25 maja zacznie być stosowane unijne rozporządzenie o ochronie danych osobowych (RODO)*. Nowe prawo ma chronić naszą prywatność. Jak? Każdy będzie mógł poprosić o ograniczenie w przetwarzaniu jego danych czy skorzystać z prawa do bycia zapomnianym, czyli np. skasowania informacji o nim z systemu informatycznego. Podmioty przetwarzające dane będą musiały zaś informować o wycieku danych, zarówno organ nadzoru jak i osobę, których informacje dotyczą. Każda osoba, która poniesie szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, będzie mogła walczyć o odszkodowanie. Jak zadziałają nowe przepisy?
Więcej: RODO: przepisy wprowadzające powinny trafić do Sejmu w maju>>
O Tym dyskutowali uczestnicy debaty "RODO – The Day After" – jak będą wyglądały pierwsze godziny, dni i tygodnie po 25 maja 2018 r. zorganizowanej przez wydawnictwo Wolters Kluwer Polska podczas Kongresu RODO, którą poprowadziła Ewa Usowicz, dyrektor Działu Serwisów Informacyjnych Wolters Kluwer. Uczestniczyli w niej Michał Jaworski, członek zarządu i dyrektor ds. strategii technologicznej Microsoft Polska, Piotr Czarnowski, prezes First Public Relations, Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners, dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz & Wspólnicy oraz Piotr Welenc, zastępca dyrektora ds. rozwoju rynku governance, risk & compliance Wolters Kluwer.
Tysiące zgłoszeń, pierwsze procesy
Michał Jaworski szacuje, że po pierwszym dniu obowiązywania RODO będzie już 1000 żądań dostępu, 500 żądań usunięcia danych, ok. 500 zgłoszeń naruszeń danych, pojawi się też masa procesów cywilnych, bo ruszą tzw. trolle.
- Będę jednym z pierwszych, który wyśle żądanie o dostępie do moich danych. Całkiem niedawno bowiem dostałem od dużego medialnego koncernu fakturę. Było na niej moje imię, nazwisko i dane dotyczące miejsca zamieszkania. Zadzwoniłem i poinformowano mnie, że to pomyłka, proszę fakturę wyrzucić… Ja fakturę trzymam i 25 maja zapytam koncern, jakie moje dane i po co przetwarzają – mówił Michał Jaworski.
Ewa Usowicz zapytała, czy według pozostałych uczestników dane takie jak np. 1000 żądań dostępu są przeszacowane czy niedoszacowane? Wszyscy zgodnie stwierdzili, że te liczby są prawdopodobnie niedoszacowane. - Zgłoszeń będzie więcej, na wszelki wypadek. Jak zgłoszę, nie ma sankcji – mówił dr Dominik Lubasz.
Michał Jaworski (na zdjęciu obok) dodał, że holenderski GIODO (gdzie już obowiązuje krajowa ustawa o ochronie danych osobowych) odnotował najwięcej kradzieży pendrivów z danymi.
Na pytanie, czy będzie RODO trollingu, czyli pozywania za rzekome naruszenia w przetwarzaniu danych osobowych w związku z RODO, eksperci zgodnie odpowiedzieli: tak.
Zdaniem Dominka Lubasza (na zdjęciu) o jest realne zagrożenie, bo to leży w specyfice naszego kraju.
- Tuż po wejściu RODO, pojawiły się mailingi typu „czy zarejestrowałeś w GIODO swoją stronę internetową”. Teraz wręcz są firmy, które straszą sankcjami za jego niestosowanie. A skala przygotowań nie jest imponująca, wysokość odszkodowań niczym nie ograniczona, trzeba się więc liczyć ze lawiną spraw sądowych – mówił mecenas Lubasz (na zdjęciu poniżej) .
- Trzeba też wiedzieć, gdzie jest tzw. dźwignia znana z rynków finansowych – mówił Maciej Gawroński. - W RODO wiąże się ona z wyciekami danych. Zostanie zgubiona baza danych: telefon, pendrive z 10 tys. danych osobowych. Ktoś to przejrzy, ujawni i zgłosi. Teoretycznie nic się nie stało, ujawniono tylko czyjąś prywatność. Ile można za to dostać odszkodowania? 50 zł, ale gdy pomnożymy przez 10 tysięcy to jest już pół miliona. Jest się o co bić - obrazowo tłumaczył Gawroński.
Piotr Welenc (na zdjęciu) nie ma wątpliwości, że pozwy ruszą. - Widać to po roszczeniach wobec szpitali. Już teraz wzrasta liczba pozwów za błędy medyczne. Gdy zaś weźmiemy pod uwagę dane osobowe pacjentów, będzie ich jeszcze więcej. Na oddziałach pojawiają się pewnie wyspecjalizowane kancelarie, z obietnicą spieniężenia każdego wycieku danych - tłumaczył dyrektor Welenc (na zdjęciu poniżej).
Kto zyska na RODO
Maciej Gawroński uważa, że przez RODO zyskamy dużo większa wiedzę o osobach prywatnych. - Trzeba będzie w jednym miejscu zgromadzić dane poszczególnych osób, aby móc odpowiadać na ich żądania dostępu i kopii danych. W ten sposób paradoksalnie zostanie ograniczona prywatność - mówił mecenas Maciej Gawroński (na zdjęciu poniżej).
- Ponadto zyskają chmury, bo łatwiej będzie zarządzać danymi. Jest jednak szansa, że zwiększy się cyberbezpieczeństwo. Organizacje zostaną uwrażliwione na zwiększanie bezpieczeństwa informacji. Pytanie, oczywiście, czy najpierw nie zwiększy się cyberzagrożenie.
