RODO po liftingu

Bartosz Bednarz, Interia: 4 maja przepisy nowelizujące RODO, czyli zmiany w 168 ustawach, wejdą w życie.

 Karol Okoński, wiceminister cyfryzacji: To jedna z większych w ostatnim czasie inicjatyw ustawodawczych. Sama nazwa: RODO "sektorowe" - wynika z tego, że oprócz ustawy, która implementowała wprost dyrektywę unijną 25 maja 2018 r., jakby równolegle należało dopasować przepisy krajowe, by ujednolicić je względem europejskich. W szczególności te artykuły, które odnosiły się do ochrony danych osobowych.

Dlaczego dochodzi do tego dopiero po roku?

- Część przepisów wynikających wprost z rozporządzenia powielała rodzime, w związku z tym należało je usunąć by uniknąć problemów interpretacyjnych albo uzupełnić, by pokryć ewentualne luki. Ta ustawa sektorowa była o tyle specyficzna, że każde ministerstwo musiało być zaangażowane w jej przygotowanie. Nie ukrywajmy: to wpłynęło na czas jej tworzenia. Pierwotnie nasza intencja była taka, żeby weszły one dokładnie w tym samym momencie, co ustawa RODO. W toku prac okazało się, że w momencie, gdy damy poszczególnym ministerstwom swobodę jak implementować te przepisy, to nagle każde zaczęło robi to inaczej, po swojemu. Musieliśmy w trakcie procedowania przepisów zrobić krok wstecz i doprowadzić do ujednolicenia podejścia i stosowania dokładnie takich samych zasad. Była spora pokusa na etapie uzgodnień międzyresortowych, by rozszerzyć katalog wyłączeń, bowiem niektóre urzędy i resorty chciały zdjąć z siebie niektóre z obowiązków.

- Jest jednak plus tego, że ustawa sektorowa wchodzi później. Pozwoliło nam to uwzględnić kilka spostrzeżeń, które nie mogliśmy zaobserwować od razu po wdrożeniu RODO. Takim przepisem jest m.in. poprawka do kodeksu karnego. Rozszerza ona definicję tzw. groźby karalnej. Teraz w momencie, kiedy ktoś będzie nam bezzasadnie grozić, że zostanie wobec nas przeprowadzone postepowanie administracyjne, kończące się nałożeniem kary - będzie z kodeksu karnego podlegał grzywnie a nawet ograniczeniu wolności do lat dwóch.

- Nazywamy to przepisem przeciwko "RODO-szantażystom". Podobny zapis pojawił się w toku procedowania przepisów ustawy o dostępności.

Minął prawie rok od wdrożenia RODO. Nie docierają do ministerstwa głosy, że jeszcze nie do końca firmy opanowały podstawowe zasady, a tu kolejne zmiany? 

- Oswoiliśmy się z tymi przepisami. Polacy są bardziej świadomi swoich praw, ale również są przyzwyczajeni, że pojawia się na stronie internetowej dodatkowy pop-up, który można od razu nawykiem kliknięcia zamknąć. RODO ewidentnie przełożyło się na podniesienie świadomości obywateli, że dane należy chronić, ale na ile faktycznie spowodowało, że możemy czuć się bezpieczniej, to czas pokaże.

- Przygotowywanie ustawy sektorowej przez niektóre ministerstwa było okazją, by pewne rzeczy albo wyjaśnić, albo doprecyzować, by uniknąć dyskusji odnośnie do interpretacji przepisów, np. przez UODO w kontekście potencjalnej kary. W ustawie pojawia się ważna rzecz dla administracji publicznej: jednoznaczne przesądzamy, że obowiązek informacyjny w relacji między obywatelem a urzędem, w momencie, kiedy obywatel zgłasza się z jakimś pismem do urzędu, nie następuje w chwili jego składania. Można by uznać, że pismo, kiedy trafia na kancelarię i jest przyjmowane do urzędu, jeszcze zanim zacznie być przetwarzane, od razu trzeba by poinformować obywatela, że jego dane są przetwarzane. Doszliśmy do wniosku, że inicjatywa jest obywatela, i nie sądzę, żeby był tym od razu aż tak zainteresowany, że jego dane zaczęły być przetwarzane, tym bardziej że jeszcze nie do końca wiadomo, kto jego sprawą będzie się zajmować. Przesądziliśmy, że w przypadku takich pism obowiązek informacyjny może być spełniony w pierwszym piśmie kierowanym do strony. To wyjście naprzeciw obywatelom, którzy nie są zainteresowanie otrzymaniem kolejnego pisma, które potraktują jako zmarnowanie publicznych pieniędzy i ich czasu.

