Materiał wydrukowany z portalu www.wnp.pl. © Polskie Towarzystwo Wspierania Przedsiębiorczości 1997-2020

Prezes Urzędu Ochrony Danych Osobowych podsumowuje kandencję

Autor: Adam Sofuł
Dodano: 10-05-2019 14:30 | Aktualizacja: 10-05-2019 14:33

Największym wyzwaniem mijającej kadencji było wdrożenie RODO (przepisy obowiązują od 25 maja 2018 r. - red.), które nałożyło na Urząd wiele nowych obowiązków. Ale poradziliśmy sobie z tym znakomicie - mówi w pierwszej części rozmowy z WNP.PL Edyta Bielak-Jomaa, ustępująca prezes Urzędu Danych Osobowych.


Minęła pani kadencja na stanowisku Prezesa Urzędu Ochrony Danych Osobowych. Pora na podsumowania… Co było największym wyzwaniem w tym okresie?

- To był trudny, pełen wyzwań czas, ale chcę podkreślić, że Urząd znakomicie sobie z nimi poradził.
Największym z nich, a na pewno tym, które najbardziej przebiło się do społecznej świadomości, było przygotowanie się do stosowania RODO, czyli ogólnego rozporządzenia o ochronie danych. Trochę w cieniu RODO budowaliśmy mozolnie system ochrony danych osobowych, który nie sprowadza się jedynie do przepisów tego stosowanego we wszystkich państwach członkowskich UE rozporządzenia.
 
Zobacz też: Senat poparł kandydaturę nowego prezesa UODO

Mamy przecież liczne krajowe przepisy sektorowe, które muszą być stosowane razem z RODO, być z nim zgodne, i tworzyć spójny system. Żeby tak się stało, musieliśmy przygotować wszystkich administratorów, by patrzyli na ochronę danych osobowych jako na system będący ważną częścią zarządzania ich organizacją. Może nieskromnie, ale powiem, że poradziliśmy sobie z tym zadaniem znakomicie.

Zobacz też: Pierwsza kara za przetwarzanie danych osobowych. Spora

To oznaczało bardzo intensywną pracę na polu edukacyjnym. Współorganizowaliśmy lub uczestniczyliśmy w bardzo wielu szkoleniach i konferencjach. Wyszkoliliśmy inspektorów ochrony danych z kilkunastu sektorów, aby jako profesjonaliści w dziedzinie ochrony danych osobowych mogli wspierać administratorów w budowaniu racjonalnego i sprawnego systemu ochrony danych w zatrudniających ich firmach i organizacjach.

Czy były to skuteczne działania? Jeśli popatrzymy na rosnącą liczbę skarg i pytań, które wpływają do naszego urzędu, to wydaje mi się, że tak. Bo widać, że wzrosła świadomość wagi ochrony danych osobowych, zarówno po stronie administratorów, jak i osób, których dane są przetwarzane. Temat niejako wszedł do obiegu publicznego.

Poprzednikiem Urzędu Ochrony Danych Osobowych było Biuro Generalnego Inspektora Ochrony Danych Osobowych. Czym - poza nazwą - różnią się te dwa urzędy?

- Zmiana nazwy była akurat najmniej istotna i chyba najmniej potrzebna. Ale w zakresie realizowanych zadań i kompetencji zmieniło się sporo. Przepisy ogólnego rozporządzenia o ochronie danych nałożyły na nas wiele nowych zadań - ich liczba wzrosła bowiem z 8 do 22. To bardzo duża różnica.

Otrzymaliśmy też nowe kompetencje, wśród których jedną z ważniejszych jest możliwość nakładania administracyjnych kar finansowych. W związku z tym trzeba było przeorganizować urząd, aby zapewnić efektywne jego działanie, w tym wprowadzić pewne procedury związane m.in. z nakładaniem kar. Bardzo zależało nam na tym, aby dzięki nim w jak największym stopniu zobiektywizować ocenę każdego przypadku i zapewnić transparentność postępowania także wewnątrz urzędu. Dlatego powołaliśmy specjalny komitet, który kolegialnie opiniuje decyzje dotyczące ewentualnego nałożenia kary.