Piotr Welenc zauważył z kolei, że pewne organizacje uświadomią sobie, że utrzymywanie fikcji jest drogie, że lepiej zrobić coś dobrze i rzetelnie. - Polacy są przyzwyczajeni do tego, że muszą przestrzegać konkretnych przepisów i trzeba im udowodnić, że tego nie robią. Wykazać ich winę. Gdy mówię - trzeba mieć zasady, regulaminy, dobre praktyki, standardy, to słyszę - ja mam ustawę, po co mi to? RODO jest inne - to organizacja musi przeanalizować ryzyko. Tu miękkie prawo, tzw. compliance, ściera się z twardym (legal) - mówił Welenc. Dlatego jego zdaniem nastąpi rozrost miękkiego prawa, zarządzania ryzykiem.
- Do tej pory dominowały tzw. półkowniki, czyli strategia odkładania na półkę – regulaminów, zarządzenia ryzykiem itp. W obliczu RODO organizacje przypominają sobie, że przecież przygotowywaliśmy jakieś dokumenty, trzeba tylko je zdjąć z półki. Tak się nie da – podkreślił Piotr Welenc.
Dr Dominik Lubasz zauważył, że przez 20 lat funkcjonowania ustawy o ochronie danych osobowych świadomość jej znaczenia była mierna, a system zabezpieczenia danych praktycznie nie istniał. - Teraz cały szum spowodowany przez RODO, niezależnie od tego na ile skutecznie zostanie wdrożone, uświadomił, że my mamy prawo zrobić coś z danymi, a organizacje zastanawiają się nad ich ustrukturyzowaniem. To poprawi funkcjonowanie firm - mówił mecenas Lubasz.
Na pewno wzrośnie zapotrzebowanie na usługi prawnicze i informatyczne - stwierdziła Ewa Usowicz. I zapytała, o ile wzrosną te rynki i czy firmy rzeczywiście sporo na tym zarobią. Prawnicy pominęli pytanie milczeniem, ale Michał Jaworski zwrócił uwagę, że najpierw muszą nauczyć się współpracować z informatykami, co wcale nie jest łatwe. - Wszyscy myślą, że RODO jest ważne tylko dla osób zajmujących się prawem w firmach. A to nieprawda, bez informatyków prawnicy nie wdrożą rozporządzenia w organizacjach. A informatycy są kompletnie nieprzygotowani - myślą, że prawo jest algorytmiczne i nie ma tu miejsca na interpretacje. Muszą się nauczyć pracować z prawnikami i wzajemnie. W zespole musi być prawnik, informatyk, osoba od bezpieczeństwa i ochrony danych - mówił Jaworski. - Później też na pewno pojawi się osoba od komunikacji zewnętrznej, gdy dojdzie już do incydentów.
Kto będzie miał pierwszy kryzys wizerunkowy: firmy czy administracja?
Zdaniem Macieja Gawrońskiego administracja ciągle jest w wizerunkowym kryzysie. Piotr Czarnowski (na zdjęciu poniżej) uważa, że oba sektory są tak samo narażone na kryzys wizerunkowy, a po 25 maja będzie całe ich mnóstwo. - A nawet jeśli nie będzie prawdziwego kryzysu, to media go rozdmuchają. Zawsze powtarzam, że fake newsy zostały wymyślone 20 lat temu w Polsce i nazywają się faktami medialnymi.
- Dlatego myślę, że kryzys będzie rósł w mediach, niezależnie od świadomości organizacji, której dotyczy - mówił Piotr Czarnowski.
Wydawałoby się więc, że branża PR świetnie na tym wyjdzie. Zdaniem Piotra Czarnowskiego niekoniecznie. - Nie słyszałem o żadnej firmie, która by zaczęła się przygotowywać na kryzys związane RODO. Na świecie kryzysom się zapobiega, nie dopuszczając do ich powstania, a w Polsce gasi się pożar - mówił Czarnowski.
Więcej: Ustawa o jawności życia publicznego może być sprzeczna z RODO >>
Zdaniem Michała Jaworskiego oba sektory są narażone na kryzys po RODO, bo ani sektor publiczny, ani prywatny nie jest w pełni przygotowana do nowych wyzwań. Dlaczego? - RODO to typowy zachodni wynalazek, w którym to my musimy nieustająco oceniać ryzyko, dopasowywać się. Tymczasem u nas w sektorze publicznym myśli się - spokojnie, najpierw musi być krajowa ustawa, potem rozporządzenia. A to nieprawda. Unijne rozporządzenie zaczyna być stosowane 25 maja, nawet jak nie będzie krajowych przepisów. Z kolei sektor prywatny jest narażony na procesy cywilne. Będą trzy grupy ludzi, którzy będą korzystać z nowych uprawnień: niezadowolony klient, były pracownik, konkurencja. I kryzys komunikacyjny gotowy - mówił Michał Jaworski. I na potwierdzenie, na koniec debaty przytoczył rozmowę zasłyszaną z Administratorem Bezpieczeństwa Informacji (ABI):
- Co robisz z RODO?
– Nic.
- Nic nie robisz z systemami informatycznymi, nie dostosowujesz ich?
– Nie.
- Ale 25 maja już za chwilę!
– Zwalniam się w kwietniu.
Opracowała Jolanta Ojczyk
Foto: Andrzej Stawiński
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.