- Druga kwestia, która też podlegała dyskusji, to podejmowanie automatycznych decyzji przez banki czy towarzystwa ubezpieczeniowe w oparciu o ich algorytmy, m.in. w sprawie składanych wniosków kredytowych. Była wątpliwość czy bez doprecyzowania przepisów banki mogą dokonywać tego automatycznego podejmowania decyzji i profilowania. Uznaliśmy, że jest to dozwolone, ale trzeba zapewnić klientom możliwość uzyskania wyjaśnień. Może, tym samym, poprosić o to, żeby pracownik z banku tę sprawę szczegółowo przeanalizował. W przypadku banku dodatkowo doprecyzowany jest przepis, który daje obywatelom i klientom indywidualnym możliwość uzyskania szczegółowych wyjaśnień, dlaczego w toku oceny zdolności kredytowej dana pożyczka czy kredyt nie zostały udzielone, ze wskazaniem czynników, które zadecydowały o tym, że decyzja była odmowna. Dotychczas taka możliwość mieli przedsiębiorcy. Za taki wniosek o wyjaśnienie ze strony klienta indywidualnego, w odróżnieniu od przedsiębiorcy, nie może być pobierana opłata.

- Przy okazji nie zamykamy katalogu danych, które mogą być przetwarzane, wykorzystywane i zbierane przy automatycznym podejmowaniu decyzji kredytowych. Banki zwracały nam na to szczególna uwagę. Instytucje finansowe w toku budowania nowych produktów kredytowych mogą poszerzać zakres danych, niezbędnych do oceny zdolności kredytowej klienta, powinny być one jednak związane z celem, żeby nie tworzyć zupełnie abstrakcyjnych powiazań.

Sporo przepisów generuje po stronie przedsiębiorców nowe obowiązki bądź daje im uprawnienia, które są ważne z perspektywy ochrony danych osobowych. Co jest kluczowe nie tylko dla tych największych, ale również MŚP w nowych przepisach?

- Są trzy kwestie, na które warto zwrócić uwagę. Po pierwsze: umowy o przetwarzaniu lub powierzeniu danych osobowych muszą mieć formę pisemną. Do tej pory było to nieokreślone. Nie musi być ona na papierze. Może mieć formę elektroniczną.

- Druga kwestia: Od 4 maja będzie zakaz monitorowania pomieszczeń, gdzie zbierają się związki. Jeśli są tam jakieś kamery, np. w salach związkowych, przy wejściu - to należy je zdemontować.

- Po trzecie: kodeks pracy. Wprowadzamy dwie kategorie danych, które w procesie rekrutacyjnym możemy zbierać. Podstawowe - dla nich nie jest wymagana żadna zgoda osoby, która aplikuje o pracę (imię, nazwisko, adres, dane kontaktowe). Pozostałe - jeśli zbieramy - to powinno to wynikać z natury pracy, której dany proces rekrutacyjny dotyczy. Pojawiają się głosy, że to znowu pole do dyskusji czy interpretacji. Nam się wydaje, że nie jesteśmy w stanie przesądzić i opisać wszystkich możliwych sytuacji i mimo wszystko pozostawiamy rekrutującym ustalenie, które dane są ważne dla danej pracy lub stanowiska. Wydaje się, że wykształcenie i doświadczenie to informacje, które możemy zawsze zbierać, ale w rzeczywistości tak nie jest. Są takie zadania, proste obowiązki, które możemy powierzyć osobom bez tych informacji. Bowiem to, kto ma jakie wykształcenie - w żaden sposób nie powinno decydować - przy niektórych rodzajach prac o tym czy przyjmiemy daną osobę do pracy czy nie. Chodziło nam o zrównoważenie tych dwóch światów: chęci posiadania maksimum informacji ze stronny przedsiębiorcy i niepodawania niektórych informacji przez aplikującego.

- Co do uprawnień, na które warto jeszcze zwrócić uwagę. Obywatel ma prawo nieodpłatnie żądać od placówki medycznej pozyskania dokumentacji medycznej. Jednocześnie nie ma obowiązku - co też niektóre szpitale podnosiły - zaczerniania danych lekarzy, którzy prowadzili badania. Informacja ta jest częścią dokumentacji medycznej i nie wymaga animizacji.

