Zapraszamy na szkolenia z przepisów RODO.
05.05.2022

„Ochrona danych osobowych nie jest dokumentem, a procesem.”

Rozmowa z Dorotą Skolimowską na temat przepisów RODO w Polsce.

W maju 2022 roku mijają 4 lata od wdrożenia przepisów RODO do polskiego systemu legislacyjnego. Co zmieniło się przez ten czas i jakie wyzwania jeszcze przed nami? Na ten temat rozmawiamy z Dorotą Skolimowską, ekspertką z 20-letnim doświadczeniem w zakresie ochrony danych osobowych.


JGT: Mijają 4 lata od wprowadzenia przepisów dotyczących RODO. Pewnie większość z nas jeszcze pamięta, jak duże budziły kontrowersje. Czy tak jest dalej, czy może przyzwyczailiśmy się już do RODO?

DOROTA SKOLIMOWSKA: Mam wrażenie, że po 4 latach przyzwyczailiśmy się już do RODO i nie budzi ono tak wielu emocji, jak kilka lat temu.

Przedsiębiorcy z reguły już w 2018 roku podjęli działania mające na celu dostosowanie się do nowych przepisów i wydaje im się, że to wystarczy. Moim zdaniem są jednak w błędzie, bo nasza wiedza na temat tego, jak interpretować RODO w 2018 roku i aktualnie jest zupełnie inna. W ciągu ostatnich lat pojawiło się wiele wytycznych Europejskiej Rady Ochrony Danych. Prezes Urzędu Ochrony Danych Osobowych wydał setki decyzji, w których przedstawił, jak powinny być rozumiane przepisy RODO w odniesieniu do konkretnych sytuacji.

Teraz, po kilku latach, jest czas na to, aby zastanowić się, czy to, co przygotowaliśmy w 2018 roku, dzisiaj zapewniłoby naszej firmie pozytywną ocenę wydaną przez organ nadzorczy.  

Wiele konkretnych tematów nadal wywołuje dyskusje. Przykładowo dostęp do informacji publicznej a RODO, a ostatnio temat zakresu danych osobowych, które powinny być ujawniane w Centralnym Rejestrze Umów zawieranych przez jednostki sektora finansów publicznych, w tym jednostki samorządu terytorialnego.

JGT: A czy obawy i wątpliwości, które mieliśmy na początku potwierdziły się? Jakie są największe trudności związane z tymi przepisami?

DS: Biznes najbardziej obawiał się wysokich kar pieniężnych i wielu skarg od osób fizycznych. Moim zdaniem te obawy nie znalazły potwierdzenia w rzeczywistości. Kary nakładane przez polski organ nadzorczy zdecydowanie nie należą do najwyższych w Unii Europejskiej. Sięgają na razie maksymalnie kilku milionów złotych, podczas gdy w niektórych państwach członkowskich nałożone zostały kary w wysokości kilkuset milionów euro.

Realnym problemem nadal jednak pozostaje to, że dosyć mało konkretne przepisy pozwalają na nakładanie dotkliwych kar pieniężnych na podmioty z sektora prywatnego i publicznego. Z tego powodu firmy i instytucje publiczne powinny uświadomić sobie, że dostosowanie swojej działalności do RODO to nie jest proces jednorazowy, który odbył się w 2018 roku. Opracowanie procedur w zakresie ochrony danych osobowych, czy stworzenie nowych klauzul informacyjnych RODO to za mało, aby uznać, że organizacja działa zgodnie z RODO. Prowadzenie działalności zgodnej z RODO wymaga systematycznej i stałej pracy w każdej organizacji. Najlepiej pod kierunkiem inspektora ochrony danych, którego rolą jest doradzanie kierownictwu i pracownikom, jak prowadzić działalność, by nie narażać swojego pracodawcy na kary pieniężne za niezgodność z RODO.

Opracowane kilka lat temu procedury należy aktualizować dostosowując do obecnych wytycznych, a przede wszystkich należy zapewnić ich wdrożenie. Ochrona danych osobowych nie jest dokumentem, a procesem. Każdy nowy projekt, który jest planowany i realizowany w firmie czy urzędzie należy weryfikować nie tylko pod kątem jego innowacyjności, przydatności, czy opłacalności. Trzeba go również ocenić z punktu widzenia osób, których dane będą w nim wykorzystywane. Wymaga tego tzw. ochrona danych w fazie projektowania.

JGT: Minęło 4 lata. Czy nadal pojawiają się tzw. „absurdy” dotyczące RODO, czy to już za nami? Jeśli tak, z czego wynikają?

DS: Nadal spotkamy się z błędnymi interpretacjami, które powodują absurdalne sytuacje. Przykładem może być pozyskiwanie zgody na przetwarzanie danych w sytuacjach, gdy jest to zbędne, bo są inne możliwości legalizowania wykorzystania danych, np. umowa.

Te problemy ewidentnie wynikają z braku wiedzy osób, które planują procesy biznesowe, a także z tego, że w wielu organizacjach brak odpowiednio przygotowanych do pracy inspektorów ochrony danych.

Niewątpliwie problem ten dotyczy w głównej mierze małych przedsiębiorców, którzy – często z powodu ograniczeń finansowych – nie korzystają z wiedzy specjalistów zajmujących się RODO. Zamiast tego samodzielnie starają się dostosowywać do własnych potrzeb różne wzory klauzul, oświadczeń i dokumentów znalezionych np. w Internecie. Sama ostatnio, jako klientka klubu fitness, otrzymałam do podpisania oświadczenie odwołujące się do ustawy o ochronie danych osobowych z 1997 roku, która nie obowiązuje w Polsce od kilku już lat.

