Andrzej Rybus-Tołłoczko

25 maja wchodzą w życie nowe przepisy dotyczące ochrony danych osobowych, tzw. RODO. Tego dnia zacznie obowiązywać w całej Unii Europejskiej rozporządzenie wprowadzające nowe wytyczne w tej dziedzinie. O tym z ekspertem Andrzejem Rybusem-Tołłoczką rozmawia Lech Pilarski.

Lech Pilarski: Cóż to takiego jest to RODO, brzmi tajemniczo i używane jest w mediach głównie jako straszak.

Andrzej Rybus-Tołłoczko: RODO to jest nowa ochrona danych osobowych, wszystkich tych danych osobowych, które przetwarzamy i które są nasze, czyli tak naprawdę ma służyć naszej ochronie, temu żebyśmy nie musieli martwić się o to, że jakiś bank, jakieś instytucje telekomunikacyjne będą sprzedawać między sobą te nasze dane osobowe. Straszak jest trochę dla tych, którzy te dane przetwarzają nielegalnie, ale dla tych którzy przetwarzają legalnie i tak, jak powinno się przetwarzać, to jest bardziej uporządkowanie tego jak to ma funkcjonować, żeby to było przejrzyste, jasne, a osoba, której dane są przetwarzane wiedziała co się z nimi dzieje.

Czyli to ma być w naszym interesie?

Zdecydowanie tak. To my mamy się poczuć nareszcie tak, że dane osobowe, które są nasze - nasze imię, nazwisko, nasz numer konta, nasz numer telefonu, nasz mail czy adres zamieszkanie są nareszcie bezpiecznie. Nie krążą po internecie, nie są sprzedawane między różnymi instytucjami. Ile razy się nam zdarzyło, że ktoś do nas zaczyna dzwonić i mówić "Dzień dobry, mamy tutaj pana numer telefonu chcielibyśmy sprzedać garnki, albo chcielibyśmy zaoferować nową taryfę". A skąd ma pan numer telefonu? A... wylosowałem. No i oczywiście nie wylosował, tylko ma gdzieś te dane kupione, bo nam się kiedyś zdarzyło, np. przed 15 laty, zaznaczyć "wyrażam zgodę na cele marketingowe" i to poszło w świat i te nasze dane są sprzedawane.

Teraz RODO sprawi, że jak ktoś do nas zadzwoni i my mu powiemy "Ja już nie zgadzam się, żeby pan przetwarzał te dane osobowe i nie wyrażam zgody, żeby w ogóle te dane były przetwarzane" to ta osoba cały taki łańcuszek musi sprawdzić i zobaczy, gdzie te dane są kupione, od kogo i sprawić, że stamtąd te dane osobowe już nie będą mogły być też przetwarzane.

Czyli zastrzegam sobie używanie moich danych osobowych właśnie w tej rozmowie, w tym ostatnim kontakcie.

W tym ostatnim kontakcie i oni muszą to zastrzec, muszą sobie przekazać między sobą informację.

Czy gwarantuje pan, że nie będzie tych telefonów z tymi garnkami, z kolejnymi usługami i tak dalej?

Myślę że będą, one jeszcze nam się długo będą te telefony zdarzać, bo dopóki nie odwołamy tej zgody, to niestety oni będą nas nękać i do nas dzwonić.

Z tego wniosek, że teraz nie powinniśmy szafować tą zgodą zbyt lekkomyślnie.

Absolutnie nie. Chociaż teraz będzie też tak, że będziemy mogli kontrolować gdzie te dane osobowe są dalej przekazywane. Czyli jak na przykład do tych garnków przekażę swoją zgodę na przetwarzanie danych osobowych, to jeżeli oni ją dadzą do kanap, do suszarek, czy do czegoś innego, to ja do nich przyjdę i powiem tak: "drogie garnki, ja nie chcę więcej żebyście przetwarzali moje dane osobowe", to te garnki mają obowiązek mi powiedzieć "Przekazaliśmy twoje dane do szaf, do kanap, do suszarek" i ja mówię - bardzo proszę żebyście stamtąd wycofali moje dane osobowe, i to oni mają obowiązek te dane stamtąd wycofać. Myślę, że taka nasza ochrona i nasza świadomość tego, że  te dane osobowe będą będzie znacznie większa. 

Ale z drugiej strony te nowe przepisy o RODO, które wchodzą, wprowadzają straszne restrykcje. W gruncie rzeczy każdy obywatel może się czuć bardzo niebezpiecznie, bo mnie stąd ni zowąd przyjdzie decyzja, że musi zapłacić 200 tys. zł kary, bo coś zrobił nie tak.

Ni stąd ni zowąd nie przyjdzie te 200 tys. zł. Najpierw będzie postępowanie, będzie sprawdzenie, zobaczenie czy w ogóle ten wyciek danych nastąpił. Będzie tak, że wszystkie instytucje, wszystkie podmioty, działalności gospodarcze muszą się przygotować na wdrożenie tego RODO, muszą się przygotować do tego, żeby zrobić analizę ryzyka, żeby sprawdzić, jak te dane w ogóle krążą u nich w firmie.

Co się zbiera w firmie, na jakich nośnikach, czy to jest zabezpieczone czy nie?

Dokładnie tak. I to wszystko muszą sobie spisać, zobaczyć od kogo te dane zbierają, gdzie je przekazują, jakie mają też takie zabezpieczenia techniczne, czyli czy mają pokój zamykany, czy mają szafy zamykane i to wszystko zrobią w tej analizie ryzyka i określą czy mają w ogóle gdzieś możliwość wycieku danych osobowych. 

