– Do każdego podmiotu teoretycznie może trafić kontrola, więc nie możemy argumentować, że malutki NGO-s nie ma szans na bycie skontrolowanym – przestrzega Maciej Kawecki, Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji.
Rafał Kowalski, poradnik.ngo.pl: – Jesteśmy po webinarium na temat RODO, które prowadził pan dla organizacji pozarządowych. Czy podczas webinarium były jakieś pytania, które pana zaskoczyły?
Maciej Kawecki, Dyrektor Departamentu Zarządzania Danymi, Ministerstwo Cyfryzacji: – Nie, nie było takich pytań. Jednym z największych problemów związanych z RODO jest nagminne odbieranie zgód – niezrozumienie tego, że są przypadki, kiedy dane gromadzimy na podstawie umowy, na przykład umowy darowizny, albo na podstawie przepisów prawa – że zgoda jest na samym końcu. Tak naprawdę coraz mniej mnie zaskakuje – dookoła RODO urosło tak dużo absurdów, tak dużo błędów interpretacyjnych, że trudno jest, żeby coś w tym momencie mnie faktycznie zaskoczyło.
Co więc jest tą podstawą do zbierania danych?
To, co w trakcie webinarium z organizacjami się przewijało, co trzeba zdecydowanie uwypuklić, bo z tym się spotyka każda fundacja czy stowarzyszenie, to problem, w jaki sposób wyrażamy zgodę. Jeżeli ja jako osoba, która chce stać się członkiem stowarzyszenia czy podopiecznym fundacji wypełniam wniosek, to to jest moja zgoda. Tam nie ma danych wrażliwych, to są dane zwykłe – zgodą jest wypełniany wniosek i nie musimy żadnych dodatkowych klauzuli zgody do tego wniosku dokładać. Musimy natomiast poinformować o prawie do jej odwołania.
Natomiast kiedy chcielibyśmy zbierać dane wrażliwe, czyli dane dotyczące stanu zdrowia, orientacji seksualnej, pochodzenia rasowego, etnicznego itd., to wtedy zgoda musi być bardziej wyraźna i rzeczywiście samo wypełnienie wniosku może nie wystarczyć.
Podczas webinarium jednym z najważniejszych pytań było pytanie o przesłankę legalności w sytuacji kiedy organizacje mają zlecone zadania publiczne. W tym pytaniu była nadzieja, że może uda się znaleźć jedną uniwersalną przesłankę dla takich sytuacji. Z tego, co pan mówił wynika, że tak dobrze nie ma, że to jednak za każdym razem będzie wynikało z czegoś innego, bo sytuacje będą różne.
Obejrzyj: Materiały po webinarium portalu ngo.pl: Organizacje pytają eksperta o RODO [film]
Wcześniej mieliśmy polską ustawę o ochronie danych osobowych. Długi czas organizacje przyjmowały taktykę: robimy wszystko, żeby danych osobowych nie zbierać. Ta taktyka po wejściu w życie RODO jest już nieaktualna?
Wydaje mi się, że to jest odpowiedź na pana pytanie. Mamy ćwierć wieku obowiązywania w Polsce ochrony danych osobowych, więc już chyba każdy wie o tym, że danymi osobowymi jest w zasadzie wszystko. Jeżeli fundacja robi zdjęcia konferencji, eventu, zbiera podpisy, wrzuca to na Facebooka – to wszystko są przecież dane osobowe. Nie dalej jak wczoraj widziałem: jedna z fundacji, która prowadzi teatr w Warszawie wrzuca nagminnie zdjęcia ze spektakli plenerowych dla dzieci. Zdjęcia dzieci, które podchodzą do aktorów, bardzo wyraźne. Musimy wiedzieć, że takie rzeczy mogą być przetwarzane za zgodą rodzica. Tutaj RODO nic nie zmieniło. Jeżeli dziecko jest rozpoznawalne, to jest informacja o tym, że ono uczestniczyło w określonym wydarzeniu, w określonym miejscu, o określonej godzinie, wiemy, jak wygląda. Często obok tego dziecka stoi rodzic, więc to dziecko jest jak najbardziej do zidentyfikowania i rodzic ma prawo powiedzieć, że sobie tego nie życzy. To są takie elementarne podstawy podstaw, których my się cały czas uczymy.
