Jak wdrożyć RODO? Mamy informacje z pierwszej ręki

Trudno się dziwić, że to odbywające się w Pomorskim Parku Naukowo Technologicznym spotkanie cieszyło się wielkim zainteresowaniem samorządowców.

- Spojrzałam właśnie na stronę generalnego inspektora danych osobowych i co widzę? 7 dni, 7 godzin 42 sekundy dokładnie tyle zostało nam na wdrożenie unijnego rozporządzenia o ochronie danych osobowych - mówiła rozpoczynając spotkanie, Marta Gadomska-Byrska (DGP).

Gościem specjalnym kongresu był dr Maciej Kawecki - dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator prac nad reformą ochrony danych osobowych. Człowiek, który przez ostatnie dwa lata tworzył polskie przepisy o ochronie danych osobowych, dostosowując je do RODO.

Unijna rewolucja

- RODO wymaga zmiany całego systemu prawnego. Te 150 aktów prawnych, które zostaną znowelizowane w ustawie wdrożeniowej, to tylko najpilniejsze zmiany - mówi dr Kawecki. Cytuje też wypowiedź kanclerz Niemiec Angeli Merkel, że żadna z reform w UE nie budziła tak dużych kontrowersji i nie miała takiego wpływu na prowadzenie działalności gospodarczej. RODO dotyczy jednak nie tylko przedsiębiorców, także szeroko pojętej administracji - rządowej i samorządowej.

Zanim dr Kawecki przeszedł do części szczegółowej, zwrócił uwagę na nadużycia związane z wejściem w życie nowych przepisów. Zapewniał, że ani płatne szkolenia personelu, ani uzyskiwanie certyfikatów nie są obowiązkowe. Nie ma też konieczności ograniczania dostępu do internetu. Zwracał uwagę na możliwość wyciągania informacji w celu przeprowadzania cyberataku czy zastraszanie przedsiębiorców i instytucji karami, jeśli te nie skorzystają z płatnego "wsparcia" tej czy innej firmy.

Fakty, mity i nowe wymagania

Podstawowa zasada przy wdrażaniu unijnych przepisów to zasada neutralności. - Gdy tworzono RODO, to zastanawiano się, co zrobić, żeby przepisy się nie zdezaktualizowały - wyjaśniał Maciej Kawecki samorządowcom. - Jak wprowadzić regulacje, które w krótkim czasie nie będą nadawały się do kosza, bo postęp technologiczny w tej dziedzinie jest bardzo szybki. Dlatego też ciężar ustalenia tego, jak prawidłowo zabezpieczyć dane, spoczywa na państwu - mówił ekspert.

Jak sobie z tą neutralnością poradzić? Tu według prelegenta najbardziej pomocne mogą okazać się dwa instrumenty - branżowe kodeksy zatwierdzane przez Urząd Ochrony Danych Osobowych i rekomendacje sektorowe, wydawane przez tę samą instytucję i wypracowane po konsultacji z określonymi branżami. - Rekomendacje wydane przez prezesa UODO nie będą wiążące, ale będą bardzo cennym punktem odniesienia - stwierdził Maciej Kawecki.

Koordynator reformy przypomniał też o kolejnym obowiązku - informacyjnym. Nie jest to nowość, lecz doprecyzowanie od lat obowiązujących przepisów. Podobnie zresztą jak regulacje o zgłaszaniu naruszeń. Przy czym, jak zauważył, są sytuacje, w których administracja publiczna nie musi przekazywać informacji o przetwarzaniu danych.

W dalszej części Maciej Kawecki rozprawił się z krążącymi wokół rozporządzenia mitami. Między innymi stwierdził, że we wdrażaniu RODO nie wyręczą ludzi aplikacje i programy.

- Nie ma takiego oprogramowania, które całkowicie rozwiąże problem, dlatego że ono musi być dostosowane do naszej konkretnej organizacji, tego, gdzie pracujemy, naszej kultury prawnej, tego, jak mamy konstruowane normy prawne - mówił ekspert, choć przyznał, że dobre oprogramowanie może pomóc we wdrażaniu przepisów w życie.

Jak mamy informować

Samorządowcy zasypali koordynatora gradem pytań. Zdecydowana większość dotyczyła obowiązku informacyjnego. Jak wypełnić go, żeby było jak najtaniej i najprościej?

- Jeżeli odbieramy dane na formularzach, to na formularzu. Jeżeli pierwszym miejscem pozyskania danych jest recepcja czy lada, to przez naklejkę w tym miejscu. Jeżeli jest to formularz na stronie internetowej, to pod spodem treści internetowych. Ważne, żeby zostało to przekazane prostym językiem, dostosowanym do odbiorcy - wyjaśniał ekspert.

Czy wystarczy, że wywiesimy informację w biurze podawczym? - dopytywał z kolei inny samorządowiec.

- Oczywiście, wykonanie obowiązku jest w ten sposób udowodnione - nie miał wątpliwości dr Kawecki. - Jeśli taka klauzula wisi na stronie internetowej, to oznacza również, że obowiązek został zrealizowany. Nie musi być żadnych przycisków wyboru.

- A co, gdy mamy infolinię - padło następne pytanie. - W zasadzie powinniśmy tę informację przeczytać, można to zrobić w okresie oczekiwania na połączenie. Chyba że ktoś wie, kto jest administratorem danych, wtedy informujemy tylko o tych prawach, o których osoba nie wie lub może nie wiedzieć.

Następne ciekawe wyjaśnienie dotyczyło też monitoringu wizyjnego. Zdaniem eksperta rozwiązanie musi być racjonalne, nie da się tego w przestrzeni publicznej zrobić inaczej niż przez wywieszenie informacji przy kamerze.

- Trudno wymagać, żeby co 2-3 m znajdowała się kartka z informacją "obszar monitorowany" - uzupełnił ekspert. Zastrzegł jednak, że jeżeli kamery należą do różnych administratorów, to obowiązek ten dotyczy każdego z ich.

Zofia Jóźwiak