Przejdź do treści głównej

Maciej Kawecki o RODO w NGO [wywiad]

autor(ka): Rafał Kowalski, poradnik.ngo.pl
2018-08-13, 03:33
– Do każdego podmiotu teoretycznie może trafić kontrola, więc nie możemy argumentować, że malutki NGO-s nie ma szans na bycie skontrolowanym – przestrzega Maciej Kawecki, Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji.

Rafał Kowalski, poradnik.ngo.pl: Jesteśmy po webinarium na temat RODO, które prowadził pan dla organizacji pozarządowych. Czy podczas webinarium były jakieś pytania, które pana zaskoczyły?

Maciej Kawecki, Dyrektor Departamentu Zarządzania Danymi, Ministerstwo Cyfryzacji: – Nie, nie było takich pytań. Jednym z największych problemów związanych z RODO jest nagminne odbieranie zgód – niezrozumienie tego, że są przypadki, kiedy dane gromadzimy na podstawie umowy, na przykład umowy darowizny, albo na podstawie przepisów prawa – że zgoda jest na samym końcu. Tak naprawdę coraz mniej mnie zaskakuje – dookoła RODO urosło tak dużo absurdów, tak dużo błędów interpretacyjnych, że trudno jest, żeby coś w tym momencie mnie faktycznie zaskoczyło.

Co więc jest tą podstawą do zbierania danych?

M.K.: – Jeżeli zawieramy z kimś umowę, to podstawą jest umowa. Jeżeli przepisy prawa mówią, że aby coś zrobić gromadzimy dane osobowe, to gromadzimy je na podstawie przepisów prawa. Jeżeli nie mamy umowy, jeżeli nie mamy przepisu, to wtedy rzeczywiście możemy sięgnąć po zgodę z takim zastrzeżeniem, że zgoda jest przesłanką nietrwałą. To oświadczenie woli, które zawsze można odwołać. 

To, co w trakcie webinarium z organizacjami się przewijało, co trzeba zdecydowanie uwypuklić, bo z tym się spotyka każda fundacja czy stowarzyszenie, to problem, w jaki sposób wyrażamy zgodę. Jeżeli ja jako osoba, która chce stać się członkiem stowarzyszenia czy podopiecznym fundacji wypełniam wniosek, to to jest moja zgoda. Tam nie ma danych wrażliwych, to są dane zwykłe – zgodą jest wypełniany wniosek i nie musimy żadnych dodatkowych klauzuli zgody do tego wniosku dokładać. Musimy natomiast poinformować o prawie do jej odwołania. 

Natomiast kiedy chcielibyśmy zbierać dane wrażliwe, czyli dane dotyczące stanu zdrowia, orientacji seksualnej, pochodzenia rasowego, etnicznego itd., to wtedy zgoda musi być bardziej wyraźna i rzeczywiście samo wypełnienie wniosku może nie wystarczyć.

Podczas webinarium jednym z najważniejszych pytań było pytanie o przesłankę legalności w sytuacji kiedy organizacje mają zlecone zadania publiczne. W tym pytaniu była nadzieja, że może uda się znaleźć jedną uniwersalną przesłankę dla takich sytuacji. Z tego, co pan mówił wynika, że tak dobrze nie ma, że to jednak za każdym razem będzie wynikało z czegoś innego, bo sytuacje będą różne.

M.K.: – Tak. W jednych przypadkach będzie to prawdopodobnie przepis prawa, w innych przesłanka interesu publicznego. Ale warto, żeby na ten temat wypowiedział się Urząd Ochrony Danych Osobowych. Ministerstwo Cyfryzacji nie do końca jest organem właściwym do rozstrzygania tego typu wątpliwości. 


Wcześniej mieliśmy polską ustawę o ochronie danych osobowych. Długi czas organizacje przyjmowały taktykę: robimy wszystko, żeby danych osobowych nie zbierać. Ta taktyka po wejściu w życie RODO jest już nieaktualna?

