Rozmowa z radcą prawnym Maciejem Gawrońskim z kancelarii Gawroński & Partners
Krzysztof Sobczak: Po wejściu w życie 25 maja unijnego rozporządzenia o ochronie danych firmy i instytucje będą musiały powoływać inspektorów ochrony danych osobowych. Ale dla wielu z nich to nie powinno być zaskoczeniem, bo przecież dotychczasowe przepisy wymagały od wielu takich podmiotów posiadania administratorów bezpieczeństwa informacji. Czy może to jednak duża zmiana?
Maciej Gawroński: Dla Polski to nie jest zmiana rewolucyjna. Chociaż pewną rewolucją jest to, że ten wspomniany administrator bezpieczeństwa informacji nie był obowiązkowy. A teraz w niektórych przypadkach będzie obowiązkowy.
Czy rozporządzenie ogólne o ochronie danych osobowych (RODO) wymienia te przypadki precyzyjnie?
Niestety, nie, gdyż poziom precyzji w określeniu obowiązków administratorów danych osobowych nie jest wysoki. RODO jest wysoce nieprecyzyjne w tym zakresie. Ale za to jednoznacznie stwierdza, że jeśli naruszy się przepisy, to trzeba się liczyć z surowymi karami.
Dla Polski ta zmiana nie jest jednak aż tak rewolucyjna jak dla wielu innych państw, ponieważ istnieje już u nas ta funkcja administratora bezpieczeństwa informacji. Ale istotną zmianą jest to, że ten nowy inspektor ochrony danych osobowych będzie w sektorze prywatnym także wymagany w określonych sytuacjach. Wzrośnie też poziom gwarancji niezależności tego inspektora, przede wszystkim gwarancji zatrudnienia.
By nie obawiał się mówić o problemach, które zauważy w firmie?
O to przede wszystkim chodzi. I dlatego między innymi nie można tego stanowiska łączyć z różnymi stanowiskami decyzyjnymi, by nie kreować potencjalnego konfliktu interesów.
Ale w jakich firmach inspektora trzeba będzie powoływać?
RODO wymaga tego od podmiotów publicznych, a w sektorze prywatnym wtedy, gdy mają miejsce specyficzne operacje. Czyli gdy jest systematyczne monitorowanie osób na dużą skalę albo na dużą skalę przetwarza się tzw. szczególne kategorie danych osobowych.
A wiadomo, co to jest ta duża skala?
Określenie tego będzie pewnym wyzwaniem. Ja staram się to w jakimś stopniu precyzować. W każdym razie bardziej niż unijna Grupa Robocza art. 29, która w ogóle tego nie scharakteryzowała. A więc ja proponuję tego typu przymiarki, że na przykład gabinet lekarski przetwarzający dane trzech tysięcy pacjentów to jest mała skala. Ale czy sześć tysięcy to już duża skala? Bo 10 tysięcy to już chyba jednak duża.
A skąd te trzy tysiące? Przyjął pan do tego założenia jakiś konkretny gabinet?
Tak, kolega z kancelarii przyniósł taką informację od dentystki, u której się leczył, że ona w ciągu roku ma około trzech tysięcy pacjentów. Jest to więc jakiś konkret. A z kolei jeśli pracodawca będzie monitorował pracowników, to też pojawia się pytanie, przy jakiej ich liczbie należy uznać, że to jest duża skala. Stu, tysiąc, wiele tysięcy? W rozumieniu RODO 250 pracowników to jest małe przedsiębiorstwo.
A jakie jest duże?
W Polsce nie ma dużo firm, które mają więcej niż 500 pracowników, a tę właśnie granicę uznaliśmy za poziom dużych firm. I jeśli działalność takiej dużej firmy wymaga systematycznego monitorowania pracowników, to już może być kontekstowo duża skala monitorowania.
A w przypadku monitorowania klientów jakie przyjmuje się poziomy?
Tu też wiele czynników ma znaczenie. Bo jeśli weźmiemy stację benzynową, w której miesięcznie monitoruje się 1500 klientów, to przyjmuje się, że ona nie będzie musiała powoływać inspektora. Ale gdyby miała w ciągu tego miesiąca trzy tysiące klientów albo dziesięć tysięcy, to może już mielibyśmy do czynienia z poziomem, przy którym inspektor byłby wymagany. W pracach legislacyjnych rozważano uniwersalny poziom 5 tysięcy rekordów, ale zrezygnowano z niego uznając, że nie da się ustalić takiej jednej liczby dla wszystkich możliwych scenariuszy. To musi być dostosowane do specyfiki różnych branż czy typów relacji z klientami.