Stosowanie wzorów, które nie są dostosowane do sytuacji, daje złudne poczucie działania zgodnie z przepisami prawa. W rzeczywistości naraża przedsiębiorców na zarzuty rażącego naruszenia przepisów RODO, a tym samym może prowadzić do nałożenia na nich kary pieniężnej. A przecież RODO wymaga, aby kary te były „skuteczne, proporcjonalne i odstraszające”.

JGT: Spójrzmy teraz na RODO z drugiej strony. Czy prawo to faktycznie daje obywatelom kontrolę nad przetwarzaniem ich danych i chroni te dane? A może to jednak martwe przepisy?

DS: RODO kładzie ogromny nacisk na prawa osób, których dane dotyczą, a więc każdej osoby, której dane są zbierane, przechowywane, udostępniane. Prawa te w przepisach RODO zostały bardzo rozbudowane w porównaniu z wcześniej obowiązującymi w Polsce przepisami.

Na razie nasi obywatele nie korzystają z tych praw na tak dużą skalę, jak ma to miejsce w innych państwach członkowskich, np. w Niemczech. Jednak nie można powiedzieć, że te przepisy są martwe. Po prostu – na razie – nie są one wykorzystywane na masową skalę. Mimo to widzimy coraz wyższy poziom świadomości na temat tego, jak wykorzystywane są nasze dane osobowe. Jestem przekonana, że za kilka lat także w Polsce będziemy obserwować zwiększoną aktywność w tym zakresie.

JGT: Proszę na koniec powiedzieć, czy ostatecznie RODO nam pomaga, czy przeszkadza? A może: komu pomaga, komu przeszkadza?

DS: To trudne pytanie. Moim zdaniem i trochę pomaga i trochę przeszkadza. Pomaga w tym sensie, że nie ulega wątpliwości, że pojawienie się RODO spowodowało zwiększoną ostrożność związaną ze zbieraniem i dalszym wykorzystywaniem danych osobowych przez sektor prywatny. Obserwujemy też wyższy poziom świadomości na temat zagrożeń dla danych osobowych, np. tych wynikających z wysyłania danych pocztą elektroniczną, czy z korzystania z urządzeń przenośnych.

Jest oczywiście wiele zmian zapoczątkowanych przez RODO, które nie są odbierane pozytywnie. Jesteśmy w Polsce przyzwyczajeni do nadmiernego formalizmu i pewnej biurokracji. Stąd np. powszechna „klauzuloza”, czyli dawanie nam do podpisu potwierdzenia zapoznania się z klauzulą informacyjną RODO, podczas gdy forma taka nie jest wymagana przez przepisy RODO.

Przedsiębiorcy na pewno wskazaliby na wyższe koszty związane z ochroną danych osobowych. Ja jednak uświadomiłabym im, że wcześniej koszty te były podobne. Tyle tylko, że niestety w Polsce przed RODO mało który właściciel firmy poważnie traktował prawny obowiązek ochrony danych osobowych. Wynikało to z prostej przyczyny – przed RODO brakowało w polskim prawie skutecznych sposobów wymuszenia zgodności z przepisami o ochronie danych osobowych. Kary pieniężne w RODO skutecznie tę sytuację zmieniły. Teraz po prostu nie opłaca się prowadzić działalności naruszającej ochronę danych osobowych, bo można za to naprawdę sporo zapłacić.

Nie mam żadnych wątpliwości, że beneficjentami zmian wynikających z RODO jesteśmy my wszyscy. Choć sama należę do osób mocno krytycznych wobec tych przepisów, to nie mam żadnych wątpliwości, że RODO zapoczątkowało w Polsce zmianę, której nie da się już zatrzymać. RODO po prostu zwiększyło naszą świadomość. I chodzi tu o świadomość obywateli, urzędników i właścicieli firm. Każdy słyszał o RODO. Albo w pracy, albo na szkoleniu, albo w telewizji śniadaniowej, albo przy okazji korzystania z jakiejś usługi wymagającej podania danych osobowych. Zaczynamy rozumieć, że ochrona danych osobowych może mieć w pewnych okolicznościach realny wpływ na nasze życie, a jej brak może nam je bardzo skomplikować. Dotyczy to zarówno dostępu do informacji o naszym stanie zdrowia, jak i sytuacji, gdy nasze dane zostaną wykorzystane w celu kradzieży tożsamości. Z tego powodu zwracamy coraz większą uwagę na to, kiedy, komu i po co udostępniamy nasze dane osobowe. Dawniej nie mieliśmy w tym zakresie żadnych oporów. To bez wątpienia jest zasługa nowych przepisów.


Dorota Skolimowska
Prawnik-praktyk i trener z ponad 20-letnim doświadczeniem w tematyce ochrony danych osobowych.

Posiada bogate doświadczenie w stosowaniu przepisów o ochronie danych osobowych zarówno jako zewnętrzny audytor/konsultant, jak i inspektor ochrony danych zaangażowany we wdrożenie RODO. Proponuje praktyczne rozwiązania, które – zapewniając zgodność z obowiązującymi przepisami – jednocześnie uwzględniają specyfikę instytucji i realizację jej kluczowych zadań.

ZAPRASZAMY NA SZKOLENIA DOTYCZĄCE RODO I OCHRONY DANYCH OSOBOWYCH

RODO a dostęp do informacji publicznej – przepisy i praktyka

RODO w administracji publicznej – przepisy i praktyka

RODO w sektorze prywatnym - przepisy i praktyka