M.K.: – Weszliśmy na trochę inny poziom. Mam wrażenie, że my się uczymy od 25 maja ochrony danych osobowych od podstaw. Bardzo wiele rzeczy się nie zmieniło. W tym, o co mnie pan teraz pyta, nic się nie zmieniło: te same podstawy były podstawą przetwarzania na kanwie ustawy z 1997 roku i na kanwie RODO. Tylko my do tego zupełnie inaczej podchodzimy – jest wyższa świadomość. 

Wydaje mi się, że to jest odpowiedź na pana pytanie. Mamy ćwierć wieku obowiązywania w Polsce ochrony danych osobowych, więc już chyba każdy wie o tym, że danymi osobowymi jest w zasadzie wszystko. Jeżeli fundacja robi zdjęcia konferencji, eventu, zbiera podpisy, wrzuca to na Facebooka – to wszystko są przecież dane osobowe. Nie dalej jak wczoraj widziałem: jedna z fundacji, która prowadzi teatr w Warszawie wrzuca nagminnie zdjęcia ze spektakli plenerowych dla dzieci. Zdjęcia dzieci, które podchodzą do aktorów, bardzo wyraźne. Musimy wiedzieć, że takie rzeczy mogą być przetwarzane za zgodą rodzica. Tutaj RODO nic nie zmieniło. Jeżeli dziecko jest rozpoznawalne, to jest informacja o tym, że ono uczestniczyło w określonym wydarzeniu, w określonym miejscu, o określonej godzinie, wiemy, jak wygląda. Często obok tego dziecka stoi rodzic, więc to dziecko jest jak najbardziej do zidentyfikowania i rodzic ma prawo powiedzieć, że sobie tego nie życzy. To są takie elementarne podstawy podstaw, których my się cały czas uczymy.

Uczymy się tej uważności. Można powiedzieć, że od 25 maja, kiedy weszło w życie RODO, mamy cały czas do czynienia z procesem?

M.K.: – Oczywiście. Nawet moje myślenie ewoluowało. 25 maja organizowaliśmy dzień otwarty RODO w Ministerstwie i byłem przekonany, że tego dnia kończymy pewien rozdział. Że teraz w zasadzie dojdzie do stosowania tych przepisów, że zainteresowanie RODO będzie mniejsze. Nie wiem, jak to się dzieje, ale ono cały czas jest na takim samym poziomie – a nawet urosło! Wydaje mi się, że ochrona danych osobowych w Polsce urosła do takiego mainstreamowego tematu. 

RODO stało się ważnym tematem w Polsce, ale nie we wszystkich krajach tak jest. Cieszy, że świadomość mamy coraz wyższą. To jest pewien efekt rozwoju naszego społeczeństwa.

Należałoby zalecić organizacjom pozarządowym, żeby nie poprzestawały na tym, co zrobiły do tej pory?

M.K.: – Nie mogą poprzestać, bo RODO się opiera na czym innym – opiera się na ocenie ryzyka. Wcześniej, przed 25 maja organizacje nie musiały dokonywać oceny ryzyka. Teraz muszą to zrobić. W trakcie korespondencji Urząd Ochrony Danych Osobowych zawsze będzie pytał, czy w ramach konkretnego incydentu, w ramach konkretnej czynności przetwarzania, w ramach której doszło do incydentu, dokonano oceny ryzyka. Czy zastosowane środki zabezpieczające są adekwatne do możliwego ryzyka wycieku danych. To jest to, co najbardziej różni RODO od poprzednich przepisów. 

Mówiąc o RODO przed 25 maja i teraz koncentrowaliśmy się głównie na rozporządzeniu. Ale weszły w życie też polskie przepisy. Na co w tych przepisach organizacje szczególnie powinny zwrócić uwagę?

M.K.: – Weszła w życie ustawa o ochronie danych osobowych i cały czas pracujemy nad pakietem przepisów – ponad 150 ustaw, które mają na celu zapewnienie skutecznego stosowania RODO w regulacjach sektorowych.

