Menu
RODO. Dane są najcenniejszą walutą

RODO. Dane są najcenniejszą walutą

2018-05-25

Rozporządzenie ogólne o ochronie danych osobowych, jego zastosowanie na kolei, a także aspekty probiznesowe i proklienckie były tematem rozmowy Raportu Kolejowego z drem Maciejem Kaweckim, Dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji.

Raport Kolejowy: W maju w życie wchodzi RODO. Czym właściwie RODO jest i na czym będą polegać zmiany?

Maciej Kawecki: Jest to rozporządzenie ogólne o ochronie danych osobowych – stąd skrót RODO – które unifikuje zasady ochrony danych osobowych we wszystkich państwach Unii Europejskiej. Mówiąc najprościej – od 25 maja 2018 r. we wszystkich państwach członkowskich UE będą obowiązywały te same zasady ochrony danych osobowych. Jedynym wyjątkiem będą regulacje zawarte w przepisach krajowych – Unia zostawiła państwom członkowskim miejsce na pewną swobodę w kształtowaniu przepisów wewnętrznych.

RK: Czy w ramach tej możliwości Polska zamierza wprowadzić swoje regulacje?

MK: Oczywiście. Pod koniec marca br. Rząd przyjął projekt ustawy o ochronie danych osobowych (UODO), która zastąpi ustawę z 1997 r. Chcemy, aby do 25 maja ustawa została przyjęta. Jednocześnie wraz z resortami pracujemy nad pakietem przepisów sektorowych, które w sumie zmienią ponad 150 ustaw. To ogrom prac legislacyjnych.

RK: Dlaczego w ogóle RODO i UODO są potrzebne?

MK: Stare przepisy dotyczące ochrony danych osobowych nie nadążają za gwałtownym rozwojem nowych technologii. Dane są najcenniejszą walutą. Niektórzy mówią nawet, że to ropa XXI w. W związku ze zmieniającą się technologią, z jej ewolucją, ze zwiększającym się ryzykiem naruszeń, szczególny nacisk należy położyć na ochronę danych. Przypomnijmy, że obecnie obowiązujące przepisy nie zmieniały się od ponad dwudziestu lat! Mówimy tutaj zarówno o przepisach unijnych, jak i krajowych. Normy określające np. częstotliwości zmiany haseł nie są już wystarczające dla zapewnienia należytego poziomu bezpieczeństwa. Dlatego nowe przepisy zostały stworzone w taki sposób, żeby były neutralne technologicznie, tzn. żeby były aktualne niezależnie od rozwoju technologii. Przepisy nie podają konkretnych wymogów dotyczących np. sposobów szyfrowania danych, zmiany haseł itp., ale nakładają na administratora obowiązek każdorazowego stosowania tych środków zabezpieczających, które w danym przypadku są najwłaściwsze i adekwatne do rozwoju technologii.

RK: Czym jeszcze, poza powyższym, RODO i nowa ustawa będą różnić się od obecnego stanu prawnego w zakresie ochrony danych osobowych?

MK: Krótko mówiąc – wszystkim. RODO jest zupełnie innym systemem prawnym. Pierwszą zmianą, bardzo istotną dla administratorów danych osobowych, jest wprowadzenie nowych zasad odpowiedzialności, czyli systemu kar. Obecnie w Polsce naruszenie prywatności, naruszenie danych osobowych, nie pociąga za sobą kary finansowej. Największą karą jest uszczerbek na wizerunku lub – w niektórych przypadkach – odszkodowanie za naruszenie dóbr osobistych. To się zmieni od 25 maja. Niedopilnowanie nowych obowiązków dotyczących ochrony danych osobowych będzie karane. Maksymalny wymiar kary to 20 mln euro lub 4 proc. światowego obrotu dla sektora prywatnego oraz 100 tys. zł dla sektora publicznego.

