Raport specjalny – „Ranking największych banków w Polsce”: RODO: nowe kompetencje, nowe obowiązki, cel ten sam

Raport specjalny – „Ranking największych banków w Polsce”: RODO: nowe kompetencje, nowe obowiązki, cel ten sam
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Z Weroniką Kowalik, zastępcą dyrektora Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, rozmawiał Konrad Machowski.

Jak będzie wyglądać aktywność GIODO w pierwszej fazie stosowania ogólnego rozporządzenia o ochronie danych? Czy przewidziany jest jakiś okres dostosowawczy, czy też od razu należy liczyć się z egzekucją przepisów?

– Ogólne rozporządzenie o ochronie danych weszło w życie 24 maja 2016 r., zgodnie z terminem określonym w art. 99 tego aktu prawnego. Równocześnie ustawodawca unijny przewidział dwuletni okres na dostosowanie do postanowień RODO. Oznacza to, że od 25 maja 2018 r. zarówno administratorzy czy podmioty przetwarzające, jak i organy nadzorcze we wszystkich krajach Wspólnoty powinny stosować nowe prawo w pełnej rozciągłości. Nie oznacza to oczywiście, że już 26 maja 2018 r. GIODO nałoży pierwsze kary pieniężne. Podjęcie rozstrzygnięcia będzie poprzedzone drobiazgową analizą konkretnego przypadku, zarówno pod względem stanu faktycznego, jak i obowiązującego stanu prawnego.

RODO wyposażyło organy nadzorcze w wiele kompetencji, w tym w obowiązek wnikliwego zbadania każdego procesu przetwarzania danych. Wśród uprawnień związanych z prowadzonymi postępowaniami wskazać należy m.in. uzyskiwanie dostępu do samych danych osobowych oraz do wszelkich pomieszczeń, sprzętu i środków służących do ich przetwarzania, a także żądania informacji niezbędnych urzędowi do realizacji jego zadań. Nadzór może również zawiadamiać administratora lub podmiot przetwarzający o podejrzeniu naruszenia przepisów.

Odrębną kategorię stanowią uprawnienia o charakterze naprawczym, takie jak możliwość wydawania ostrzeżeń, nakazów i udzielania upomnień. Przysługują one zarówno wobec administratorów, jak i podmiotów przetwarzających. Polski organ nadzorczy będzie mógł np. nakazać tym instytucjom dostosowanie operacji przetwarzania do przepisów rozporządzenia, jak też zobowiązać administratora do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych. Rozstrzygając sprawę, urząd będzie mógł oczywiście skorzystać z najbardziej dotkliwego, nowego rozwiązania, czyli nałożenia administracyjnej kary pieniężnej na administratora lub podmiot przetwarzający. I może to zrobić oprócz lub zamiast wspomnianych środków. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, organ brał będzie pod uwagę jedenaście kryteriów, określonych w art. 83 RODO. Reguły te są szczególnie istotne, zobowiązują bowiem do precyzyjnej oceny każdego przypadku. Dlatego zawsze konieczne będzie zweryfikowanie m.in. tego: jakie dane uległy naruszeniu, jaki jest charakter, waga i czas naruszenia, czy ma ono charakter umyślny, czy nieumyślny, czy administrator lub podmiot przetwarzający podjął jakiekolwiek działania w celu zminimalizowania straty, którą poniosły osoby, których dane dotyczą etc.

Organ nadzorczy będzie musiał zbadać stopień odpowiedzialności administratora (podmiotu przetwarzającego) z uwzględnieniem zastosowanych przezeń środków technicznych i organizacyjnych. Oceniany będzie też stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, a także stosowanie zatwierdzonych kodeksów postępowania, jeżeli takowe zostały wdrożone dla danej branży. Zbadanie wszystkich okoliczności wskazanych w przepisach RODO będą mieć wpływ na decyzję, czy w ogóle kara zostanie wymierzona i jaka będzie jej wysokość. Nakładanie administracyjnych kar pieniężnych nie będzie automatyczne, będzie ważone w każdym indywidualnym przypadku i będzie się odbywało z poszanowaniem odpowiednich procedur.

Wdrożenie RODO oznaczać też będzie zmiany dla samego organu nadzoru. Czy ograniczą się one do nowej nazwy, czy też należy liczyć się z istotną modyfikacją kompetencji i zakresu działania urzędu?

– Szykujemy się, rzecz jasna, na zmianę nazwy, jednak znacznie istotniejsze znaczenie będą miały zmiany o charakterze merytorycznym. Jak już wspomniałam, RODO wyposaża organ nadzorczy w wiele nowych uprawnień, nie tylko takich o charakterze kontrolnym. Jedną z miękkich kompetencji jest wspieranie administratorów i inspektorów ochrony danych, co oznacza upowszechnianie, nie tylko w społeczeństwie, ale i wśród tych podmiotów wiedzy na temat przepisów o ochronie danych osobowych. Urząd dysponuje także prawem do uczestnictwa w procesie legislacyjnym poprzez opiniowanie aktów prawnych zarówno na poziomie prac rządu, jak i parlamentu.

Wśród uprawnień związanych z prowadzonymi postępowaniami wskazać należy m. in. uzyskiwanie dostępu do samych danych osobowych oraz do wszelkich pomieszczeń, sprzętu i środków służących do ich przetwarzania…

Odrębną kompetencją organu jest zachęcanie do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu rozporządzenia ogólnego i opiniowanie oraz zatwierdzanie takich dokumentów. Ponadto organ może wydawać zezwolenia na klauzule umowne w zakresie przekazywania danych do państwa trzeciego lub organizacji międzynarodowej. Podsumowując: zmiany na pewno nie mają charakteru „kosmetycznego”, wyzwania stoją nie tylko przed administratorami, podmiotami przetwarzającymi czy inspektorami ochrony danych, ale i przed organem nadzorczym, który także podjął wyzwanie przygotowania się do stosowania nowego prawa i wykonywania nowych zadań.

