CRN Jaka była rola Europejskiego Inspektora Ochrony Danych w tworzeniu RODO?

Wojciech Wiewiórowski W kwestiach związanych z ochroną danych osobowych EIOD jest organem nadzorczym wobec instytucji europejskich – Parlamentu, Rady i różnych agencji. Jest też organem opiniującym treść uchwalanych aktów prawnych i tak właśnie było w przypadku RODO. Wspieraliśmy opiniami obecnych w Parlamencie Europejskim przedstawicieli partii politycznych, którzy tworzyli to rozporządzenie oraz sprawozdawcę przedstawiającego je na forum Parlamentu. Ja swoją rolę jako zastępca EIOD pełnię od końca 2014 r., ale wcześniej, jeszcze jako Generalny Inspektor Ochrony Danych Osobowych w Polsce, brałem aktywny udział w pracach tzw. Grupy Roboczej Artykułu 29., która zrzesza wszystkie organy ochrony danych z krajów UE. Wówczas przede wszystkim rekomendowaliśmy porzucenie obowiązującej dyrektywy o ochronie danych osobowych oraz tworzonych lokalnie ustaw we wszystkich krajach członkowskich i zastąpienie ich jednym rozporządzeniem europejskim.

 

CRN Jakie niedoskonałości miał poprzedni model? Dlaczego nie sprawdziła się dyrektywa?

Wojciech Wiewiórowski Podstawowa różnica między dyrektywą a rozporządzeniem w prawie europejskim jest taka, że dyrektywa wyznacza jedynie cele, które mają być osiągnięte, natomiast sposób ich osiągnięcia pozostawia państwom członkowskim. Każde z nich wydaje akty prawne, które wprowadzają tę dyrektywę do krajowego systemu. Tak było też w Polsce – dyrektywa zaczęła obowiązywać w Unii w 1995 roku, a 20-lecie polskiej ustawy o ochronie danych osobowych obchodziliśmy w bieżącym roku. To bardzo dobrze, że została przyjęta już wtedy, choć jeszcze nie należeliśmy do UE, byliśmy dopiero kandydatem.

 

CRN Czy oznacza to, że w każdym kraju były inne zasady ochrony danych?

Wojciech Wiewiórowski Dokładnie tak. Poza tym legislatorzy w różnych krajach różnie rozumieli dyrektywę. W efekcie mamy obecnie 28 różnych systemów prawnych, bo tyle jest państw członkowskich, które się od siebie różnią, niekiedy bardzo znacząco. Już pod koniec pierwszej dekady XXI wieku wszyscy byli zatem przekonani, że ten model trzeba zmienić. Rozwinęły się nowe technologie, zmieniło się otoczenie prawne i gospodarcze przetwarzania danych osobowych, ale zmiany konieczne były również dlatego, że jeżeli Europa ma być jednym wspólnym rynkiem, powinna mieć jedną regulację prawną w tym zakresie.

 

CRN Będziemy więc mieli rozporządzenie obowiązujące we wszystkich krajach UE. Dlaczego zatem polski parlament pracuje nad kolejną ustawą o ochronie danych osobowych?

Wojciech Wiewiórowski Jest ona potrzebna, ponieważ wprowadza to rozporządzenie do polskiego porządku prawnego. Niestety, obecna sytuacja nie pozwala na stworzenie europejskiej superustawy, dotyczącej całości kwestii ochrony danych osobowych, bo w poszczególnych krajach różnie przedstawiają się kwestie proceduralne lub na przykład związane z kontrolą sądową. Dlatego ta nowa ustawa będzie jedynie regulowała zagadnienia, których rozporządzenie nie objęło wprost.

 

CRN Czy polska ustawa może w jakiś sposób anulować postanowienia RODO, na przykład wysokość kar, które – trzeba przyznać – są dość znaczące?