To pierwsza zmiana. Druga, o której chciałbym wspomnieć, to przyznanie ponad 20 nowych uprawnień każdej osobie, której dotyczą dane, przy jednoczesnym utrzymaniu kilkunastu już istniejących. W praktyce oznacza to kilkadziesiąt obowiązków po stronie administratorów. Tutaj mogę wymienić przykładowo prawo do bycia zapomnianym, którego trzon istnieje również w obecnym prawie. Następnie prawo do przeniesienia danych, czyli żądanie przekazania danych innemu podmiotowi. Prawo do żądania kopii danych – w tym pierwszej nieodpłatnie. Na przykładzie kolejowym – jeżeli przewoźnik gromadzi dane na mój temat, mogę wystąpić z żądaniem wydania przez niego kopii danych, ich duplikatu. Nowe przepisy wprowadzają również obowiązki notyfikacyjne – w przypadku wycieku danych osobowych administrator ma obowiązek poinformowania o tym każdej osoby, której dane dotyczą. Pojawia się również obowiązek poinformowania organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. To są najważniejsze uprawnienia i zmiany wprowadzane przez nowe przepisy.

RK: Nowe przepisy nakładają na przedsiębiorców dużo obowiązków. Czy ich wypełnienie będzie się wiązało z prestiżem? Czy możemy w kontekście RODO mówić o aspekcie probiznesowym?

MK: Zdecydowanie. Pierwszym takim aspektem probiznesowym jest według mnie możliwość certyfikacji. Od 25 maja przedsiębiorca będzie mógł starać się o certyfikat poświadczający, że zapewnia odpowiedni poziom ochrony danych osobowych. W mojej opinii przewoźnicy kolejowi absolutnie powinni się o takie certyfikaty starać. Możliwe będą dwie drogi uzyskania certyfikacji: przez Prezesa Urzędu Ochrony Danych Osobowych lub za pośrednictwem przedsiębiorcy, który uzyska akredytację w Polskim Centrum Akredytacji. To jest stymulujący rynkową konkurencyjność mechanizm probiznesowy. Poprzez certyfikację możemy premiować tych przedsiębiorców, którzy przywiązują większą wagę do prywatności i ochrony danych swoich klientów.

Drugi mechanizm probiznesowy jest związany z kodeksami branżowymi. Kodeks uwzględnia szczególne cechy procesu przetwarzania danych w niektórych sektorach, przez co ułatwia przedsiębiorcom z danej branży stosowanie dyrektyw RODO. Kodeksy branżowe mogą np. tworzyć izby gospodarcze. Kodeks powinien oczywiście zostać poddany procedurze konsultacyjnej, a następnie skierowany do zatwierdzenia przez Prezesa Urzędu Ochrony Danych Osobowych.

Rozwiązaniem probiznesowym jest też w mojej ocenie to, że nowe regulacje są trudne, a w związku z tym nie każdy przedsiębiorca będzie potrafił je spełniać. Ci, którzy dostosują się do nowych przepisów, wyznaczą nowe standardy, będą postrzegani na rynku jako lepsi, bardziej proklienccy.

RK: Czy widzi Pan jakieś niebezpieczeństwa związane z wprowadzeniem RODO?

MK: Z mojego punktu widzenia i z perspektywy rządu problemy są dwa. Po pierwsze – powstawanie sztucznych organizacji, które będą służyły zastraszaniu przedsiębiorców; po drugie – nieuczciwe praktyki rynkowe, czyli, mówiąc wprost, wykorzystywanie RODO do dyskredytowania konkurencji.

RK: Czy organy administracji publicznej są już w pełni przygotowane do wdrożenia RODO?

MK: W sektorze publicznym świadomość jest zadziwiająco wysoka. Byłem ostatnio na posiedzeniu Związku Miast Polskich, rozmawiałam z prezydentami i burmistrzami prawie wszystkich miast średniej wielkości w Polsce. Każdy z nich wie, że reforma nadchodzi, że trzeba się przygotować. My w Ministerstwie Cyfryzacji też podejmujemy działania, żeby tę świadomość zwiększać. Warto wspomnieć, że sektor publiczny, w przeciwieństwie do sektora prywatnego, jest zobowiązany do tego, żeby od 25 maja w każdej jednostce administracyjnej posiadać Inspektora Ochrony Danych Osobowych, który będzie odpowiadał za bezpieczeństwo danych.

RK: Czy Inspektorem może być ktokolwiek, czy konieczne są specjalne przeszkolenia?