Jak zdaniem GIODO prezentuje się poziom zaawansowania prac nad wdrażaniem RODO w polskim sektorze bankowym? Czy można wskazać obszary, które mogą stanowić dla tej branży największe wyzwanie?

– Dla branży bankowej, podobnie jak dla każdego administratora czy podmiotu przetwarzającego, który stosuje nowe technologie, podstawowym wyzwaniem będzie wdrożenie zasad ochrony danych w bardzo dynamicznie rozwijającym się obszarze IT, w odniesieniu do wszelkich, również nowoczesnych form i sposobów przetwarzania. Reforma przepisów o ochronie danych osobowych dokonana została przede wszystkim dlatego, że ustawodawca unijny zauważył bardzo dynamiczne zmiany samych metod ich przetwarzania. Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania, skala zbierania i wymiany danych znacząco wzrosła, dzięki stosowanym technologiom mogą być one wykorzystywane na niespotykaną do niedawna skalę.

Dla administratora, w tym również banku, oznacza to z jednej strony swobodę wyboru określonych rozwiązań, z drugiej oczywiście odpowiedzialność za konsekwencje ich zastosowania. To z kolei wiąże się z koniecznością uwzględniania ochrony danych w fazie projektowania, domyślnej ich ochrony oraz oceny skutków dla ochrony danych, czyli dokonywania analizy ryzyka wpływu przyjmowanych rozwiązań na proces ich przetwarzania. Cel jest jeden: zapewnienie zgodności świadczenia usług i komunikacji z szeroko pojętym bezpieczeństwem danych, które to kwestie są już teraz i nadal powinny być bardzo istotne dla podmiotów z sektora bankowego. Dlatego wszelkie operacje wykonywane na danych osobowych, działania realizowane przez sektor finansowy, takie jak np. bankowość biometryczna, wykorzystanie urządzeń mobilnych czy korzystanie z big data, ale również prosty monitoring placówek czy bankomatów podlegać będzie ocenie zgodności z zasadami określonymi w RODO.

Bardzo ważnym obszarem z punktu widzenia ochrony prywatności jest profilowanie, badanie zdolności kredytowej, personalizowanie oferty kierowanej do konkretnego klienta. Przypomnę, że w przypadku banków mamy do czynienia z instytucjami zaufania publicznego, które ponoszą szczególną odpowiedzialność nie tylko za środki powierzone przez swych klientów, ale w jakimś stopniu także za bezpieczeństwo finansowe państwa czy też grup kapitałowych, w ramach których funkcjonują poszczególne banki. Dlatego z zadowoleniem odbieramy aktywne zaangażowanie sektora finansowego na rzecz bezpieczeństwa w obszarze ochrony danych, i to, że Związek Banków Polskich przygotował kodeks postępowania i przekazał ten dokument do opiniowania GIODO. Ten fakt ukazuje, że polskie instytucje bankowe traktują problematykę ochrony danych z należytą powagą, choć procedura opiniowania tego projektu przez organ jeszcze się – z oczywistych względów – nie rozpoczęła.

Ogólne rozporządzenie o ochronie danych uwzględnia również kwestie edukacyjne. Co powinno zmienić się w tym obszarze po wejściu w życie nowych przepisów?

– Kształtowanie świadomości i edukacja w zakresie ochrony danych osobowych jest i powinna być prowadzona w kilku kierunkach. Uzasadnione i niezbędne jest szkolenie pracowników poszczególnych podmiotów, w szczególności takich, jak banki, które na co dzień mają do czynienia z ogromnymi zbiorami danych oraz nowoczesnymi i skomplikowanymi procesami ich przetwarzania. To jednak nie wystarczy, gdyż RODO przewiduje zaangażowanie administratorów w ścisłą komunikację z klientami, zwłaszcza w celu realizacji ich praw z zakresu ochrony danych osobowych. W art. 12 RODO ustanowiona została tzw. zasada przejrzystości (informowania i komunikacji), która zobowiązuje administratorów do wdrożenia takich sposobów komunikacji, które pozwolą na udzielanie wszelkich informacji na temat przetwarzania danych i praw przysługujących klientom. Ma być ona prowadzona w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Nie mogą być to zatem suche, sformalizowane klauzule prawne, odniesienia do poszczególnych przepisów lub niezrozumiałe dla przeciętnego odbiorcy formułki, tylko treści jak najłatwiejsze w odbiorze z punktu widzenia przeciętnego Kowalskiego.

Niezbędne jest także ułatwianie osobie, której dane dotyczą, wykonanie wielu praw przysługujących jej na mocy art. 15-22 RODO. Te informacje muszą być dostarczone indywidualnie, w przypadku zbierania danych, tj. podczas ich pozyskiwania, a jeśli chodzi o realizację praw, to powinna ona następować bez zbędnej zwłoki, co do zasady w terminie miesiąca od otrzymania żądania, z możliwością przedłużenia tego terminu o kolejne dwa miesiące, ale tylko ze względu na skompilowany charakter żądania lub ich liczbę. Prawa osób, których dane dotyczą, powinny być realizowane także i w czasie procesu ich przetwarzania.