- Na razie trudno wskazać, kiedy wydamy pierwszy certyfikat zgodności z RODO. Na pewno nie stanie się to w pierwszych dniach ani w pierwszych tygodniach po rozpoczęciu stosowania rozporządzenia - mówi dr Edyta Bielak-Jomaa w rozmowie z DGP.
Dziennik Gazeta Prawna
Czy pani urząd jest przygotowany do nowych zadań związanych ze stosowaniem RODO, mimo że przed 25 maja nie zwiększono jego budżetu?
RODO określa nie tylko prawa osób, których dane są przetwarzane, i obowiązki administratorów, lecz także zadania organów nadzorczych. Zatem my jako urząd również musieliśmy przygotować się do wyzwania, jakim jest reforma systemu ochrony danych osobowych. A warto zaznaczyć, że będziemy realizować wiele nowych zadań, niekiedy skomplikowanych pod względem prawnym, które będą wymagały ogromnego zaangażowania i wysiłku. Oczywiście to, że na czas nie zapewniono nam odpowiednich środków budżetowych, nie ułatwia nam pracy. Jesteśmy jednak gotowi na tyle, by zadania, które na nas nałożono, realizować tymi siłami i środkami, którymi dysponujemy.
Kiedy w praktyce będą przeprowadzane kontrole prawidłowości wdrożenia RODO: tylko w reakcji na skargi składane do prezesa UODO, czy też według wcześniejszego planu?
Kontrole realizujemy od 20 lat i w tym zakresie niewiele się zmieni. Będą, jak dotychczas, prowadzone zarówno planowo, jak i na skutek skarg czy innych sygnałów. Nowością jest to, że w określonych sytuacjach będą mogły być przeprowadzane we współpracy z przedstawicielami organów nadzorczych innych państw członkowskich UE. To efekt wprowadzenia przez RODO nowego mechanizmu spójności i współpracy.
Jeśli kontrole wykażą nieprawidłowości, to podmioty działające niezgodnie z prawem muszą się liczyć z możliwymi konsekwencjami i sankcjami ze strony organu nadzorczego – od upomnień czy nakazów wydawanych w drodze decyzji administracyjnej aż po administracyjne kary finansowe, których do tej pory nie było.
Czy spodziewają się państwo, że skarg na administratorów będzie więcej?
Spodziewamy się wzrostu liczby skarg – przede wszystkim dlatego, że obywatele mają coraz większą świadomość wagi ochrony danych osobowych oraz swoich praw w tym zakresie, RODO postrzegają zaś jako narzędzie, które umożliwi im ich skuteczne wyegzekwowanie. Przypomnijmy, że rozporządzenie przewiduje m.in. rozbudowany obowiązek informacyjny, prawo do bycia zapomnianym czy prawo do przenoszenia danych. To są nowe narzędzia, z których obywatele będą korzystać. Ponadto liczba skarg może się zwiększyć w związku przeniesieniem ochrony danych osobowych na poziom europejski. Dla przykładu: chcąc się poskarżyć na nieprawidłowe przetwarzanie danych przez firmę irlandzką, nie trzeba będzie wysyłać skargi do Irlandii – będzie można złożyć ją do polskiego organu ochrony danych, który będzie komunikował się w tej sprawie ze swoim odpowiednikiem w innym państwie UE.
Czy są szacunki, o ile wzrośnie liczba skarg?
W ostatnich latach wpływało 2,5–3 tys. skarg. Nie chciałabym jednak prognozować, o ile konkretnie liczba ta wzrośnie.
Czy będzie też więcej zgłoszeń naruszenia bezpieczeństwa przetwarzanych danych osobowych?
Spodziewamy się znacznego wzrostu liczby zgłoszeń naruszeń ochrony danych osobowych, a to dlatego, że do tej pory był to obowiązek ciążący jedynie na operatorach telekomunikacyjnych. Teraz zaś będzie on nałożony na wszystkich administratorów. Trzeba jednak pamiętać, że takiego zgłoszenia należy dokonać tylko w określonych przez RODO sytuacjach. Bierzemy pod uwagę, że może być tak, iż administratorzy – wiedząc, że mają obowiązek zgłaszania naruszeń – będą nas informować o każdym z nich, bez analizy, czy w danym przypadku ten obowiązek ich dotyczy, czy nie. Mam nadzieję, że przygotowany przez nas do tego celu specjalny formularz, który udostępnimy na naszej stronie internetowej po 25 maja 2018 r., pomoże w realizacji tego obowiązku.
Czy lepiej zgłosić każde naruszenie, czy też w sytuacji niepewności – nie zgłosić go, popełniając w ten sposób błąd?
Najlepiej jest przeanalizować daną sytuację przed zgłoszeniem, a pomocne mogą być w tym m.in. wytyczne Grupy Roboczej art. 29. Administratorzy nie mogą przenosić swojej odpowiedzialności za spełnienie tego obowiązku na organ nadzorczy. Prawidłowa analiza jest też niezwykle istotna z punktu widzenia oceny postawy administratora, która może być dokonywana m.in. przy podejmowaniu decyzji o ewentualnym nałożeniu kary. Będziemy bowiem brać pod uwagę nie tylko takie elementy, jak to, czy przedsiębiorca zgłosił naruszenie, czy też nie, czy je ukrywał, po jakim czasie o nim poinformował, lecz także to, jaka jest jego wiedza, czy dokonał odpowiedniej analizy zaistniałego incydentu i odpowiednio na niego zareagował.
Nowym obowiązkiem urzędu będzie m.in. certyfikacja zgodności z RODO. Kiedy będzie można ubiegać się o certyfikat wydawany przez prezesa UODO?
Na razie trudno wskazać, kiedy wydamy pierwszy certyfikat. Na pewno nie stanie się to w pierwszych dniach ani w pierwszych tygodniach po rozpoczęciu stosowania RODO. Pamiętajmy, że nie tylko organ będzie wydawał certyfikaty, lecz także działające na zasadach rynkowych podmioty certyfikujące. Wydawane mogą być również certyfikaty europejskie. Zatem model certyfikacji jest bardziej kompleksowy i obejmuje więcej podmiotów. Natomiast certyfikaty wydawane przez organ ochrony danych będą uzupełnieniem tego, co pojawi się na rynku. Ich przygotowanie będzie wymagało rzetelnego podejścia i przeprowadzenia odpowiednich analiz. Na pierwsze certyfikaty polskiego organu nadzorczego trzeba będzie jeszcze poczekać, ale wydamy je z pewnością.