Do września 2018 r. z mocy prawa ABI staną się inspektorami ochrony danych, do tego czasu będą musieli poinformować, że chcą dalej pełnić tę funkcję – mówi ekspert
Do września 2018 r. z mocy prawa ABI staną się inspektorami ochrony danych, do tego czasu będą musieli poinformować, że chcą dalej pełnić tę funkcję – mówi ekspert.
O reformie ochrony danych osobowych rozmawialiśmy z Maciejem Kaweckim, dyrektorem departamentu zarządzania danymi w Ministerstwie Cyfryzacji i koordynatorem reformy ochrony danych osobowych.
Kiedy i dlaczego podjęli Państwo decyzję o obniżeniu kar za brak właściwej ochrony danych osobowych w organach administracji publicznej? Wcześniej było to 20 mln euro, obecnie mają być do wysokości 100 tys. zł.
- Decyzja o obniżeniu kary została podjęta na samym początku tworzenia przepisów. Zdecydowaliśmy się na to, bo po pierwsze administracja publiczna działa na podstawie środków publicznych. W związku z tym nakładanie kar na urzędy to karanie obywateli, bo środki i tak pochodzą z ich kieszeni, a nakładanie bardzo wysokich kar to podwójne karanie obywateli. Organ bowiem, który zapłacił ogromną karę w danym roku budżetowym, będzie miał ograniczone możliwości działania i realizacji swoich zadań - wtedy obywatel jest dodatkowo karany, bo administracja działa źle.
Wyszliśmy z założenia, że tym, co o wiele bardziej dyscyplinuje administrację publiczną, jest utrata reputacji i stanowiska przez osoby pełniące funkcje publiczne. Są one oceniane przez obywateli, którzy m.in. uczestniczą w wyborach. W związku z tym nałożyliśmy na każdy organ publiczny obowiązek sprawozdawczy, czyli poinformowania na swojej stronie internetowej lub w BIP, w jaki sposób dostosował się do decyzji wydanej przez prezesa urzędu ochrony danych osobowych.
Kiedy będzie musiał taką informację zamieścić?
- Niezwłocznie. Urząd ochrony danych osobowych wyda decyzję, a podmiot, również samorządowy, będący adresatem tej decyzji, będzie zobowiązany niezwłocznie poinformować na swojej stronie, w jaki sposób się do tej decyzji dostosował. Oczywiście, jeśli zgłosi skargę do sądu, bo się nie zgodzi z decyzją, to poinformuje o tym, że ją złożył. Obywatele jednak już wtedy dostają sygnał, że coś się dzieje niedobrego, że prezes urzędu wydał decyzję nakazującą usunięcie naruszenia ochrony danych osobowych.
Autorzy reformy ochrony danych osobowych i eksperci podkreślają, że ważny jest aspekt edukacyjny. Na czym polega edukacja samorządów?
- Przede wszystkim uczestniczymy we wszystkich konferencjach, szkoleniach, na które jesteśmy zapraszani. Przyjmujemy zaproszenia na wszystkie wydarzenia związane z tematyką ochrony danych osobowych – to pierwszy kierunek. Drugi to prowadzenie bardzo złożonej edukacji w mediach i w mediach społecznościowych.
Mogę się tu pochwalić, że podczas konsultacji projektu, które trwały od 13 września do 13 października przeprowadziliśmy badania społeczne, jak zwiększyła się świadomość, co do reformy ochrony danych osobowych. Okazuje się, że trafiliśmy do ok. 1,6 mln obywateli, to kropla w morzu, ale to jednak dużo i cały czas staramy się świadomość i wiedzę podnosić.
Jak zmienią się obowiązki samorządów od 25 maja, kiedy będzie stosowane w Polsce unijne rozporządzenie o ochronie danych osobowych?
- Obywatele dostaną ponad 20 nowych uprawnień. Z każdym z nich sprzężony jest obowiązek po stronie przedsiębiorców, podmiotów administracji publicznej, w tym samorządów. O tym trzeba pamiętać. Wśród zmian będzie m.in. prawo do bycia zapomnianym, czyli prawo do żądania usunięcia danych osobowych.
Ono administrację publiczną dotyczy w mniejszym zakresie, bo bardzo często okres przechowywania danych wynika z ustawy. Ale już prawo do przeniesienia danych będzie bardzo często dotyczyło administracji i samorządów.
Z czym to prawo jest związane?
- Każdy będzie mógł zażądać od jakiejkolwiek instytucji, również samorządowej, przekazania jego danych osobowych jakiemukolwiek innemu wskazanemu przez niego podmiotowi. Na przykład kiedy załatwiam sprawę w urzędzie miasta i podaję moje dane osobowe, to wiedząc, że takie same moje dane potrzebne będą w urzędzie dzielnicy, mogę żądać, żeby urząd miejski przekazał moje dane do urzędu dzielnicy. I urząd jest obowiązany przekazać dane, po pierwsze niezwłocznie, a po drugie w taki sposób, aby ten drugi urząd mógł dane odczytać.