Jeżeli mają, to jakie środki wprowadzają, żeby tego wycieku nie było. To jest rzecz, którą tak naprawdę wszyscy powinni byli zrobić. RODO nam wprowadza taki obowiązek, żebyśmy przyjrzeli się, jak te dane osobowe przetwarzamy w różnych firmach i instytucjach, czy organizacjach pozarządowych. To też sprawi, że my będziemy mieli większą świadomość co z tymi danymi robimy. 

Oczywiście to oznacza, że jest duży obowiązek pracodawców, ale też i pracowników do tego, by pilnować, by dane osobowe, które nam obywatel, osoba, nasz klient powierza nie miały możliwości powędrowania sobie po sieci, czy leżą sobie na biurku, do którego wszyscy mają dostęp i każdy może w każdej chwili przyjść i zrobić zdjęcie telefonem. Na takie rzeczy to RODO nam będzie zwracało teraz uwagę. 

Wiele osób i instytucji jest przerażonych, ale nie ma co się przerażać, to trzeba po prostu na spokojnie sobie wgryźć się w te przepisy, robić, bo to nie będzie tak jak do tej pory - raz zrobimy i zapominamy. Analizy ryzyka będziemy powtarzać, bo nam się zmienią czynniki, bo będziemy mieli nową siedzibę, bo otworzymy nowy punkt dystrybucji w innym miejscu, doszło więcej pracowników i wtedy będziemy te analizy zmieniać, będziemy dodawać nowe rzeczy, będziemy pracowali z tymi osobami i wszyscy, którzy będą to RODO rozumieli jako proces, jako działanie, które trzeba wdrażać, z którym trzeba pracować, to nie będą mieli z tym większego problemu. To po prostu jest kwestia zrozumienia, wgryzienia się w to i potraktowania tego, jako uporządkowanie pewnej dziedziny. 

To RODO ma sprawić, że oczywiście instytucje mają bardziej strzec, ale i my mamy mieć w świadomości. Zastanów się, czy musisz te dane tam przekazać, a z drugiej strony - przedsiębiorco, urzędzie, organizacjo pozarządowa - zastanów się, czy te wszystkie dane musisz zabrać od tego człowieka, czy one ci są tak naprawdę do tego wszystkiego potrzebne co robicie. Tam, gdzie wdrażam, gdzie robię RODO staram się w ogóle, jak najmniej takich rzeczy robić - skserowanie dowodu, czy oglądanie nawet dowodu osobistego - raczej nawet już nie ma mowy i nawet się nie chce tego robić, żeby nie brać na siebie odpowiedzialności za to, że te dane się ma, bo potem one wyciekną i będzie na nas, że to przez nas wyciekły te dane osobowe.

Zbliża się sezon letni, będziemy wypożyczać sprzęty pływające, będziemy kosz próbowali zająć gdzieś tam na plaży, ktoś będzie chciał od nas w zamian jakiś dokument, to on też dzięki temu RODO zastanowi się, czy to w ogóle ma sens.

Dokładnie tak. Co z tym dowodem osobistym zrobi jak my tym kajakiem nie wrócimy? To jest też pytanie - po co mu ten dowód osobisty? Jak sobie spisze z dowodu, czy mu podyktujemy adres, to będzie miał dokładnie te same dane osobowe, które będzie potrzebował ewentualnie, żeby potem nas ścignąć, tylko pytanie po co mu to wszystko? On też się musi zastanowić, jak weźmie o nas te dane osobowe, to będzie musiał mieć ten obowiązek informacyjny, czyli będziemy musieli być poinformowani po co on zbiera te dane osobowe od nas, gdzie je przechowuje, jak je przechowuje, ile czasu. Pytanie czy w ogóle tyle zachodu jest potrzebne przy wypożyczeniu kajaka czy kosza na plaży. To też trzeba współmiernie do rzeczy, które się realizuje. 

Owszem, jak ktoś zawiera umowę, w ramach której przez wiele lat będzie realizował jakąś usługę, telewizja na przykład w domu, to wiadomo, że musi być tam trochę więcej danych, w przypadku wymiany dekodera czy nawet jak nie płaci potem postępowania komorniczego, bo też się przecież tak może zdarzyć, to jest jasna sprawa, ale na takie drobiazgi, to po co tyle tych wszystkich informacji?

Dla tych wszystkich, którzy lubią mieć mnóstwo papierów na biurku - koniec z tym?

Zdecydowanie koniec. W zasadzie to już tego być nie powinno i teraz, że jednak zasada czystego biurka, czyli tego, że danych osobowych różnych osób nie przechowujemy na biurku, nawet w pokoju, który jest zamknięty, bo nie wiadomo jakie tam są dane, może tam są dane wrażliwe, może akurat jest czyjś stan zdrowia na jakimś dokumencie, to jednak zasada czystego biurka przed wyjściem z pracy być powinna. Myślę, że wielu szefów się jednak ucieszy, że zmusi pracowników do tego, żeby posprzątali swoje biurka, a wiele pani czy panów, którzy sprzątają pomieszczenia będzie nareszcie mogło swobodnie całe biurko przeczyścić.

Czyste biurko to najprostsza ochrona danych osobowych.

Zdecydowanie tak. To jest najprostsza rzeczy i zamykanie ze sobą pokoju i wyłączanie komputera służbowego, jak wychodzimy z pracy i to tak naprawdę 80% sukcesu.

| red: mak