Co pan odpowie na te opinie, że zmiany dotyczące właśnie rynku pracy utrudnią pracodawcy pozyskanie pracowników według wytycznych, które sobie ustalił, bowiem części informacji nie będzie w stanie pozyskać?

- Wciąż w przepisach jest jasno napisane, że pracodawca ma uprawnienia do zgromadzenia takich danych, które są związane ze sposobem wykonywania zawodu i niezbędne do oceny umiejętności lub kompetencji pracownika. We wszystkich przypadkach, które bazują na wykorzystaniu specjalistycznej wiedzy i konkretnych umiejętności - jasne jest powiazanie między tym jakie informacje przynosi obywatel a możliwością świadczenia pracy odpowiedniej jakości i bezpiecznie dla firmy. Intencja jest taka: przedsiębiorco zastanów się, które dane faktycznie są w procesie rekrutacji i ich przetwarzania niezastąpione. Ogranicz się do minimum. Nie pytaj o to, co nie będzie ci potrzebne. Jeśli do tej pory jakieś dane zbieraliśmy, to na potrzeby ewentualnych roszczeń w przyszłości wciąż możemy je zachować i przechowywać. Nie trzeba ich usuwać. W przypadku nowych procesów zastanówmy się jakich potrzebujemy, a - ich zbieranie i przetwarzanie - pamiętajmy, że bazuje na zgodzie obywatela.

- Zawsze będzie dysproporcja w równowadze między pracownikiem a pracodawcą. Chodzi nam o to, żeby zmobilizować pracodawcę, by maksymalnie transparentnie się zachowywał, by nikogo nie dyskryminował podczas procesu rekrutacji.

Ogromna zmiana jaką było RODO w 2018 r. okazała się nie aż tak bolesna dla firm, jak na początku przewidywano. Jeśli weźmiemy jako miarę wskaźnik nałożonych kar, to dotychczas tylko jedna firma taką z ramienia nadzorcy dostała.

- Pamiętajmy, że mimo wszystko był długi okres na dostosowanie. Ostateczna postać przepisów krajowych powstawała tuż przed wejściem ich w życie, ale spora część wynikała jednak z rozporządzenia unijnego, więc duże podmioty z odpowiednim wyprzedzeniem się nimi zajęły. Niektóre pewnie zbyt gorliwie. Zbyt asekuracyjne podejście, właśnie ze względu na możliwe kary, też dostrzegaliśmy. Per saldo można powiedzieć, że każda ze stron na koniec dopasowała się do całej sytuacji. Przedsiębiorcy zdają sobie większą sprawę z przetwarzania danych osobowych, obywatele mają świadomość sowich praw i regulator na razie w jakimś stopniu też zbyt pochodnie nie sięga po instrument jakim są kary, dając czas, by rynek się ustabilizował.

- Symptomatycznie pierwsza kara nałożona w Polsce na firmę nie dotyczyła wycieku danych czy naruszenia wprost przepisów nieprawidłowego ich przetwarzania, co niespełnienia obowiązku informacyjnego. Wiemy, że trwa spór z przedsiębiorcą i to sąd rozstrzygnie, kto miał racje. Fakt zwrócenia uwagi, że na przepisy RODO patrzymy szeroko, nie tylko przez naruszenie przetwarzania danych, ale też obowiązki informacyjne - wydaje się niezwykle ważny. Od samego początku, od pierwszego styku z danymi, aż po archiwizacje - przez cały cykl życia musimy równą wagę przywiązywać do przepisów. Indywidualna analiza każdego przypadku wpisana w RODO, czy minimalizmu - jest niezwykle ważna, co może wywołać zmianę mentalności odnośnie do analizy ryzyka. To zajmuje trochę czasu. Zasada ta z definicji daje więcej elastyczności, ale wymaga też większej uważności i czasu. Wkomponowanie analizy ryzyka w przepisy unijne staje się normą. Ustawa o Krajowym Systemie Cyberbezpieczeństwa też zawiera podobne zapisy. Każdy przedsiębiorca musi w swoim konkretnym przypadku, kontekście, otoczeniu - ocenić które środki są adekwatne do tego, by zapewnić bezpieczeństwo informacji, systemów informatycznych.

