Każdą osobę wchodzącą na stronę internetową generalnego inspektora ochrony danych osobowych wita licznik odmierzający czas do dnia, w którym zacznie być stosowane RODO, czyli unijne rozporządzenie o ochronie danych osobowych 2016/679. W dniu ukazania się tego wydania Magazynu DGP wskazuje on 69 dni. Tyle właśnie brakuje do godziny zero, czyli 25 maja, kiedy zacznie być stosowana nowa regulacja, często określana największą zmianą w polskim prawie od czasu wstąpienia naszego kraju do Unii Europejskiej. Nie bez kozery. Wymaga ona bowiem nowelizacji ponad 130 ustaw.
Czy jednak zmiany rzeczywiście będą tak rewolucyjne?
Zwykli ludzie raczej nie odczują ich na co dzień, a jeśli tak, to w stopniu minimalnym. Nie oznacza to jednak, że przepisy te nie będą miały znaczenia. Będą je miały, ale głównie dla administratorów danych. Przeciętny śmiertelnik nie zwróci uwagi, że jego dane będą lepiej chronione i rzadziej będzie dochodzić do wycieków, a takie powinny być skutki RODO - zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Z pewnym dystansem należy więc podchodzić do wypowiedzi członków Komisji Europejskiej czy europarlamentarzystów, którzy przed kamerami rozwodzą się o tym, jak nowe regulacje uchronią nas przez wszechobecną inwigilacją w dobie internetu. Nie uchronią. Co najwyżej zapewnią nieco więcej informacji o tym, że jesteśmy śledzeni.
Dla przedsiębiorców RODO na pewno będzie stanowić duże wyzwanie, ale również nie musi oznaczać aż tak rewolucyjnych zmian, jak się obawiają. A jeśli tak, to tylko dlatego, że dotychczas nie przejmowali się zbytnio ochroną danych osobowych.
Mitem jest to, że 25 maja 2018 r. obudzimy się w zupełnie nowej rzeczywistości. Polski system ochrony danych osobowych ma już 20 lat. Rozwiązania służące ochronie prywatności od dawna powinny być stałym elementem kultury organizacyjnej wszystkich polskich przedsiębiorstw i instytucji - mówi dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych. – RODO nie czyni ochrony danych trudniejszą. Przeciwnie, jest doskonałą okazją, by uporządkować wszystkie procesy. W wielu obszarach ułatwia też działanie, z jednej strony dając administratorom danych większą samodzielność i elastyczność, a z drugiej uspójniając system tej ochrony na obszarze całej Unii Europejskiej – dodaje.
Jak zatem w chaosie informacyjnym rozpoznać, co rzeczywiście wpłynie na poprawę ochrony naszych danych, a co nie? Co jest prawdą, a co mitem? Próbujemy to pokazać na kilku najczęściej przywoływanych przykładach.
MIT PIERWSZY: Znikniemy z internetu
Jednym z większych osiągnięć RODO ma być prawo do bycia zapomnianym, czyli tak naprawdę uprawnienie do żądania usunięcia swych danych. Podczas prac nad rozporządzeniem forsowała je ówczesna wiceprzewodnicząca Komisji Europejskiej Viviane Reding, przekonując, że dzięki niemu wreszcie będziemy mogli zniknąć z internetu, usunąć informacje, które nie powinny w nim się znajdować, naprawić błędy młodości. Zapewniać ma nam to art. 17 RODO, na podstawie którego możemy zarówno żądać usunięcia swych danych z bazy sklepu, jak i z serwisów społecznościowych. Włączając w to zarówno nasze zdjęcia, jak i opublikowane wpisy.
To jeden z mocniejszych kandydatów na przepis, który pozostanie martwy. Moim zdaniem to prawo po prostu nie zadziała, nie będzie realizowane i traktowane przez firmy poważnie - uważa Katarzyna Szymielewicz z Fundacji Panoptykon.
