Do 25 maja nikt lub prawie nikt nie był gotowy na RODO – zgodnie przyznali eksperci występujący podczas Kongresu RODO zorganizowanego we wtorek przez Wolters Kluwer Polska. I przyznają, że obecnie w końcu zaczynają padać konkretne pytania, problemy. Przedsiębiorcy, instytucje publiczne przyznają, że są dopiero na początku wdrażania przepisów, które mają pomóc chronić naszą tożsamość w internecie. W drugiej już edycji Kongresu RODO wzięło udział kilkuset przedstawicieli przedsiębiorstw, instytucji publicznych i kancelarii prawnych, którzy dyskutowali o praktycznych aspektach wdrażania reformy ochrony danych osobowych.-  Żarty z RODO nie są zabawne dla kogoś, kto poważnie podchodzi do wdrażania prawa – mówił Mirosław Sanek, wiceprezes Urzędu Ochrony Danych Osobowych, podczas Kongresu. - Użytkownicy dopiero teraz zaczynają rozumieć, że te przepisy mają chronić ich tożsamość. Dodał, że nieprzestrzeganie ich to nie tylko kary, od których wszyscy zaczynali mówić i pisać o RODO, ale również potencjalna groźba wypłaty odszkodowania za szkody wyrządzone przez brak ochrony. A to dopiero początek zmian.

Wciąż brakuje przepisów

RODO tak naprawdę to pierwsze przepisy, które mają pomóc stworzyć jednolity rynek ochrony danych. W Polsce brakuje wciąż tzw. przepisów nakładkowych. Obowiązująca od 25 maja polska ustawa nie wyjaśnia bowiem wielu kwestii ważnych dla różnych branż. Miała to zrobić tzw. ustawa wdrażająca RODO, która jednak wciąż nie wyszła z rządu. Nad liczącym ponad 200 stron i 180 artykułów projektem ponad trzy miesiące pracuje Komisja Prawnicza Rządowego Centrum Legislacji. By trafił do Sejmu, musi go jeszcze zaakceptować Komitet Stały Rady Ministrów oraz rząd.  – Nasz urząd ma wciąż jednak uwagi do projektu – mówił Mirosław Sanek. Podkreślił jednak, że to nie one są najważniejszym wyzwaniem.

 


 

Czekając na ePrivacy

Unia spóźnia się bowiem z uchwaleniem rozporządzenia w sprawie poszanowania życia prywatnego w łączności elektronicznej, tzw. ePrivacy, które ma być komplementarne do RODO. Ma chronić użytkowników urządzeń końcowych, w szczególności komputerów, telefonów, smartfonów, czy tabletów, dać im kontrolę nad swoimi danymi.  Powinno więc być wdrażane równocześnie z RODO, ale wciąż Komisja Europejska go nie uchwaliła. - Teraz praktycznie nikt nie wie, jak wygląda ten projekt. A to masowa luka, którą trzeba szybko uzupełnić – mówił Mirosław Sanek.

Xawery Konarski, adwokat, starszy partner i współzałożyciel kancelarii Traple Konarski Podrecki i Wspólnicy przyznał, że brak ePrivacy to ogromny błąd. - Nie pastwmy się tylko nad polskim prawodawcą, pastwy się też na unijnym. Wszyscy potrzebujemy nakładki w postaci sektorowych rozwiązań, ale też ochrony tych, którzy korzystają, np. z komunikatorów. Wszyscy, którzy mają komunikatory, nie dostali jeszcze ochrony. I jej brak to jest największa niedoróbka, a nie brak naszej nakładki – mówił mec. Konarski. A to nie wszystkie braki w przepisach.

Bez podstaw do monitoringu

Mirosław Wróblewski, dyrektor Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego w biurze Rzecznika Praw Obywatelskich, podczas panelu dla instytucji publicznych zwracał uwagę,  na brak wyraźnych podstaw do prowadzenia monitoringu. – Brakuje zasad rejestrowania obrazu, np. w placówkach ochrony zdrowia, oświatowych. Tymczasem prace nad ustawą kompleksowo regulującą zasady monitoringu wizyjnrgo nie są obecnie prowadzone, a ta też jest potrzebna – tłumaczył.

