Czy rewizja przepisów RODO w obliczu pandemii jest konieczna?
W środę 8 kwietnia jeden z czołowych polityków Rzeczypospolitej Polskiej, prezes najstarszej partii politycznej oraz kandydat na Prezydenta RP, z mównicy sejmowej postulował o wyłączenie ze stosowania europejskiej „dyrektywy” RODO, argumentując, że jest ona trudna do przyjęcia w warunkach funkcjonowania w normalnym świecie.
W odpowiedzi na takie i inne wypowiedzi parlamentarzystów chcielibyśmy zwrócić Państwa uwagę na kilka istotnych elementów związanych z brakiem możliwości zrezygnowania z ochrony prywatności.
Dlaczego Polska nie może znieść wymogów stosowania przepisów RODO – aspekt prawny
RODO to wbrew opinii przedstawionej powyżej nie dyrektywa, a Rozporządzenie Parlamentu Europejskiego i Rady (UE), które zgodnie art. 288 Traktatu o funkcjonowaniu Unii Europejskiej jest aktem o zasięgu ogólnym, wiąże ono w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
W obliczu powyższego należy jednoznacznie wskazać, że rząd polski nie ma uprawnień do tego, aby zwolnić krajowych przedsiębiorców ze stosowania przepisów ogólnego rozporządzenia o ochronie danych. Czyn ten stanowiłby poważne złamanie podstawowych założeń funkcjonowania Unii Europejskiej i w konsekwencji narażał Polskę na sankcje, w tym finansowe ze strony organów unijnych.
Ten oczywisty argument, wskazany powyżej to nie jedyna przesłanka, która broni stanowiska, że ochrona prywatności w obecnym czasie epidemii jest konieczna i nie mniej istotna niż inne elementy życia społecznego, gospodarczego czy politycznego.
RODO a polscy przedsiębiorcy
RODO oficjalnie zostało przyjęte 27 kwietnia 2016 r., przy czym w Polsce jest bezwzględnie stosowane od 25 maja 2018 r., co oznacza, że organizacje przez ostatnie ponad 2 lata, na różne sposoby próbowały dostosować swoją działalność do często w ich opinii restrykcyjnych wymogów rozporządzenia. W większości przypadków, wiązało się to z koniecznością poniesienia nie tylko wysokich kosztów finansowych, ale również zainwestowania czasu i energii kosztem innych działań biznesowych. Dla części był to również impuls do doskonalenia w zakresie podejścia procesowego, zwiększenia bezpieczeństwa informatycznego, rozbudowy programów ciągłości działania czy optymalizacji zasobów.
W momencie, w którym RODO zaczęło być postrzegane nie jako nowość, ale coś powszechnego, kiedy zarówno obywatele, jak i przedsiębiorstwa przywykły do nowych wytycznych rezygnacja, czy chwilowe wstrzymanie wiązałoby się z wykonaniem milowego kroku wstecz i tak naprawdę zaprzepaszczeniem wszystkie co do tej pory udało nam się osiągnąć. Co więcej, z dużym prawdopodobieństwem można uznać, że naraziłoby to przedsiębiorców na kolejne obciążenia finansowe przy tak już nad wyraz nadszarpniętych przez spowolnienie gospodarcze, budżetach.
Czy są możliwe wyłączenia w obowiązkach wynikających z RODO?
Do ograniczeń w stosowaniu ogólnego rozporządzenia o ochronie danych osobowych odniesiono się w przyjętym w dniu 19 marca 2020 r. przez Europejską Radę Ochrony Danych Oświadczenia w sprawie przetwarzania danych osobowych w kontekście pandemii COVID-19.
W treści oświadczenia wyraźnie zaznaczono, że nawet w tym wyjątkowym czasie, jakim jest pandemia koronawirusa administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem, że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.
Ważne jest, aby przyjąć odpowiednie środki bezpieczeństwa i polityki poufności zapewniające, że dane osobowe nie są ujawniane nieupoważnionym stronom. Środki wdrożone w celu zarządzania bieżącą sytuacją nadzwyczajną oraz leżący u ich podstaw proces decyzyjny powinny być odpowiednio udokumentowane.