Wojciech Wiewiórowski Absolutnie nie ma takiej możliwości. Polska ustawa jest tylko uzupełnieniem unijnego rozporządzenia i nie może go zmienić. Jeśli chodzi o kary, polski parlament nie ma prawa wpływania na ich wysokość, ale może ustalić procedurę ich nakładania i określić zasady kontroli sądowej nad organem, który będzie je wyznaczał. W przyszłości będzie to Urząd Ochrony Danych Osobowych, dziś jest to GIODO. Pozostawiono państwom członkowskim samodzielność w jeszcze jednym przypadku: podejmują decyzję, czy kary można nakładać również na instytucje publiczne, takie jak Kancelaria Sejmu, ministerstwa i urzędy.

 

CRN Czy nowe rozporządzenie burzy to, co było wcześniej, czy jest kontynuacją dobrych praktyk wypracowanych przez 20 lat?

Wojciech Wiewiórowski Uważam, że jest kontynuacją. Spośród stosowanych w Europie praktyk wybraliśmy te, które najlepiej się sprawdziły, ale w wybranych krajach pewne zmiany będą miały charakter wręcz rewolucyjny. W Polsce zaskakuje wysokość kar, ale takie sankcje dziś są zupełnie normalne w Hiszpanii czy Wielkiej Brytanii. Były też kraje, jak np. Finlandia, w których organy ochrony danych nie miały żadnych możliwości karania. Dużą zmianą jest zrezygnowanie z prowadzenia ogólnopolskiego rejestru systemów przetwarzających dane osobowe. Jego istnienie miało sens w latach 90. ubiegłego wieku, gdy często trzeba było tłumaczyć ludziom, że mają i przetwarzają dane osobowe. Dziś dane osobowe ma praktycznie każdy.

 

CRN No właśnie, zdefiniujmy zatem to podstawowe pojęcie zbioru danych osobowych. Mam telefon komórkowy, w którym jest lista kontaktów: imiona, nazwiska, firmy, numery telefonów itd. Oprócz tego producent telefonu proponuje mi backup tych danych w chmurze. Czy jest to zbiór danych osobowych według nowego rozporządzenia i czy, jako osoba prowadząca działalność gospodarczą, muszę podejmować jakieś specjalne działania w celu ich ochrony?

Wojciech Wiewiórowski Tu jest kilka bardzo ważnych kwestii. W nowym rozporządzeniu pojęcie danych osobowych nie zmienia się wobec stosowanego w dyrektywie z 1995 r. Mówimy o nich, nie tylko gdy mamy takie informacje jak imię i nazwisko, ale także gdy mamy inne dane umożliwiające zidentyfikowanie osoby, na przykład PESEL a niekiedy ledwie adres e-mail. Wobec tego każdy z nas ma w telefonie zbiór danych osobowych i je przetwarza. Natomiast zarówno dyrektywa, jak i rozporządzenie przewidywały, że nie odnoszą się do tego typu list wykorzystywanych w ramach użytku osobistego i domowego. Ale sytuacja jest inna, gdy – jak w podanym przykładzie – użytkownik telefonu prowadzi jednocześnie działalność gospodarczą i ma na takiej liście dane kontrahentów lub klientów. Jak wspomniałem, nie ma już obowiązku zgłaszania posiadania takiej bazy, ale należy wykazać się należytą dbałością o poufność zgromadzonych w niej informacji. Poza tym wszyscy wiemy, że dziś telefony wyglądają zupełnie inaczej niż 20 lat temu i ich możliwości przechowywania i przetwarzania danych są znacznie większe. W związku z tym może się okazać, że dane przechowywane w telefonie komórkowym bądź w jakimś systemie informatycznym, z którym telefon będzie się łączył, mają charakter zbioru danych osobowych, o którego ochronę należy szczególnie zadbać.

 

CRN Czy zatem w momencie utraty telefonu należy zgłosić ten fakt i oczekiwać sankcji?