Na co szczególnie trzeba zwrócić uwagę?

M.K.: – Procedury. Jednoinstancyjność postępowanie zamiast dwuinstancyjności postępowania, wyłączenia w zastosowaniu RODO dla działalności artystycznej, literackiej. 

Bardzo ważne są zasady postępowania – certyfikacja, cała procedura certyfikacji. To są instrumenty, na które NGO-sy powinny zwrócić szczególną uwagę.

Wiele organizacji pozarządowych przetwarza dane wrażliwe. W związku ze zbieraniem danych wrażliwych stosujemy specjalną procedurę, czyli ocenę skutków, która jest inna niż analiza ryzyka. Ale organizacjom troszkę się to zlewa. Jak odróżnić te procesy?

M.K.: – Ocena ryzyka jest obowiązkowa dla każdego – niezależnie od tego, czy jest się małym przedsiębiorcą czy dużym, to musimy sobie udzielić odpowiedzi na pytanie, czy zastosowane środki zabezpieczające są wystarczające. 

Ponieważ administrator, czyli fundacja, stowarzyszenie ponosi odpowiedzialność za przetwarzanie danych, ponieważ przepisy prawne nie mówią jak dokładnie technicznie zabezpieczać dane, ciężar został nałożony na organizację. To jest ocena ryzyka. Kryteria dokonania takiej oceny określa sobie sama organizacja. Na wyższe ryzyko na pewno wpływa to, czy przetwarzamy dane szczególnie chronione czy dane zwykłe. To, czy dostęp do danych uzyskuje duża liczba podwykonawców czy nie. Czy dane przekazujemy poza Europejski Obszar Gospodarczy, czyli do państwa trzeciego. Czy przetwarzany dane w dużych zasobach. To wszystko wpływa na podwyższenie ryzyka. 

Natomiast ocena skutków dotyczy konkretnych projektów i dotyczy tylko tych projektów, w których, w szczególności ze względu na ich charakter, z dużym prawdopodobieństwem istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bądź dochodzi do przetwarzania na dużą skalę wrażliwych kategorii danych osobowych. Pod lupę bierzemy tu konkretny projekt, który wdrażamy i musimy odpowiedzieć sobie na pytanie, jak ten projekt wpływa na ochronę prywatności. Czy rzeczywiście jesteśmy w stanie zminimalizować ryzyko naruszenia w tym konkretnym projekcie. Jeżeli nie jesteśmy w stanie zminimalizować to konsekwencją, jest obowiązek skonsultowania danego projektu z UODO. 

Czyli analiza ryzyka i ocena skutków to są dwie zupełnie niezależne od siebie instytucje. Ocena ryzyka to jest coś dla nas wewnętrznego – z tym się nie wiąże żaden obowiązek konsultacyjny. Z oceną skutków – czy jesteśmy w stanie wyeliminować ryzyka związane z naruszeniem – wiąże się obecność konsultacji z Urzędem Ochrony Danych Osobowych.

O RODO dużo mówimy, świadomość jest coraz większa, ale potrzeba zdobywania wiedzy na ten temat nie maleje. Czy będą specjalne sprofilowane szkolenia dla organizacji pozarządowych?

M.K.: – Organizowaliśmy takie szkolenie przed 25 maja – to było transmitowane online spotkanie w ministerstwie tylko dla organizacji pozarządowych. Były przeróżne fundacje – Fundacja Batorego, Centrum Cyfrowe, Fundacja Panoptykon, Helsińska Fundacja Praw Człowieka. Te, które ten obszar szczególnie interesuje.

Niestety, są to pewnie też te, które sobie poradzą z RODO.

M.K.: – Największe?

Tak.

M.K.: – Ale dostęp był otwarty dla wszystkich. Wiem, że szkolenie organizowała też Fundacja Panoptykon. 

Również Narodowy Instytut Wolności wspólnie jeszcze wtedy z GIODO organizował szkolenia przed 25 maja.

