Rozmowa z Michałem Nosowskim, specjalistą do spraw RODO

Zapraszamy na pierwszą część wywiadu z Panem Michałem Nosowskim – radcą prawnym i współzałożycielem kancelarii ByteLaw. Pan Michał specjalizuje się w stosowaniu przepisów RODO, tworzeniu i weryfikacji umów oraz zapewnianiu, aby prowadzenie biznesu w Internecie było zgodne z prawem. Dodatkowo prowadzi bloga o ochronie danych osobowych i nowych technologiach www.wsroddanych.pl oraz jest autorem książki „Prawne aspekty cyberbezpieczeństwa”, a także artykułów w czasopismach: Biuletyn Euro Info, Linux Magazine oraz Ochrona Danych Osobowych.

Z tej części wywiadu dowiedzą się Państwo, m.in. tego, jak w ostatnich latach zmieniło się podejście podmiotów przetwarzających dane osobowe, czy dzięki regulacjom przetwarzane dane faktycznie są bezpieczniejsze, jakie działania były podejmowane przez Urząd Ochrony Danych Osobowych.
Zapraszamy do lektury.

Mentor: W ostatnim czasie obchodziliśmy 3. rocznicę obowiązywania RODO, tj. przepisów dotyczących ochrony danych osobowych. Czy zauważalna jest zmiana podejścia podmiotów gospodarczych, jako przetwarzających dane, do sposobu przetwarzania danych osobowych?

Michał Nosowski: Zdecydowanie tak. W ciągu ostatnich kilku lat wielu przedsiębiorców dowiedziało się o tym, że istnieją przepisy dotyczące ochrony danych osobowych, których powinni przestrzegać. Bardzo pomocne okazało się tu dość duże zainteresowanie mediów nowymi regulacjami. To z kolei spowodowało, że dużo podmiotów gospodarczych po prostu miało szansę usłyszeć o konieczności dostosowania swojej działalności do nowych wymogów.

Masowe wdrożenia RODO, a następnie bieżące stosowanie tych przepisów doprowadziło do tego, że przedsiębiorcy rzeczywiście zmienili swoje podejście do kwestii ochrony danych osobowych. Przed rozpoczęciem stosowania nowych regulacji w Polsce obowiązywała stara ustawa o ochronie danych osobowych, uchwalona jeszcze w 1997 r. Wiedza o niej nie była jednak rozpowszechniona, a tym samym wiele osób prowadzących swoje biznesy, po prostu się do niej nie stosowało.

Po rozpoczęciu stosowania RODO sytuacja ta uległa zmianie – organizacje często dbają o to, aby działać zgodnie z przepisami. To z kolei wymusza konieczność weryfikowania tego jakie dane mogą w ogóle być przetwarzane i jakie obowiązki należy w tym zakresie spełnić. Generalnie skutkowało to również większą świadomością w zakresie bezpieczeństwa – część przedsiębiorstw rozpoczęło wdrażanie dodatkowych zabezpieczeń, szkolenie personelu itp. Proces ten nadal trwa i powinien, zgodnie z naszą wiedzą na temat ochrony danych, być procesem ciągłym.

Z drugiej strony muszę zauważyć, że nadal istnieją organizacje, które nie podejmują jakichś szerzej zakrojonych działań, mających na celu zwiększenie bezpieczeństwa danych, które przetwarzają i ograniczają się do niezbędnego minimum. Zarządzający nimi z reguły wiedzą, że istnieją takie przepisy jak RODO, ale świadomie wydają się je ignorować.

Czy po tych trzech latach można stwierdzić, iż nasze dane, przetwarzane przez różnego rodzaju podmioty, są bezpieczniejsze niż były 3 lata temu, w czasach przed RODO?

W mojej ocenie tak – przez te 3 lata część organizacji, zwłaszcza tych, które poważnie podeszły do kwestii dostosowania swojej działalności do przepisów RODO, generalnie podejmowała dodatkowe działania, nakierowane na zwiększenie poziomu bezpieczeństwa danych osobowych. Skutkowało to m.in. dokonywaniem kompleksowych analiz ryzyka związanych z przetwarzaniem danych, wprowadzaniem dodatkowych zabezpieczeń czy też szkoleniami personelu. Wymogi w tym zakresie wynikają m.in. właśnie z przepisów RODO.

