• 10 września 2024

XV Europejski Dzień Ochrony Danych Osobowych

 XV Europejski Dzień Ochrony Danych Osobowych

28 stycznia 2021 roku odbył się XV Europejski Dzień Ochrony Danych Osobowych. W wydarzeniu wzięło udział aż 17 prelegentów, a przez możliwość prowadzenia tej uroczystości w sposób zdalny, w dyskusji mogli brać udział bardzo różnorodni goście. W tym roku laureatami nagrody im. Michała Serzyckiego byli Pan Mecenas Maciej Gawroński – radca prawny i ekspert w zakresie prawa do prywatności i Ochrony Danych Osobowych, Pani Barbara Grądkowska – dyrektor specjalnego ośrodka Szkolno-Wychowawczego w Zamościu (Twoje Dane Twoja Sprawa) oraz Pani Jen Persson, dyrektor brytyjskiej organizacji pozarządowej DefendDigitalMe.

Uroczystość połączyła najwybitniejszych ekspertów, którzy poruszyli tematy związane z  ochroną danych osobowych oraz z najważniejszymi potrzebami prawnymi. 

Pierwszym zagadnieniem podlegającym dyskusji była ochrona danych osobowych w zdalnej rzeczywistości. Prowadzący zauważyli, że 2020 rok ukazał nieprzygotowanie Polski w przypadku ochrony takich danych w sytuacji pandemicznej. Pani dyrektor Monika Krasińska zauważyła, że doprowadziła ona do przeorganizowania instytucji sektora publicznego i sektora prywatnego i to w sposób niespotykany. Przeorganizowanie to obejmowało zmiany w procesach kontroli realizacji zadań, w procesach zarządczych w organizacjach, przekształcenie funkcjonujących modeli komunikacji: wewnętrznej, interpersonalnej i zewnętrznej. A wszystko to odbyło się nierównomiernie z obowiązującymi regułami prawnymi.

Dyrektor Krasińska zaznaczyła również, że choć pandemia sprawiła, iż wzrosła ilość danych osobowych, to każdy operator wciąż musiał je przetwarzać zgodnie ze standardami – RODO, jeżeli chodzi o funkcjonowanie swoich przepisów, nie zostało zawieszone na czas trwania pandemii – wręcz przeciwnie.

Fundamentalne znaczenie leży tutaj w legalizmie oraz rzetelności – administrator zobowiązuje się do uzasadnienia tego, że przetwarza dane legalnie, a Pani Monika Krasińska podkreśla, że sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadnić ograniczenie wolności, pod warunkiem, że jest ono proporcjonalne i ograniczone do nadzwyczajnego okresu.

W tym segmencie eksperci najbardziej skupili się na danych wrażliwych dotyczących zdrowia, ponieważ przetwarzanie właśnie takich danych sprawiało najwięcej problemów w 2020 roku. Działo się tak z powodu tego, że przepisy prawa pracy nie dotyczą bezpośrednio prawa pracodawcy do badania stanów zdrowia pracowników, a są jedynie kierunkowskazem, co do tego, w jaki sposób pracodawca powinien się zachować. Badanie takie powinno być przeprowadzane przez uprawnione do tego organy, zatem np. przez służbę zdrowia. Na ten czas stanowisko organów nadzoru mówi, że działania takie jak np. pobieranie temperatury pracownika zalicza się do badania stanu zdrowia, a więc powinno zostać wykonywane przez uprawnione do tego osoby. 

Karolina Mojzesowicz, Zastępczyni kierownika działu ochrony danych w Komisji Europejskiej, poruszyła temat aplikacji mającej pomagać państwom członkowskich w spowolnieniu rozprzestrzeniania się pandemii. Wskazała przy tym istotne zagadnienia z tym związane, mianowicie, że administratorem takiej aplikacji zostały krajowe organy do spraw zdrowia, a więc organy uprawnione do przetrzymywania takich informacji, że zgoda na instalację oraz używanie takiej aplikacji musi być zawsze dobrowolna, jednoznaczna oraz świadoma i pozbawiona negatywnych konsekwencji dla osób, które się na nią nie zdecydują, że aplikacja nie wykorzystuje lokalizacji użytkownika, ale działa za pomocą sygnałów bluetooth, odmierzając odległość od potencjalnie zarażonej osoby (która również musiałaby używać aplikacji).

W segmencie przedstawiona został również ochrona danych osobowych z perspektywy pracy zdalnej. Dr Jagoda Jaskulska wymieniła obowiązki pracodawcy, które wynikają z potrzeby pracy zdalnej:

  • pracodawca musi zapewnić przetwarzanie danych osobowych zgodnie z prawem,
  • wdrożyć odpowiednie środki techniczne i organizacyjne w celi skutecznej realizacji zasad ochrony danych,
  • wdrożyć środki techniczne i organizacyjne aby zapewnić odpowiedni stopień bezpieczeństwa, adekwatny do ryzyka,
  • opracować zasady i procedury wykonywania pracy zdalnej,
  • przygotować sprzęt oraz ustalić zasady i procedury korzystania ze środków porozumiewania się na odległość,
  • określić reguły bezpieczeństwa,
  • zapewnić pracownikowi odpowiednie warunki do zachowania prywatności np. w przypadku wideokonferencji.

