Radio Białystok | Gość | dr Maciej Kawecki - z Ministerstwa Cyfryzacji
"Wyniki kontroli NIK są w niektórych przypadkach złe, w niektórych bardzo złe, w niektórych zatrważająco złe" - mówi nasz gość.
Nasze dane były nieodpowiednio chronione - takie są wyniki kontroli NIK w jednostkach administracyjnych na Podlasiu. Ta sytuacja się zmienia na lepsze. Potrzebne jednak będą szkolenia i większe zaangażowanie w ochronę danych osobowych. O tym z dr Maciejem Kaweckim z Ministerstwa Cyfryzacji rozmawia Lech Pilarski.
Lech Pilarski: Podważone zostało zaufanie do województwa podlaskiego w związku z kontrolą przeprowadzoną przez Najwyższą Izbę Kontroli, właśnie na Podlasiu, jeśli chodzi o przestrzeganie RODO. Co to znaczy?
dr Maciej Kawecki: W 2018 roku Najwyższa Izba Kontroli skontrolowała sposób przestrzegania przez jednostki publiczne, na terytorium województwa podlaskiego, przepisów o ochronie danych osobowych. I rzeczywiście wyniki tej kontroli są w niektórych przypadkach złe, w niektórych bardzo złe, w niektórych zatrważająco złe. Rzeczywiście dostrzegalne jest nieprzykładanie należytej staranności, zarówno jeżeli chodzi o organizację, jak i techniczne zabezpieczenia danych, a dane to jest gospodarka XXI wieku. Mówi się, że to jest to, co napędza gospodarkę, to co napędza cyfryzację.
Dlatego zdecydowaliśmy się, jako ministerstwo cyfryzacji, odwiedzić Białystok i województwo podlaskie, spotkać się z przedstawicielami każdej z tych jednostek, żeby wytłumaczyć dlaczego ta tematyka jest tak bardzo ważna, dlaczego zaufanie obywateli do tego, jak dane przez administrację publiczną są przetwarzane, chronione jest bardzo istotne.
Ostatnio mieliśmy do czynienia z ogromną ilością tak zwanych RODO-absurdów - przedsiębiorcy mieli problem z wdrożeniem RODO, my jako administracja publiczna musimy być absolutnym wzorem do naśladowania i stąd te nasze działania.
Na czym te błędy polegały?
Głównie kwestia związana z tym, że trudno było wskazać w organizacji osobę tak naprawdę odpowiedzialną za ochronę danych osobowych, jednostki albo nie powoływany tak zwanych administratorów bezpieczeństwa informacji, a jeżeli powoływały to tacy administratorzy byli tylko fikcyjni, czyli łączyli etaty z etatem kadrowym, czy z etatem informatyka.
Przy dzisiejszej ilości gromadzonych danych to jest bardzo trudne. Zabezpieczenia nie były adekwatne do ryzyka ewentualnego, z możliwym wyciekiem danych, czy naruszeniem przepisów o ochronie danych. Część z tych zastrzeżeń się zdezaktualizowało z uwagi na wejście w życie RODO, na przykład rejestracja zbiorów danych osobowych - ich już nie ma, to było zastrzeżenie, obowiązek informacyjny to jest to co nam się pojawia w internecie, jak wypełniamy formularze, czyli informacja "administratorem danych osobowych jest podmiot ten i ten, z siedzibą" - to jest kluczowa kwestia, nam się wydaje coś to coś bardzo formalnego, ale bez wiedzy o tym, że nasze dane są gromadzone - osoba, której dane dotyczą, a my wszyscy jesteśmy również obywatelami, chcemy wiedzieć co się dzieje z informacjami o nas samych - nie możemy korzystać z uprawnień wynikających z RODO, nie możemy złożyć skargi do urzędu ochrony danych osobowych, nie możemy zarządzać prawem do bycia zapomnianym, dlatego to jest tak bardzo istotne. Szkolenia, czyli brak przeszkolenia - w niektórych jednostkach osoby w ogóle nie przeszkolone w zakresie tej regulacji, to jest też bardzo istotne.
Czyli te błędy są naprawiane, błędy są usuwane, bo teraz trzeba odzyskać to zaufanie, które się utraciło.
Ja mam nadzieję, że między innymi przez takie spotkanie, już teraz województwo podlaskie będzie tym, które w największym stopniu przywiązuje wagę do ochrony prywatności.
Musimy pamiętać o tym, że w Polsce przestrzeganie przepisów o ochronie danych osobowych kontrolowane jest przez wiele różnych organów, nie tylko przez Urząd Ochrony Danych Osobowych, ale przez Najwyższą Izbę Kontroli, przez Państwową Inspekcję Pracy. Wyniki każdej z tych kontroli prawie zawsze są publiczne.
I rzeczywiście nam najbardziej zależy na tym zaufaniu, nie możemy go podważać. Jeżeli taki przedsiębiorca widzi, że administracja publiczna nie przykłada do tego należytej wagi, no to uśmiecha się i mówi - a co dopiero ze mną, to administracja publiczna przygotowała tak naprawdę te przepisy, dlatego jest dla nas to tak ważne, żeby dbać o informację.