Praca UODO w czasach epidemii
Kolejną rzeczą, na którą należy zwrócić uwagę jest również fakt, że Urząd Ochrony Danych Osobowych, w rozumieniu art. 4 ust. 21 RODO organ nadzorczy ustanowiony zgodnie z art. 51 RODO, nie zawiesił swojej pracy na czas obowiązywania stanu epidemii w Polsce. W związku z powyższym wciąż wypełnia nałożone na niego obowiązki związane z monitorowaniem i egzekwowaniem stosowania przepisów rozporządzenia, w tym przyjmowaniem skarg, przeprowadzaniem kontroli czy wszczynaniem postępowań. Należy także nadmienić, że audyty fizyczne są tylko jedną z dopuszczanych form kontroli, a organ nadzorczy w każdej chwili może zwrócić się do administratora danych o udostępnienie wszystkich niezbędnych informacji i dokumentów, również drogą elektroniczną.
Kontrole zgodnie z art. 72 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych mogą mieć formę planowaną, doraźną, jak również mogą być wykonywane w ramach monitorowania przestrzegania stosowania ogólnego rozporządzenia. Zarówno w przypadku kontroli doraźnych, jak i zwykłych czynności kontrolnych administrator może zostać poproszony w formie listownej o złożenie wyjaśnień i przedłożenie odpowiedniej dokumentacji stanowiącej dowód w sprawie, do Prezesa UODO. Wykryte nieprawidłowości mogą skutkować wszczęciem postępowania oraz nałożeniem sankcji, w tym kar finansowych, które w zależności od rodzaju naruszenia mogą sięgać nawet 20 mln zł lub wysokości do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa.
Potwierdzeniem nieprzerwanych prac UODO są publikowane na bieżąco wytyczne dotyczące zasad ochrony danych w odniesieniu do nowych warunków pracy i życia, z którymi przyszło nam się zmierzyć na przestrzeni ostatnich dwóch miesięcy, jak również decyzja ZSPR.421.10.2019 wydana w marcu 2020 r., na mocy, której na spółka VIS Consulting sp. z o.o. nałożono karę w wysokości 20 tys. zł. Zwolnienie zatem ze stosowania przepisów o ochronie danych wiązałoby się z bardzo poważnymi i daleko idącymi skutkami w sferze administracji publicznej oraz znacząco zakłóciło pracę urzędu i opóźniło bieg wielu spraw, wszczętych przed epidemią koronawirusa.
Prywatność jako jeden z czynników zapewniających konkurencyjność firm
Silne pozycje rynkowe firm budowane są m.in. poprzez zapewnienie swoim klientom wysokiego poziomu bezpieczeństwa, w tym oczywiście bezpieczeństwa przetwarzanych przez nie danych osobowych. Osiągnięcie wysokiego poziomu zabezpieczeń organizacyjnych i technicznych wiąże się w ogromnymi nakładami pracy, również w aspekcie przygotowania organizacji do spełnienia wymogów prawnych w zakresie ochrony danych osobowych.
Zaufanie klientów decyduje o konkurencyjności danego przedsiębiorstwa, również na rynkach międzynarodowych. Żeby utrzymać wysoki poziom usług oraz zachować silną pozycję na rynku przedsiębiorstwa nie mogą pozwolić sobie nawet na częściową rezygnację z wprowadzonych przez siebie standardów bezpieczeństwa.
Prywatność w czasach pandemii – jaka jest świadomość ludzi?
Czasy pandemii są niezwykle trudne dla całego społeczeństwa, oczywiste jest, że każdy w mniejszym lub większym stopniu odczuwa jej skutki. Jednak stan ten nie powoduje, że ludzie zapominają o przysługujących im prawach, również tych z zakresu ochrony prywatności, naszych danych osobowych. Wręcz przeciwnie w dalszym ciągu dąży się do tego, żeby były one respektowane w takim stopniu jak przed rozpoczęciem pandemii. Stąd liczne obawy i zapytania dotyczące zwiększonej zakresu przetwarzanych danych osobowych np. przez pracodawców w aspekcie pomiarów temperatury, pytań o wyjazdy/podróże zagraniczne, o kontakty z osobami zarażonymi koronawirusem itd.