M.K.: – Z tego, co wiem, to tak. 

Czy to ma kontynuację? 

M.K.: – Nie mam takiej wiedzy. My na chwilę obecną nie przewidujemy. Skupiamy się głównie na legislacji. Natomiast jeżeli sygnalizuje Pan taką potrzebę to na pewno ją rozważymy.

Mówi się o tym, że nowe przepisy mają trochę inny charakter niż poprzednie, bo w poprzednich było dosyć mocno określone co trzeba robić, a nowe są bardziej elastyczne, wymagają myślenia.

M.K.: – Zdecydowanie tak.

Organizacja zachowa się elastycznie, pomyśli i przyjmie swój sposób na ochronę danych… 

M.K.: – Zmierza Pan do tego, że zawsze jest ryzyko uznania, że dokonaliśmy jednak błędnej oceny?

Troszkę tak. Organizacje doświadczając kontroli z różnych urzędów wiedzą, że podejście kontroli jest schematyczne. Jak zagwarantować, że w przypadku RODO będzie inaczej? Bo chyba powinno być inaczej?

M.K.: – RODO ma instrumenty, które nam dają na to odpowiedź. Takim instrumentem są po pierwsze kodeksy postępowania. Kodeksy postępowania są kodeksami branżowymi, które można wdrożyć np. wewnątrz stowarzyszeń. Kodeksy doprecyzowują tą neutralność technologiczną, tą abstrakcyjność norm zawartych w RODO. Czyli my sami sobie ją w tym kodeksie doprecyzowujemy, przenosimy RODO na realia konkretnej organizacji – inne będą w prawie bankowym, inne w NGO-sach, inne w ubezpieczeniach. Następnie taki kodeks kierujemy do Prezesa Urzędu. Prezes kodeks zatwierdza i taki kodeks jest podstawą do przetwarzania danych osobowych. 

Jeżeli Państwo postępują zgodnie z kodeksem, a organ ten kodeks zatwierdził, to ryzyko, że uzna, iż w zatwierdzonym przez siebie kodeksie coś jest nie tak, jest równe zero. Tylko ten kodeks musimy mieć i egzekwować – to po pierwsze. 

Po drugie – proszę zwrócić uwagę, że ustawa o ochronie danych osobowych nakłada na Prezesa Urzędu obowiązek wydania rekomendacji określających techniczne i organizacyjne sposoby zabezpieczenia danych osobowych. Te rekomendacje określające techniczne i organizacyjne sposoby zabezpieczenia danych są takim dokumentem, są miejscem na to, żeby doprecyzowywać neutralność technologiczną. Musimy nauczyć się korzystać z tych instrumentów. 

Jak częste będą kontrole? Czy jest jakiś plan, żeby to właśnie organizacje pozarządowe poddać kontroli?

M.K.: – Nie mam takiej wiedzy. Ministerstwo Cyfryzacji nie jest regulatorem. Trzeba zapytać UODO o plan kontroli. Jedyne, co mogę powiedzieć panu to tyle, że wiem, że kontrole się odbywają.

Do podmiotów trafiają nie tylko kontrole planowane?

M.K.: – Każda skarga formalnie wszczyna postępowanie, więc nie tylko planowe. Zdecydowana większość kontroli to są kontrole, które są przeprowadzane w związku ze skargami, albo w związku z doniesieniami medialnymi, czyli kiedy wiemy, że coś wyciekło, jest naruszenie i organ chce to skontrolować z urzędu.

Wyobraźmy sobie stowarzyszenie zwykłe, do którego założenia wystarczają trzy osoby. To stowarzyszenie działa w kręgu swoich członków, a ma ich kilku. Jedyne dane osobowe, które przetwarza, to dane tych członków. Oczywiście jest zobowiązane, żeby te dane chronić. Przeprowadziło analizę ryzyka, zabezpiecza je tak, jak oceniło, że powinno zabezpieczać. Czy jest możliwe, żeby do takiego stowarzyszenia dotarła kontrola z UODO?

