Polityka i prawo
Dyrektor ds. Strategii Technologicznej w Microsoft: Kary administracyjne w RODO to odpowiednik broni nuklearnej. Będą rzadko stosowane [WYWIAD Część 1]
O skutkach wprowadzenia RODO, karach administracyjnych oraz wymogach dla dziennikarzy i placówek akademickich mówi w rozmowie z CyberDefence24.pl Michał Jaworski dyrektor ds. Strategii Technologicznej w firmie Microsoft.
dr Andrzej Kozłowski. Czy Pana zdaniem po wprowadzeniu RODO zapanuje chaos?
Michał Jaworski: Po pierwsze wszyscy skupiamy się na dacie 25 maja 2018, a przecież RODO jest już obowiązującym prawem. Po drugie mało kto zastanawia się, co się zmieni i jak będzie wyglądała rzeczywistość po tej dacie. „RODO – The Day After” to temat, nad którym także trzeba się zastanowić.
To w takim razie skąd ta data 25 maja?
RODO weszło w życie 2 tygodnie po ogłoszeniu, natomiast egzekwowalność przepisów RODO zaczyna się 25 maja. Do tego momentu nic nam nie grozi. Natomiast po 25 maja sytuacja ta ulegnie zmianie. Możemy spodziewać się, że przetwarzający dane zaczną zgłaszać naruszenia, ponieważ powstanie obowiązek ich zgłaszania. Teoretycznie dotyczy to tylko tych naruszeń, które uważamy za poważne.
Czy istnieje definicja tego co uważamy za poważne?
Naruszeniem może być niemal wszystko. Naruszenie może powstać w sytuacji, gdy osoba upoważniona do pracy z niektórymi danymi osobowymi w jakiejś firmie, przekaże je innej, nieupoważnionej osobie. Irlandzki odpowiednik GIODO, który już prowadzi tego typu rejestr, stwierdził na publicznej konferencji, że właśnie stał się rejestrem zgubionych pendrive’ów bo to jedno z najczęściej zgłaszanych naruszeń. A jak wiadomo każdorazową stratę danych osobowych, zgodnie z przepisami, należy zgłosić do urzędu typu GIODO w kraju, gdzie doszło do naruszenia. Moim zdaniem pierwszym efektem będzie powódź zgłoszeń naruszeń.
Do kogo w Polsce będą kierowane te zgłoszenia?
W miejsce GIODO powstanie Urząd Ochrony Danych Osobowych (UODO) i tam będą one kierowane.
Mówimy o zalewie informacji o naruszeniach. Czy w takim razie ten nowy urząd będzie na to gotowy?
Prowadzone są działania, które mają na celu zapobiec takiej sytuacji, ale nie wiem czy osoby pracujące w tym urzędzie zdają sobie sprawę ze skali zgłoszeń, choć można to bardzo prosto policzyć. W Polsce mamy 25 tys. przedsiębiorstw średnich i dużych. Zróbmy założenie, że każde z tych przedsiębiorstw zgłosi naruszenie raz na kwartał. To oznacza 100 tys. zgłoszeń. Jeżeli dodamy do tego małe firmy, które także przecież przetwarzają dane osobowe i mogą stanąć wobec konieczności zgłoszenia naruszenia, to będziemy mieli setki tysięcy takich incydentów.
Co mają zrobić osoby prowadzące indywidualną działalność gospodarczą? Jak RODO na nich wpłynie?
To będzie bardzo interesujące zagadnienie, ponieważ w znacznej części, ludzie prowadzący taką działalność nie zdają sobie sprawy z tego, co powinni zrobić. Będą musieli przeprowadzić analizę procesów biznesowych w swojej firmie. Osoba prowadząca jednoosobową firmę (jakkolwiek by to nie zabrzmiało!) nie jest człowiekiem w sensie osoby fizycznej, tylko jest firmą – osobą prawną. Taka osoba może mieć dostęp do danych osobowych przedsiębiorcy, na rzecz którego pracuje, a więc może być uznana za podmiot przetwarzający. Ta osoba może również decydować o celach i czasie przetwarzania danych, które dokonuje administrator. Wówczas staje się ona tzw. współadministratorem. Czyli na tę osobę lub firmę będącą jednosobową działalnością gospodarczą nałożone są kolejne obowiązki.
Osoba prowadząca jednoosobową działalność gospodarczą, może korzystać z biura rachunkowego lub np. administracji budynku, w którym się znajduje. Można do tego dodać agencje PR czy agencje marketingowe. Ciekawy jest przypadek restauracji oferujących dowóz jedzenia. Jak traktować kuriera dostarczającego jedzenie do domu. On nie jest pracownikiem tej firmy, niewątpliwe jednak przekazujemy mu dane osoby, która zamówiła jedzenie. Podobna sytuacja występuje, gdy jest Pan odbiorcą telewizji kablowej i wzywa Pan serwis. To przecież też najczęściej jest jednoosobowa działalność gospodarcza, a nie pracownik operatora. Z punktu widzenia dziennikarza, warto zadać pytanie czy kontakty, które Pan ma są kontaktami prywatnymi, czy jednak kontaktami firmy. RODO może również spowodować, że niektóre procesy po prostu zostaną zamknięte ze względu na zbyt duże ryzyko związane z przetwarzaniem danych.