Również pojawia się wiele wątpliwości, co do tego, czy stan epidemii uznać za stan wyższej konieczności i udostępniać publicznie informacje bardziej szczegółowe (niż to się dzieje obecnie) dotyczące osób, u których zdiagnozowano chorobę. Media natarczywie dopytują o szczegóły związane z zakażonymi osobami. Często pytania dotyczą wieku, sytuacji rodzinnej, czy też szczegółów związanych z chorobami współistniejącymi u konkretnego pacjenta.
Należy pamiętać, że o ile dopuszczalne i uzasadnione jest udzielanie ogólnych informacji o osobie chorej niepozwalających na jej identyfikację, o tyle udostępnianie wszelkich innych danych narusza już regulacje RODO i może skutkować odpowiedzialnością z tytułu naruszenia przepisów o ochronie danych osobowych.
Eksperci w obszarze ochrony danych osobowych wydają się być zgodni co do tego, że stan zagrożenia nie upoważnia do jednoznacznego wskazywania (np. z imienia i nazwiska) osoby, u której stwierdzono koronawirusa. Efektem takich działań mogłoby być stygmatyzowanie tych osób, co znacząco mogłoby na te osoby wpłynąć.
Upublicznianie większej, niż jest to konieczne, ilości informacji dotyczących osób fizycznych w związku z pandemią, jest łamaniem prawa i podlega surowym karom.
Świadomość ludzi w zakresie przysługujących im praw do ochrony prywatności, w tym ochrony danych osobowych znacznie wzrosła w ostatnich latach. Świadczy o tym m.in. liczba skarg zgłaszanych do Prezesa Urzędu Ochrony Danych Osobowych.
Nowy system funkcjonowania a incydenty bezpieczeństwa
Liczne ograniczenia, które zostały wprowadzone przez ustawodawcę w czasie pandemii spowodowały, że społeczeństwo musiało dostosować się do nowej rzeczywistości, do funkcjonowania w świecie, gdzie większość czynności wykonuje się bez wychodzenia z domu. Nie odnosi się to tylko wykonywania zakupów on-line, ale również do zdalnej pracy, do prowadzenia zajęć lekcyjnych w formie e-learningu, a także do załatwienia w takim on-line spraw urzędowych. Dla wielu osób taka sytuacja jest zupełnie nowym stanem rzeczy i muszą oni zmierzyć się z wyzwaniami jakie stawia przed nimi świat technologii, narzędzi informatycznych, aplikacji itd. W ostatnim czasie znacznie wzrósł przepływ danych.
Taka sytuacja może prowadzić do różnych zagrożeń związanych z bezpieczeństwem informacji, w tym danych osobowych przetwarzanych w formie elektronicznej np. do przypadkowego udostępnienia swoich danych, nieuprawnionego dostępu do danych czy kradzieży prywatności. Nie dziwi więc fakt, iż w ciągu ostatnich tygodni wzrosła liczba odnotowywanych incydentów związanych z przetwarzaniem danych osobowych, dotyczy to sfery prywatnej jak i wielu firm.
Bezpieczeństwo w sieci
Wszelkiego rodzaju kryzysy i sytuacje angażujące uwagę społeczeństwa, a za taką niewątpliwie należy uznać pandemię koronawirusa, stanowią czynnik do wzmożonego rozwoju działań patologicznych. Jedną z nich bezdyskusyjnie jest rozwój cyberprzestępczości. Zorganizowane grupy tzw. hakerów wykorzystują każde uśpienie uwagi i uciekają się do coraz sprytniejszych często niegodziwych metod wyłudzenia lub przechwycenia danych w sieci.
Tylko na przestrzeni miesiąca liczba ataków phishingowych (metoda oszustwa polegająca na podszywaniu się pod inną osobę lub instytucję w celu wymuszenia poufnych informacji, zainfekowanie komputera szkodliwym oprogramowanie lub nakłonienia ofiary do określonych działań) wzrosła o 667%, z czego 2% opierała się o tematykę COVID-19 (dane Barracuda Networks). Znaczącym ułatwieniem do tego typu działań bez wątpienia jest zmiana trybu pracy na zdalny, który co do zasady wiąże się z ograniczeniem zabezpieczeń stosowanych dotychczas w organizacjach.