Ma pan wrażenie, że dotychczas nad firmami był otwarty parasol bezpieczeństwa. I dlatego tych kar też było niewiele. A skoro dzisiaj zmierzamy już w stronę kompletności systemu prawnego w obszarze ochrony danych, to i regulator czy nadzorca będą bardziej rygorystyczni.

Ministerstwo Cyfryzacji jako resort prowadzący, UODO - jako urząd, który się przegotowywał do pełnienia roli na mocy nowych przepisów - zrobiły dużo, by obywateli edukować. Liczba konferencji, seminariów, szkoleń, które przeprowadziliśmy można by liczyć w setkach. Uznaliśmy, że przy MC powołamy grupy robocze ds. ochrony danych osobowych. Oprócz resortu cyfryzacji uczestniczyli w nich uznani eksperci z różnych instytucji, w tym NGO, a każda z grup zwieńczyła swoje prace wydaniem przewodnika, m.in. dla sektora zdrowia, administracji publicznej, rynku finansowego. UODO zapowiadało już, że przystąpi do systematycznych kontroli w najbliższym czasie. A to może nieść za sobą więcej kar. Trudno będzie tego uniknąć. Wydaje mi się, że ryzyko pojawienia się kary, spowodowało, że tak skrupulatnie w Polsce podeszliśmy do przepisów RODO. Strach przed nimi zmobilizował przedsiębiorców.

Pełni pan również funkcję pełnomocnika ds. cyberbezpieczeństwa. W 2018 r. weszły w życie przepisy ustawy o krajowym systemie cybebezpieczeństwa (UoKSC) i na jej podstawie ma powstać lista operatorów usług kluczowych. Kiedy to nastąpi?

To, kiedy dany podmiot stanie się operatorem usług kluczowych wynika z rozporządzenia, w którym określono progi, przekroczenie których kwalifikuje dany podmiot do tego czy będzie operatorem usług kluczowych, czy nie. Jest to decyzja administracyjna, tj. ostatecznie ministerstwa i instytucje właściwe dla danego sektora/branży, np. KNF dla rynku finansowego, dokonują przeglądu i decydują o uznaniu danej organizacji za operatora usługi kluczowej. Sytuacja obecnie jest taka, że mamy około 60 podmiotów, które otrzymały taki status. W tym 19 podmiotów z rynku finansowego. KNF zrobił to wyjątkowo sprawnie. W większości innych sektorów te postepowania wciąż trwają. Uruchomionych jest ponad 300. Spodziewamy się, że końcowa liczba będzie oscylować wokół 400-500 podmiotów. Najwięcej będzie w sektorze ochrony zdrowia i energetycznym.

Uznanie za operatora usług kluczowych nakłada na te podmioty dodatkowe obowiązki.

- Czas biegnie od wydania decyzji administracyjnej, od otrzymania pisma. Niektóre firmy mogły się spodziewać tych działań i do nowych obowiązków, które nałoży na nie UoKSC, tj.: pomiar ryzyka, zarzadzanie bezpieczeństwem informacji, odpowiednie struktury zarzadzania incydentami, audyt i monitorowanie zdarzeń - przygotować się wcześniej. Dla dużych podmiotów - a raczej się takich spodziewamy - nie powinno być to problemem. Jeśli dany podmiot jest też operatorem infrastruktury krytycznej - a, ponownie, dla wielu dużych firm właśnie tak będzie, to audyt muszą prowadzić okresowo, ze względu na zapisy w ustawie zarzadzania kryzysowego. Czyli jeśli był on przeprowadzony w ostatnich 2 latach, to jest to też spełnienie obowiązku, wynikającego z zapisów UoKSC. Wzmożonych audytów spodziewałbym się nie szybciej niż za jakiś rok. Dla niektórych podmiotów może to być jeszcze dłużej.

Tworzenie listy trwa już dosyć długo. Które ministerstwa mają z nią największy problem?

