W skrócie rzecz ujmując RODO dotyczy wszystkich: zarówno tych, których dane są przetwarzane, ponieważ daje możliwość skutecznej ochrony przed  naruszaniem ich praw, jak i tych, którzy dane osobowe przetwarzają (czyli gromadzą i wykorzystują na potrzeby prowadzonej działalności), ponieważ określa wymogi jakie muszą spełnić, aby to przetwarzanie uznane być mogło za zgodne z prawem.  Jeśli chodzi o podmioty, których praw dotyczy rozporządzenie, to są to osoby fizyczne na terenie Unii Europejskiej i ich dane osobowe, które są przetwarzane. Jeśli natomiast chodzi o adresatów rozporządzenia, to katalog ten jest już znacznie szerszy, bo obejmuje co do zasady wszystkie podmioty prowadzące działalność na terenie Unii Europejskiej oraz kierujące swoją ofertę do osób znajdujących się na terenie UE, które przetwarzają dane osobowe osób fizycznych. Mówię „co do zasady”, ponieważ w rozporządzeniu wskazany jest zamknięty katalog wyjątków, kiedy to takie przetwarzanie  danych osobowych osób fizycznych nie jest regulowane rozporządzeniem. Nie chcąc cytować tu całego katalogu wyjątków (które zresztą dotyczą specyficznych obszarów), jako przykład który może mieć szersze zastosowanie podam sytuację przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

 

Czym różni się nowe prawo od tego obowiązującego dotychczas? Czy to prawda, że kary będą bardziej dotkliwe?

Nowe prawo nie wywraca może do góry nogami obecnie obowiązujących przepisów i znanych na ich podstawie instytucji, ale zmienia samo podejście do ochrony danych osobowych i ta zmiana podejścia skutkuje koniecznością nowego spojrzenia na przetwarzanie danych osobowych przez każdego kto takie działania prowadzi a więc de facto przez każdy podmiot, prowadzący jakąkolwiek działalność gospodarczą lub np. społecznie użyteczną.  Zgodnie bowiem z brzmieniem RODO, wszelka odpowiedzialność – tj. zarówno za prawidłowe jak i bezpieczne przetwarzanie danych osobowych – przeniesiona zostaje na administratora danych osobowych. To administrator – bez wsparcia ustawodawcy, jak to ma miejsce dotychczas – musi ocenić m. in., czy przetwarzanie danych osobowych generuje jakiekolwiek ryzyka, jeśli „tak” to jakie i  każdy kto przetwarza dane musi sam wypracować sobie mechanizmy ochrony tj. w jaki sposób, przy użyciu jakich środków technicznych i organizacyjnych należy wyeliminować ryzyka. Nie ma określonych żadnych parametrów technicznych.  Oznacza to, że pod rządem nowych przepisów nie będzie już – tak jak ma to miejsce obecnie – rozporządzeń wykonawczych polskiego ustawodawcy, które wskażą administratorowi jaki stopień ryzyka generuje przetwarzanie przez niego danych osobowych i jakie w stosunku do tego ryzyka powinien on zastosować środki. Teraz to sam administrator przejmuje na siebie konieczność dokonania takiej oceny, co niestety może być procesem skomplikowanym i czasochłonnym.

To prawda, że nowe rozporządzenie przewiduje możliwość nakładania przez organ nadzorczy kar finansowych i to w znacznej wysokości, bo za określone rozporządzeniem naruszenia grozi kara do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

 

Kto w szczególności powinien zainteresować się tematem i zgłębić wiedzę w tym obszarze? Do maja jest jeszcze dużo czasu, skąd takie zainteresowanie tematem już teraz? 

Mówiąc najogólniej tematem powinny zainteresować się wszystkie podmioty, które prowadząc swoją działalność na terenie Unii Europejskiej lub kierując ją do osób znajdujących się na terenie UE, przetwarzają dane osobowe osób fizycznych, ponieważ przygotować się na wejście nowych przepisów musi każdy taki podmiot, niezależnie od tego, czy przetwarza absolutnie podstawowe dane osobowe kilku klientów lub nawet tylko swoich pracowników, czy przetwarza na dużą skalę wrażliwe dane osobowe setek tysięcy klientów  i pracowników. Oczywiście stopień złożoności procesu przygotowania się takich podmiotów do wejścia w życie RODO będzie się od siebie dalece różnił, ale nie zmienia to faktu, że obu z nich zmiany będą dotyczyć.