Możemy tak sobie wymieniać przykłady różnych firm czy instytucji i rzucać, że tu to powinno być dwa tysiące, tam pięć tysięcy, a gdzieś indziej dziesięć. Ale kto ma o tym zdecydować? Jakiś organ, czy przedsiębiorca sam?
Na razie musi to zrobić sam, na wyczucie. A organ nadzorczy z czasem być może określi pewne standardy. Zresztą przedstawiciele GIODO tak to właśnie zapowiadają, że najpierw będą się przyglądać praktyce, a jak przyjdą do kogoś na kontrolę, to będą od niego oczekiwać wyjaśnienia, dlaczego i na jakiej podstawie przyjął określony pułap i od niego uzależnił decyzję o powołaniu inspektora ochrony danych osobowych, lub nie.
I na bazie tej praktyki ma powstać standard? A nie będzie tak, że nawozem do jego wyhodowania będą ukarani przedsiębiorcy?
Mogą być, ale mam nadzieję, że organ nadzorczy zachowa w tym umiar, szczególnie w tym okresie, gdy sam będzie się w praktyce uczył nowych reguł. W każdym razie wszystkie podmioty zobowiązane mają obowiązek przeprowadzić taką analizę, czy ma u nich być powołany inspektor ochrony danych osobowych. Niestety kryteria nie są ostre, więc nie będzie to łatwe.
Czy jednak można przedsiębiorcom podsuwać jakieś sugestie?
My staramy się to robić. I mówimy, że jeśli ma miejsce monitorowanie wizyjne w przestrzeni publicznej, to proponowaliśmy przyjąć, że powyżej 10 tysięcy osób rocznie potrzebny jest inspektor. Teraz te liczby chyba skorygujemy mocno w górę – np. do 24 tysięcy osób rocznie (czyli 2 tysiące na miesiąc), bo nam się ta przysłowiowa stacja benzynowa w nich nie mieści. Ciekawym przykładem jest sektor tzw. e-commerce, czyli internetowy. W firmach internetowych nawet kilkuosobowych można śledzić zachowania online, a nawet poruszanie się (jeśli na przykład wyprodukuje się aplikację na telefon) tysięcy i setek tysięcy osób. Takie firmy powinny powoływać inspektora ochrony danych, ale mogą oczywiście korzystać w tym zakresie z outsourcingu.
Zakłada pan, że organ nadzorczy potwierdzi to w swoich opiniach?
Być może potwierdzi albo zaproponuje inne poziomy. I w jakimś momencie, po analizie konkretnych przypadków, dojdziemy do jakichś wiążących ustaleń. Dobrze byłoby, gdyby organ nadzorczy tego typu propozycje przedstawił wcześniej, ale chyba nie można na to liczyć, ponieważ eksperci GIODO podobnie jak my nie mają jeszcze solidnych parametrów do określenia takich standardów. A unijna regulacja nie jest w tym bardzo pomocna. Może dlatego, że jej twórcy nie chcieli na etapie prac legislacyjnych wywołać zbyt dużego oporu.
Sugeruje pan, że dopiero jak to zacznie działać w praktyce to poznamy prawdziwe znaczenie i skutki tych przepisów? Że nie spodziewaliśmy się aż tak dużych kłopotów i obciążeń związanych z tą regulacją?
Tak może być. Ja wogóle uważam, że RODO zostało tak zbudowane, dlatego też wyznaczono aż dwa lata na wprowadzenie tych przepisów, żeby uderzenie było po pierwsze z opóźnieniem i żeby na razie nie było protestów, a po drugie to jest tak zbudowana norma, że po wykształceniu jakiegoś poziomu interpretacji przepisów nastąpi powolna budowa standardu regulacyjnego przez krajowych regulatorów. Najpierw jest norma, a potem będzie się ją doprecyzowywać, idąc w stronę zwiększenia regulacji.
Więcej na ten temat Maciej Gawroński będzie mówił podczas zaplanowanego na 6 kwietnia br. Kongresu RODO>>