- Sektor finansowy przeszedł przez proces bardzo sprawnie, ale trzeba też podkreślić, że jest on dzisiaj najbardziej zaawansowany technologicznie i przykładający dużo uwagi do bezpieczeństwa sieciowego. Przy Związku Banków Polskich powstał nawet zespół sektorowy ds. cyberbezpieczeństwa, który nie jest zakorzeniony wprost w ustawie. Z drugiej strony sektorami, gdzie ten proces trwa dłużej są te, gdzie podmiotów jest dużo więcej. Mało tego, kwestia stwierdzenia czy dana instytucja będzie podmiotem kluczowym wynika nie tylko z uznania czy ten próg istotności dla danego sektora jest przekroczony czy nie, ale jednocześnie musimy stwierdzić czy potencjalne zakłócenie czy brak świadczenia usług w danym sektorze wynika z systemu informatycznego, na którym jest on oparty. Nie jest tak, że sama skala działalności decyduje, że dany podmiot znajdzie się na liście usług kluczowych. W sektorze zdrowia postepowania dlatego tyle trwają, bo chodzi o stwierdzenie czy system informatyczny jest tym elementem, który będzie decydować o tym czy dana usługa - ratownictwo medyczne - będzie spełniona czy nie. MZ musi każdą sprawę badać indywidualnie. To zajmuje czas.

- Monitorujemy na bieżąco sytuacje, staramy się wspierać i pomagać w interpretacji przepisów, ale niestety proces trwa dłużej niż pierwotnie myśleliśmy. Pamiętajmy też, że na organy właściwe dla przygotowania listy - nałożyliśmy dodatkowe obowiązki i uprawnienia: Wydawanie specyficznych rekomendacji dla sektora. To zaś wymaga wejścia na jeszcze wyższy poziom dojrzałości poszczególnych ministerstw. Każde z nich miało przewidziane dodatkowe etaty w ustawie, które są związane z nowymi obowiązkami. Proces rekrutacji i budowy jednostek formalnie został zakończony. W praktyce wciąż potrzebują resorty czasu na osiągnięcie zdolności operacyjnej w tych nowych obszarach.

Na horyzoncie są już kolejne zmiany, mające na celu zwiększenie bezpieczeństwa Europy w cyberprzestrzeni, m.in. system certyfikacji cybernetycznego bezpieczeństwa produktów, procesów i usług (tzw. Akt ws. cyberbezpieczeństwa). Polska będzie starała się zawalczyć o stworzenie własnych reguł i czy to zadanie dla Ministerstwa Cyfryzacji?

- Faktycznie pojawia się możliwość przy udziale Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) wzajemnego uznawania certyfikacji między krajami europejskimi. Patrzymy na to z dużym zainteresowaniem, tym bardziej, że w Polsce powstają instytucje, które mogłyby się tym zajmować w oparciu o schemat certyfikacji bazującej na Common Criteria (norma weryfikacji systemów teleinformatycznych).

- Do tej pory nie mieliśmy w Polsce żadnej jednostki certyfikującej ani laboratoriów, które mogłyby to robić. W tej chwili instytuty, które podlegają MC, czyli m.in. Instytut Łączności czy NASK - wspólnie prowadzą projekt dofinansowany ze środków NCBR, mający doprowadzić do powstania w Polsce ośrodka certyfikującego. W II połowie tego roku mają osiągnąć stan gotowości do wdrożenia pilotażowego, a w przyszłym do wydawania wiążących certyfikatów, zgodnych z Common Criteria. Zakładamy, że w przyszłości będziemy dołączać kolejne laboratoria i tym samym doprowadzimy do poszerzenia zakresu działalności tych jednostek w wymiarze nie tylko polskim, ale regionalnym. Rozmawiamy z innymi krajami o tym, że Polska mogłaby być dla nich takim hubem - węzłem certyfikującym. Dla małych krajów to zbyt duży wysiłek, by tworzyć własne rozwiązania. Po prostu im się nie opłaca budowa takich jednostek.

- Nie ukrywamy też, że Polska - jako centrum certyfikacji dla krajów w Europie Środkowo-Wschodniej - to model, który uważamy za optymalny. W poszczególnych branżach jak telekomunikacyjna, obronność czy administracja publiczna - możliwość w dużo większym stopniu odwolywanie się do certyfikacji własnej może zmniejszyć koszty, podwyższyć poziom bezpieczeństwa w poszczególnych sektorach, przy jednoczesnym utrzymaniu konkurencyjności. "Akt ds. cyberbezpieczeństwa" na przestrzeni kilku lat da szanse na poniesienie poziomu bezpieczeństwa, ale jednocześnie musimy walczyć o konkurencyjność i poziom cenowy produktów z regionu. Dlatego chcemy uczestniczyć w procesie certyfikacji. Te działania, które podejmujemy - mam nadzieję - doprowadzą do tego, że paneuropejska certyfikacja się pojawi. 

Rozmawiał Bartosz Bednarz