Strony wywiadu: RZD – redaktor Życie Kalisza
Damian Felisiak: DF – prawnik,ekspert DGCS S.A.
RZD: Witam serdecznie, ostatnio w internecie i innych mediach sporo słychać o RODO. Czy może Pan naszym czytelnikom, tym którzy jeszcze nie wiedzą, przybliżyć w paru słowach co to jest? O co to całe zamieszanie?
DF: RODO czyli spopularyzowany polski skrót Ogólnego rozporządzenia o ochronie danych. To nowa unijna regulacja, która z racji formy rozporządzenia już 25 maja br. zacznie obowiązywać bezpośrednio na terenie wszystkich państw członkowskich UE. Rozwój nowych technologi częstokroć pozbawia nas możliwości kontroli swoich danych. Słabość dotychczasowych rozwiązań dostrzegł unijny prawodawca, który za pomocą RODO wprowadza nowy model ochrony danych osobowych, jednolity dla wszystkich państw członkowskich. Ta wielka reforma ma docelowo przywrócić obywatelom UE możliwość kontroli powierzanych danych. Od 25 maja organizacje przetwarzające dane osobowe zyskają dużo większą swobodę w doborze środków mających zapewnić ich bezpieczeństwo, ale równocześnie spada na nich ogromna odpowiedzialność. To oczywiście duże uproszczenie, ale regulacje RODO można skwitować jako kierowane do wszystkich administratorów polecenie ,, Wdróżcie takie rozwiązania, aby dane, które przetwarzacie były bezpieczne.’’
RZD: Przeglądając różne informacje, oferty na ten temat widzę że wywołuje on dużo niepokoju. Często na pierwszy plan wysuwane są wysokie kary jakie grożą przedsiębiorcom. Z czym to jest związane?
DF: Tak, temat wzbudza dużo emocji. Myślę, że wpływ na to mają trzy czynniki. Po pierwsze, wiele firm doradczych i szkoleniowych widzi w tym szanse na zrobienie interesu. Przeglądając dostępne oferty dochodzę do wniosku, że cześć z firm powstała jedynie w tym celu. Niestety, wiele komunikatów ogranicza się do straszenia karami. Definiowanie swojej usługi wyłącznie jako sposobu na uniknięcie wysokich kar to raczej nie jest dobra opcja. W zdecydowanej większości organizacji kluczowym jest zmiana filozofii przetwarzania danych osobowych. Na dłuższą metę, nic nie da perfekcyjna dokumentacja i najlepsze zabezpieczenia informatyczne, jeśli nie zmieni się podejście zarówno osób zarządzających jak i pracowników. Problemy należy rozwiązywać, a wdrażanie norm RODO wyłącznie celem uniknięcia kar zdaje się być jedynie odsunięciem problemu w czasie. Drugim czynnikiem jest wspomniany brak skonkretyzowanych wymogów. Ogromna niepewność co do interpretacji nowych przepisów wymusza na zarządzającym organizacją samodzielne podejmowanie decyzji w obszarze, w którym nie jest specjalistą. Obawy w takiej sytuacji nie są więc nieuzasadnione. Wrażenie to potęgują także dotychczasowe polskie doświadczenia, gdy niestety urzędnicy nierzadko interpretują przepisy na niekorzyść obywatela czy firmy. Trzeci czynnik to rzeczywiście astronomiczne kary mogące sięgać nawet do 20 mln € lub 4% rocznego globalnego obrotu przedsiębiorstwa. Oczywiście, wysokość nakładanej kary odpowiadać powinna wadze naruszenia, jednak pozostawiony organowi nadzorczemu poziom uznaniowości w jej określaniu rodzi zrozumiały niepokój. Zresztą, gdy mówimy o karach, nie można zapomnieć o kontrowersyjnym pomyśle Ministerstwa Cyfryzacji, w myśl którego maksymalna wysokość kary nakładanej na podmioty publiczne ma wynosić jedyne 100 tys. zł. Nasuwa się tu oczywiste pytanie o równość podmiotów wobec prawa.
