RODO może okazać się niezrozumiałe dla przedsiębiorców

adwokat Piotr Biernatowski, kacelaria Largo LawZaktualizowano 
Hasło RODO jest już znane wielu polskim przedsiębiorcom, jednak znajomość wymagań tego aktu prawnego jest niewielka. W dniu 13 września 2017 roku Ministerstwo Cyfryzacji opublikowało nowy projekt ustawy o ochronie danych osobowych. Pojawia się pytanie, czy podmioty przetwarzające dane osobowe, po zapoznaniu się z jego treścią będą wiedziały jakie wymagania są im stawiane oraz czy będą wystarczająco zmotywowane do ich przestrzegania? W świetle części regulacji zawartych we wspomnianym projekcie wydaje się to niepewne.

Mając na uwadze drastycznie rosnącą liczbę incydentów bezpieczeństwa w systemach informatycznych i licznych wycieków danych, nie tylko osobowych, kluczowym zagadnieniem w nowej ustawie powinno być prawidłowe zabezpieczenie danych w systemach informatycznych. Obecnie obowiązująca ustawa o ochronie danych osobowych nakłada wymóg stosowania środków technicznych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

W nowym opublikowanym projekcie ustawy brak analogicznej normy prawnej. Prawdopodobnie uzasadnieniem takiego stanu rzeczy jest fakt, że RODO, stosowane bezpośrednio w polskim porządku prawnym, zawiera regulację w tym zakresie.

Zgodnie z art. 32 RODO „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku pseudonimizację i szyfrowanie danych osobowych”.
Z powyżej przytoczonego postanowienia Rozporządzenia nie wynika co prawda obowiązek stosowania konkretnych środków bezpieczeństwa w celu realizacji obowiązku zabezpieczenia danych osobowych. Ustawodawca unijny wskazał jednak przykładowe sposoby zabezpieczania danych, które uznaje za odpowiednie, to jest pseudonimizację i szyfrowanie danych. Metody te, w szczególności druga z wymienionych, zapewniają odpowiedni poziom ochrony, ponieważ praktycznie uniemożliwiają dostęp do danych osobowych przetwarzanych w systemach informatycznych osobom nieuprawnionym. Dotyczy to również sytuacji wycieku lub kradzieży danych, ponieważ w przypadku ich zaszyfrowania, dane uzyskane przez podmioty nieuprawnione są nieczytelne i nie prowadzą do zidentyfikowania osoby fizycznej.

W projekcie z dnia 13 września 2017 r. nie ma o ani słowa o środkach zabezpieczania danych, a całe to zagadnienie sprowadza się do stwierdzenia o wprowadzaniu rekomendacji środków technicznych i procedur przez przyszły Urząd Ochrony Danych Osobowych ( UODO ).

Pomimo faktu istnienia wspomnianego postanowienia w RODO, uzasadnione wydaje się postulowanie wprowadzenia do projektu ustawy o ochronie danych osobowych regulacji dotyczących systemów informatycznych. Przemawia za tym fakt, że ustawy są aktami prawnymi co do zasady bliższymi statystycznym podmiotom działającym na terenie Polski, przez co należy rozumieć, że świadomość regulacji wprowadzonych na poziomie krajowym jest znacznie większa. Wprowadzenie stosownej regulacji, zbliżonej lub bardziej rozbudowanej niż w RODO, na poziom ustawowy, z pewnością przyczyniłoby ułatwiłoby nieprofesjonalistom ustalenie obowiązujących ich regulacji. Przy okazji takiego zabiegu ustawodawca mógłby pokusić się o wprowadzenie poziomów ochrony danych osobowych w systemach informatycznych. W szczególności chodzi tu o zapewnienie odpowiedniego poziomu ochrony tzw. „danych wrażliwych” dotyczących zdrowia, stanu majątkowego itp., na przykład poprzez wprowadzenie obowiązku ich szyfrowania na poziomie ustawowym.

W każdym przypadku, należy postulować wprowadzenie do ustawy o ochronie danych osobowych regulacji dotyczących wymogów w zakresie ich zabezpieczania w systemach informatycznych, co najmniej poprzez pseudonimizację i szyfrowanie.

Równie ważne jak wprowadzenie odpowiednich norm tworzących prawa i obowiązki w zakresie ochrony danych osobowych jest wprowadzenie norm zapewniających ich stosowanie. W aktualnie obowiązującej ustawie o ochronie danych osobowych z 1997 roku istnieją stosunkowo obszerne przepisy penalizujące naruszenia w omawianym zakresie.