Czyli można powiedzieć, że RODO obowiązuje nas wszystkich?
Tak. W wielkich firmach są to procesy wciągające mnóstwo ludzi. W mniejszych firmach będzie ich pewnie znacznie mniej. W przypadku jednoosobowej działalności można wszystkie sprawy policzyć na palcach jednej ręki. W ramach wdrożenia i utrzymania zgodności z RODO każda organizacja, bez względu na jej rozmiar, będzie musiała nieustająco analizować ryzyko. To ryzyko jest po dwóch stronach. Po pierwsze, ryzyko dla osoby fizycznej, której dane się przetwarza. Przykładowo, jeżeli przetwarza się dane używając do tego pendrive i dojdzie do jego zagubienia, to jakie wolności i prawa właściciela tych danych mogą zostać naruszone? Po drugie zaś, ryzyko dla organizacji, która te dane przetwarza.
Jakie mogą być konsekwencje, jeżeli Pan tego nie zrobi?
Generalnie możemy przyjąć, że konsekwencje są dwie. Pierwsza opcja to kary administracyjne, które wzbudzają taką ekscytację opinii publicznej. Mogą wynosić 4% obrotu lub 20 milionów euro. To jest kara, którą może nałożyć regulator. Moim zdaniem jest to odpowiednik broni nuklearnej, tzn. regulator ma tę broń i będzie jej używał w maksymalnym wymiarze tak rzadko, jak używa się broni nuklearnej. Moim zdaniem będzie to naprawdę ostateczność, przy bardzo poważnych naruszeniach.
Czyli nie będzie używał?
Raczej nie będzie używał mechanicznie i bez zastanowienia. RODO mówi, że kara administracyjna, która ma być nałożona przez regulatora musi być proporcjonalna do rodzaju wykroczeń i pełnić funkcję odstraszającą. Moim zdaniem jakaś kara w którymś momencie jednak zostanie nałożona.
Jako środek odstraszający?
Dokładnie.
Ze względu na wykonywany zawód, jestem ciekaw jak to wygląda na uczelni?
Administratorem danych studentów jest uczelnia.
A co jeżeli wykładowca komunikuje się ze studentami wykorzystując skrzynkę prywatną, a nie uniwersytecką?
Będzie to musiało być opisane. To jest proces biznesowy, który trzeba przeanalizować. Mamy sytuację: jest wykładowca, który jest pracownikiem uczelni. Uczelnia jest administratorem danych studentów. Wykładowca ma udzielony dostęp na określonych zasadach definiujących, do czego może wykorzystywać te dane, w jakim obszarze jest przeszkolony.
Czyli trzeba podpisywać nową umowę albo aneks?
Co więcej, studenci muszą się na to zgodzić. RODO wymaga tego, że jeżeli dane są przetwarzane - to ma to określony cel i określony czas, a najlepiej, żeby minimalizować ich wykorzystanie. Przykładowo, jeżeli osoba zatrudniona przez uczelnię ma tylko za zadanie przyjść i wygłosić wykład, to wystarczającą informacjami dla niej są np. adresy elektroniczne tych studentów lub ich numery legitymacji studenckich. A wykładowca nie musi nawet znać ich imion, nazwisk czy wieku.
Załóżmy hipotetycznie, że dojdzie do wycieku danych studentów z winy wykładowcy.
To zależy jak się uczelnia zabezpieczyła, ale proszę sobie wyobrazić, że zakończył się semestr. Wykładowca skończył zajęcia i powinien się pozbyć danych osobowych studentów. Cel przetwarzania danych został zrealizowany i proces przetwarzania powinien być zakończony.
Z drugiej jednak strony mamy wymóg, że przez jakiś określony czas musimy przechowywać kolokwia czy egzaminy studentów?
Jeżeli jest zapis, że należy przechowywać informacje o tym, jak dany student wykonywał ćwiczenia to te dane będą w dalszym ciągu przetwarzane. Pytanie czy ma Pan dalej do nich dostęp? Pan wprowadził te dane wystawiając oceny z kolokwiów. Z Pana punktu widzenia całość przechodzi do archiwum. Pan już dalej nie wpływa na te dane, nie ma Pan kontaktu z tymi studentami. Chyba, że cel został postawiony inaczej. Przykładowo wykładowca ma zajęcia w semestrze i studenci do końca studiów mają kontakt z wykładowcą. Musi być stosowna adnotacja oraz określona data. Uczelnia przetwarza te dane, aż do zakończenia relacji studenta z określonym uniwersytetem.
