Wywiady

RODO – Dane są najcenniejszą walutą

Rozporządzenie ogólne o ochronie danych osobowych, jego zastosowanie na kolei, a także aspekty probiznesowe i proklienckie były tematem rozmowy Raportu Kolejowego z dr Maciejem Kaweckim, Dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji.

Raport Kolejowy: W maju w życie wchodzi RODO. Czym właściwie RODO jest i na czym będą polegać zmiany?

Maciej Kawecki: Jest to rozporządzenie ogólne o ochronie danych osobowych – stąd skrót RODO – które unifikuje zasady ochrony danych osobowych we wszystkich państwach Unii Europejskiej. Mówiąc najprościej – od 25 maja 2018 r. we wszystkich państwach członkowskich UE będą obowiązywały te same zasady ochrony danych osobowych. Jedynym wyjątkiem będą regulacje zawarte w przepisach krajowych – Unia zostawiła państwom członkowskim miejsce na pewną swobodę w kształtowaniu przepisów wewnętrznych.

RK: Czy w ramach tej możliwości Polska zamierza wprowadzić swoje regulacje?

MK: Oczywiście. Pod koniec marca br. Rząd przyjął projekt ustawy o ochronie danych osobowych (UODO), która zastąpi ustawę z 1997 r. Chcemy, aby do 25 maja ustawa została przyjęta. Jednocześnie wraz z resortami pracujemy nad pakietem przepisów sektorowych, które w sumie zmienią ponad 150 ustaw. To ogrom prac legislacyjnych.

RK: Dlaczego w ogóle RODO i UODO są potrzebne?

MK: Stare przepisy dotyczące ochrony danych osobowych nie nadążają za gwałtownym rozwojem nowych technologii. Dane są najcenniejszą walutą. Niektórzy mówią nawet, że to ropa XXI w. W związku ze zmieniającą się technologią, z jej ewolucją, ze zwiększającym się ryzykiem naruszeń, szczególny nacisk należy położyć na ochronę danych. Przypomnijmy, że obecnie obowiązujące przepisy nie zmieniały się od ponad dwudziestu lat! Mówimy tutaj zarówno o przepisach unijnych, jak i krajowych. Normy określające np. częstotliwości zmiany haseł nie są już wystarczające dla zapewnienia należytego poziomu bezpieczeństwa. Dlatego nowe przepisy zostały stworzone w taki sposób, żeby były neutralne technologicznie, tzn. żeby były aktualne niezależnie od rozwoju technologii. Przepisy nie podają konkretnych wymogów dotyczących np. sposobów szyfrowania danych, zmiany haseł itp., ale nakładają na administratora obowiązek każdorazowego stosowania tych środków zabezpieczających, które w danym przypadku są najwłaściwsze i adekwatne do rozwoju technologii.

RK: Czym jeszcze, poza powyższym, RODO i nowa ustawa będą różnić się od obecnego stanu prawnego w zakresie ochrony danych osobowych?

MK: Krótko mówiąc – wszystkim. RODO jest zupełnie innym systemem prawnym. Pierwszą zmianą, bardzo istotną dla administratorów danych osobowych, jest wprowadzenie nowych zasad odpowiedzialności, czyli systemu kar. Obecnie w Polsce naruszenie prywatności, naruszenie danych osobowych, nie pociąga za sobą kary finansowej. Największą karą jest uszczerbek na wizerunku lub – w niektórych przypadkach – odszkodowanie za naruszenie dóbr osobistych. To się zmieni od 25 maja. Niedopilnowanie nowych obowiązków dotyczących ochrony danych osobowych będzie karane. Maksymalny wymiar kary to 20 mln euro lub 4 proc. światowego obrotu dla sektora prywatnego oraz 100 tys. zł dla sektora publicznego. To pierwsza zmiana. Druga, o której chciałbym wspomnieć, to przyznanie ponad 20 nowych uprawnień każdej osobie, której dotyczą dane, przy jednoczesnym utrzymaniu kilkunastu już istniejących. W praktyce oznacza to kilkadziesiąt obowiązków po stronie administratorów. Tutaj mogę wymienić przykładowo prawo do bycia zapomnianym, którego trzon istnieje również w obecnym prawie. Następnie prawo do przeniesienia danych, czyli żądanie przekazania danych innemu podmiotowi. Prawo do żądania kopii danych – w tym pierwszej nieodpłatnie. Na przykładzie kolejowym – jeżeli przewoźnik gromadzi dane na mój temat, mogę wystąpić z żądaniem wydania przez niego kopii danych, ich duplikatu. Nowe przepisy wprowadzają również obowiązki notyfikacyjne – w przypadku wycieku danych osobowych administrator ma obowiązek poinformowania o tym każdej osoby, której dane dotyczą. Pojawia się również obowiązek poinformowania organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. To są najważniejsze uprawnienia i zmiany wprowadzane przez nowe przepisy.

Dodaj komentarz