RODO zaczęło obowiązywać, ustawa także. Zdajemy sobie jednak sprawę, że administracja publiczna, w tym również prezes Urzędu Ochrony Danych Osobowych, do nowych przepisów musi się dopiero dostosować - mówi dr Maciej Kawecki dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych.
Kiedy będzie ustawa wdrożeniowa do nowych regulacji o ochronie danych osobowych? Czy bez niej warto wdrażać RODO?
Prace nad projektem trwają, na początku czerwca trafi on na Stały Komitet Rady Ministrów, a następnie na posiedzenie rządu. Do parlamentu chcielibyśmy go przekazać najpóźniej w lipcu. Ale ustawa wdrożeniowa nie jest niezbędna do wprowadzenia RODO. Prace nad projektem mają na celu nie tylko ujednolicenie przepisów, lecz także wprowadzenie pewnych zwolnień w stosowaniu RODO tam, gdzie jest konieczne, np. w przypadku tajemnicy adwokackiej czy radcowskiej.
Czy wobec pewnych grup zawodowych, branż będą wyłączenia z części obowiązków informacyjnych?
RODO wprowadza wiele nowych uprawnień przysługujących osobie, której dane dotyczą. Realizacja tych praw uzależniona jest jednak często od złożonego wniosku, np. o wydanie kopii danych. Aby jednak móc z takiego uprawnienia korzystać, musimy wiedzieć, że nasze dane są gdzieś gromadzone. Dlatego do obowiązku informacyjnego przywiązujemy tak ogromną wagę. Projekt stara się go więc nie wyłączać. Jeżeli już, to pojawiają się ograniczenia w wykonywaniu obowiązku informacyjnego przez przesądzenie, że realizuje się go na stronie podmiotowej w Biuletynie Informacji Publicznej lub na stronie internetowej oraz w siedzibie.
Czyli od dzisiaj te same obowiązki związane z ochroną danych osobowych ciążą zarówno na dużych firmach, jak i na mikroprzedsiębiorcach?
Tak, z wyjątkiem ograniczeń przewidzianych w RODO, np. rejestr czynności przetwarzania nie jest konieczny w przypadku podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych.
Słyszałam o ogromnej skali oszustw związanych z unijnym rozporządzeniem. Czy rząd zamierza coś z tym zrobić?
Ostatnio minister cyfryzacji otrzymał pismo Związku Przedsiębiorców i Pracodawców, w którym przedsiębiorcy zwrócili się z prośbą o wszczęcie prac nad nowelizacją prawa karnego w kontekście oszustw wykorzystujących zmiany w przepisach o ochronie danych. Niestety, informacji o wyłudzeniach związanych z wprowadzaniem RODO mamy coraz więcej. Przykładowo, pojawiają się SMS-y z linkiem do oprogramowania, które ma „chronić” przed skutkami RODO, bez którego rzekomo nie będziemy mogli odbierać SMS-ów od operatora telefonii komórkowej. Otrzymujemy też sygnały o e-mailach, które pozornie mają zawierać dokumentację zapewniająca zgodność przedsiębiorstwa z RODO, a po otwarciu pliku złośliwe oprogramowanie czyni szkody w komputerach adresatów. Są też wyłudzenia numerów PESEL – oszuści przedstawiają się jako pracownicy MSWiA, którzy weryfikują bazę numerów identyfikacyjnych rzekomo w związku z RODO, podają oczywiście nieprawdziwy PESEL i proszą o jego skorygowanie. Są przypadki, gdy przedsiębiorca odbiera telefon i słyszy pytanie, czy jest gotowy do RODO. Następnie pada wiele szczegółowych pytań, które mają mu wykazać, że jednak nie jest. Odpowiedzi na takie pytania są potem wykorzystywane do ataku na przedsiębiorcę. Nagminne są fałszywe oferty o obowiązkowych szkoleniach, certyfikatach i egzaminach na inspektorów ochronnych danych. Z tym musimy walczyć.
W jaki sposób?
Trzeba rozważyć, czy dzisiejsze przepisy kodeksu karnego (art. 286 i 287 o oszustwach i wyłudzeniach) znajdują tu zastosowanie. Raczej odnoszą się one do sytuacji, w której ktoś podejmuje działania jako oszust, by mieć z tego korzyść majątkową. Tymczasem bardzo często wyłudzenia związane z RODO nie zmierzają bezpośrednio w tym kierunku. Chodzi np. o wyeliminowanie konkurentów biznesowych. Trzeba się zastanowić, czy to podlega pod kodeks karny, czy nie. Na etapie tworzenia przepisów nie byliśmy w stanie tego zdiagnozować, ale teraz otrzymujemy coraz więcej pytań w tej sprawie. Można też wskazać, że na podstawie dzisiejszych przepisów karalna jest groźba wszczęcia postępowania karnego, ale już nie postępowania administracyjnego zakończonego karą finansową. A groźby takich postępowań w związku RODO najbardziej dotykają przedsiębiorców.
/>
Rekomenduje pan dla administracji publicznej certyfikaty od UODO, ale pewnie do niego ustawią się kolejki i wiele podmiotów uzna, że lepiej wydać więcej, ale zaoszczędzić czas. Albo w ogóle zrezygnować z certyfikatu...
Liczymy na to, że powstanie pewna praktyka rynkowa i Polskie Centrum Akredytacji będzie informowało prezesa UODO o cofniętych akredytacjach, że w ogóle te dwie instytucje będą ze sobą współpracować. Stopniowo wytworzy się pewna grupa szanowanych podmiotów certyfikujących tych, którzy dochowują najwyższej staranności, utrzymują standardy.
Czy przedsiębiorcy i administracja publiczna mogą liczyć na okres ochronny, czy też powinni przygotować się na kontrole i kary w przypadku naruszeń?
Formalnie okresu ochronnego nie ma. RODO zaczęło dziś obowiązywać, ustawa także. Jednak kary to nie jest jedyny środek dyscyplinujący, są upomnienia, ostrzeżenia. Administracja publiczna, w tym również prezes UODO, do stosowania nowych przepisów musi się dostosować. Nie chcę oczywiście przez to powiedzieć, że przepisy nie będą egzekwowane. Absolutnie tak nie będzie, natomiast wszyscy potrzebujemy czasu i rozsądku. Reforma jest przecież ogromna.