Wojciech Wiewiórowski To zależy od rodzaju danych, które są w nim przechowywane, systemów, do jakich można uzyskać z niego dostęp, oraz rodzaju zabezpieczeń (czy telefon miał szyfrowanie, blokadę ekranu itd.). Z urządzeń mobilnych – smartfonów i tabletów – coraz częściej korzystają na przykład lekarze i przechowują tam nie tylko dane identyfikacyjne pacjentów, ale też dotyczące ich zdrowia, dziś chyba najbardziej wrażliwe i szczególnie chronione. Podobna jest sytuacja adwokatów. Może się więc okazać, że zgodnie z nowym rozporządzeniem konieczne będzie zgłoszenie utraty telefonu i ocena ryzyka wycieku informacji.

 

CRN Czy można wskazać grupy osób lub podmiotów, które będą głównymi beneficjentami – z założenia lub nie – rozporządzenia, o którym rozmawiamy?

Wojciech Wiewiórowski W pewnym sensie wszyscy jesteśmy beneficjentami tego rozwiązania prawnego, bo przestajemy mówić, że istnieją geograficzne granice przetwarzania danych osobowych. W ten sposób dochodzimy do sytuacji, w której system ochrony danych osobowych w Niemczech, Czechach lub na Słowacji będzie dokładnie taki sam jak u nas. Podobnie możliwość dochodzenia swoich roszczeń wobec jakiegoś podmiotu, który nieprawidłowo przetwarza dane, stanie się niezależna od tego, czy ten ma on siedzibę w Sewilli, czy w Sanoku. Natomiast z biznesowego punktu widzenia rozporządzenie pomoże najbardziej małym i średnim przedsiębiorcom, którzy chcą oferować usługi poza granicami kraju, w ramach rynku europejskiego. Kończymy z sytuacją, w której wszystkie obowiązki administracyjne musiały być wypełniane przez takie firmy – według różnych systemów prawnych – we wszystkich państwach członkowskich EU, w których prowadziły one działalność.

 

CRN Można też odnieść wrażenie, że największym beneficjentem stała się branża IT. Dziś dostawcy zaawansowanych rozwiązań praktycznie nie rozmawiają o niczym innym…

Wojciech Wiewiórowski Oczywiście spodziewaliśmy się, że rynek silnie zareaguje na to rozporządzenie. Widzimy też, że dla wielu firm oznacza możliwość zaproponowania „nowego” produktu i usługi, które tak naprawdę oferowali już wcześniej, ale teraz podkreślają, że zapewnia zgodność z RODO.
Niewątpliwie nadeszły też żniwa dla tych, którzy zawodowo zajmują się ochroną danych osobowych. Ogólnie rzecz biorąc, trzeba się cieszyć, że wszyscy wokół podkreślają znaczenie tego rozporządzenia. Ale warto też podkreślić, że w czasie jego opracowywania mieliśmy do czynienia z bardzo dużym zaangażowaniem różnych podmiotów zgłaszających sugestie, jak to nowe prawo ma wyglądać. Obecnie Grupa Robocza Artykułu 29. opracowuje wytyczne, które ułatwią interpretację przepisów. Do dwóch pierwszych dokumentów z tymi wskazówkami, wydanych w ubiegłym roku, wpłynęło w ciągu miesiąca około stu wniosków z uwagami w kilkunastu językach, w tym po polsku. Składały je przedsiębiorstwa lub grupy przedsiębiorców, izby handlowe, stowarzyszenia itd. Wszystkie musiały być rozpatrzone przy opracowywaniu ostatecznych wersji wytycznych.

 

CRN Czy te wytyczne będą zawierały propozycje konkretnych działań, które firmy powinny podjąć, żeby zapewnić sobie zgodność z postanowieniami RODO?

Wojciech Wiewiórowski Wielu przedsiębiorców oczekuje, że w wytycznych pojawią się wskazania, co zrobić w konkretnej sytuacji. Tak nie będzie, nie należy spodziewać się checklist, z których będzie można po prostu wykreślić, co jest już zrobione. Natomiast kilka zestawów wytycznych, które są przygotowywane przez Grupę Artykułu 29., zostało uzupełnionych o klasyczne FAQ, czyli pytania i odpowiedzi najczęściej zadawane przez obywateli oraz przez przedstawicieli organizacji publicznych, społecznych i podmiotów niekomercyjnych.