Ponadto konieczność realizacji nowych zadań, a także większego zaangażowania na arenie międzynarodowej, chociażby ze względu na współpracę transgraniczną, wymagała od nas rozbudowania urzędu. W bardzo krótkim czasie musieliśmy zatrudnić 100 nowych osób.

Łatwo było znaleźć tych pracowników? Wyobrażam sobie, że potrzebne były specyficzne kompetencje…

- Selekcja rzeczywiście nie była łatwa, ale z drugiej strony bardzo cieszyło nas ogromne zainteresowanie pracą w Urzędzie. To kolejny dowód, że ochrona danych osobowych przestaje być niszową dziedziną - ludzie się nią interesują, utożsamiają się z tą problematyką, chcą się nią zajmować. Jestem bardzo zadowolona z tego, że przyszli do pracy ludzie młodzi, merytorycznie przygotowani, a jednocześnie bardzo zaangażowani w to, co robią.

A porażki?

- Nie patrzę na to w ten sposób. Było przed nami wiele wyzwań, odnieśliśmy sporo sukcesów, ale mam też świadomość spraw, które pozostały do załatwienia.

Właśnie, co jeszcze zostało do zrobienia?

- Przed Urzędem jest jeszcze bardzo dużo pracy, wynikającej z okresu, w jakim działamy. Wiele regulacji, z RODO na czele, jest jeszcze stosunkowo świeżych, a żeby były właściwie stosowane, potrzebna jest – jak w przypadku każdego nowego prawa - praktyka. To zaś wymaga od UODO aktywności, aby w prawidłowy sposób kształtować tę praktykę.

Jesteśmy teraz na przykład w fazie pracy nad kodeksami postępowania. RODO przewiduje możliwość tworzenia takich dokumentów przez zrzeszenia i inne podmioty reprezentujące administratorów lub podmioty przetwarzające z konkretnych środowisk. Kodeksy mają pomóc we właściwym stosowaniu przepisów rozporządzenia. Mogą bowiem doprecyzować różne wymogi z uwzględnieniem specyfiki poszczególnych branż, w których są przyjmowane.

RODO wymaga jednak, by dokumenty takie były zatwierdzone przez Prezesa UODO. Przed podjęciem takiej decyzji Urząd musi wykonać sporo pracy uzgodnieniowej, bo tu nie ma miejsca na błędy. Zatwierdzenie kodeksu rodzi bowiem określone skutki - stanowi podstawę do dochodzenia praw.

Z kolei w Europejskiej Radzie Ochrony Danych, której jesteśmy członkiem, trwają jeszcze prace nad wytycznymi dotyczącymi certyfikacji. To jest istotne novum w ochronie danych osobowych. Podmioty certyfikujące, o których mowa w art. 43 RODO, będą bowiem odgrywać ważną rolę w procesie „uwiarygodnienia” przedsiębiorstw i instytucji w zakresie zgodności przetwarzania danych osobowych z przepisami prawa.

Taki certyfikat otrzymają tylko ci, którzy spełnią określone warunki w zakresie ochrony danych osobowych. Poziom odpowiedniej ochrony danych będą musieli utrzymać, by nie stracić certyfikatu. To może więc pośrednio wpłynąć na ich pozycję na rynku. Biorąc pod uwagę to, jakie znaczenie będzie mieć system certyfikacji dla ochrony danych, to Urząd mogą czekać jeszcze prace o charakterze proceduralnym i organizacyjnym, gdy wytyczne EROD w tym zakresie będą już gotowe.

Wspomniała pani, że największym wyzwaniem dla Urzędu było przygotowanie się do rozpoczęcia stosowania RODO. Część prawników twierdzi jednak, że nie wprowadziło ono rewolucyjnych zmian…. A jednak było bardzo wiele związanych z tą regulacją obaw. Jak biznes był do tych zmian przygotowany?