Setki tysięcy ludzi każdego dnia korzysta z nowoczesnych narzędzi wspomagających pracę na odległość, organizując wirtualne spotkania, czy komunikując się w formie pisemnej. Inne warunki pracy, mniejsze skupienie, spowodowane rosnącym lekiem o przyszłość sprawia, że jesteśmy coraz łatwiejszym obiektem do nadużyć. Dlatego tak ważne jest, aby szczególnie w tym czasie nie zapominać o ochronie prywatności, a wręcz traktować ją jako jeden z ważniejszych elementów. Nieustannie powinniśmy przypominać sobie podstawowe zasady bezpiecznej pracy, aby nie mnożyć dodatkowych problemów, których mamy wystarczająco w innych obszarach naszej działalności.
Prywatność w stosunkach gospodarczych
Mówiąc o ochronie prywatności nie sposób pominąć relacji pomiędzy uczestnikami życia gospodarczo-społecznego. RODO wprost wskazuje, że współpraca organizacji, w ramach, której dochodzi do wymiany danych osobowych powinna być ściśle uregulowana. To właśnie na mocy rozporządzenia powszechne stało się zawieranie umów powierzenia przetwarzania danych, które nakładają na strony szereg zobowiązań pod groźbą akry za ich złamanie lub niewykonanie. Podobne tyczy się jednostronnych lub wzajemnych umów poufności tzw. NDA.
Zwolnienie przedsiębiorstw z konieczności stosowania przepisów o ochronie danych nie wywołuje skutku prawnego w zakresie unieważnienia umowy czy też zwolnienia stron z jej postanowień. W konsekwencji zrodziłoby to szereg wszczętych postępowań, licznych spraw sądowych i setek tysięcy nałożonych kar finansowych. Dla wielu przedsiębiorstw byłoby to równoznaczne z koniecznością przejścia w stan likwidacji lub ogłoszeniem upadłości. Złamanie zasad umowy powierzenia nie dotyczy tylko postępowań na drodze cywilnej, ale również administracyjnej wszczętej z inicjatywy chociażby Urzędu Ochrony Danych Osobowych. Kolejnym obszarem ściśle z tym związanym jest współpraca międzynarodowa. Polskie przedsiębiorstwa znacząco zmniejszyłyby swoją wiarygodność i co z tym związane pozycję rynkową i przewagę konkurencyjną na rynkach zagranicznych.
Praca zdalna, a incydenty bezpieczeństwa
W niektórych przedsiębiorstwach praca zdalna była standardem stosowanym już od dawna, jednak dla znacznej liczby organizacji jest to zupełnie nowe wyzwanie, któremu muszą teraz sprostać. Niewystarczające przygotowanie organizacji na pracę zdalną może powodować wzmożone zagrożenie incydentów m.in. poprzez mniej restrykcyjne formy zabezpieczeń. Również firmy, które są odpowiednio przygotowane na home office mogą borykać się z różnymi problemami wynikającymi nie tylko z nieodpowiednich zabezpieczeń, ale także z błędów ludzkich np. błędy podczas wysyłki wiadomości e-mail do dużej grupy odbiorców, załączenie błędnego pliku do wiadomości e-mail, niestosowanie hasłowania załączników, udostepnienie screen’u ekranu komputera, udostępnienie danych osobowych w postaci wizerunku osób czy uszkodzenie sprzętu.
Prawda o RODO - czy rzeczywiście wszystkie zapisy są stosowane? – dr Maciej Kawecki, Ekspert LexDigital o potrzebie rewizji przepisów RODO.
Dwa lata obowiązywania RODO pokazały, że jest szereg zapisów, które w Polsce są marginalizowane lub po prostu się nie sprawdziły. Pierwszym z nich są mechanizmy certyfikacji podmiotów, o których mowa w art. 42-43 RODO. Certyfikaty oraz znaki jakości i inne oznaczenia w zakresie ochrony danych osobowych miały być świadectwem zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające.