Na przykład zgodnie z art. 49 ust. 1 Ustawy, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Zgodnie zaś z art. 51 karze ograniczenia wolności albo pozbawienia wolności do lat 2 podlega ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym.

Ustawa penalizuje również naruszenie obowiązku zabezpieczenia danych osobowych. W myśl art. 52 kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Również niezgłoszenie zbioru danych do rejestracji przez podmiot do tego obowiązany wiąże się z możliwością nałożenia na niego kary grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

W myśl art. 54 penalizowane jest również zachowanie podmiotu administrującego zbiorem danych, który nie poinformował o prawach osoby, której dane dotyczą o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w Ustawie. Taki podmiot podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. W ostatnim z przepisów części karnej, tj. art. 54a Ustawodawca przewiduje karę grzywny, ograniczenia wolności albo jej pozbawienia do lat 2 za udaremnianie lub utrudnianie wykonywania czynności kontrolowanej.
Jak wynika z powyżej przytoczonych przepisów Ustawy, za niewłaściwe postępowanie z danymi podmiot nimi administrujący naraża się na odpowiedzialność karną. Uzasadnione jest twierdzenie, że regulacje te aktualnie pełnią w dużej mierze funkcję prewencyjną, to jest powstrzymują przetwarzających dane od naruszeń w tym zakresie. Dzieje się tak nawet pomimo faktu, że są one stosunkowo rzadko używane w praktyce.

Zgodnie z omawianym projektem ustawy, czyny dotychczas penalizowane, nie będą już podlegały sankcjom prawa karnego. Oznacza to całkowitą eliminację funkcji prewencyjnej jaką pełniły. Taką decyzję ustawodawcy należy ocenić jednoznacznie negatywnie. Zwłaszcza mając na uwadze rosnącą liczbę incydentów bezpieczeństwa w sieci internet.

Cyberprzestępczością są zagrożone również organy administracji publicznej oraz jednostki samorządu terytorialnego. Dostęp do ich danych może spowodować wręcz katastrofalne skutki na poziomie ogólnopaństwowym, stąd też przepisy karne ustawy o ochronie danych osobowych winne pozostać w mocy.

Konkludując, uzasadnione jest twierdzenie, że w znowelizowanej Ustawie o ochronie danych osobowych przepisy karne powinny być uwzględnione w niezmienionym albo w bardziej rygorystycznym kształcie.
A jak wygląda to w projekcie zmian z dnia 13.09.2017.

Nowe przepisy o ochronie danych osobowych, pomimo, iż mają na celu zapewnienie skutecznego stosowania w polskim porządku prawnym przepisów prawa Unijnego, w szczególności rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, mogą doznać znacznych utrudnień w toku ich realizacji, co związane jest z planowaną eliminacją przepisów karnych z ustawy krajowej, a tym samym cele zakładane przez Ustawodawcę nie będą miały szans na powodzenie.

Obecnie aż nadto widoczny jest dynamiczny wzrost incydentów bezpieczeństwa w systemach informatycznych, stąd też zasadnym jest pozostawienie, ewentualnie wprowadzenie bardziej restrykcyjnych przepisów dotyczących odpowiedzialności karnej, nie zaś odejście od ich stosowania.

Ustawodawca argumentuje eliminację przepisów karnych z Ustawy o ochronie danych osobowych tym, iż nie były one dotychczas stosowane, jednakże tak zaprezentowanego sposobu rozumowania w żaden sposobów nie można zaaprobować.
Mając na względzie coraz częstsze cyberataki w toku których uzyskiwane są nie tylko dane osób fizycznych, co, nota bene, stanowi naruszenie jednego z zasadniczych praw człowieka, o których mowa w Karcie Praw Podstawowych Unii Europejskiej, ale również informacje objęte tajemnicą prawnie chronioną, w tym również tajemnicą przedsiębiorstwa mającą, co do zasady, dużą wartość rynkową, jej ujawnienie mogłoby spowodować niepowetowaną szkodę dla takiego podmiotu.

Ponadto, cyberprzestępczością są zagrożone również organy administracji publicznej, jednostki samorządu terytorialnego, dostęp do których może spowodować wręcz katastrofalne skutki na poziomie ogólnopaństwowym, stąd też przepisy karne Ustawy o ochronie danych osobowych winne pozostać w mocy.

