Jolanta Ojczyk: Wszyscy mówią, że dzięki naszej ustawie o ochronie danych osobowych RODO nie będzie stosowane do małych firm. W ich przypadku jednak też chodzi tylko o pewne wyłączenia?
Maciej Kawecki: To nie jest prawda. Zarówno RODO jak i nasza ustawa będzie znajdowała zastosowanie do wszystkich podmiotów. Oczywistym jest, że zakres obowiązków będzie różny w zależności od wielkości przedsiębiorcy, od tego czy przetwarza dużo czy mało danych osobowych. Niemniej nie znam przedsiębiorcy który dzisiaj nie przetwarza żadnych danych osobowych. Nawet zegarmistrz czy szewc umawiając się na odbiór nareperowanych przedmiotów odbiera od klientów ich dane kontaktowe, często je ewidencjonuje. Czasami wystawia faktury. To są wszystko dane osobowe.
RODO to dla firm tylko obowiązki, czy również korzyści?
Firmy zdecydowanie skorzystają na certyfikacji. W projekcie przewidujemy dwa mechanizmy certyfikacji: przez prezesa Urzędu Ochrony Danych Osobowych oraz przez przedsiębiorców. Posiadanie certyfikatu będzie oznaczało, że firma przetwarza dane osobowe zgodnie z wymogami RODO. Rozwiązaniem probiznesowym są też kodeksy branżowe.
Którą ścieżkę certyfikacji wybiorą firmy?
Sam się nad tym od dłuższego czasu zastanawiam. Mnie wydaje mi się, że biznesową, bo certyfikacja prezesa Urzędu Ochrony Danych Osobowych może się wiązać z ryzykiem.
Jakim?
Jeśli w toku czynności sprawdzających, organ wykryje jakieś naruszenie, powinien z urzędu wszcząć postępowania. W przypadku certyfikacji firmowej nie ma takiego zagrożenia.
Która ścieżka będzie tańsza: urzędowa czy biznesowa?
Trudno w tym momencie powiedzieć. Projekt ustawy nie reguluje zasad odpłatności dla ścieżki biznesowej, np. nie wprowadza maksymalnej stawki. Tu zadziałają prawa rynku. Z kolei certyfikacja urzędowa będzie się wiązała z opłatą w wysokość czterokrotności przeciętnego wynagrodzenia, obecnie to ok. 16 tys. zł.
Widzi Pan jeszcze jakieś korzyści dla firm?
Z pewnością korzyści odczuwają kancelarie i prawnicy, którzy traktują RODO trochę jako odpowiedź na kryzys na rynku usług prawniczych.
Na pewno pojawiło się bardzo dużo ofert szkoleń, które mają uchronić przed wysokimi karami.
Rzeczywiście prawnicy ale nie tylko oni straszą karami, czym często wprowadzają w błąd. Uważamy to za nieetyczne, bo reforma nie jest o karach. Poza karami RODO wprowadza ostrzeżenia, upomnienia, możliwość wydania decyzji bez kary oraz dużo okoliczności, które organ musi wziąć pod uwagę ustalając wysokość kary. Dopiero gdzieś na końcu jest ta kara. Zwłaszcza, że w Polsce nie było jeszcze przypadku, gdy organ państwowy nałożył karę w wysokości ponad 100 mln zł.
Czy jednak firmy bez prawników poradzą sobie z przygotowaniem do RODO?
Duża firma nie poradzi sobie bez prawnika a czasami też bez informatyka i analityka. Natomiast małe przedsiębiorstwa, pewnie tak. Ale nic nie zwalnia nas przed lekturą RODO.
RODO opiera się na analizie ryzyka. Jak mała firma ma je oszacować? Co powinna zrobić?
Jest wiele różnych metod. Ja mogę podać taką, którą ja bym zastosował. W pierwszej kolejności powinna zrobić katalog różnych zabezpieczeń, które jest w stanie zapewnić w danym stanie faktycznym bądź które zapewniamy, np. naklejki informujące o monitoringu, szyfrowanie danych osobowych, stosowanie protokołów ssl, haseł dostępu, ograniczenie kręgu osób dopuszczonych do danych, itp. Następnie należy stworzyć skalę, np. od 1 do 10 oceniającą ryzyko, gdzie np. 1 to brak przetwarzanie danych osobowych, czyli w ramach danej czynności w ogóle nie gromadzeni danych osobowych., a 10 gromadzenie wyłącznie danych szczególnie chronionych w dużych zasobach, np. podmiot medyczny. 9 gromadzenie danych szczególnie chronionych w małych zasobach itd. I każdej pozycji ze skali należy przyporządkować zabezpieczenia z naszego katalogu adekwatne do celów przetwarzania. W ten sposób firma potem może przeanalizować ryzyko każdej czynności. Np. jeśli prowadzimy hotel, to czynnościami może być monitoring wizyjny, rejestracja w recepcji, korzystanie z usług gastronomicznych – tu mogą być dane wrażliwe, bo ktoś jest na diecie, np. bezglutenowej. Każdej z tych czynności przyporządkowujemy ryzyko według stworzonej wcześniej skali. Nie możemy natomiast nigdy posłużyć się powyższą metodą, poprzez sztuczne przyporządkowywanie zabezpieczeń do stopnia ryzyka. Zawsze zabezpieczenia muszą być adekwatne do celu.
Czy mnie można przygotować takiej wzorcowej skali?
Nie, bo mamy przedsiębiorcę, który nie gromadzi danych szczególnie chronionych, np. fryzjera i dla niego ta skala będzie wyglądała inaczej.
Czy przeprowadzając taka analizę musimy sprawdzić czy mamy wymagane zgody?
Tak. I tutaj pewnie bardzo ważnym byłoby jak najwyraźniejsze przesądzenie przez unijne organy ochrony danych osobowych co z ważnością zgód udzielonych przed 25 maja.
A Pan jaki ma pogląd.
Mój pogląd nie ma większego znaczenia. Ważne jest stanowisko regulatora. Niemniej osobiście uważam, że jeśli w dacie odbierania zgody, obowiązywały przepisy, która nie zobowiązywały do informowania o prawie do cofnięcia zgody i ktoś skutecznie odebrał zgodę, to po 25 maja powinna być ważna.
Firmy tak naprawdę obawiają się konsekwencji wycieku danych. Mają czego się bać? Na co będą zwracać uwagę organy, wymierzając karę.
Jeśli dojdzie do wycieku, to niezależnie od wielkości, firma będzie musiała o nim poinformować swoich klientów, a także organ nadzoru w ciągu 72 godzin od wykrycia naruszenia. Jeśli tego nie zrobi, to będzie to dodatkowe naruszenie RODO. Dlatego bardziej opłaca się informować. Ponadto organ będzie brał pod uwagę czy ten który dopuścił się naruszenia mą np. certyfikat. Fakt nie posiadani certyfikatu nie podwyższy kary, ale jego posiadanie będzie okolicznością łagodzącą.