MK: Inspektorem absolutnie nie może być ktokolwiek. Przepisy mówią bardzo wyraźnie, że musi to być osoba, która posiada doświadczenie i wiedzę w zakresie ochrony danych osobowych. Na etapie postępowania kwalifikacyjnego konieczne będzie zweryfikowanie doświadczenia i wiedzy kandydata na Inspektora.

RK: Czy przedsiębiorcy z sektora prywatnego też mają obowiązek powołania Inspektora Ochrony Danych Osobowych?

MK: Każdy przedsiębiorca, jeżeli chce, może mieć Inspektora Ochrony Danych Osobowych. Natomiast obowiązek powołania Inspektora istnieje w tych firmach, w których dane osobowe są przetwarzane w dużych zasobach, czyli gdy mówimy o tzw. large scale processing. Dodatkowo także w przypadku danych wrażliwych, czyli szczególnie chronionych. Chodzi m.in. o sektor medyczny, choć oczywiście nie tylko. Podsumowując: tam, gdzie przetwarzamy dużo danych osobowych i gdzie są to dane szczególnie chronione – istnieje obowiązek powołania Inspektora.

RK: Pytaliśmy już o poziom przygotowania sektora publicznego, czas zapytać o sektor prywatny. Czy przedsiębiorcy są gotowi na wejście nowych przepisów?

MK: Codziennie otrzymujemy kilkanaście, nawet kilkadziesiąt maili, telefonów i zapytań dotyczących RODO. Przeczytałem też ostatnio badania społeczne, z których wynikało, że 19 proc. europejskich przedsiębiorców wydało więcej niż 5 mln euro w ramach przygotowywania się do reformy, natomiast trochę ponad 30 proc. – ok. 100 tys. euro. To pokazuje, że przedsiębiorcy wiedzą o zmianie, adaptują się do niej. Choć w mojej opinii świadomość wśród mikroprzedsiębiorców jest zdecydowanie niższa niż w przypadku dużych czy średnich firm.

RK: A co powiedziałby Pan tym przedsiębiorcom, którzy jeszcze nie dostosowali się do nadchodzących zmian?

MK: Powiedziałbym im, że jest już bardzo późno, że na przystosowanie się do reformy zostało niewiele czasu. W przypadku dużych przedsiębiorców, czyli takich, na których przepisy wymuszają wprowadzenie nowych systemów informatycznych, czas na zmiany drastycznie się kurczy. Pamiętajmy jednak, że RODO zaczyna obowiązywać 25 maja, to dopiero początek, a nie koniec reformy, dlatego jeżeli dany przedsiębiorca jeszcze nie zaczął się przystosowywać do nowego prawa, powinien to zrobić jak najszybciej. Jak to się mówi: lepiej późno niż wcale. Zachęcam do zapoznania się z RODO Informatorem (www.gov.pl/cyfryzacja/rodo-informator), który opracowaliśmy w Ministerstwie Cyfryzacji. To kompleksowy przewodnik dla przedsiębiorców, w którym ułatwiamy zrozumienie najtrudniejszych przepisów. Podobny informator wydało również Ministerstwo Przedsiębiorczości i Technologii. Jako rząd robimy bardzo wiele, by wspomóc przedsiębiorców w dostosowaniu się do reformy.

Niemniej muszę podkreślić, że firmy, które nie dostosują się do RODO, nie będą ulgowo traktowane, nie będzie żadnego okresu przejściowego. Firmy miały praktycznie dwa lata na dostosowanie się do zapisów RODO – od kwietnia 2016 r., czyli od momentu, kiedy rozporządzenie zostało przyjęte prze UE.

RK: Jak w zakresie wdrażania RODO Polska wypada na tle innych państw członkowskich UE?

MK: Kiedy rozpoczynaliśmy prace legislacyjne, byliśmy liderem. Jako pierwsi zaczęliśmy reformę nie tylko od zmiany ustawy o ochronie danych osobowych, ale i całego systemu prawnego. Obecnie krajowe ustawy dotyczące ochrony danych osobowych, uzupełniające legislację europejską, zostały przyjęte przez Austrię i Niemcy. Nasze prace nad UODO są już na bardzo zaawansowanym etapie. Projekt ustawy o ochronie danych przeszedł przez Radę Ministrów i jest przedmiotem prac parlamentarnych.