Nowy projekt ustawy o ochronie danych osobowych przewiduje odpowiedzialność administracyjną za popełnienie czynów naruszających jej postanowienia oraz odpowiedzialność cywilną, o czym mowa w dalszej części. Godnym uwagi pozostaje fakt, iż karami administracyjnymi obciążane są podmioty zbiorowe, np. spółki i inne jednostki organizacyjne. Przepisy karne w pierwszej kolejności penalizują zachowania na osób fizycznych, np. członków zarządów.
Dlatego, pozostawienie w nowej Ustawie przepisów karnych, byłoby istotnym czynnikiem oddziałującym na świadomość potencjalnego sprawcy, mogącym wpłynąć na zaniechanie popełnienia przez niego czynu zabronionego.

Rozporządzenie unijne surowe kary pieniężne za naruszenie zasad przetwarzania danych osobowych, w tym za ich niewłaściwe zabezpieczenie. Zgodnie z postanowieniami Rozporządzenia Administrator danych może być zobowiązany do uiszczenia kary pieniężnej w wysokości do 10. 000. 000 euro, w tym za brak zastosowania odpowiednich do ryzyk i zagrożeń środków organizacyjnych i technicznych zabezpieczających przetwarzanie danych. W sytuacjach przewidzianych postanowieniami Rozporządzenia możliwe jest nałożenie również kar wyższych, w tym nawet 20.000.000 euro.

We wspomnianym projekcie ustawy o ochronie danych osobowych znacznie zmniejszono maksymalne kwoty pieniężnych kar administracyjnych, które można zastosować wobec określonych podmiotów sektora publicznego. Powstaje pytanie o uzasadnienie i słuszność takiego zabiegu.

Artykuł 50 ust. 1 projektu ustawy wskazuje, które podmioty sektora publicznego mogą zostać obciążone karą w wysokości do 100.000 zł. W myśl powyższego przepisu są nimi podmioty publiczne, o których mowa w art. 9 pkt 8 - 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, tj.: Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego; Narodowy Fundusz Zdrowia; samodzielne publiczne zakłady opieki zdrowotnej; uczelnie publiczne; Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne; państwowe i samorządowe instytucje kultury; inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Ustawodawca argumentuje, iż wymierzanie kary nie powinno skutkować zaprzestaniem a nawet ograniczeniem należytego wykonywania przez te podmioty powierzonych im zadań publicznych, co - zdaniem Ustawodawcy - w sposób oczywisty naruszałoby interes publiczny, jednakże z ww. założeniem trudno się zgodzić.

Aby zapewnić skuteczną ochronę danych, wzorując się na ustawodawstwie unijnym, uzasadnionym byłoby wprowadzenie surowszych kar pieniężnych na podmioty sektora publicznego wymienione powyżej. Należy pamiętać, że wszelkie dane, którymi dysponują owe podmioty mają bardzo różnoraki charakter, często dotyczą również danych wrażliwych (np. stan zdrowia) dlatego też ich niewłaściwe zabezpieczenie może przynieść nieodwracalne skutki. Stąd też należy postulować rezygnację z ograniczania kar administracyjnych w stosunku do wspomnianych jednostek sektora finansów publicznych.
Skutkiem zmniejszenia potencjalnego zagrożenia karą administracyjną będzie tylko i wyłącznie zmniejszenie uwagi z jaką objęte nim podmioty będą traktowały zagadnienie ochrony danych osobowych. Obok eliminacji przepisów karnych stanowi to istotne zagrożenie dla skutecznego wprowadzenia w życie obowiązków wskazanych w RODO.

Istnieje poważna obawa, że przy tak pobłażliwych postanowieniach jej skuteczność będzie bardzo ograniczona, zaś realna implementacja będzie trwała latami. Doświadczenie uczy bowiem, że przepisy niepoparte nieuchronnymi i poważnymi sankcjami są traktowane mniej poważnie przez ich adresatów, niż te które posiadają takie „wsparcie”. Z całą pewnością nie o taki był zamysł ustawodawcy.

polecane: FLESZ: Ekologia na co dzień: 6 mitów, w które wierzymy

Wideo

Materiał oryginalny: RODO może okazać się niezrozumiałe dla przedsiębiorców - Polska Times

Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych”i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Komentarze 2

Ta strona jest chroniona przez reCAPTCHA i obowiązują na niej polityka prywatności oraz warunki korzystania z usługi firmy Google. Dodając komentarz, akceptujesz regulamin oraz Politykę Prywatności.
a
abi-24