Nawet gdyby administratorzy poważne podchodzili do próśb o wykasowanie danych, to i tak znikniemy najwyżej z jednego, góra kilku serwisów internetowych. Tymczasem nasze dane są multiplikowane, kopiowane w kolejnych miejscach. Co prawda RODO wymaga, by administrator, do którego zwracamy się z wnioskiem o usunięcie danych, podjął "rozsądne działania", by o tym żądaniu poinformować także inne serwisy, trudno mieć jednak nadzieję, że to się sprawdzi.
Czym jest RODO?
Prawo do bycia zapomnianym będzie działać w ograniczonym zakresie nie z powodu złej woli administratorów, tylko dlatego, że nie będą oni mieć technicznych możliwości realizacji wniosków. Zwyczajnie bowiem nie będą wiedzieli, że np. informacje opublikowane w ich serwisie zostały pobrane z innych miejsc w internecie, zarządzanych przez innych administratorów - tłumaczy dr Paweł Litwiński.
FAKT PIERWSZY: Będzie mniej wycieków danych
To może być najmniej widoczny, ale najbardziej znaczący efekt RODO. Najmniej widoczny, bo jeśli zastosowane zabezpieczenia pozwolą uniknąć wycieku danych, to po prostu się o tym nie dowiemy. Najbardziej znaczący, bo wyciek to najgorsze, co może się zdarzyć. Przejęcie numerów naszych kart płatniczych, hasła do naszej skrzynki pocztowej czy loginów do serwisów internetowych bez wątpienia może powodować największe straty. Zarówno w wymiarze finansowym, bo zwyczajnie możemy zostać okradzeni z pieniędzy, jak i chociażby dóbr osobistych, np. gdy ktoś podszyje się pod nas w internecie.
Dlaczego RODO miałoby skłonić przedsiębiorców do tego, by bardziej troszczyli się o bezpieczeństwo naszych danych? Powód jest prosty – będzie to leżało w ich dobrze rozumianym interesie. Po pierwsze dlatego, że ewentualne zaniedbania mocno uderzą ich po kieszeni. Za wyciek danych będą grozić najbardziej surowe kary pieniężne. Co istotne, o ile w niektórych państwach UE były one już stosowane, o tyle na polskim rynku będzie to nowość. Wiadomo zaś, że nic nie przemawia tak do wyobraźni, jak konieczność zapłacenia kilkudziesięciu czy nawet kilkuset tysięcy złotych.
Po drugie - wyciek będzie oznaczać dla firmy olbrzymie straty wizerunkowe. Będzie ona bowiem sama musiała poinformować o tym, że doszło do naruszenia ochrony danych klientów. To zaś może oznaczać utratę ich zaufania. Projekt ustawy o ochronie danych osobowych przez pewien czas przewidywał zwolnienie większości polskich mikro-, małych i średnich przedsiębiorców z tego obowiązku, ale pod wpływem powszechnej krytyki Komitet Stały RP wycofał się z tego pomysłu.
Po trzecie wreszcie, firmy będą zobowiązane do informowania prezesa Urzędu Ochrony Danych Osobowych (to on zastąpi GIODO) o tym, że doszło do wycieku. To zaś może oznaczać wizytę kontrolerów.
MIT DRUGI: Dane dzieci będą przetwarzane tylko za zgodą rodziców
To kolejna regulacja, którą mocno akcentowano podczas prac nad RODO - chęć chronienia danych osobowych dzieci w internecie. Zgodnie z unijnymi przepisami na ich przetwarzanie do ukończenia 16 lat zgodę musi wyrazić rodzic lub opiekun prawny. Rozporządzenie pozwala jednak państwom członkowskim na obniżenie tego wieku do 13 lat i taki wiek początkowo zaproponowało Ministerstwo Cyfryzacji w przedstawionym przez siebie projekcie ustawy o ochronie danych osobowych. Niedawno jednak zapadła decyzja, by ochroną objąć dzieci do lat 16.