RK: Czy może wymienić Pan przypadki przetwarzania danych osobowych typowe dla sektora kolejowego?

MK: Oczywiście. Jest ich bardzo dużo. Coraz częściej na pokładzie wagonów kolejowych korzystamy z Internetu bezprzewodowego. Warunkiem skorzystania z Internetu jest często udostepnienie swoich danych osobowych. Przewoźnik musi pamiętać, by zgoda na przetwarzanie danych nie była w tym przypadku nigdy wymuszana. Coraz częściej bilety kolejowe nabywane są przez Internet. Klienci zakładają konta, w zasobach których znajdują się informacje o historii przewozów, o dokonanych płatnościach i ich formach. Coraz częściej konta takie zapisują numery kart kredytowych. Są przypadki, gdy poprzez zakup biletu przez osobę niepełnosprawną przewoźnik gromadzi też dane wrażliwe o takim kliencie. Musimy pamiętać, by dane takie podlegały szczególnej ochronie. Coraz częstszą praktyką jest montowanie kamer na wagonach oraz wewnątrz wagonów kolejowych. Każdy taki wagon powinien być bardzo wyraźnie oznaczony jako monitorowany. Momentem, w którym dochodzi do przetwarzania danych osobowych, jest również kontrola biletowa. Konduktorzy muszą pamiętać, by w trakcie takiej kontroli nie utrwalać dokumentów tożsamości, np. poprzez robienie zdjęć, oraz by nie zabierać ich w zastaw. Sam byłem świadkiem sytuacji, w której konduktor zaproponował takie rozwiązanie, gdy wskutek braku zasięgu nie działał terminal do transakcji bezgotówkowych. Do momentu, w którym podróżny nie mógłby kupić biletu, zaproponował pobranie jego dowodu osobistego w zastaw. To działanie niezgodne z prawem.

Rozmawiali LS i RK

 

Wywiad ukazał się w Raporcie Kolejowym 2/2018

TAGI

wywiad

INNE Z KATEGORII "wywiady"

Klauzula informacyjna dotycząca posiadanych danych osobowych oraz ich przetwarzaniu.

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informuję, iż:

  1. Administratorem Pana/Pani danych osobowych jest Polska Izba Producentów Urządzeń i Usług na Rzecz Kolei z siedzibą w Bydgoszczy, ul. Jana Karola Chodkiewicza 17.
  2. Administrator nie wyznaczył Inspektora Danych Osobowych.
  3. Administrator pozyskuje dane wyłącznie bezpośrednio.
  4. Pana/Pani dane osobowe przetwarzane będą tylko i wyłącznie w celu i zakresie niezbędnym do realizacji kontraktów handlowych. Po zakończeniu ich trwania w innych zgodnych z prawem celach np. w celu zabezpieczenia ewentualnych roszczeń oraz reklamacji.
    a) Pana/Pani dane osobowe będą przekazywane firmom zewnętrznym w celu zabezpieczenia i realizacji kontraktów.
    b) Pana/Pani dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej.
  5. Posiada Pan/Pani prawo dostępu do treści swoich danych orz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, do przenoszenia danych, do wniesienia sprzeciwu, do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania którego dokonano na podstawie zgody przed jej cofnięciem.
  6. Ma Pan/Pani prawo wniesienia skargi do PUODO gdy uzna, że przetwarzanie Pana/Pani danych osobowych narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.
  7. Pana/Pani dane osobowe nie będą przetwarzane w sposób zautomatyzowany.
  8. Zgoda na przetwarzanie Pana/Pani danych osobowych może zostać przez Pana/Panią wycofana w każdym czasie, poprzez wysłanie maila na adres sekretariat@izbakolei.pl co skutkować będzie usunięciem z bazy Administratora.
  9. Administrator dokłada wszelkich starań, aby zapewnić wszelkie środki fizycznej, technicznej i organizacyjnej ochrony danych osobowych przed ich nieuprawnionym ujawnieniem.

AKCEPTUJĘ
do góry
grupa MTMrealizacja: