Choć nowe przepisy o ochronie danych wejdą w życie dopiero za dwa lata, to przedsiębiorcy już dzisiaj powinni zacząć się do nich przygotowywać - ostrzega Generalny Inspektor Ochrony Danych Osobowych - dr Edyta Bielak-Jomaa.
Po ponad czterech latach prac przyjęto wreszcie unijne rozporządzenie o ochronie danych. Co to oznacza dla mnie, użytkownika takich serwisów jak Facebook czy Google?
Na pewno będzie pan miał większe niż dotychczas uprawnienia, choćby głośno komentowane prawo do bycia zapomnianym. W określonych sytuacjach, np. gdy cofnie pan zgodę na przetwarzanie swoich danych, będzie pan również mógł zażądać wykasowania innych informacji: swoich wpisów w internecie czy zdjęć. Administrator będzie zobowiązany to żądanie spełnić, a w dodatku poinformować wszystkich innych administratorów, którym dane przekazał, by również je usunęli.
Informacje umieszczone w internecie żyją jednak własnym życiem, są kopiowane, pojawiają się w wielu innych miejscach. Czy w praktyce mogę więc mieć nadzieję, że internet o mnie zapomni?
Biorąc pod uwagę chociażby to, że rozporządzenie dotyczy wyłącznie podmiotów z UE, to rzeczywiście trudno mieć nadzieję, że prawo do bycia zapomnianym będzie w 100 proc. egzekwowalne. Problematyczne może być chociażby żądanie wykasowania określonych danych z chińskich serwerów. Niemniej bez wątpienia rozporządzenie wzmacnia pana prawa, choć w praktyce rzeczywiście może być pan zmuszony wysuwać żądanie usunięcia swoich danych do wielu serwisów oddzielnie.
Mówi pani, że egzekwowanie prawa do bycia zapomnianym w przypadku serwisów spoza UE może być trudne. Jednocześnie jednak rozporządzenie zobowiązuje je do przestrzegania europejskiego prawa. Co to oznacza dla przeciętnego internauty?
Przede wszystkim łatwiejsze dochodzenie swoich praw. Polak będzie mógł złożyć do generalnego inspektora ochrony danych osobowych skargę na dowolny serwis, także spoza UE, i oczekiwać wydania decyzji. Jeśli zostanie ona zaskarżona, to sprawą zajmą się polskie sądy. Pozwoli to na realne dochodzenie roszczeń, dziś utrudnione chociażby ze względu na koszty prowadzenia sprawy sądowej za granicą.
Najistotniejsza, pani zdaniem, zmiana, jaką niesie rozporządzenie, to...
Status nowych regulacji. Jest to rozporządzenie, a więc będzie obowiązywać w sposób bezpośredni we wszystkich państwach Unii Europejskiej bez konieczności implementacji do krajowych porządków prawnych. Po jego wejściu w życie będziemy mieli do czynienia z pełną harmonizacją unijnego prawa. Administratorzy danych osobowych będą mieli wszędzie te same obowiązki, a podmioty danych te same prawa. Nie oznacza to oczywiście, że nie ma pewnego marginesu swobody. Nowe regulacje pozostawiają ją chociażby w kwestii kościołów i związków wyznaniowych czy prawa pracy, niemniej są to wyjątki od reguły, którą będzie jednolite prawo dla całej UE.
Nie musimy implementować nowych przepisów, bo będą obowiązywać wprost. Nasz ustawodawca nie ma więc nic do roboty?
Wręcz przeciwnie. Musimy dostosować całe polskie prawo do unijnego rozporządzenia. Powiem tylko, że według szacunków Rządowego Centrum Legislacji do przejrzenia jest ok. 800 ustaw. Konieczne są też nowe przepisy dotyczące chociażby monitoringu wizyjnego. Pracy jest więc ogrom. Poza tym polski ustawodawca musi podjąć wiele decyzji, które rozporządzenie pozostawia w gestii państw członkowskich. Z jednej strony są to wspomniane już szczególne regulacje dotyczące chociażby związków wyznaniowych czy prawa pracy, z drugiej kwestie proceduralne, jak umiejscowienie organu zajmującego się ochroną danych osobowych.
W tej chwili jest to GIODO. Coś może się zmienić?
Rozporządzenie daje trzy możliwości. Pierwsza to organ administracyjny, czyli GIODO. Druga to rzecznik ochrony danych, czyli organ na kształt rzecznika praw obywatelskich. Ostatnia możliwość to wariant mieszany – i organ administracyjny, i rzecznik.
Rozporządzenie wejdzie w życie za dwa lata. Czasu jest więc sporo, a mimo to niektórzy doradzają, by przedsiębiorcy przetwarzający duże zbiory danych już zaczęli przygotowywać się do sprostania nowym obowiązkom. Co powinni zrobić w ramach tych przygotowań?
Najważniejsza jest ocena własnej sytuacji, przegląd tego, jakie dane są przetwarzane, i określenie celu tego przetwarzania. Rozporządzenie wprowadza bowiem nowe kategorie danych, np. biometryczne, które dotychczas nie były zdefiniowane. Warto też zacząć zastanawiać się nad oceną ryzyka związanego z wyciekiem danych. Tylko w ten sposób można wprowadzić skuteczne zabezpieczenia zarówno organizacyjne, jak i techniczne. Być może trzeba będzie powołać inspektora ochrony danych. Bez wątpienia rozporządzenie zwiększa zakres odpowiedzialności administratora danych za bezpieczeństwo danych osobowych, dlatego to w dobrze rozumianym interesie przedsiębiorcy jest o nie zadbać.
Wspomniała pani o inspektorach ochrony danych, którzy zastąpią działających dzisiaj w Polsce administratorów bezpieczeństwa informacji. Obecne przepisy nie wymagają ich powoływania, nowe już tak. Kto będzie musiał ustanowić inspektora i jakie będą jego obowiązki?
Ten obowiązek będzie dotyczył całej administracji publicznej, bez względu na skalę i rodzaj przetwarzanych danych, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Przy czym rozporządzenie przewiduje możliwość ustanawiania wspólnych inspektorów ochrony informacji, tak aby np. każda szkoła czy każde przedszkole w danej gminie nie musiało powoływać ich dla każdej jednostki oddzielnie. Jeśli chodzi o przedsiębiorców, to obowiązek powołania inspektora będzie spoczywał na tych, których główna działalność polega na operacjach przetwarzania wymagających systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Przepisy nie precyzują, co to znaczy duża skala, dlatego konieczne będzie wypracowanie wykładni. Powołanie inspektora będzie też obowiązkowe wtedy, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Ja jednak zachęcałabym wszystkich do wyznaczania inspektorów, gdyż odciążą oni administratorów danych i pomogą sprostać ich nowym obowiązkom.
Spotkałem się z opinią, że przedsiębiorcy czy urzędnicy przetwarzający dane będą teraz musieli wyjść spod klosza. Dotychczas, jeśli spełnili wszystkie wymagania formalne, to byli kryci, nawet w przypadku wycieku danych. Teraz bardziej się będzie liczył skutek. Zgadza się pani z tą opinią?
Tak, bez wątpienia mamy do czynienia z zupełnie nowym spojrzeniem na pozycję administratora danych – przeniesieniem na niego ciężaru odpowiedzialności. I to jest racjonalne podejście, bo to administrator wie, a przynajmniej powinien wiedzieć, jakie środki ma podjąć, by zapewnić bezpieczeństwo przetwarzanym przez siebie danym. Konsekwencją tego nowego podejścia są sankcje, o których wszyscy mówią i wszyscy się ich boją, bo rzeczywiście mogą być dotkliwe. Ich górna wysokość to 4 proc. rocznych, globalnych obrotów, do kwoty 20 mln euro, co może być odczuwalne nawet dla największych firm.
W Polsce kary finansowe za naruszenia związane z ochroną danych będą nowością. Czym będzie kierować się GIODO przy ich wymierzaniu?
Z samego założenia kary te mają być dotkliwe i odstraszające. Przy ich wymierzaniu decydować jednak musi indywidualna ocena każdego z naruszeń. Będzie więc miało znaczenie, jakie dane są przetwarzane, to, czy naruszenie miało charakter umyślny, warunki, w jakich do niego doszło, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody. Liczyć się też będzie, czy chodzi o pierwsze naruszenie, czy też kolejne, jak zachował się administrator danych, czy sam zgłosił np. wyciek danych, czy też GIODO dowiedział się o tym z innych źródeł, np. z prasy. Jak zachował się administrator względem osób, których dane dotyczyły, np. czy poinformował je o wycieku. Jest wiele różnych okoliczności i każda z nich powinna być uwzględniona przy ustalaniu wysokości kary.
Kary te będą również mogły być nakładane na firmy spoza UE. Chodzi nie tylko o amerykańskich gigantów, jak Google czy Facebook, ale np. chińskie serwisy internetowe. Zastanawiam się jednak, jaka jest szansa na ich wyegzekwowanie.
Przyznaję, że również się nad tym zastanawiam. O ile są pewne możliwości, jeśli chodzi o kraje, z którymi UE ma podpisane porozumienia, o tyle jeśli chodzi o pozostałe państwa, np. azjatyckie, to nie wiem, na ile taka egzekucja jest możliwa. Tym będzie musiała już zająć się Komisja Europejska, stosując dostępne jej metody nacisku.