Uczymy się tej uważności. Można powiedzieć, że od 25 maja, kiedy weszło w życie RODO, mamy cały czas do czynienia z procesem?
RODO stało się ważnym tematem w Polsce, ale nie we wszystkich krajach tak jest. Cieszy, że świadomość mamy coraz wyższą. To jest pewien efekt rozwoju naszego społeczeństwa.
Należałoby zalecić organizacjom pozarządowym, żeby nie poprzestawały na tym, co zrobiły do tej pory?
Mówiąc o RODO przed 25 maja i teraz koncentrowaliśmy się głównie na rozporządzeniu. Ale weszły w życie też polskie przepisy. Na co w tych przepisach organizacje szczególnie powinny zwrócić uwagę?
Na co szczególnie trzeba zwrócić uwagę?
Bardzo ważne są zasady postępowania – certyfikacja, cała procedura certyfikacji. To są instrumenty, na które NGO-sy powinny zwrócić szczególną uwagę.
Wiele organizacji pozarządowych przetwarza dane wrażliwe. W związku ze zbieraniem danych wrażliwych stosujemy specjalną procedurę, czyli ocenę skutków, która jest inna niż analiza ryzyka. Ale organizacjom troszkę się to zlewa. Jak odróżnić te procesy?
Ponieważ administrator, czyli fundacja, stowarzyszenie ponosi odpowiedzialność za przetwarzanie danych, ponieważ przepisy prawne nie mówią jak dokładnie technicznie zabezpieczać dane, ciężar został nałożony na organizację. To jest ocena ryzyka. Kryteria dokonania takiej oceny określa sobie sama organizacja. Na wyższe ryzyko na pewno wpływa to, czy przetwarzamy dane szczególnie chronione czy dane zwykłe. To, czy dostęp do danych uzyskuje duża liczba podwykonawców czy nie. Czy dane przekazujemy poza Europejski Obszar Gospodarczy, czyli do państwa trzeciego. Czy przetwarzany dane w dużych zasobach. To wszystko wpływa na podwyższenie ryzyka.
Natomiast ocena skutków dotyczy konkretnych projektów i dotyczy tylko tych projektów, w których, w szczególności ze względu na ich charakter, z dużym prawdopodobieństwem istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bądź dochodzi do przetwarzania na dużą skalę wrażliwych kategorii danych osobowych. Pod lupę bierzemy tu konkretny projekt, który wdrażamy i musimy odpowiedzieć sobie na pytanie, jak ten projekt wpływa na ochronę prywatności. Czy rzeczywiście jesteśmy w stanie zminimalizować ryzyko naruszenia w tym konkretnym projekcie. Jeżeli nie jesteśmy w stanie zminimalizować to konsekwencją, jest obowiązek skonsultowania danego projektu z UODO.
Czyli analiza ryzyka i ocena skutków to są dwie zupełnie niezależne od siebie instytucje. Ocena ryzyka to jest coś dla nas wewnętrznego – z tym się nie wiąże żaden obowiązek konsultacyjny. Z oceną skutków – czy jesteśmy w stanie wyeliminować ryzyka związane z naruszeniem – wiąże się obecność konsultacji z Urzędem Ochrony Danych Osobowych.
O RODO dużo mówimy, świadomość jest coraz większa, ale potrzeba zdobywania wiedzy na ten temat nie maleje. Czy będą specjalne sprofilowane szkolenia dla organizacji pozarządowych?
Niestety, są to pewnie też te, które sobie poradzą z RODO.
Tak.
Również Narodowy Instytut Wolności wspólnie jeszcze wtedy z GIODO organizował szkolenia przed 25 maja.
Czy to ma kontynuację?
