Nadchodzą ważne zmiany w ochronie danych osobowych
- Przyładowanie z identycznej armaty do każdego przedsiębiorcy, który tylko naruszy RODO byłoby błędem. A trzeba zwrócić uwagę, że naruszenie wcale nie będzie trudne. Sam kierunek regulacji unijnych o ochronie danych osobowych mnie osobiście niezbyt satysfakcjonuje - mówi Anna Streżyńska, minister cyfryzacji w rozmowie z Moniką Krześniak - Sajewicz i Bartoszem Bednarzem.
Monika Krześniak - Sajewicz, Bartosz Bednarz, Interia: W 2018 roku wejdą w życie nowe regulacje o ochronie danych osobowych: Rozporządzenie Ogólne o Ochronie Danych Osobowych (polski skrót to RODO). Ministerstwo Cyfryzacji dostrzega jakieś trudności związane z tą zmianą?
Anna Streżyńska, minister cyfryzacji: - Wyzwań jest ogrom, ale projekt jest prowadzony bardzo przejrzyście i sprawnie. Maciej Kawecki, który odpowiada za RODO w MC praktycznie kilka razy w tygodniu uczestniczy w różnych spotkaniach poświęconych tej tematyce. Poczynając od rozmów z kościołami, które też muszą poczynić pewne deklaracje w sprawie RODO, a kończąc na wojsku, kulturze czy dziedzictwie narodowym. Praktycznie nie ma resortu, którego by to nie dotyczyło. Ale to biznes najbardziej obawia się nowych przepisów. Dlatego prowadzimy intensywne spotkania również z przedsiębiorcami.
Czy wiadomo z czym przedsiębiorcy będą mieć problemy? Co sygnalizują?
- Biznes ma problem z wysokością kar. Jej maksymalny wymiar to 20 mln euro lub 4 proc. światowego obrotu danej firmy. To bardzo dużo. W naturalny sposób to wzbudza obawy. Przepisy RODO wskazują jakie czynniki powinno się wziąć pod uwagę przy miarkowaniu wysokości kary i regulator na pewno będzie zobowiązany do ich uwzględniania co nie zmienia faktu, że wysokość kary wzbudza emocje. Prawo unijne nie do końca odpowiada zresztą w tym zakresie polskiej tradycji prawnej. Przez sześć lat byłam regulatorem rynku telekomunikacyjnego i musiałam sobie radzić z podobnym problemem. Opracowaliśmy więc wytyczne, w jaki sposób kary mają być nakładane. Inaczej byłyby całkowicie nieprzejrzyste. Każda kara opierałaby się na widzimisię i można by domniemywać, że ktoś jest traktowany surowo, bo jest nielubiany, a inny ulgowo - bo lubiany. To nie do zaakceptowania. No więc również w przypadku implementacji RODO potrzebne mogą się okazać pewne wytyczne, by było jasne za co nakładane są kary jakiej wysokości.
W jakiej formie prawnej zostaną wprowadzone?
- Rozporządzenia albo wytycznych, które będą w miarę elastycznie precyzować te kwestie. Powinny np. precyzować, w jaki sposób oceniać wskazany w ogólnym rozporządzeniu stopień odpowiedzialności administratora za przetwarzane dane. Przepisy rozporządzenia jako kryterium różnicowania wskazują również "winę umyślną bądź nieumyślną". Nie wskazują jednak, jaka jest różnica między działaniami zawinionymi i celowymi, a popełnianymi z nieświadomości i niecelowymi. Proszę też zwrócić uwagę, że w Polsce odpowiedzialność administracyjno-prawna oderwana jest od oceny winy jako takiej. Chodzi o jasne zaznaczenie różnic między sytuacją, gdy firma zorientuje się, że narusza przepisy i natychmiast się z tego wycofa a taką, która z premedytacją łamie przepisy.
- Przyładowanie z identycznej armaty do każdego przedsiębiorcy, który tylko naruszy RODO byłoby błędem. A trzeba zwrócić uwagę, że naruszenie wcale nie będzie trudne. Szczególnie dla małych firm, które często nie mają przecież obsługi prawnej i biegłości poruszania się w prawniczym świecie. Same teksty pisane prawnym językiem często są dla właścicieli firm zupełnie nieczytelne. Ministerstwo Rozwoju zaproponowało nawet, by wobec małych przedsiębiorców ograniczyć zastosowanie rozporządzenia unijnego, na co pozwalają jego przepisy. Czasem wystarczy przecież zastosować działanie upominające, czy wezwać do usunięcia naruszenia. Z karą powinno się startować w ostateczności, np. gdy firma celowo decyduje się na naruszenie regulacji. W ustawie, nad którą pracujemy możemy zapewnić rozwiązania, które nie będą nadmiernie utrudniały życia biznesowi. Ale na pewno zasady muszą być przestrzegane, a najpierw wszyscy muszą się tej ustawy po prostu nauczyć i przyzwyczaić do jej zapisów.
Sama regulacja wzmocni rzeczywistą ochronę danych osobowych?
- Taki jest cel. Dziś to często bywa fikcja. Choć przyznam, że sam kierunek regulacji unijnych o ochronie danych osobowych mnie osobiście niezbyt satysfakcjonuje. Kiedy patrzę na to, co się dzieje na Zachodzie widzę, że tam biznes często się rozwija właśnie dzięki temu, że regulacje są tak ustawione, by moje dane nie mogły być użyte w sposób dla mnie szkodliwy, co nie oznacza, że nie można nimi dysponować. Moim zdaniem w Polsce za dużo energii wkładamy, by nikt nie miał do nich dostępu, co oczywiście się nie udaje. Ciągle mamy przecież do czynienia z przechwytywaniem całych baz danych. A chodzi o to, by ktoś, kto nie jest właścicielem danych nie mógł ich wykorzystać nawet jeśli wejdzie w ich posiadanie. Obrazowo to ujmując, powinniśmy się skupić na tym, by nawet jeśli komuś wpadnie do głowy oddać obcemu dowód osobisty, to i tak nie będzie go można skutecznie użyć. Inną kwestią są natomiast dane wrażliwe, np. medyczne. W tym przypadku samo ich posiadanie powinno być obwarowane ścisłą regulacją.
Projekt nie idzie w tym kierunku?
- Nie idzie, bo implementuje tylko RODO. Wdrożenie rozwiązań, o których wspomniałam, będzie musiało nastąpić później. Dopóki jesteśmy na poziomie samego dostosowania do RODO, implementujemy rozporządzenie podstawowe, i tam gdzie pozostawia ono krajowemu regulatorowi przestrzeń, doprecyzowujemy luki.
Takie zjawisko jak handel bazami danych zostanie ukrócone po wprowadzeniu tych przepisów?
- Handel bazami danych jest działaniem całkowicie świadomym i celowym. Głównym założeniem prac nad ustawą, jest ukrócenie fikcji, którą mamy teraz. INie jest to nawet kwestia zaniedbania po czyjejś stronie. Świat po prostu poszedł naprzód, a stara ustawa, która ma już 20 lat nie przystaje do rzeczywistości. Dlatego należy ją dostosować do obecnych warunków.
Rozmawiali: Monika Krześniak-Sajewicz, Bartosz Bednarz