Ostatnim wypowiadającym się ekspertem segmentu I był doktor nauk prawnych Dominik Lubasz, który w swoim wystąpieniu znaczący nacisk położył na kontekstowość analizy każdego przypadku wdrażania procedur anty-covidowych, z tego względu, że same skutki wywołane koronawirusem „są zmianą kontekstu”. Doktor Lubasz podkreśla również wagę indywidualności zmian, zwłaszcza w przypadkach objętych obowiązkowością czy dobrowolnością pewnych aktywności. Zaznacza przy tym jednak, że warto pamiętać zwłaszcza o art.35 ust.11 RODO, w którym stanowi że administrator zobowiązany jest do dokonywania przeglądu czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych w sytuacji, gdy zmienia się ryzyko wynikające z operacji przetwarzania. Ustalamy to w oparciu o analizę ryzyka przeprowadzoną zgodnie z art. 34 czy art. 32 w konkretnych okolicznościach, tam gdzie kontekst przetwarzania danych osobowych się zmienia.

W panelu II „RODO w praktyce” XV edycji Europejskiego Dnia Ochrony Danych Osobowych poruszono również problemy z jakimi zmagają się małe i średnie przedsiębiorstwa.

Dr. Maciek Gawroński stwierdził w nim, że RODO dla sektora małych i średnich przedsiębiorstw nie ma właściwie nic, a nawet jeszcze gorzej. Podkreśla przy tym, że przepisy oraz motywy RODO są na tyle mało doprecyzowane, iż doradca współpracujący z takim przedsiębiorstwem będzie miał bardzo dużo pracy, żeby uprościć ochronę danych. Zatem doktor Gawroński zadał przy tym pytanie: Czy RODO musi poczekać?

Anna Kobylińska zauważyła z kolei, że zabrakło czasu, czy sposobu na przekazanie przedsiębiorcom, że przepisy ochrony danych osobowych są pewną wartością i być może nawet pomogą w prowadzeniu działalności gospodarczej. Tłumaczy zatem, dlaczego przedsiębiorcy mogą odczuwać RODO jako dodatkowe obciążenie i odkładać je na później. Radca prawny – Paweł Punda zaznaczył, że ponieważ RODO traktuje wszystkich po równo, mali i średni przedsiębiorcy mogą mieć problem z wdrożeniem go w poprawny sposób. Dostrzegł również wady tego rozporządzenia, a raczej brakującej w nim przejrzystości, która byłaby dostosowana i jasno zrozumiała również dla przedsiębiorców – Namawiałbym do budowania pewnego modelu, czy też stworzenia kategorii małego i średniego przedsiębiorcy w stosunku do którego oczekiwania (RODO) byłyby wprost artykułowane. Dzięki temu przedsiębiorca wyszedł by ze sfery niepewności co do stosowania prawa.

Problemem okazała się również spójność, a raczej jej brak w przypadku pozornych autorytetów wdrażania prawa. Ponieważ założyć można, iż mali oraz średni przedsiębiorcy w pierwszej kolejności szukają informacji o prawie i jego wdrażaniu w Internecie, w momencie w których każde znajdujące się tam stanowisko różni się od poprzedniego, stają się one nieczytelne i niezrozumiałe. Zarówno stanowisko Prezesa Ochrony Danych osobowych oraz innych organów  – Rzecznika Praw Obywatelskich, Ministerstwa Pracy, Ministerstwa Rozwoju, Inspektora Sanitarnego dalece od siebie odbiega.

Odpowiedzią zatem byłoby według dr Macieja Gawrońskiego opracowanie wspólnego podejścia do wdrażania prawa.

Został również poruszony temat wycieku danych w małych przedsiębiorstwach przez administratora. Eksperci zaznaczają, że w takim wypadku administrator powinien przede wszystkim zgłosić taki wyciek do odpowiednich organów. Może również (jednak nie jest to konieczne) dodatkowo zabezpieczyć dane np. poprzez wykupienie usług różnego rodzaju podmiotów, które zabezpieczają m.in. wzięcie pożyczki na dane, które wyciekły. Jest to oczywiście zależne od wielkości krzywdy osób dotkniętych oraz majątku przedsiębiorcy. Bardzo istotne w takim przypadku jest wyciągnięcie wniosków poprzez analizę tego, w jaki sposób doszło do wycieku danych.

Jakie są korzyści RODO dla małych i średnich przedsiębiorstw?

Pomijając wszelkie konsekwencje z niestosowania prawa, prowadzący zwrócili uwagę na wiele plusów, które poprawnie wdrożone RODO może przynieść wszelkim przedsiębiorstwom. Zgodność z RODO, która będzie głoszona jawnie przez przedsiębiorcę wpłynie na zwiększenie zaufania klientów, zatem może bezpośrednio przyczynić się do wzrostu ze sprzedaży. Ochronę Danych Osobowych można również automatycznie połączyć ze zgodnością w zakresie tajemnicy przedsiębiorstwa, a więc pośrednio „upiec dwie pieczenie na jednym ogniu”. Eksperci zgodnie doszli do wniosku, że, w przypadku RODO, przejście na język korzyści będzie najlepszą sytuacją zarówno dla przedsiębiorców, jak i osób zachęcających do poprawnego wdrażania prawa.