Idea oczywiście jest słuszna. Gdy dziecko otworzy serwis internetowy i będzie chciało się w nim zarejestrować, pojawi się pytanie, czy ma ukończone 16 lat. Jeśli nie, zawoła mamę lub tatę, którzy zastanowią się, czy chcą podać dane swego podopiecznego, a jeśli uznają, że tak, to wyrażą na to zgodę.
W praktyce jednak małe są szanse, by rozwiązanie to okazało się skuteczne. Jak bowiem serwis ma zweryfikować, kto rzeczywiście wyraża zgodę? Telefonując? Nawet jeśli zdecyduje się ponieść związane z tym koszty, to przecież po głosie nie rozpozna, czy ma do czynienia z 14-latkiem, czy osobą pełnoletnią. Wysyłając e-maila z prośbą o potwierdzenie? Założenie fikcyjnego konta e-mail zajmuje dzisiejszym nastolatkom zaledwie kilka minut. Prosić o podanie numeru PESEL nie będzie zaś można.
Osobiście nie mam żadnych wątpliwości, że przepis ten w znacznej mierze pozostanie martwy. Problem z weryfikacją wieku nie jest przecież nowy, zmagaliśmy się już z nim przy udostępnianiu w internecie treści audiowizualnych. Nie ma dzisiaj dobrych rozwiązań i wszyscy zdają sobie z tego sprawę - uważa Wojciech Dziomdziora, radca prawny z kancelarii Domański Zakrzewski Palinka i ekspert Polskiej Izby Informatyki i Telekomunikacji. Nie oznacza to jednak, że te przepisy są bezwartościowe. Liczy się ich funkcja edukacyjna, kształtująca pewne postawy. Najważniejsze jest jednak uczenie dzieci bezpiecznych zachowań. Opowiem anegdotę: moja 10-letnia córka mówi mi ostatnio, że jacyś chłopcy z klasy coś nabroili. Pytam którzy, na co słyszę, że nie może mi powiedzieć, bo jest ochrona danych osobowych. Cieszę się, że w tym wieku, oczywiście na swój sposób, dzieci zaczynają rozumieć potrzebę chronienia prywatności - dodaje.
FAKT DRUGI: Kary mogą zaboleć
Liczone w milionach euro kary pieniężne to najbardziej eksponowany wątek w artykułach prasowych o RODO. Eksperci zajmujący się ochroną danych osobowych nie lubią nadużywania tego straszaka. Powtarzają, że administratorzy powinni dbać o ochronę danych, dlatego że chodzi o prawa człowieka, a nie ze strachu przed karami.
Trudno jednak nie zauważyć, że tematyka ochrony danych osobowych, dotychczas spychana na margines, jest dzisiaj tak popularna właśnie z powodu grożących przedsiębiorstwom kar. Jak wynika z badań, firmy mogą nie zdawać sobie sprawy, co tak naprawdę zmienia RODO, kiedy wchodzi w życie, ale o tym, że wprowadza gigantyczne kary finansowe, wiedzą prawie wszyscy.
Zagrożenie realną i dotkliwą karą, o której rzeczywiście krążą już legendy, powinno przyczynić się do tego, że ochrona danych przestanie być ostatnim zagadnieniem, które jest uwzględniane w codziennej działalności przedsiębiorców czy instytucji, gromadzących i wykorzystujących dane osobowe swoich klientów, kontrahentów, subskrybentów czy pracowników - podkreśla dr Edyta Bielak-Jomaa.
Jeśli ktoś myśli, że przynajmniej na początku kary nie będą stosowane, to mocno się myli. Jednym z głównych celów ich wprowadzenia jest bowiem funkcja edukacyjna. Kary mają działać odstraszająco i dawać jasny sygnał rynkowi, że ignorowanie przepisów o ochronie danych zwyczajnie się nie opłaca.