W mojej ocenie, przekonanie, że do maja jest dużo czasu – w perspektywie przygotowania się do wejścia w życie RODO – jest złudne. Przygotowanie się do wejścia w życie nowego rozporządzenia wymaga bowiem przeprowadzenia u  administratora czy przetwarzającego dane gruntownego audytu, który wykaże jakie dane, w jakim celu, w jaki sposób i przez jak długo są przetwarzane, co stanowić będzie jedynie punkt wyjścia do podejmowania kolejnych działań weryfikujących zgodność przetwarzania z RODO i podjęcia ewentualnych działań tą zgodność zapewniających. Nie wystarczy, moim zdaniem, skorzystanie z opublikowanych w internecie wzorów dokumentów ponieważ z zasady nie obejmują one i nie są dostosowane do konkretnych stanów faktycznych i mogą być pomocne dopiero wówczas gdy administrator/przetwarzający dokonana własnej oceny zakresu przetwarzania danych i tę ocenę udokumentuje w sposób wymagany przez RODO i następnie dopiero w odniesieniu do tej oceny wprowadzi wewnętrzne regulacje zapewniające prawidłowość przetwarzania danych. Uzyskanie stanu zgodnego z RODO powinno mieć miejsce w dniu wejścia RODO w życie a więc w dniu 25 maja 2018r. Oczywiście trudno raczej oczekiwać że od razu dzień po zaczną się kontrole sprawdzające ten stan ale w mojej ocenie nie można natomiast wykluczyć natychmiastowej reakcji osób których dane są przetwarzane (wspieranych o specjalizujących się w tym zakresie prawników), które w oparciu bezpośrednio o RODO mogą dochodzić zadośćuczynienia z tytułu naruszenia ich praw wynikających z RODO.

Czy jeśli przeczytam rozporządzenie „od deski do deski” i będę miała świadomość przepisów, to wystarczy, aby uchronić moją firmę przed konsekwencjami?

Na początek mogę powiedzieć, że jeśli mówimy o przeczytaniu RODO to musimy pamiętać że lektura nie może rozpocząć się od Rozdziału I ale musi obejmować również część wstępną zawierającą 173 objaśnienia bo to w nich zawarte są definicje i zasady intepretowania pojęć używanych w RODO. Lektura RODO powinna też być uzupełniona lekturą wytycznych Grupy Roboczej Art. 29 oraz innych wytycznych/informacji publikowanych  na stronach GIODO .

Nawet jeśli pokonamy jednak te wszystkie pozycje (co nie jest niestety proste) to i tak nie możemy powiedzieć, że sama nasza wiedza uchroni firmę przed zarzutem nieprawidłowego przetwarzania danych. Tak się nie stanie. Wiedza którą uzyskamy ma nam stworzyć podstawę do przeprowadzenia w swoim przedsiębiorstwie/zakładzie pracy audytu przetwarzanych danych osobowych (zdefiniowania, jakie dane, w jakich celach, w jaki sposób, przez jaki okres są przetwarzane)  a następnie wdrożenia środków zarówno prawnych jak i technicznych, które zapewnią aby przetwarzanie przez nas danych nie naruszało RODO. Należy pamiętać, że jedną z podstawowych zasad nowego rozporządzenia jest zasada rozliczalności, a więc administrator danych z wykonania każdego obowiązku, a nie tylko z posiadania wiedzy na temat tychże obowiązków, będzie musiał się rozliczyć (czyli wytłumaczyć) przed organem kontrolnym i nie wystarczy wówczas stwierdzenie, że „przecież mam świadomość przepisów, bo przeczytałem rozporządzenie od deski do deski”. Przepisy rozporządzenia trzeba przede wszystkim właściwie stosować – nie wystarczy ich tylko znać. Często już teraz moim klienci zwracają się do mnie „czy mogłaby Pani przygotować wzór dokumentów które musimy mieć z uwagi na RODO”, a ja zawsze wtedy odpowiadam: niestety nie mogę, bo najpierw muszę mieć dogłębną wiedzę na temat tego co się w zakresie danych osobowych dzieje i dziać musi w Pani/Pana przedsiębiorstwie, potem wspólnie (także z udziałem informatyków) musimy ustalić obszary ryzyka i sposoby przeciwdziałania, a dopiero na końcu ja mogę stworzyć projekt wewnętrznych procedur regulujących proces przetwarzania danych.