Rozmowa z dr. Maciejem Kaweckim, dyrektorem Departamentu Zarzadzania Danymi w Ministerstwie Cyfryzacji, koordynatorem reformy ochrony danych osobowych

Krzysztof Sobczak: Czy na kilka dni przed wejściem w życie unijnego rozporządzenia RODO i krajowej ustawy o ochronie danych osobowych można powiedzieć, że Polska jest do tego gotowa?
Maciej Kawecki: Legislacyjnie oczywiście jesteśmy przygotowani. Jest już ustawa o ochronie danych osobowych, pracujemy jeszcze wprawdzie nad przepisami wprowadzającymi, ale one nie są konieczne do stosowania RODO. Nie ma natomiast 100-procentowej pewności, czy jesteśmy przygotowani organizacyjnie, w tym znaczeniu przygotowania przedsiębiorców, różnych instytucji i administracji publicznej do stosowania przepisów RODO. Jest to na tyle trudny akt prawny i na tyle skomplikowana tematyka, która w powszechnej świadomości wypłynęła stosunkowo niedawno, że na tym poziomie dopiero przygotowujemy się do jej stosowania.

Są wprawdzie narzekania, że polska ustawa trochę późno została uchwalona, ale samo rozporządzenie ogólne jest znane od ponad dwóch lat. Nikt więc nie może powiedzieć, że to jakieś zaskakujące zmiany.
To prawda, rozporządzenie jest znane od kwietnia 2016 roku. Ale nasza ustawa nie nakłada żadnych obowiązków na przedsiębiorców. Ona rzeczywiście nakłada obowiązki na prezesa Urzędu Ochrony Danych Osobowych, ale ona temu urzędowi była znana wcześniej, on pracował z nami nad projektem.

Użytkownikom tych przepisów RODO było znane i dostępne, a jeśli chcieli to mogli też śledzić prace nad projektem ustawy.
Oczywiście, ale najważniejsze jest to, że wszystkie obowiązki wynikają wprost z RODO. A to, z czym teraz się borykamy się najbardziej, to są błędne informacje i zamieszanie medialne, które towarzyszy przygotowaniom do wejścia RODO w życie. W wielu przypadkach opinia publiczna wprowadzana jest w błąd i nieraz wręcz straszona obowiązkami czy zagrożeniami, które z RODO nie wynikają. Jak choćby sprawa wizytówek. Po ćwierć wieku obowiązywania w Polsce przepisów o ochronie danych osobowych nagle pojawiły się informacje o rzekomo skomplikowanym problemie, jakim ma być przetwarzanie danych zawartych na wręczanych nam przez różne osoby wizytówkach, podczas gdy RODO absolutnie nic w tej dziedzinie nie zmienia w stosunku do dotychczasowego stanu prawnego.

Przepisy były, ale wcześniej nie interesowaliśmy się takimi szczegółami, a obecne wzmożenie wokół RODO wyczuliło naszą uwagę na te sprawy?
Niewątpliwie tak. Na skutek tak szerokiej debaty o RODO, ale też takich wydarzeń jak afera Cambridge Analytica, również dzięki szerokiej aktywności organów i instytucji zajmujących się ochroną danych osobowych, zaczęliśmy dostrzegać tę problematykę. Wiedzieliśmy, że ona jest, ale nie traktowaliśmy jej priorytetowo. A największa przemiana pod tym względem zaszła u przedsiębiorców. Oni mają wiele obaw w stosunku do nowej regulacji, ale też w tym kontekście boją się konkurencji.

Konkurencja zawsze była i zawsze czyhała na dane innych firm.
To prawda, ale dochodzą nowe zjawiska, jak na przykład fake-newsy i organizacje wykorzystujące je do swoich różnych celów. To nie jest wprost problem ochrony danych, ale jest w tym kontekście traktowany i my chcemy przedsiębiorcom pomagać w radzeniu sobie z nim. Przede wszystkim chcemy wszystkich zainteresowanych edukować. Przygotowaliśmy przewodnik, wkrótce razem z Państwową Agencją Rozwoju Przedsiębiorczości będziemy jeździli po całej Polsce i mówili, które z tych informacji, które nas zastraszają, są rzeczywiście godne zwrócenia uwagi, a którymi nie trzeba się przejmować. Bo w są w RODO obszary, w których rzeczywiście pojawiają się nowe zadania i obowiązki.

Z czym może być najwięcej problemów?
Bardzo duży problem organizacje mają z identyfikacją obszarów i weryfikacją danych. Bo trzeba pamiętać, że RODO wprowadza ponad 20 nowych uprawnień i bardzo wyraźnie mówi o tym, że każda z osób, których dane dotyczą, ma prawo wystąpić na przykład z żądaniem ich usunięcia. A administrator ma obowiązek zareagować niezwłocznie. Są też takie obowiązki, jak obowiązek poinformowania o naruszeniu przepisów w ciągu 72 godzin, są takie, że niezwłocznie, a w uzasadnionych przypadkach można termin przedłużyć. Jednak zasadą jest bardzo szybka reakcja, co w przypadku dużych organizacji, które przetwarzają ogromne ilości danych, zareagowanie na takie żądanie, wydanie kopii danych, przeniesienie danych, wymagać będzie zidentyfikowania tych danych, ustalenia, że je mamy, gdzie je mamy, a gdy ktoś występuje z żądaniem usunięcia danych, to ustalenia, czy możemy to zrobić, ale także, czy mamy interes prawny, by te dane dalej przetwarzać.