 

CRN Czy coś stoi na przeszkodzie tworzeniu takich checklist? Kto powinien się tym zająć?

Wojciech Wiewiórowski Przez cały czas tworzenia rozporządzenia słyszeliśmy od przedsiębiorców: nie przeregulujcie, nie próbujcie ustalić, w jaki sposób mamy coś robić u siebie w firmach, bo nie macie pojęcia, jak wyglądają nasze procesy biznesowe i narzędzia, których używamy. Zdaję sobie sprawę, że wciąż bardzo wiele podmiotów w kontekście ochrony danych według wytycznych RODO nawet nie wie, od czego zacząć. Przede wszystkim chciałbym im doradzić kontakt z działającymi w ich branży organizacjami, izbami gospodarczymi, stowarzyszeniami itp. Nawet najlepiej pracujący rzecznicy ochrony danych, Komisja Europejska, czy rządy poszczególnych krajów nie są w stanie przygotować rozwiązań praktycznych jednocześnie dla placówek ochrony zdrowia, adwokatów, doradców podatkowych, ludzi zajmujących się marketingiem bezpośrednim, reklamą itd. Każda branża sama powinna wskazać dziedziny, w których mogą wystąpić problemy, oraz postarać się wypracować dobre praktyki lub wskazywać przykładowe rozwiązania. Natomiast ze strony organów ochrony danych i Komisji Europejskiej możemy się spodziewać szablonów przygotowanych dla tych najmniejszych, na przykład dla osób prowadzących indywidualnie działalność gospodarczą i potrzebujących bardzo prostych rozwiązań, które pomogą zgłosić incydent zagrożenia bezpieczeństwa danych albo przeprowadzić wstępną ocenę ryzyka.

 

CRN Wiele wątpliwości u specjalistów IT wzbudza kwestia konieczności usuwania danych osobowych z kopii backupowych, gdy obywatel chce skorzystać z prawa do bycia zapomnianym. Czasem te kopie są wykonywane na nośnikach jednorazowego zapisu i jedynym sposobem usunięcia danych jest zniszczenie nośnika. Czy RODO rozwiązuje jakoś tę kwestię?

Wojciech Wiewiórowski Takie wątpliwości zgłaszano już wcześniej w kwestii żądania poprawienia danych osoby, a teraz dotyczą one także prawa do usunięcia danych. Chodzi o sytuację, gdy dane były poprawiane w bazie produkcyjnej lub usuwane z niej, ale pozostawały w niezmienionej formie w kopii zapasowej. W przypadku wystąpienia problemu z bazą i konieczności jej odtworzenia z backupu, usunięte lub zmodyfikowane dane wracały i znów były przetwarzane – wbrew prawu i woli ich właściciela. Rzecznicy ochrony danych nie zakładali, że musi nastąpić modyfikacja także kopii backupowych, bo często jest to niemożliwe z przyczyn technicznych. Jako rozwiązanie problemu rekomendowali wprowadzenie procedur organizacyjnych, zgodnie z którymi w momencie wykonania backupu rozpoczyna się proces tworzenia listy wprowadzonych od tej pory zmian. Gdy dojdzie do konieczności odtworzenia danych z kopii, należy odpowiednimi metodami organizacyjnymi nanieść również zanotowane zmiany. Dopiero po tej operacji można dopuścić bazę z danymi osobowymi do ponownego użytku produkcyjnego.

 

CRN Gdy firma korzysta z wielu rozwiązań i usług, w przypadku problemów często pojawia się kwestia przerzucania odpowiedzialności. Jakie rozwiązania przewiduje RODO, gdy dojdzie do wycieku danych i trudno ustalić winnego?

