Większość firm nie będzie musiała powiadamiać klientów o naruszeniu bezpieczeństwa ich danych osobowych. Informację taką przekażą nowemu urzędowi.
Gdy dwa i pół roku temu hacker włamał się do jednej z kancelarii prawnych i wykradł poufne dane jej klientów, Polacy dowiedzieli się o tym wyłącznie dlatego, że sam to ogłosił, żądając pół miliona euro za nieujawnienie plików. Sposób zachowania firm, w których doszło do wycieku danych, miał się zmienić wraz z nadejściem przepisów nowego unijnego rozporządzenia o ochronie danych osobowych 2016/679 (RODO). Okazuje się jednak, że w Polsce się nie zmieni. W najnowszej wersji projektu naszej krajowej ustawy o ochronie danych przewidziano bowiem zwolnienie z konieczności stosowania art. 34 RODO, czyli przepisu nakazującego informować zainteresowanych o naruszeniu bezpieczeństwa ich danych. Z wyłączenia tego będą mogły skorzystać firmy zatrudniające mniej niż 250 osób, które nie przetwarzają danych wrażliwych i nie przekazują danych innym firmom. Oznacza to większość polskich przedsiębiorców. Tylko najwięksi (np. banki, ubezpieczyciele czy serwisy takie jak Allegro czy Facebook) będą musieli informować o wycieku. Przeciętny sklep internetowy nie będzie już miał takiego obowiązku.
Dziennik Gazeta Prawna
Podwójne standardy
Wyłączenie to nie podoba się nie tylko aktywistom walczącym o prawo do prywatności, ale także generalnemu inspektorowi ochrony danych osobowych.
– Ludziom zwyczajnie należą się informacje o tym, że bezpieczeństwo ich danych zostało naruszone, co może stwarzać dla nich konkretne zagrożenia. Ich nieprzekazywanie ostatecznie uderzy w samych przedsiębiorców, gdyż zachwieje zaufaniem klientów – zauważa dr Edyta Bielak-Jomaa.
Ograniczanie obowiązków wynikających z RODO będzie powodować, że polskie regulacje będą odmienne od tych stosowanych w innych krajach UE.
– Trudno spotkać w Europie inny kraj z tak ekstremalnie dużym zakresem wyłączeń na obecnym etapie prac. Projekty brytyjskie, francuskie czy irlandzkie nakazują, aby obywatele otrzymywali informację o wyciekach danych. Danie im tej świadomości i szansy na podjęcie działań zapobiegawczych to przecież jeden z filarów RODO. Można powiedzieć, że między innymi po to ta regulacja została stworzona – analizuje dr Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa i prywatności.
– Jeśli powstaną podwójne standardy, to obywatele w Polsce będą widzieli, że traktuje się ich odmiennie niż na Zachodzie. Czy taki krok nie jest ryzykowny? Warto rozważyć wpływ na poziom zaufania do gospodarki, ale i jej konkurencyjność. Potrafię sobie wyobrazić konsumentów, którzy mając do wyboru dostawców usług wybiorą tych z krajów o wyższych standardach, gdzie firmy nie są skryte za takimi wyłączeniami – dodaje ekspert.
Informacja na stronie
Co ciekawe, art. 34 RODO, którego polskie firmy MśP mają w ogóle nie stosować, nie jest wcale tak restrykcyjny, jak mogłoby się wydawać. Nie nakazuje on bowiem informować o wszystkich wyciekach, tylko o takich, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób.
– Jeśli intencją autorów projektu jest ograniczenie kosztów związanych z informowaniem dużej liczby klientów, to RODO już to przewiduje. W przypadkach, gdy przekazanie takiej informacji wymagałoby niewspółmiernie dużego wysiłku, umożliwia bowiem np. wydanie publicznego komunikatu lub zastosowanie podobnego środka. Zatem korzystając z rozwiązań przewidzianych w RODO, można spełnić obowiązek przekazywania informacji o wycieku chociażby za pośrednictwem strony internetowej firmy. To nic nie kosztuje, a klienci mieliby szansę dowiedzieć się o zagrożeniu bezpieczeństwa ich danych, a w stosownych przypadkach otrzymać wskazówki czy rady, jak można zminimalizować ewentualne negatywne skutki naruszenia – podpowiada dr Edyta Bielak-Jomaa, GIODO.
Ministerstwo Cyfryzacji przyznaje, że rozważało różne możliwości.
– Można przykładowo po prostu ograniczyć zastosowanie art. 34 RODO w pewnych przypadkach bądź zmodyfikować formę realizacji wymogu notyfikacji. Projektodawca zdecydował się na pierwsze rozwiązanie, gdyż nie chciał powtarzać przepisów RODO. Norma, w świetle której wymóg notyfikacji miał następować w formie komunikatu dostępnego na stronie internetowej, stanowiłaby zasadniczo powtórzenie art. 34 ust. 3 lit. c RODO. A przepisy krajowe nie mogą powtarzać prawa unijnego – tłumaczy dr Maciej Kawecki, dyrektor departamentu zarządzania danymi MC.
Sygnał ostrzegawczy
Polskie przepisy nie będą natomiast wyłączały art. 33 RODO, w którym mowa o przekazaniu w ciągu trzech dni informacji o wycieku organowi stojącemu na straży ochrony danych osobowych. W naszych warunkach będzie to Urząd Ochrony Danych Osobowych. Zdaniem resortu cyfryzacji zapewni to obywatelom poszanowanie ich praw.
– W przypadku wszczęcia postępowania z urzędu stronami postępowania staną się: osoba, której dane zostały naruszone, i przedsiębiorca, który naruszenia się dopuścił – podkreśla dr Maciej Kawecki.
Nie wszyscy jednak uważają, że to wystarczy. Choćby dlatego, że liczy się czas. Zgodnie z art. 34 administrator powinien informować o wycieku „bez zbędnej zwłoki”, czyli w zasadzie niebawem po tym, jak sam go zidentyfikuje.
– Dzięki takiej informacji każdy może sam ocenić, na ile istotne są dla niego dane, które wyciekły, i jakie ryzyko może się wiązać z ich ujawnieniem. Jeśli jest to numer karty płatniczej, to być może uzna, że należy ją zablokować. Jeśli używa tego samego hasła w innych serwisach, to prawdopodobnie zechce je zmienić. Aby móc jednak podjąć takie kroki, musi wiedzieć, że do wycieku w ogóle doszło – tłumaczy Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Jej zdaniem niepokojące jest to, że zwalnia się z obowiązku stosowania całego przepisu, zamiast poszukać alternatywnych form jego wykonania.
– Mogę się zgodzić, że wysyłanie do każdego klienta listu poleconego byłoby nadmiernie uciążliwe dla przedsiębiorcy. Dlaczego jednak rząd nie zaproponuje rozwiązania, które wiązałoby się z mniejszym nakładem środków, a jednocześnie realizowało istotę prawa, jaką w tym przypadku jest wysłanie ważnego sygnału ostrzegawczego do klientów – zastanawia się Katarzyna Szymielewicz.