Proszę to teraz przenieść na grunt komercyjny, czyli firma X robi promocję „z kaktusem”. Jeżeli ja zgadzam się na wzięcie udziału w promocji „z kaktusem” to, jeżeli firma X planuje jeszcze promocję „z choinką”, to moja zgoda już nie działa. Ja wyraziłem zgodę na promocję „z kaktusem”. Nie wyraziłem zgody na promocję „z choinką”. Jeżeli skończy się promocja „z kaktusem”, to również kończy się moja zgoda. RODO nakłada taki obowiązek.
Wracając do najbardziej kontrowersyjnego tematu, czyli kar administracyjnych.
Rozmawialiśmy o naruszeniu w postaci zgubionego pendrive. Jak zareaguje na to regulator? Regulator nie przyjdzie i nie powie, że Kowalski zgubił pendrive i musi zapłacić 20 milionów euro. Taka kara nie byłaby proporcjonalna. Ona rzeczywiście jest odstraszająca - sprzedaż pendrive’ów spadłaby do zera. Natomiast ona nie ma sensu. Regulator może zapytać, co Kowalski zrobił, żeby poprawić bezpieczeństwo, żeby ich więcej nie gubić. Przykładowo - czy szyfrował dane, albo podjął inne środki zaradcze.
Czy argument, że zgubiłem pendrive’a, ale dane są zaszyfrowane jest wystarczający?
On łagodzi podejście do naruszenia. Jeden z artykułów (art. 32 – przyp. redakcji) mówi o środkach bezpieczeństwa, które trzeba stosować i szyfrowanie jest jednym z podstawowych narzędzi. Wróćmy do tego, co będzie robił prezes UODO, jeżeli będzie miał takie sprawy. Mogą być sytuacje, kiedy wyciek jest naprawdę poważny. Włamanie i wyciek dużej ilości danych. Przykładowo ktoś wyeksportował całą bazę danych na Kajmany. Jeżeli ktoś postąpił absolutnie niezgodnie z zaleceniami i przepisami, wtedy restrykcje mogą być nakładane przez UODO.
Jak sytuacja wygląda z telemarketerami, którzy dzwonią na nasz numer telefonu i próbują sprzedać garnki, sztućce itp.? Czy po wprowadzeniu RODO nie będzie to możliwe?
Powinno się to skończyć, ponieważ jednym z elementów określonych w RODO jest również wyrażanie zgody. Przy czym ta zgoda nie może być domyślna, nie może być napisana językiem enigmatycznym. Każdy musi dobrze rozumieć, na co wyraża zgodę. RODO przewiduje minimalizację danych w związku z tym, co się robi i każda firma będzie potrzebowała inną ich ilość, żeby świadczyć usługi. Sektor medyczny w celu skutecznego leczenia pacjentów musi posiadać wiele informacji o pacjencie. Jeżeli zatrudniam się w firmie X, również podaję dużo danych. Z drugiej strony, jeżeli chce wziąć udział w promocji internetowej, to e-mail powinien być absolutnie wystarczający. Już nie trzeba podawać innych informacji, takich jak imię, nazwisko czy numer telefonu. Czy e-mail będzie identyfikował konkretną osobę? To dyskusyjne aż do chwili transakcji czy wygranej, dalszej interakcji.
Kolejne ograniczenie to cel i czas. Może być tak, że ja się zgodziłem na promocję „z kaktusem” i używanie moich danych. Akcja kończy się 24 grudnia 2018 roku. Po tym terminie wykorzystywanie danych jest nielegalne. Inny przykład - organizujemy konferencję. Osoba A zarejestrowała się na nią. Może być napisane w zgodzie, którą będzie podpisywać, że jest to konferencja i zgadza się na przesyłanie materiału pokonferencyjnych w jakimś okresie np. dwóch miesięcy. Jak będzie napisane, że tylko do zakończenia konferencji, to w momencie jej zakończenia występuje obowiązek usunięcia danych osobowych.
Jak to będzie w przypadku dziennikarzy? Czy po wejściu w życie RODO, dziennikarze będą dostawali prośbę o podpisanie zgody na otrzymywanie materiałów z agencji PR?
Prawnicy na wszystkie tego typu pytania odpowiadają - to zależy, to się okaże. Warto pamiętać, że RODO to europejskie prawo, więc również będą bardzo uważnie patrzyli, co się dzieje w innych krajach UE. Jeżeli GIODO szwedzkie za coś ukarze, to występuje przesłanka do tego, żeby w analogicznej sytuacji polski odpowiednik postąpił podobnie. W prawie zawsze są opisy, a potem jest jeszcze kwestia orzecznictwa. GIODO z różnych krajów będą między sobą wymieniały informacje. Trudno mi sobie wyobrazić sytuację, że GIODO szwedzkie surowo karze za przewinienie X, a GIODO włoskie, cypryjskie czy greckie mówi, że kompletnie się tym nie przejmujemy, bo to nic istotnego.
Michał Jaworski: Dyrektor ds. Strategii Technologicznej, członek zarządu Microsoft sp. z o.o.