Wojciech Wiewiórowski Na szczęście większość sytuacji jest prostych, a podział kompetencji i odpowiedzialności czytelny. Oczywiście zdajemy sobie sprawę, że nie zawsze tak jest, więc sporo kwestii trzeba będzie rozstrzygać w momencie, gdy problem się pojawi. Rozporządzenie idzie o kilka kroków dalej niż dyrektywa, gdyż przewiduje, że mogą być wykonawcy i podwykonawcy umowy, a w tym kontekście przetwarzający i „podprzetwarzający” dane osobowe. W sytuacji, gdy jest wielu dostawców usług, a oprócz tego korzysta się z chmury publicznej, kwestie odpowiedzialności powinny być szczegółowo opisane, ale zakłada się, że przyjmuje ją na siebie bezpośrednio wykonujący usługę, a egzekwuje ją zlecający. Zatem gdy obsługujące użytkownika przedsiębiorstwo IT przechowuje w swoim centrum danych kopie backupowe, ale dodatkowo zleca ich przechowywanie firmie trzeciej w ramach backupu online, to w przypadku niedochowania należytej staranności w zabezpieczeniu danych (i ich wycieku) przez tę ostatnią firmę, to ona będzie odpowiedzialna, a nie końcowy użytkownik. Powstaje swego rodzaju łańcuch odpowiedzialności, który trzeba szczegółowo opisać podczas definiowania oceny ryzyka i wpływu całego przedsięwzięcia na ochronę danych osobowych.

 

CRN Jak często będą prowadzone kontrole w podmiotach podejrzewanych o niedostosowanie się do wymogów RODO?

Wojciech Wiewiórowski To zależy od rozwiązań krajowych, ale nie należy się spodziewać dużych zmian. Mam jedynie nadzieję, że wzmocnione zostaną organy ochrony danych osobowych – będzie większa liczba inspektorów i będą lepiej przygotowani do prowadzenia inspekcji. Gdy pełniłem funkcję GIODO, mieliśmy tylko kilku specjalistów od przeprowadzania inspekcji w skomplikowanym systemie informatycznym i to nie był stan, który należałoby uznać za wskazany. Byliśmy w stanie skontrolować kilkaset systemów informatycznych rocznie, a powinniśmy kilkadziesiąt tysięcy. Żeby wyobrazić sobie skalę problemu, wystarczy pomyśleć o przeprowadzeniu inspekcji systemów informatycznych w placówkach ochrony zdrowia. Ponieważ przetwarzają one najbardziej wrażliwe dane, uważam, że istnieje konieczność prowadzenia regularnej ich kontroli we wszystkich krajach członkowskich Unii Europejskiej, chociażby po to, żeby wiedzieć, jakie problemy tam występują.

 

CRN A jak przebiega taka kontrola?

Wojciech Wiewiórowski Podobnie jak kontrola legalności oprogramowania, ale rzadziej dochodzi do zajęcia mienia, do którego zresztą uprawniona jest tylko policja. Nie oznacza to również, że należy udostępnić hasła administratorskie inspektorowi, który pojawia się w biurze, bo to byłoby naruszeniem przepisów dotyczących ochrony danych. Natomiast z pewnością trzeba umożliwić kontrolę z poziomu administratora, czyli stworzyć osobne konto z uprawnieniami administratora, z którego będzie korzystał inspektor przeprowadzający kontrolę. Oczywiście obowiązuje go tajemnica zawodowa – to jest w nowych polskich przepisach wykonawczych lepiej opisane niż było w ustawie o ochronie danych osobowych. Dlatego przedsiębiorca nie powinien się martwić, że ujawnienie danych inspektorowi spowoduje, iż poufne informacje firmowe zostaną wykradzione.

Wojciech Wiewiórowski pełni obecnie funkcję zastępcy Europejskiego Inspektora Ochrony Danych, a w latach 2010–2014 był Generalnym Inspektorem Ochrony Danych Osobowych w Polsce. W 1995 r. ukończył studia na Wydziale Prawa i Administracji Uniwersytetu Gdańskiego, a w 2000 r. uzyskał stopień doktora nauk prawnych. Specjalizuje się w informatyce prawniczej, prawie nowych technologii i informatyzacji administracji publicznej.