Mówi się o tym, że nowe przepisy mają trochę inny charakter niż poprzednie, bo w poprzednich było dosyć mocno określone co trzeba robić, a nowe są bardziej elastyczne, wymagają myślenia.
Organizacja zachowa się elastycznie, pomyśli i przyjmie swój sposób na ochronę danych…
Troszkę tak. Organizacje doświadczając kontroli z różnych urzędów wiedzą, że podejście kontroli jest schematyczne. Jak zagwarantować, że w przypadku RODO będzie inaczej? Bo chyba powinno być inaczej?
Jeżeli Państwo postępują zgodnie z kodeksem, a organ ten kodeks zatwierdził, to ryzyko, że uzna, iż w zatwierdzonym przez siebie kodeksie coś jest nie tak, jest równe zero. Tylko ten kodeks musimy mieć i egzekwować – to po pierwsze.
Po drugie – proszę zwrócić uwagę, że ustawa o ochronie danych osobowych nakłada na Prezesa Urzędu obowiązek wydania rekomendacji określających techniczne i organizacyjne sposoby zabezpieczenia danych osobowych. Te rekomendacje określające techniczne i organizacyjne sposoby zabezpieczenia danych są takim dokumentem, są miejscem na to, żeby doprecyzowywać neutralność technologiczną. Musimy nauczyć się korzystać z tych instrumentów.
Jak częste będą kontrole? Czy jest jakiś plan, żeby to właśnie organizacje pozarządowe poddać kontroli?
Do podmiotów trafiają nie tylko kontrole planowane?
Wyobraźmy sobie stowarzyszenie zwykłe, do którego założenia wystarczają trzy osoby. To stowarzyszenie działa w kręgu swoich członków, a ma ich kilku. Jedyne dane osobowe, które przetwarza, to dane tych członków. Oczywiście jest zobowiązane, żeby te dane chronić. Przeprowadziło analizę ryzyka, zabezpiecza je tak, jak oceniło, że powinno zabezpieczać. Czy jest możliwe, żeby do takiego stowarzyszenia dotarła kontrola z UODO?
Żeby uczestniczyć w pana webinarium, musiałem podać nazwisko, imię, maila, przeczytać informację, kto przetwarza dane i odklikać, co trzeba. Ja tego oczywiście nie przeczytałem. Wiem, że RODO jest dla osób, których dane są zbierane, ale ja klauzul nie czytam. Czy jest coś, co by mnie zachęciło?
Pan czyta wszystkie klauzule, zanim je odklika?
Co robię? Nie mam czasu czytać tych wszystkich maili, co jest oczywiste, wszystkich aktualizacji, które dostaję. Ale stworzyłem sobie folder, gdzie wszystkie takie maile wrzucam. Potem w weekend, jak mam wolną chwilę, albo się nudzę, otwieram ten folder i realizuję prawo do bycia zapomnianym, usuwam zgody, czyszczę…
Rzeczywiście zawiodło mnie trochę na chwilę obecną rozporządzenie w takim zakresie, że myślałem, że liczba tych maili po 25 maja będzie mniejsza. Tak naprawdę jednak ich liczba będzie zależała trochę od nas. Jak będziemy korzystać z prawa do bycia zapomnianym, to przedsiębiorcy będą to prawo do bycia zapomnianym w dużo większym stopniu respektowali. Warto o tym pamiętać.
Dr Maciej Kawecki – doktor nauk prawnych, koordynator krajowej reformy ochrony danych osobowych, kieruje Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji. Autor kilkudziesięciu publikacji z zakresu bezpieczeństwa danych osobowych, uczestnik kilkudziesięciu krajowych oraz międzynarodowych konferencji naukowych z zakresu prawa nowych technologii. Laureat konkursu Wolters Kluwer Polska i „Dziennika Gazety Prawnej” – Rising Stars 2017 (nagroda specjalna w listopadzie 2017 r.).
Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.
Źródło: inf. własna (poradnik.ngo.pl)
