Radio Białystok | Gość | dr Maciej Kawecki - z Ministerstwa Cyfryzacji
Nowe unijne rozporządzenie o ochronie danych osobowych wzbudza wiele kontrowersji i nieporozumień. Dochodzi do nadinterpretacji przepisów, co powoduje problemy w pracy i codziennym życiu.
W Białymstoku pracowników samorządowych szkolił koordynator ochrony danych osobowych z Ministerstwa Cyfryzacji dr Maciej Kawecki.
Lech Pilarski: Ostatnio, prosząc o podanie numeru telefonu, słyszę taką odpowiedź: nie, nie mogę, bo RODO. Czy ja zwariowałem, czy świat zwariował?
dr Maciej Kawecki: Rzeczywiście trochę tak jest, że świat zaczyna wariować. Rozmawiałem z jedną z osób pracujących w instytucji Unii Europejskiej i pytałem, jak to wygląda w innych krajach UE. Okazało się, że największy poziom wariacji to Francja, Niemcy i Polska. Rzeczywiście coś jest na rzeczy, że przeszliśmy w drugą skrajność, jeżeli chodzi o rozumienie nowych regulacji unijnych.
Jest to odpowiedź na nowe prawo czy raczej nie do końca rozumiem przepisy i ich nadużywamy?
Po pierwsze, nie do końca je rozumiemy. Po drugie, jest to rzeczywiście odpowiedź na wejście w życie RODO, ale bardzo duży wpływ na to na sektor prawniczy, konkretnie kancelarie prawne. Te trzy państwa - Niemcy, Francję i Polskę - łączy to, że we wszystkich mamy do czynienia w chwili obecnej z kryzysem na rynku usług prawniczych. To znaczy, że jest nadprodukcja prawników względem usług koniecznych do świadczenia. W związku z tym RODO stało się troszkę okazją do tego, żeby tę lukę prawną zastąpić.
Rzeczywiście czasami w narracjach prowadzonych w środkach masowego przekazu zaczyna dominować kierunek fatalistyczny - że to jest jakiś Armagedon. Zaczynamy trochę podążać w kierunku niemożności przetwarzania danych, czyli zaczynamy utożsamiać RODO z czymś, czemu w ogóle ma nie służyć.
RODO jako instrument miało zapewnić swobodny przepływ danych pomiędzy państwami Unii Europejskiej, dlatego we wszystkich krajach UE od 25 maja obowiązują te same ramy prawne ochrony danych osobowych. I okazało się, że zrobiliśmy coś zupełnie innego - zaczynamy traktować RODO jako ramy prawne, które ograniczają, zabijają nam naszą działalność gospodarczą. To jest absolutnie błędny kierunek myślenia.
Jak to rozumieć? Czy osoba, która nie chce podać numeru, bo RODO, błądzi? Czy spokojnie możemy przekazać numer telefonu?
Po pierwsze, zależy, komu przekazujemy telefon. Jeżeli dzwoni do nas firma telemarketingowa i chce telefon, by nękać nas przez najbliższe 2 lata promocjami o sprzedaży koców czy garnków, to oczywiście mamy prawo nie przekazać. W ogóle powinniśmy roztropniej przekazywać takie numery. Ale jeżeli doszło do stłuczki i zawieramy porozumienie, które potem jest podstawą do wypłaty ubezpieczenia, to oczywistym jest, że wymieniamy się numerami telefonów, bo do tego służą telefony.
Wracam z Augustowa - rozmawialiśmy tam z informatykami na temat RODO. Jeden z dyrektorów szkół zakazał nazywania uczniów imionami i nazwiskami, nakazując nazywanie ich numerami z dziennika elektronicznego. I takich skrajności jest naprawdę bardzo, bardzo dużo. Po to są imiona i nazwiska, żeby ich używać. RODO nie wpływa na relacje międzyludzkie.
Natomiast są oczywiście obszary, w których możemy powiedzieć, że jest to zmiana restrykcyjna. I jest to głównie sektor IT. Skąd takie duże zamieszanie? W Polsce tak naprawdę wszystkie sektory już są regulowane. To znaczy, że mamy regulatora, który stoi na straży, ma uprawnienie do nakładania kar - jest sektor telekomunikacyjny, ochrony konkurencji, energetyczny, i tak dalej.
Jedynym sektorem w Polsce, który był do 25 maja sektorem nieuregulowanym, to był sektor IT, sektor prawa nowych technologii. Nagle okazało się, że 25 maja na sektor IT nałożone zostały dość restrykcyjne ramy prawne. I stąd to wielkie larum.
To co można, a czego nie można?
Jeżeli chodzi o nas, czyli o osoby, których dane są przetwarzane, gromadzone, możemy wszystko, ponieważ to my dysponujemy naszymi danymi i możemy robić z nimi, co chcemy. Natomiast jeżeli chodzi o przedsiębiorców, to można śmiało powiedzieć, że jeżeli chodzi o zasady gromadzenia danych, nic się nie zmieniło po 25 maja. Tak więc podstawą gromadzenia takich danych jest zgoda, jest przepis prawa, jest umowa, którą z kimś zawieramy.
To, co się zmienia, to podejście do ochrony prywatności. RODO oparte jest na tzw. neutralności technologicznej. Co to oznacza w praktyce? Jak tworzono rozporządzenie, to zastanawiano się, co zrobić, żeby się nie zdezaktualizowało wraz z rozwojem nowych technologii. Odpowiedzią było to, że ono nie mówi, jak technicznie zabezpieczyć dane. My jako przedsiębiorcy czy administracja publiczna, którzy gromadzimy dane, sami sobie musimy odpowiedź na to pytanie. Czyli ciężar podjęcia decyzji, jak zabezpieczać dane, został przełożony na nas. I stąd tak duże nieporozumienie co do zrozumienia tych zmian, ponieważ w praktyce jest to ogromne pole do nadużyć czy nadinterpretacji.
Informacje o tym, że nagle po 25 maja konieczne jest zamieszczanie krat w oknach, kupowanie odpowiednich rodzajów niszczarek, nakładek na komputery, kłódek na szafy, specjalnych szaf związanych z RODO, i tak bym wymieniał, i wymieniał - to wszystko nie jest prawdą.
Oczywiście są takie przypadki, kiedy wiemy o tym, że w danym pomieszczeniu gromadzone są dane osobowe i jednocześnie wiemy, że - przykładem jest dziekanat na uczelni, gdzie dostęp ma ogrom studentów - wiecznie się ktoś tam przewija, wtedy rzeczywiście dokumenty powinny być gromadzone w zamykanych, odpowiednich szafach. Jeżeli jeszcze dodatkowo wiemy, że pomieszczenie znajduje się w jakimś niebezpiecznym obszarze, gdzie często występują kradzieże, znajduje się na parterze, tam kraty możemy zamontować, ale absolutnie to nie jest obowiązek.
To jak się nie dać zwariować a być w zgodzie z RODO?
Przede wszystkim racjonalność. My w Ministerstwie Cyfryzacji udostępniamy przewodniki po rozporządzeniu i dla przedsiębiorców, i administracji publicznej.
Jeżeli jesteśmy małym przedsiębiorcą, mikro przedsiębiorcą, który gromadzi mikro ilości danych - jesteśmy np. zakładem fryzjerskim - to wtedy jedyne, co się tak naprawdę zmienia, to to, że musimy zrealizować rozbudowany obowiązek informacyjny - czyli na przykład na ladzie zamieścić informację o tym, że administratorem danych osobowych jest... Już przyzwyczailiśmy się do tego, że kupując w internecie, na dole pod formularzami kontaktowymi znajdują się klauzule. I to jest jedyna z takich najdalej idących zmian.
Zmianie uległy też zasady korzystania z monitoringu wizyjnego. Jeżeli korzystamy z kamer, jesteśmy zakładem pracy, wtedy nagrania z kamer możemy przechowywać maksymalnie przez 3 miesiące. Musimy oznaczyć obszar jako monitorowany, wyraźnie powinniśmy przewidzieć w regulaminie pracy fakt monitorowania pracowników. Jest to rzeczywiście daleko idąca zmiana, która weszła w życie.
Rozmawiał pan z pracownikami administracji - podejrzewam, że będą oni nadinterpretować przepisy. Na co my możemy się powoływać w zderzeniu z urzędnikami, jeżeli ich działania są zbyt daleko idące?
Prawo do bycia zapomnianym - to jest trochę taki brand RODO, który w zasadzie w administracji publicznej w ogóle nie znajduje zastosowania. Administracja publiczna przetwarza dane na podstawie przepisów prawa. To normy prawne mówią o tym, jak długo dane mamy przechowywać. Przykładem może być baza PESEL, akta stanu cywilnego, do których przecież dostęp uzyskują również samorządy, gminny. Tutaj dane są przechowywane bezterminowo, to znaczy dożywotnio i tutaj prawo do bycia zapomnianym w ogóle nie przysługuje.
Myślę, że warto dodać to, by w ogóle uważać, dlatego że reforma ochrony danych osobowych - jak każda duża zmiana - jest bardzo często okazją do wyłudzeń i nadużyć. Dostajemy coraz częściej telefony, w których pod pretekstem weryfikacji bazy PESEL wyłudzane są od nas numery PESEL. Dostajemy maile ze złośliwymi linkami - chcesz być w pełni zgodny z RODO, kliknij w link. Tego typu działaniom nie powinniśmy się w ogóle poddawać, nie udzielać przez telefon informacji o tym, jak zabezpieczamy dane osobowe.
RODO przyznaje ponad 20 nowych uprawnień osobom, których dane dotyczą. Żądania te są często realizowane telefonicznie. Musimy pamiętać o tym, że jeżeli chcemy je zrealizować, to musimy wiedzieć, że z żądaniem rzeczywiście wystąpiła osoba, której dane dotyczą a nie sąsiad. W związku z tym przez telefon mamy prawo odmówić realizowania tego typu prawa i tyle. I podchodzić do tego racjonalnie, tak jak do wszystkich zmian prawnych.