Co więcej, każdy będzie mógł wystąpić z żądaniem do jednostki samorządowej, do organu samorządowego i wystąpić z żądaniem przekazania jego danych do banku albo do ubezpieczyciela czy podmiotu medycznego lub innego podmiotu prywatnego. Nie będzie to dotyczyło tylko relacji pomiędzy podmiotami administracji publicznej, ale także administracja publiczna - biznes.
Kolejny obowiązek, którego dzisiaj nie ma, to informowanie o naruszeniach. Jeżeli w gminie dojdzie do wycieku danych osobowych, nawet bez winy urzędnika, to urząd zobowiązany będzie do niezwłocznego poinformowania osoby, której dane wydostały się na zewnątrz. Jeżeli tego nie zrobi, to niezależnie od odpowiedzialności za sam fakt wycieku, będzie ponosił odpowiedzialność za niedopełnienie obowiązku poinformowania.
Czy w związku z reformą samorządy będą musiały zakupić dodatkowe systemy informatyczne, zabezpieczenia?
- Im więcej danych osobowych przetwarzamy, tym więcej żądań jest do nas adresowanych i tym większa konieczność automatyzmu. Jeśli jesteśmy małym ośrodkiem pomocy społecznej w małej miejscowości i wiemy, że tych żądań będzie mało - przenoszenia danych, usunięcia danych, wtedy oczywiście ten automatyzm nie jest konieczny. Musimy sobie zapewnić sprawną organizację pracy i jednostkę, która odpowiada za ochronę. Jednak jeśli jesteśmy dużym podmiotem – urzędem miejskim, wtedy musimy wprowadzić automatyzm, bo nie poradzimy sobie z np. dwustoma wnioskami o przeniesienie danych dziennie. A obywatele będą się korzystania z tego prawa uczyć.
Czy ministerstwo będzie rekomendować specjalne programy, wymagania technologiczne, żeby ochrona danych była pełniejsza?
- Nie możemy tego zrobić, bo takich rozwiązań nie ma. Nie oceniamy, nie mamy instrumentów do tego.
Samorządy będą więc same musiały sobie z tym poradzić. A to kojarzy się z kosztami, które będą musiały ponosić.
- I my w ocenie skutków regulacji dołączanej do pakietu zmian legislacyjnych bardzo wyraźnie wskazaliśmy wpływ przepisów na jednostki samorządu. W pewnym zakresie wskazaliśmy, że koszt jest ogromny, ale nie jesteśmy w stanie go oszacować, bo np. nastąpi zmiana, o czym się mało mówi, że organ publiczny będzie zobowiązany do powoływania inspektorów ochrony danych.
Dzisiaj takiego obowiązku nie ma. Każdy organ w swojej strukturze będzie musiał wyodrębnić osobę, która odpowiada za bezpieczeństwo danych osobowych. To też jest koszt, ale istnieje możliwość powołania takiej osoby dla kilku różnych podmiotów. Nie wiemy, czy kilka gmin nie zdecyduje się powołać jednej takiej osoby, nie jesteśmy w stanie dokładnie skalkulować kosztów po stronie administracji publicznej.
Czy obecni administratorzy bezpieczeństwa informacji (ABI) będą mogli być inspektorami ochrony danych?
- Projekt przewiduje przepisy przejściowe, ale osoby takie będą musiały dokonać powtórnego zgłoszenia. Przez okres do września 2018 roku z mocy prawa zostaną inspektorami ochrony danych, natomiast przez ten czas będą musieli wyrazić swoją aktywność, czyli poinformować organ, że chcą dalej wykonywać tę funkcję. Jeżeli tego nie zrobią, to we wrześniu 2018 roku przestaną ją pełnić. Organ będzie wtedy zobowiązany do powołania inspektora.
Dziękuję za rozmowę.
Katarzyna Kubicka-Żach
kkż/
Unijne rozporządzenie o ochronie danych osobowych (RODO) wprowadza jednolite dla wszystkich państw Unii Europejskiej przepisy, które dadzą możliwie wysoki poziom ochrony prywatności. Rozporządzenie w polskim porządku prawnym będzie stosowane bezpośrednio od 25 maja 2018 r.
Przypomnijmy też, że ekspert ds. cyberbezpieczeństwa, Krzysztof Surgowt podkreślał, że słabe lub bardzo słabe zabezpieczenia polskich systemów IT, w których stosowane są głównie firewalle, programy antywirusowe czy hasła dostępowe wysyłane SMS-em oraz szyfrowanie danych wrażliwych w starych formatach, może drogo kosztować instytucje oraz obywateli.
Jeśli mają Państwo pytania, prosimy o kontakt k.kubicka@pap.pl
Kkż/