Oczywiście warto powiedzieć, że RODO jest tylko jednym z czynników, które zwiększają świadomość zarządzających różnymi przedsiębiorstwami w zakresie bezpieczeństwa danych. Do innych należy np. chęć chronienia swojej własności intelektualnej, tajemnic przedsiębiorstwa czy chęć zabezpieczenia się przed atakami cybernetycznymi, które mogą uniemożliwić bieżącą pracę. W mojej ocenie o bezpieczeństwie danych mówi się w ostatnich latach coraz więcej i RODO jest tylko jednym z wielu elementów, który na to wpływa. Innymi są np. nagłaśniane przez media ataki hakerskie czy też często występujące działania przestępcze, nakierowane np. na wyłudzanie danych logowania do banków.

Jak Pan oceni aktualną świadomość osób fizycznych w przedmiocie ochrony ich danych osobowych?

W mojej ocenie ulega ona powolnemu, stopniowemu zwiększaniu. Duża wiedza o tym, że istnieją takie przepisy jak RODO i że dane osobowe w ogóle podlegają ochronie, ma na to wpływ. Nie bez znaczenia są także inne czynniki, np. działania organizacji pozarządowych, portali internetowych zajmujących się bezpieczeństwem informatycznym czy też np. informacje w mediach o pojawiających się wyciekach danych.

Potwierdza to m.in. ilość skarg, które wpływają do Urzędu Ochrony Danych Osobowych – ze statystyk, publikowanych przez urząd wynika, że ilość zgłoszeń, które obecnie otrzymują od osób poszkodowanych nieprawidłowym przetwarzaniem ich danych osobowych jest kilkukrotnie większa niż przed 2018 rokiem. Oczywiście, nie wszystkie z tych skarg automatycznie muszą być zasadne, ale widać po tym, że ludzie mają świadomość istnienia ochrony ich danych osobowych i możliwości zgłoszenia ewentualnych naruszeń do odpowiedniego urzędu.

Jakie były na przestrzeni ostatnich trzech lat działania PUODO? Jak te działania ocenia rynek prawniczy?

Początkowo działania te opierały się głównie na różnego rodzaju kampaniach uświadamiających społeczeństwo, że zmieniają się przepisy dotyczące ochrony danych osobowych. Innymi słowy, istotą tych działań było poinformowanie różnych podmiotów, w tym takich, które przetwarzają dane osobowe, o tym że nowe regulacje wymagają od nich podjęcia dodatkowych działań. Dodatkowo Prezes UODO brał udział w dostosowaniu przepisów polskiego prawa do regulacji wynikających z RODO, opiniując projekty aktów prawnych.

Z czasem do działań edukacyjno-informacyjnych dołączyły różnego rodzaju działania kontrolne, wydawanie decyzji oraz nakładanie kar za nieprawidłowe przetwarzanie danych. W mojej ocenie ten aspekt działalności urzędu skupia obecnie najwięcej uwagi. Każda opublikowana decyzja, dotycząca naruszenia i nałożenia kary finansowej wywołuje dość sporą dyskusję wśród prawników. Nie można tu powiedzieć, że działania urzędu są oceniane jednoznacznie krytycznie lub jednoznacznie pozytywnie – z reguły mają one zarówno swoich zwolenników, jak również krytyków.

Warto jednak wspomnieć o tym, że jeden z zarzutów względem urzędu pojawia się dość regularnie – niektóre stanowiska czy decyzje nie uwzględniają praktyki biznesowej i realiów prowadzenia działalności gospodarczej. Innymi słowy, poglądy Prezesa UODO są oceniane jako zbyt rygorystyczne i negatywnie wpływające na biznes. Przykładem może być tu kwestia przetwarzania danych w ramach rekrutacji do pracy. Prezes UODO wskazuje, że powinny one być usuwane niezwłocznie po zakończeniu rekrutacji, co w praktyce uniemożliwia pracodawcom np. bronienie się przed zarzutami dot. dyskryminacji w trakcie postępowań rekrutacyjnych. Inne stanowisko, które spotkało się z krytyką, dotyczyło kwestii sporządzania kopii dowodów osobistych klientów przez banki jako instytucje obowiązane w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu – UODO wskazał, że nie zawsze jest to konieczne w każdym przypadku, a jedynie gdy okoliczności tego wymagają. Pomimo tego, przedstawiciele banków stali na stanowisku, że sporządzenie takiej kopii dowodu osobistego jest czynnością, która powinna zostać podjęta w ramach nawiązania stosunków gospodarczych z każdą osobą fizyczną.

Dodatkowo UODO bywa czasem krytykowane za niepublikowanie stanowisk, które dotyczą kwestii istotnych dla przedsiębiorców – uwidoczniło się to zwłaszcza w czasach pandemii, gdy praca była realizowana w modelu zdalnym, a dodatkowo w niektórych zakładach pracy wprowadzono procedury dotyczące np. mierzenia temperatury pracownikom.