M.K.: – Oczywiście, że jest. Do każdego podmiotu teoretycznie może trafić kontrola, więc nie możemy argumentować, że malutki NGO-s nie ma szans na bycie skontrolowanym. Z punktu widzenia prawa każdy podmiot może być kontrolowany. Jeżeli do dużego wycieku danych dojdzie w dwuosobowym mikroprzedsiębiorstwie, to mikroprzedsiębiorstwo takie też może podlegać kontroli. 

Żeby uczestniczyć w pana webinarium, musiałem podać nazwisko, imię, maila, przeczytać informację, kto przetwarza dane i odklikać, co trzeba. Ja tego oczywiście nie przeczytałem. Wiem, że RODO jest dla osób, których dane są zbierane, ale ja klauzul nie czytam. Czy jest coś, co by mnie zachęciło?

M.K.: – RODO i żaden akt prawny nie ochroni nas przed nami samymi. My jesteśmy ostatnim buforem bezpieczeństwa, który ma nas chronić. Tak naprawdę nam się czasami wydaje, że przedsiębiorstwo zarabia na tym, co nam oferuje. Jeżeli mamy sklep internetowy, to on zarabia na ubraniach, jak mamy firmę, która zajmuje się oferowaniem usług związanych z webinariami, to ona zarabia właśnie na tak oferowanych webinariach. Natomiast w praktyce bardzo często jest tak, że zarabia się na bazie danych – to jest główna wartość przedsiębiorstwa. 

Pan czyta wszystkie klauzule, zanim je odklika?

M.K.: – Dane osobowe stały się walutą XXI wieku. A jeżeli stały się tą walutą, to musimy traktować je jak walutę. Każdy z nas dba o pieniądze, które ma w portfelu, stara się tego portfela nie zgubić. My na danych możemy zarabiać, ale też inni na naszych danych zarabiają. Jeżeli dbamy o portfel, to dbajmy też o nasze dane osobowe. 

Co robię? Nie mam czasu czytać tych wszystkich maili, co jest oczywiste, wszystkich aktualizacji, które dostaję. Ale stworzyłem sobie folder, gdzie wszystkie takie maile wrzucam. Potem w weekend, jak mam wolną chwilę, albo się nudzę, otwieram ten folder i realizuję prawo do bycia zapomnianym, usuwam zgody, czyszczę… 

Rzeczywiście zawiodło mnie trochę na chwilę obecną rozporządzenie w takim zakresie, że myślałem, że liczba tych maili po 25 maja będzie mniejsza. Tak naprawdę jednak ich liczba będzie zależała trochę od nas. Jak będziemy korzystać z prawa do bycia zapomnianym, to przedsiębiorcy będą to prawo do bycia zapomnianym w dużo większym stopniu respektowali. Warto o tym pamiętać.

 

Dr Maciej Kawecki – doktor nauk prawnych, koordynator krajowej reformy ochrony danych osobowych, kieruje Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji. Autor kilkudziesięciu publikacji z zakresu bezpieczeństwa danych osobowych, uczestnik kilkudziesięciu krajowych oraz międzynarodowych konferencji naukowych z zakresu prawa nowych technologii. Laureat konkursu Wolters Kluwer Polska i „Dziennika Gazety Prawnej” – Rising Stars 2017 (nagroda specjalna w listopadzie 2017 r.).


Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.
poradnik.ngo.pl - informacje i porady. Odwiedź już dziś!

Źródło: inf. własna (poradnik.ngo.pl)
Uwaga! Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w portalu www.ngo.pl w innych mediach lub w innych serwisach internetowych wymaga zgody Redakcji portalu!
Wyraź opinię 3 1

Skomentuj

KOMENTARZE

Nie ma żadnych komentarzy

Redakcja www.ngo.pl nie ponosi odpowiedzialności za treść komentarzy

  • dane osobowe
  • kontrola
  • obowiązki
  • prawo