RODO – bilans pięciu lat stosowania unijnego prawa

Powszechne lekceważenie

Trzeba podkreślić, że pięć lat temu większość firm i instytucji podeszła do wdrożenia RODO bardzo poważnie, dzięki czemu poziom ochrony danych osobowych w ciągu tych paru lat zdecydowanie wzrósł. Jest przy tym smutną konstatacją, że przepisy o ochronie danych osobowych funkcjonują w Polsce od 25 lat, ale dopiero RODO wraz z wysokimi karami pieniężnymi wymusiło podniesienie standardów w tym zakresie. Przypomnijmy przy tym, że pomimo wielu nowych rozwiązań RODO w pewnym zakresie (jak np. podstawy prawne przetwarzania danych, obowiązek informacyjny czy inne prawa podmiotów danych) powtarza dotychczasowe przepisy. W latach 90. miałem okazję je współtworzyć i pamiętam, że zainteresowanie ochroną danych osobowych było niewielkie. Pomimo wysokich kar pozbawienia wolności (do trzech lat) nikt na karę więzienia nie został skazany, stąd nie można się dziwić, że wobec braku innych sankcji dość powszechnie przepisy te były lekceważone. Nawet niektórzy parlamentarzyści, którzy uchwalili w 1997 r. pierwszą ustawę o ochronie danych osobowych, nie traktowali jej zbyt poważnie, skoro z mównicy sejmowej padały takie określenia jak „ustawa o listach lokatorów” itp. Ówczesny organ nadzorczy (generalny inspektor ochrony danych osobowych) nie dysponował skutecznymi instrumentami egzekwowania prawa i tylko zaangażowaniu i wiedzy ówczesnych GIODO (Ewa Kulesza, Michał Serzycki, Wojciech Wiewiórowski – obecny europejski inspektor ochrony danych – oraz Edyta Bielak-Jomaa) zawdzięczać można to, że stan świadomości na temat zagrożeń wynikających z przetwarzania danych stopniowo się poprawiał.

Podejście oparte na ryzyku

Niezależnie jednak od kontynuacji części rozwiązań RODO wprowadziło wiele nowości, m.in. nowe podejście do kwestii bezpieczeństwa danych osobowych. Przepisy szczegółowo określające różne kwestie, m.in. długość haseł dostępowych, zastąpiono tzw. podejściem opartym na ryzyku. To podejście charakteryzuje większość obecnych regulacji dotyczących bezpieczeństwa i cyberbezpieczeństwa. W skrócie polega ono na tym, że administrator sam identyfikuje i ocenia ryzyka wynikające z przetwarzania przez niego danych osobowych oraz wdraża odpowiednie środki ochrony. Często jednak pojawia się tu w praktyce niezrozumienie, o jakich ryzykach mówi RODO. Zdarza mi się podczas różnych wystąpień nieco prowokacyjnie stwierdzać, że RODO to nie jest akt o ochronie danych osobowych. Oczywiście jest, ale musimy przede wszystkim rozumieć główny cel rozporządzenia. Już z pełnego tytułu RODO wynika, że dotyczy ono „ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”. Chroni zatem różne prawa i wolności obywatelskie, a nie tylko prawo do prywatności lub prawo do ochrony danych osobowych. To „w związku z przetwarzaniem danych osobowych” oznacza, że ryzykiem jest np. nie tylko sam wyciek danych, lecz także jego potencjalne konsekwencje dla podmiotów danych (kradzież tożsamości, utrata środków z rachunku bankowego itp.). Ryzykiem może być również modyfikacja lub utrata dostępu do danych (np. atakujący szyfruje dane pacjentów szpitala, uniemożliwiając dalsze leczenie), a także profilowanie osób (klientów, pracowników, użytkowników internetu), które prowadzi do dyskryminacji (np. poprzez stosowanie przez pracodawcę wobec pracowników algorytmów służących ocenie tych ostatnich, które w istocie dyskryminują kobiety lub osoby starsze). Skupiając się na poufności, dostępności i integralności danych, często tych dalszych skutków nie zauważamy.