Wątpliwości, które wiążą się z ogólnym rozporządzeniem o ochronie danych 2016/679 wynikają przede wszystkim z tego, że następuje całkowita zmiana podejścia do ochrony danych osobowych, która wymusi na administratorach danych osobowych zmiany w myśleniu o bezpieczeństwie tych danych a szerzej o całym systemie bezpieczeństwa informacji i zasadach nim zarządzania.
Na mocy RODO administrator danych osobowych staje się w zasadzie jedynym odpowiedzialnym za procesy związane z przetwarzaniem danych osobowych w organizacji.
Na próżno szukać w rozporządzeniu szczegółowych regulacji związanych z koniecznością stosowania konkretnych rozwiązań organizacyjno-prawnych i technicznych, mamy za to obowiązek zastosowania takich rozwiązań na podstawie rzetelnej OCENY RYZYKA.
Ryzyko (mniejsze lub większe, w zależności od zagrożeń i podatności) w związku z przetwarzaniem danych osobowych będzie istniało zawsze i dlatego do jego skali dostosowane będą musiały być nie tylko organizacyjno-prawne i techniczne zabezpieczenia ale także świadomość, wiedza i wrażliwość pracowników upoważnionych do ich przetwarzania.
Bardzo częstym zarzutem pojawiającym się w dyskusjach na temat RODO jest to, że w jego treści funkcjonuje zbyt wiele niedookreślonych zwrotów, zwrotów mało precyzyjnych, zwrotów dających możliwość bardzo szerokiej interpretacji tzw. KLAUZUL GENERALNYCH.
Przykład: art. 25 ust. 1
Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobu przetwarzania jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takie jak minimalizacja danych oraz w celu nadania niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Taka skala ogólności wynika z tego, że rozporządzenie przewidziane jest nie na rok 2018 ani nawet na 2025. Zamiarem europejskiego ustawodawcy było stworzenie takiego aktu prawnego, który będzie aktualny w dłuższym okresie czasowym i będzie skorelowanym z postępem technologicznym, którego tempo i nieprzewidywalność jest już dla wszystkich sprawą oczywistą.
Opierając się na takim podejściu Ministerstwo Cyfryzacji, w którym powstał projekt ustawy o ochronie danych osobowych, nie określa literalnie wymagań organizacyjnych w stosunku do administratorów danych osobowych. Wszyscy, którzy oczekują konkretnych wytycznych muszą poczekać do momentu wejścia w życie nowej ustawy o ochronie danych osobowych. Wówczas bowiem Prezes Urzędu Ochrony Danych Osobowych opracuje i udostępni w Biuletynie Informacji Publicznej rekomendacje określające środki techniczne i organizacyjne, które będą mogły być stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych z uwzględnieniem specyfiki danego rodzaju działalności. (Art. 43 nowej Ustawy ODO).
Prezes Urzędu Ochrony Danych Osobowych opracuje także:
•kryteria certyfikacji (Art. 7 nowej Ustawy ODO);
•standardowe klauzule umowne, o których mowa w art. 28 ust. 8 RODO;
•zatwierdzone kodeksy postępowania, o których mowa w art. 40 RODO (Art. 38 nowej Ustawy ODO);
•wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 RODO (Art. 39 nowej Ustawy ODO).
Dysponując powyższymi regulacjami będziemy mieli podstawy prawne do podejmowania racjonalnych i uzasadnionych merytorycznie decyzji.
Postulat pozostawienia w nowej Ustawie ODO przepisów karnych podobnych do tych, które zawiera rozdział 8 ustawy z 29 sierpnia 1997 roku jest mało realny. Na przestrzeni 20 lat funkcjonowania tej ustawy prawie z nich nie korzystano (pojedyncze przypadki) a nasz kraj był bodaj jedynym w UE, w którym takie regulacje obowiązywały.

Dodaj ogłoszenie

Wykryliśmy, że nadal blokujesz reklamy...

To dzięki reklamom możemy dostarczyć dla Ciebie wartościowe informacje. Jeśli cenisz naszą pracę, prosimy, odblokuj reklamy na naszej stronie.

Dziękujemy za Twoje wsparcie!

Jasne, chcę odblokować
Przycisk nie działa ?
1.
W prawym górnym rogu przegladarki znajdź i kliknij ikonkę AdBlock. Z otwartego menu wybierz opcję "Wstrzymaj blokowanie na stronach w tej domenie".
krok 1
2.
Pojawi się okienko AdBlock. Przesuń suwak maksymalnie w prawą stronę, a nastepnie kliknij "Wyklucz".
krok 2
3.
Gotowe! Zielona ikonka informuje, że reklamy na stronie zostały odblokowane.
krok 3