Na początku maja wchodzą nowe przepisy związane z RODO, na czym będą polegały?
4 maja wchodzą w życie przepisy wdrażające RODO, zmieniające ponad 160 ustaw. To jest jeden z większych w historii polskiej legislacji pakietów legislacyjnych, setki stron ułatwień co do zasady.
Pakiet ma ułatwić stosowanie przepisów, tworzony był w oparciu o tą liczbę nadinterpretacji, która wiązała się z przepisami RODO, zmienia kodeks karny na przykład, instrument do walki z tak zwanymi RODO-oszustami, ale wiążą się z nim również pewne obowiązki.
W niektórych przypadkach pojawi się obowiązek pisemnego upoważnienia do przetwarzania danych osobowych, zmianie ulegnie Kodeks Pracy, z jednej strony pracodawcy będą uprawnieni do gromadzenia danych biometrycznych pracowników, na przykład jeżeli jest to konieczne do ochrony pomieszczeń, gdzie ważne informacje są składowane, ale z drugiej strony nie będzie można na przykład monitorować obszaru związków zawodowych.
Zmianie ulegną przepisy prawa medycznego, ustawa o Rzeczniku Praw Pacjenta - przyznając każdemu z pacjentów, to jest ważne dla tych słuchaczy, którzy będą chcieli uzyskiwać dostęp do dokumentacji medycznej - będą przyznawać prawo do nieodpłatnego uzyskania dostępu do pierwszej kopii dokumentacji medycznej.
Bardzo ważna zmiana prawa bankowego - każdy kto będzie starał się o kredyt i uzyska odmowę i nie wie w zasadzie dlaczego, na podstawie jakich informacji odmówiono mu udzielenia kredytu, a do tej pory tak było, mamy pozytywną historię kredytową, mamy wydaje się w naszej ocenie wystarczające dochody i nagle dostajemy decyzję odmowną - będziemy mogli zapytać bank nieodpłatnie, jeżeli jesteśmy konsumentami, na podstawie jakich informacji, czynników, danych dokonano oceny zdolności kredytowej i odmówiono nam kredytu. Bardzo ważna zmiana dla każdego, kto stara się o takie środki.
Ważna zmiana dla administracji publicznej Kodeksu Postępowania Administracyjnego - te obowiązki informacyjne, o których już mówiliśmy, często uciążliwe, będą mogły być realizowane w pierwszym piśmie kierowanym do strony, a jeżeli sprawa jest załatwiona milcząco, czyli bez korespondencji ze stroną - na stronie internetowej danego urzędu.
Tych zmian jest dużo, one w większości mają ułatwiać, natomiast na pewno muszą państwo się z nimi zapoznać, więc już teraz jest na to czas, prezydent ustawę podpisał, zostanie ogłoszona 19 kwietnia, wejdzie w życie 4 maja.
Chciałem zaprosić słuchaczy na stronę internetową ministerstwa cyfryzacji i Urzędu Ochrony Danych Osobowych - to są takie dwa adresy, które powinny być dla każdego ze słuchaczy pierwszym punktem odniesienia. Na stronie ministerstwa cyfryzacji znajduje się zakładka RODO - tam znajdują się poradniki dotyczące przetwarzania danych, między innymi w administracji publicznej, ale nie tylko, dedykowane przedsiębiorcom, mikro-przedsiębiorcom, ponad 100 pytań i naszych odpowiedzi na te najbardziej nurtujące pytania. Zdecydowanie polecam.
To może zakończmy czymś, co da nam trochę wiedzy - największy RODO-absurd?
Ich było bardzo dużo, ja pamiętam pierwszy, który do nas dotarł. Pierwszy dotyczył cmentarza i dotyczył tego, że jeden z zarządców cmentarza zamknął cmentarz z uwagi na to, że na nagrobkach znajdowały się dane osobowe osób zmarłych, ale też osób - uwaga - żyjących, ponieważ mamy zwyczaj zamawiania sobie nagrobków jeszcze za życia i tam te dane się znajdowały. Nie wiedział co ma z tym zrobić: imię, nazwisko, data urodzenia i czasami w niektórych przypadkach funkcja, tytuł naukowy. Oczywiście nic nie trzeba robić - takie nagrobki mogą jak najbardziej pozostać.
Ja nie lubię mówić o RODO-absurdach, bo w takim języku marketingu mówi się, że RODO w Polsce weszło do tak zwanej strefy beki, czyli jak się pojawia słowo RODO, to się pojawia uśmiech na twarzy, właśnie przez te RODO-absurdy, one robią krzywdę tak naprawdę tej reformie i myślę, że to co się stało z kontrolą NIK-u, w jakiś sposób przyczyną tego jest to właśnie takie niepoważne traktowanie tej regulacji, więc nie lubię mówić absurdach.
Czyli w przypadku tego cmentarza nie trzeba było go zamykać, to są dane osobowe, ale...
...ale osoba chcąc zamieszczenia ich na nagrobku za życia, udziela zgody na ich przetwarzanie, na ich rozpowszechnienie w jakiś sposób i jak najbardziej mogą się tam znaleźć.