Do dnia dzisiejszego w Polsce nie został jednak wydany żaden certyfikat na kanwie rozporządzenia, jak również nie zatwierdzono mechanizmów kwalifikacji podmiotów, które takie certyfikaty mogłyby nadawać. Kolejnym z goła martwym przepisem, który praktycznie nie przyjął się w naszym kraju to kodeksy branżowe, uznawane za jedno ze skuteczniejszych narzędzi samoregulacji rynku. Zbyt sformalizowana procedura ich przyjmowania nie spełnia swojej funkcji i w konsekwencji do dzisiaj przyjętych zostało jedynie kilka kodeksów. Nie sposób także nie wspomnieć o jakże istotnej kwestii, jak przepisy regulujące sposób odbierania zgód rodzica na przetwarzanie danych osobowych dzieci. Co prawda, gro serwisów internetowych zobowiązanych jest do jej odbierania, w praktyce z uwagi na trudności w weryfikacji tożsamości rodzica tak naprawdę nikt tego nie robi. Co więcej, zakres przesłanek zastosowania mechanizmu jest również tak skonstruowany, że daje łatwą możliwość jego ominięcia.
Obserwując działania związane z ochroną danych w naszej krajowej przestrzeni dostrzega się jeszcze jeden problem, którym jest bardzo ograniczony kontakt z Urzędem Ochrony Danych Osobowych oraz swoisty lęk podmiotów przed konsultacjami z UODO.
Do dnia dzisiejszego praktycznie żaden z podmiotów nie odbył konsultacji z Prezesem urzędu dotyczących projektów, których ryzyka wpływu na prawa i wolności osób fizycznych nie da się wyeliminować, a co należy podkreślić jest to obowiązek każdego administratora nakładany bezpośrednio przez art. 36 RODO. I na koniec może mniej istotny aspekt, ale na który chyba warto zwrócić uwagę to przepisy dotyczące realizacji niektórych z obowiązków przewidzianych w RODO w formie graficznej. Rynek nie okazał się kreatywny w tym zakresie a Komisja Europejska nie wydała do dzisiaj decyzji określającej standardy wzorów dla takich znaków. Można uznać, że mechanizm jest w chwili obecnej absolutnie martwy.
Analizując zapisy RODO, szczególnie w obecnej sytuacji pandemii nasuwa się dodatkowe pytanie, czy w art. 13 i 14 RODO dotyczących obowiązków informacyjnych, ustawodawca nie pominął klauzuli, która zwalniałaby administratora z konieczności realizacji obowiązku w tak rozbudowanej formie z uwagi na ochronę życie - np. w aplikacjach typu SOS. Dodatkowo do rozważenia pozostaje czy nie warto przywrócić przepisów, które obowiązywały w polskim porządku prawnym do 24 maja 2018 r. a więc wyłączenia zastosowania niektórych przepisów o ochronie danych osobowych, gdy dane przetwarzane są krótkotrwale dla celów technicznych.
Podsumowanie
Wracają do początków artykułu i przytoczonych słów przedstawiciela świata polityki opierając się równocześnie na informacjach zamieszczonych w niniejszym tekście jednoznacznie można sformułować odpowiedź, że nawet w trudnych czasach dla społeczeństwa i krajowej gospodarki wyłączenie lub nawet ograniczenie stosowania przepisów o ochronie danych osobowych nie jest możliwe. Co więcej, wydaje się, że właśnie teraz powinniśmy jeszcze większą uwagę skupić na ochronie prywatności naszych pracowników, klientów, kontrahentów oraz nas samych. Oczywiście z wieloma zapisami rozporządzenia można byłoby polemizować, nie są one doskonałe i zapewne wymagają nowelizacji. Nie zapominajmy jednak, że czas pandemii minie, a my będziemy musieli wrócić do normalności. Starajmy się zatem, żeby ten powrót był jak najbardziej łagodny i nie wiązał się z dodatkowymi kosztami dla naszych wystawionych na ciężką próbę organizacji.