RODO a tajemnica zawodowa

Uczestników konferencji interesowały też praktyczne problemy z ich stosowaniem, np. czy szyfrować maile, na jakiej podstawie profilować klientów programów lojalnościowych, czy chronić dane objęte tajemnicą zawodową, i jak wybrać dobrego Inspektora ochrony danych.

Kancelarie prawne są zobowiązane tak samo jak inni do wysyłani klauzuli informacyjnych. Powstaje jednak pytanie, co zrobić z danymi pozyskanymi z innych źródeł. O co chodzi? Na przykład przychodzi żona, które chce wnieść pozew o rozwód. Czy kancelaria powinna poinformować męża o tym, że przetwarza jego dane w tym celu. – Oczywiście, że nie – odpowiadała uczestnikom Katarzyna Kloc, adwokat, partner w kancelarii Gawroński  Partners. – Dodała, że prezes UODO nie może wystąpić do adwokatów i radców pranych z prośbą o ujawnienia danych objętych tajemnicą zawodową.  

 


 

Profilowanie na podstawie umowy

Dr Arwid Mednis, radca prawny, partner w PwC Legal mówił dlaczego prowadząc pogramy lojalnościowe należy dokonać oceny skutków dla ochrony danych (z ang. Data Protection Impact Assessment, DPIA). Podkreślał, że bezpieczniej jest taką ocenę przeprowadzić. - Sam fakt, że dokonujemy oceny klienta, co kupuje, gdzie kupuje powoduje, że DPIA jest potrzebne – tłumaczył mec. Mednis. Pytanie z jakich narzędzi skorzystać. Można z darmowego, przygotowanego przez francuski CNIL - odpowiednik naszego UODO. Jak zaznaczył obecny na Kongresie Tomasz Soczyński, dyrektor Zespołu Informatyki UODO nie będzie tworzona polska wersja. Uczestnicy chcieli też wiedzieć, czy potrzebują zgód na profilowanie w programach lojalnościowych. – Jeśli, ktoś podpisuje umowę, bo chce uczestniczyć w takim programie, to już zgadza się na profilowanie. Trzeba jednak uważać, czy jego danych nie udostępniamy podmiotom trzecim, a także czy nie pozyskujemy za dużo danych, w tym np. szczególnych.

Szyfrowanie maili jest ryzykowne

Z kolei zgodnie art. 32 ust. 1 RODO jednym z  przykładowych środków  ochrony danych jest szyfrowanie. Pytanie, czy wszystkie dane należy szyfrować. Okazuje się, że niekoniecznie. - Szyfrowanie może utrudniać dostęp do danych osobom niepowołanym, ale też utrudnić powołanym – mówił Maciej Gawroński, radca prawny, partner w kancelarii Gawroński  Partners . – Ja nie jestem w stanie odtworzyć hasła po kilku miesiącach, a jego brak może utrudnić dostęp do danych. Dlatego poprosiłem księgowych, by dostępu do dokumentów, które mi przesyła nie blokowało hasło – tłumaczył mec. Gawroński.  Tymczasem oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnić trzeba również ryzyko zniszczenia lub utraty  danych.

Jak wybrać IOD

W panelu dla instytucji publicznych dużym zainteresowaniem cieszył się temat poświęcony inspektorom ochrony danych. Jak podkreślała Aneta Sieradzka z Kancelarii Prawnej Sieradzka Partners, przepisy RODO są elastyczne w zakresie ich powoływania., jednak nie każdy powinien zostać IOD. - Nie ma określonego kierunku studiów czy rodzaju certyfikatów, jakie IOD powinien posiadać. IOD to nowy zawód, bo można być inspektorem i tylko tym się zajmować. Przepisy nie narzucają również czasu pracy inspektora, to administrator powinien zdecydować o tej kwestii. Ważne jednak, że określić zasady, na jakich IOD będzie dyspozycyjny i dostępny w każdym czasie dla administratora i instytucji - mówiła mec. Sieradzka.