- Bardzo różnie. Nowe przepisy nie powinny być zaskoczeniem dla tych, którzy do ochrony danych osobowych od początku podchodzili poważnie. Pamiętać bowiem trzeba, że w Polsce regulacje prawne w tym zakresie obowiązywały od ponad 20 lat. Poza tym prace nad rozporządzeniem trwały kilka lat, a dodatkowo unijny ustawodawca wprowadził 2-letnie vacatio legis. Okres na przygotowanie się do stosowania tych przepisów był więc dość długi i dawał szansę, by zrobić to dobrze.

Przypomnijmy, że intencją wprowadzenia nowych regulacji było stworzenie ram prawnych, w których ochrona danych osobowych będzie skuteczna, mimo szybkiego rozwoju technologii. Zgadzam się też z opiniami, że RODO nie było rewolucją. Tak jak wspomniałam, przepisy w tym zakresie obowiązywały w Polsce od ponad dwudziestu lat i większość ustanowionych w nich zasad zasadniczo się nie zmieniła.

Tym, co wywołało największe kontrowersje, było wprowadzenie zasady rozliczalności, czyli przeniesienie ciężaru odpowiedzialności za stosowanie prawa ochrony danych osobowych, w tym za wybór określonych rozwiązań i środków, na administratora. Rozporządzenie bardzo wyraźnie stwierdza, że to administrator musi sam, biorąc pod uwagę wszystkie aspekty przetwarzania danych, ich charakter, zakres, kontekst czy cele, ocenić związane z tym ryzyko i dostosować do niego odpowiednie rozwiązania organizacyjne i technologiczne, tak by dane były odpowiednio zabezpieczone.

Tu pewną trudnością z punktu widzenia administratora może być to, że rozporządzenie nie wskazuje gotowych recept. Sam administrator musi wiedzieć, co powinien zrobić, jak ocenić ryzyko, jak zabezpieczać dane, w jaki sposób spełniać inne ciążące na nim obowiązki.

Drugim elementem obaw, jakie narosły wokół RODO, było pojawienie się możliwości nakładania przez Prezesa UODO administracyjnych kar finansowych. To z pewnością była istotna zmiana w stosunku do poprzedniego stanu prawnego, ale co ciekawe, niemal nikt nie zwrócił uwagi na jeszcze istotniejszą – moim zdaniem – zmianę. Rozporządzenie daje bowiem każdemu z nas możliwość dochodzenia roszczeń bezpośrednio od administratora w postępowaniu cywilnym przed sądem.

Czy te obawy nie świadczyły jednak o tym, że po dwóch dekadach kwestia ochrony danych osobowych była nieco niszowa? Stąd panika, gdy pojawiły się zmiany i mieliśmy sytuację, gdy w przychodniach wywoływano pacjentów po nadanych im pseudonimach, np. Gargamel albo Królewna Śnieżka….

- W niektórych podmiotach kwestia ochrony danych osobowych była traktowana jako niszowa. Często przygotowywano niezbędną dokumentację i odkładano ją na półkę, nie wdrażając do codziennej praktyki. Być może działo się tak z powodu niewyposażenia organu ds. ochrony danych osobowych w skuteczne narzędzia umożliwiające egzekwowanie prawa, czyli po prostu w kompetencje do nakładania kar finansowych.

Teraz, gdy RODO nam je przyznało, na rynku zapanowała panika, co przejawia się niekiedy nadgorliwością w podejściu do stosowania jego przepisów. Czasem prowadzi to do różnych absurdalnych sytuacji - bywa że mających poważne, negatywne konsekwencje, jak np. wydanie recepty niewłaściwej osobie, a innym razem do stosowania rozwiązań, które mogą budzić uśmiech lub, jak w przypadku, o którym pan wspomniał, naruszać godność osobistą pacjentów. A przecież placówki ochrony zdrowia są zobowiązane do poszanowania intymności i godności pacjentów, co wprost wynika z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

Dlatego zawsze powtarzam, by do stosowania RODO podchodzić zdroworozsądkowo, nie zapominając o istnieniu przepisów sektorowych.

Do urzędu wpłynęło już kilka tysięcy skarg. Czego najczęściej dotyczą? Co stanowi największy problem w stosowaniu nowych przepisów?