To dla firmy czy instytucji może być duże wyzwanie.
Oczywiście, bo to wymaga identyfikacji danych, ich systematyzacji, a w dużych organizacjach wprowadzenia kompleksowych metod zarządzania danymi. Z tym może być wiele problemów i trzeba o tym mówić. Ale trzeba też mówić o wielu innych rozpowszechnianych i nieprawdziwych informacjach, jak obowiązkowe certyfikaty, obowiązkowe szafy, obowiązkowe szkolenia, nowe obowiązki informacyjne.

Pojawiła się właśnie w internecie reklama szaf RODO. To zwykłe szafy metalowe, znane w biurach od zawsze, ale teraz one mają napis RODO.
No właśnie, już ktoś robi biznes korzystając z okazji, jaką daje wzrost zainteresowania tą problematyką. Ale jak ostatnio znana aktorka Krystyna Janda udostępniła w sieci wpis na temat RODO to uznałem, że już wszyscy tym żyją. 

To chyba pozytywna wiadomość. Bo zawsze przy takich dużych zmianach pojawiają się narzekania na brak informacji, że za mało wiemy o reformie. To tutaj chyba nikt tego argumentu nie może użyć.
To prawda, w trakcie przygotowań do wejścia tej regulacji w życie zostało przekazanych mnóstwo informacji, ale jestem przekonany, że dyskusja na ten temat nadal będzie się toczyć. Można powiedzieć, że wejście przepisów w życie nie kończy historii, ale ją zaczyna. W trakcie stosowania tego prawa pojawiać się będą kolejne problemy, które trzeba będzie wyjaśniać. Są zresztą firmy dopiero rozpoczynające działalność, także takie, które pojawią się po 25 maja, czy rozszerzą swoją działalność, które nie zdążyły się do tego przygotować.

Powiedział pan, że od strony prawnej jesteśmy dobrze przygotowani do wejścia RODO w życie, ale słyszy się narzekania, że równolegle nie wprowadzono wszystkich z tych ponad dwustu zmian w innych ustawach, które wynikają z RODO.
To już nie jest ponad 200 ustaw, jak zapowiadaliśmy wcześniej, tylko około 150. A to dlatego, że część z tych koniecznych zmian znalazło się w uchwalonej już ustawie o ochronie danych osobowych, a z części po konsultacjach z innymi resortami postanowiliśmy zrezygnować. Faktem jednak jest, że ustawa wprowadzająca nie jest jeszcze gotowa, ale też nie udało się tego zrobić żadnemu z państw członkowskich Unii Europejskiej. To jest ogromne wyzwanie legislacyjne, wymagające zmian w tak dużej liczbie ustaw. Ale jesteśmy w tym na zaawansowanym etapie. Projekt został już skierowany do Komitetu Stałego Rady Ministrów, którego posiedzenie odbędzie się na początku czerwca, a potem zostanie on zaakceptowany przez rząd. Minister cyfryzacji bardzo by chciał, by już w lipcu ustawa została uchwalona, dzięki czemu mamy szanse znaleźć się w czołówce państw unijnych, które zakończą ten proces.
Chcemy to możliwie szybko sfinalizować, ale też nie ma z tym ogromnej paniki. Trzeba bowiem pamiętać, co głównie zawiera się w przepisach sektorowych. To będą przede wszystkim ograniczenia w zastosowaniu wymogów wynikających z RODO. Tam, gdzie te ograniczenia były niezbędne dla funkcjonowania sektora, potrzebne przepisy wprowadzone zostały do ustawy o ochronie danych osobowych. Zresztą samo RODO zawiera wiele przesłanek ograniczających zastosowanie jego przepisów. Jest tam na przykład taka klauzula, że jeżeli są trudności techniczne z realizacją prawa do przeniesienia danych, to można to opóźnić, można też w uzasadnionych przypadkach wydłużyć czas na zgłoszenie naruszenia, albo zrobić to na stronie internetowej. Musimy nauczyć się czytać rozporządzenie i korzystać z możliwości, które ono daje.
Jestem przekonany, że brak ustawy wprowadzającej nie będzie długi, jak również, że nie będzie z tego powodu jakichś istotnych luk prawnych. Ale trzeba też mieć świadomość, że to może nie wyczerpać listy koniecznych zmian wynikających z RODO. Stosowanie tej regulacji może wywołać dalsze potrzeby zmian przepisów prawnych. Bo dane osobowe są absolutnie wszędzie i życie może nam przynieść jeszcze niejedno wyzwanie w tej dziedzinie.

A czy nie będzie problemów z tym, że Generalny Inspektor Ochrony Danych Osobowych, który po 25 maja stanie się szefem Urzędu Ochrony Danych Osobowych, nie uzyskał dotąd funduszy na rozbudowę biura i zatrudnienie personelu potrzebnego do wykonywania nowych obowiązków?
Tu już zaczną się niezbędne zmiany. Minister cyfryzacji wystosował właśnie do ministra finansów pismo informujące, że ustawa jest uchwalona i czeka na podpis prezydenta, a więc z chwilą wejścia jej w życie będzie podstawa prawna do przyznania niezbędnych funduszy z rezerwy budżetowej prezesowi nowego urzędu. A te środki są konieczne do tego, by urząd należycie wykonywał swoje obowiązki. Teraz organ działał zapewne na podstawie środków przyznanych w budżecie.

I solidnie je wykorzystał, bo zarówno sama Generalna Inspektor jak i wielu pracowników je biura aktywnie w tym procesie uczestniczyli. Pracowali przy projektach, przygotowywali opinie, organizowali szkolenia.
To prawda, to był cenny wkład.

Ale przyzna pan, że jest taka perspektywa, że po 25 maja ten nowy urząd może działać mniej intensywnie niż mógłby, gdyby dostał wcześniej fundusze na zatrudnienie potrzebnych fachowców i zorganizowanie im warunków do pracy.
Nie wiem, czy tak będzie. To jest niezależny organ, więc nawet mi nie wypada komentować jego działań.