RZD: No dobrze, brzmi to nie najlepiej. Ale wróćmy do pana poprzedniej myśli. Jak radzić sobie z tym problemem, tak aby minimalizować ryzyko i straty?
DF: Jak już wspomniałem, do problemu ochrony danych osobowych trzeba podejść systemowo. Nie sposób efektywnie zminimalizować ryzyko naruszenia przetwarzanych danych traktując reformę jako ,, zło konieczne’’ i przeprowadzać ją wycinkowo. Aktualizacja dotychczasowych polityk oraz tworzenie nowej dokumentacji nie mogą być realizowane w oderwaniu od stosowanych środków organizacyjnych i technicznych. Możemy stworzyć najlepszą politykę bezpieczeństwa, jednak należy zadbać o to żeby nie stała się ona dokumentem ,, do szuflady’’. Z tego też powodu niezbędnym jest podnoszenie świadomości kadry zarządzającej oraz pracowników. Osoby potrafiące identyfikować ryzyka przy przetwarzaniu danych, będą także pomocne w wykryciu źródła ewentualnego wycieku. Jest to szczególnie ważne w obliczu obowiązku notyfikacyjnego jaki RODO nakłada na administratorów danych. Zgodnie z tym rozwiązaniem administrator, w przypadku naruszenia bezpieczeństwa danych, nie później niż w terminie 72 godzin od stwierdzenia tego faktu, zobowiązany jest powiadomić o nim organ nadzorczy, który, gdy uzna nasze wyjaśnienia za niewystarczające może nałożyć na nas karę finansową
RDZ: Gdzie taki przedsiębiorca może szukać jeszcze pomocy?
DF: Pomocne będą tu opinie i wytyczne tzw. Grupy Roboczej Art. 29 działającej przy GIODO, które tłumaczą w dość przystępny sposób jak może wyglądać praktyka stosowania RODO w naszym kraju. Wsparcie gwarantują również kancelarie prawne oraz firmy specjalizujące się w bezpieczeństwie IT. Bardzo ciekawą opcją, która pojawiła się w ostatnim czasie na rynku są cyber-polisy, nieformalnie zwane już dziś RODO-polisami. Takie ubezpieczenia mogą zagwarantować wypłatę świadczeń na wypadek kar administracyjnych oraz roszczeń cywilnych w związku z naruszeniem bezpieczeństwa danych, a także kosztów obrony w postępowaniach z tytułu naruszenia prywatności, kosztów reakcji i zarządzania kryzysowego w firmie np. w związku z włamaniem do systemu informatycznego ubezpieczonego. Jest to rozwiązanie do rozważenia dla wszystkich którzy nie są pewni skuteczności wdrożonych rozwiązań.
RZD: Czy na zakończenie chciałby Pan jeszcze coś dodać?
DF: Tak, moje obawy wynikają z tego, że szybki postęp technologiczny z jakim mamy dziś do czynienia może znacząco obniżyć wartość zabezpieczeń technicznych i organizacyjnych, które zostaną z dużym wysiłkiem wdrożone do 25 maja. Dziś naprawdę trudno stwierdzić czy normy RODO będą chronić nas przez najbliższe dziesięć czy trzy lata. Nie wiemy też jak będzie wyglądało egzekwowanie przepisów przez organ nadzorczy. Słusznie zwraca się uwagę, iż potencjalna wysokość kary w połączeniu z poziomem uznaniowości jaki pozostawiono temu organowi rodzi pokusę, aby z nakładanych sankcji finansowych uczynić ,, parapodatek’’ stanowiący dodatkowy, trwały dochód budżetu państwa. W polskiej rzeczywistości rosnących wydatków i corocznego deficytu nie jest to przecież obawa bezpodstawna. Te niewiadome powodują, iż pozostaje nam jak najlepiej przygotować się do nadchodzących zmian z jednoczesną wiarą w zrozumienie i zdrowy rozsądek zarówno po stronie kontrolowanych jak i kontrolujących.