Górną granicę kar ustalono na bardzo wysokim poziomie. Za najcięższe przewinienia grozić będzie nawet 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego. Co istotne, zgodnie z wytycznymi Grupy Roboczej Art. 29 (zgromadzenie organów ochrony danych osobowych ze wszystkich państw UE) kary powinny być zsynchronizowane w całej Unii. Mówiąc wprost – chodzi o to, by podobna sankcja groziła za takie samo naruszenie w Polsce, we Francji czy w Niemczech. Oznacza to, że dla polskich przedsiębiorców mogą być one dużo bardziej odczuwalne, oznaczają bowiem realnie wyższy koszt niż np. dla niemieckiej firmy.
Mniej motywacyjnie kary będą działać natomiast na administrację publiczną. Projekt polskiej ustawy ogranicza bowiem ich wysokość do 100 tys. zł.
MIT TRZECI: Człowiek podważy decyzję maszyny
RODO reguluje też profilowanie, czyli w uproszczeniu proces podejmowania w sposób automatyczny decyzji w oparciu o dane zgromadzone o klientach. Jak to możliwe, że bank w krótkim czasie jest w stanie podjąć decyzję o tym, czy przyzna nam kredyt, a jeśli, to na jakich warunkach? Właśnie dzięki profilowaniu. Wszyscy wiedzą, że bierze się w nim pod uwagę takie czynniki jak stan cywilny, liczbę dzieci, wiek czy historię spłacania poprzednich kredytów. Mało kto jednak zdaje sobie sprawę, że na podstawie samych płatności kartą kredytową bank może sporo dowiedzieć się na temat naszego stanu zdrowia (częste zakupy w aptece), uzależnień (zakupy w sklepach monopolowych, zwłaszcza w niedzielę rano), a nawet przewidzieć możliwość rozwodu (częste wynajmowanie pokoju hotelowego na jedną noc). Wszystkie te informacje mogą (choć oczywiście nie muszą) być uwzględniane podczas profilowania. Jak dołoży się do tego dane zgromadzone z mediów społecznościowych, to okazuje się, że bank może o nas wiedzieć dużo więcej, niż byśmy tego chcieli.
Teoretycznie klient może poprosić o wskazanie mu zasad profilowania. W praktyce jednak otrzyma raczej ogólne informacje niż szczegółowe dane na temat wszystkich wziętych pod uwagę zmiennych. Dlatego też RODO pozwala mu odwołać się od decyzji podjętej przez bezduszną maszynę. Na jego żądanie decyzja musi po raz kolejny zostać przeanalizowana przez człowieka.
Czy to jednak coś zmieni? Raczej będzie to zwykła formalność. Owszem, na nasze żądanie pracownik banku wyda nową decyzję, trudno jednak przypuszczać, by była ona odmienna od tego, co wcześniej wypluł z siebie komputer.
FAKT TRZECI: Ocena przed, a nie po
Nowe przepisy wymagają, aby w niektórych sytuacjach administrator przeprowadzał ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Chodzi zwłaszcza o procesy z wykorzystaniem nowych technologii czy też z dużych ilości danych wrażliwych, czyli te, w których ryzyko związane choćby z wyciekiem jest największe.
Przepis ten niejako odwraca kolejność podejmowania decyzji. Dzisiaj bowiem najpierw przedsiębiorca myśli o tym, by zastosować jak najbardziej skuteczne i przy tym możliwie tanie rozwiązania. Dopiero na końcu zastanawia się, jak zadbać o to, by zapewniały one ochronę danych. Teraz ocena ta ma być dokonywana jeszcze przed wdrożeniem nowego rozwiązania.
To może być cichy bohater nowych przepisów. Cichy, bo niewiele osób będzie wiedziało o tym, że takie analizy są robione i pozwalają lepiej chronić dane. Ich efekty mogą być jednak nie do przecenienia - mówi dr Paweł Litwiński.
Wyobraźmy sobie, że mały start-up wprowadza innowacyjną usługę. Musi rozważyć, czy dane użytkowników będą przetwarzane w chmurze, czy na własnym serwerze. To pierwsze rozwiązanie jest dużo tańsze i dzisiaj to na nie firma decydowałaby się bez zastanowienia. RODO każe jej jednak wziąć pod uwagę również kwestie bezpieczeństwa danych. Porównując obydwie możliwości, będzie więc musiał wziąć także i to pod uwagę - podaje przykład.