- Obecnie największym problemem jest przetwarzanie danych bez poinformowania o tym lub też robienie tego, mimo złożonego sprzeciwu. Wpływające do nas pytania i skargi często dotyczą również stosowania monitoringu wizyjnego, przetwarzania danych przez pracodawców czy wykorzystywania danych na potrzeby marketingu. To tylko przykłady, bo dziś nie ma chyba takiej dziedziny, w której nie dochodziłoby do pozyskiwania i wykorzystywania danych osobowych. Stąd skargi, pytania czy inne sygnały dotyczą wszystkich tych obszarów. RODO nie spowodowało też zmiany charakteru skarg, natomiast rzeczywiście wzrosła ich liczba. Przerosła ona nasze oczekiwania.

Paradoksalnie nie musi to być zła wiadomość, a raczej świadectwo tego, że zamieszanie wokół RODO podniosło świadomość obywateli. Wzrosła wiedza na temat ochrony danych osobowych, a w ślad za tym wzrosła również potrzeba chronienia swojej prywatności.

Chociaż obserwujemy też z drugiej strony pewną bezrefleksyjność, kiedy godzimy się na przetwarzanie naszych danych przez nieznanych administratorów albo gdy w sieci sami udostępniamy zbyt wiele informacji o sobie.

Jak można podsumować dotychczasowe funkcjonowanie RODO? Czy to dobra regulacja?

- Bardzo pozytywnie oceniam RODO. Oczywiście po pierwszych miesiącach jego stosowania można sobie wyobrazić, że niektóre przepisy mogłyby być doskonalsze, ale proszę pamiętać, że niełatwo jest stworzyć akt prawny harmonizujący porządki prawne dwudziestu ośmiu państw członkowskich UE, w których są nie tylko różne przepisy, ale też i różna tradycja ochrony danych osobowych, nie wspominając już o różnych kulturach prawnych.

Moim zdaniem RODO to bardzo dobra podstawa do tworzenia przepisów, które będą je uzupełniały. Przy okazji podkreślmy – RODO służy także biznesowi. Nie przyjmuję argumentów, że aby wdrożyć je w organizacjach, konieczne były ogromne nakłady finansowe czy osobowe.
Jeśli ktoś od dwudziestu lat stosował przepisy dotyczące ochrony danych osobowych, to w najgorszym razie musiał tylko uporządkować w swojej organizacji związane z tym procesy. Natomiast jeśli nie przestrzegał prawa, to nie jest to żadnym argumentem przemawiającym za szczególną uciążliwością RODO.

Myślę, że administratorzy, w tym również biznes, powinni myśleć o ochronie danych jako o procesie, który jest na stałe wpisany w zarządzanie organizacją. Bo to będzie oznaczało, że to planowy proces, podlegający co jakiś czas audytowi, a nie jedynie reakcja na zmiany przepisów czy zdarzające się incydenty.

Wspomniała pani, że RODO może być dobrym fundamentem do tworzenia krajowych regulacji. Jakich? Gdzie by się przydały najbardziej?

- Jest wiele obszarów do uregulowania. Przykład pierwszy z brzegu: handel węglem. Przy kupnie węgla trzeba okazywać dowód osobisty i podać swoje dane łącznie z numerem PESEL. To rodzi wątpliwości nie tylko z punktu widzenia klientów, którzy muszą podać bardzo wiele swoich danych, ale i sprzedających, którzy przecież muszą zadbać o odpowiednie ich zabezpieczenie.

W moim przekonaniu to rozwiązanie narusza wskazaną w RODO zasadę minimalizacji danych. Prowadzi też do nadmiernej ingerencji w prywatność osób. Dlatego wystąpiłam do ministra finansów z wnioskiem o zmianę przepisów.

(W drugiej części rozmowy o tym, czym kieruje się UODO przy nakładaniu kar i o przesłaniu dla następcy na stanowisku prezesa)

Materiał wydrukowany z portalu www.wnp.pl. © Polskie Towarzystwo Wspierania Przedsiębiorczości 1997-2020