Nowy obowiązek będzie odgrywać szczególnie istotną rolę przy wdrażaniu nowych technologii, a jak pokazuje praktyka, to one często stanowią największe zagrożenie dla ochrony danych. Jeśli ocena skutków wykaże wysokie ryzyko, to administrator będzie musiał przed zastosowaniem nowych rozwiązań skonsultować je z prezesem Urzędu Ochrony Danych Osobowych.
MIT CZWARTY: Łatwo przeniesiemy dane
Zgodnie z RODO firmy będą musiały umożliwić przenoszenie danych wytworzonych przez klientów. I nie chodzi tu wyłącznie o imię, nazwisko czy adres zamieszkania. Użytkownik serwisu społecznościowego będzie mógł zażądać przekazania w zasadzie wszystkich informacji, jakie sam wygenerował. Zdjęcia, komentarze czy jakiekolwiek inne treści wrzucone do sieci przez użytkownika są bowiem informacjami możliwymi do powiązania z osobą fizyczną, a więc stanowią dane osobowe.
RODO narzuca, by każdy administrator przekazywał osobie zainteresowanej jej dane w "ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego". Co więcej, można też żądać, by przekazywał je bezpośrednio innemu przedsiębiorcy. Rejestrując się np. w nowej księgarni internetowej, klient mógłby sobie zażyczyć, aby dotychczasowa przekazała jej całą historię zakupów. Czy w praktyce będzie to jednak wykonalne? Jeśli już, to w bardzo ograniczonym zakresie.
Z oczywistych względów nie da się bowiem przenieść wszystkich danych z Facebooka do Twittera, bo chociaż obydwa są serwisami społecznościowymi, to działają na innych zasadach. Bardziej prawdopodobne jest przenoszenie informacji między podmiotami bliźniaczymi, jak choćby operatorami telekomunikacyjnymi. Ci jednak i tak to umożliwiają, więc RODO niewiele tu zmieni. Podobnie jak w przypadku banków, które również mogą przekazywać historie rachunków.
FAKT CZWARTY: Stała ochrona na każdym etapie
Choć RODO jest omawiane w mediach bardzo szczegółowo, bardzo rzadko wspominane są dwie zasady o angielskich nazwach: privacy by design oraz privacy by default. Tymczasem to właśnie te reguły mogą odgrywać olbrzymie znaczenie dla ochrony danych. Zgodnie z pierwszą z nich ochrona prywatności powinna być wbudowana w każdy projekt zakładający przetwarzanie danych. Powinien więc zostać on przemyślany w taki sposób, by zbierać jak najmniej danych, psudonimizować je tam, gdzie jest to możliwe (może to polegać np. na zastępowaniu numerów PESEL innymi cyframi, ale w sposób umożliwiający przywrócenie pełnych danych), i zapewniać bezpieczeństwo. Z kolei druga zasada ma sprawić, by aplikacje czy systemy przetwarzające dane były domyślnie ustawione w taki sposób, aby przetwarzały jak najmniej informacji o użytkowniku. Dopiero świadoma zgoda użytkownika może to zmienić.
To w tych regulacjach pokładam największe nadzieje. Privacy by design oraz privacy by default dużo zmienią w relacjach między podmiotem a administratorem danych. Sensownie i w pełni wdrożone mogą wreszcie upodmiotowić konsumentów, którzy do tej pory przez wiele firm eksploatujących dane byli traktowani jak cyfrowa biomasa. Teraz, zgodnie z nowymi regułami, również te firmy będą musiały chronić prywatność swoich użytkowników w sposób maksymalny, a warunkiem wykorzystywania danych w szerszym zakresie, niż jest to konieczne, będzie świadoma decyzja użytkownika. To zaś oznacza konieczność nawiązania partnerskiego dialogu - komentuje Katarzyna Szymielewicz z Fundacji Panoptykon.