Celem RODO jest ochrona klientów przed wykorzystywaniem ich danych osobowych przeciwko nim samym. Dotyczy to m.in. danych zaklasyfikowanych jako „wrażliwe”, jak dane dotyczące stanu zdrowia. Nie będzie możliwe na przykład dokonanie oceny zdolności kredytowej klienta za pomocą zautomatyzowanego algorytmu bez jego wyraźnej zgody - mówi w wywiadzie dla Warsaw Business Journal Piotr Kochański, założyciel jednej z największych w Polsce firm prawniczych – Kochański Zięba & Partners.
ikona lupy />
Piotr Kochański fot. Bartosz Maciejewski / Media

WBJ: Jednym z sektorów, w których specjalizuje się Pańska firma prawnicza, są nowe technologie, w tym szeroko rozumiane technologie informatyczne oraz w szczególności rozwiązania w zakresie tzw. big data. Gdziekolwiek idziemy, cokolwiek robimy, zostawiamy po sobie mnóstwo danych – choćby wówczas, gdy płacimy kartą kredytową, wchodzimy do centrum handlowego, korzystamy z nawigacji lub odwiedzamy witrynę internetową. Niektórzy twierdzą, że żyjemy w okresie przemian, w którym dane są pozyskiwane z wielu źródeł, ale nie jesteśmy do końca pewni, do kogo te dane należą. Jakie zmiany dla „przeciętnego Kowalskiego” i dla przedsiębiorców zbierających dane pociągnie za sobą stosowanie nowego Rozporządzenia o ochronie danych (RODO)?

Piotr Kochański: Nowe rozporządzenie będzie miało wpływ głównie na przedsiębiorców przetwarzających znaczne ilości danych osobowych na szczeblu regionalnym, krajowym lub międzynarodowym, tj. instytucje finansowe, banki, dostawców usług internetowych, przedsiębiorców telekomunikacyjnych, ubezpieczeniowych itd. itp. Podmioty te będą zobowiązane wdrożyć całkowicie nowy system zapewniający zgodność z zasadami ochrony danych, obejmujący zarówno kwestie techniczne, organizacyjne, jak i prawne. Wymagane będzie stosowanie m.in. zasady ochrony prywatności już na samym początku fazy projektowania określonych rozwiązań technologicznych oraz wzięcie pod uwagę tego, jak przetwarzanie danych może wpływać na prywatność klienta, szczególnie w przypadkach obejmujących profilowanie klientów lub monitorowanie danych geolokalizacyjnych zbieranych w miejscach publicznych.

Ponadto przedsiębiorcy, którzy w sposób regularny i na dużą skalę monitorują osoby, których dane dotyczą, będą zobowiązani wyznaczyć osobę sprawującą nadzór nad ochroną danych, która będzie między innymi informowała je o ciążących na nich obowiązkach oraz monitorowała zgodność z RODO. RODO bowiem ma na celu przywrócenie klientom kontroli nad ich danymi osobowymi, co oznacza, że ​​klient będzie miał prawo otrzymywać swoje dane osobowe w powszechnie używanym formacie, oraz będzie mógł swobodnie przekazać je innemu administratorowi. Podsumowując: to nowe rozporządzenie – ukierunkowane na klienta, a jednocześnie pociągające za sobą wiele wyzwań – ujednolica prawo ochrony danych osobowych w całej Unii Europejskiej i jest postrzegane raczej jako zmiana na lepsze.

Reklama

>>> Czytaj też: Mniej niż połowa firm w Polsce jest dojrzała cyfrowo. Co to znaczy i dlaczego wypadamy słabo?

Dwie branże, które dysponują największą ilością danych osobowych, to prawdopodobnie przedsiębiorcy telekomunikacyjni i banki. Już teraz obserwujemy, że banki współpracują z ubezpieczycielami, zaś firmy ubezpieczeniowe wkraczają do świata finansów. Czy nowe rozporządzenie wpłynie na ich działalność oraz ich klientów?

Celem RODO jest ochrona klientów przed wykorzystywaniem ich danych osobowych przeciwko nim samym. Dotyczy to m.in. danych zaklasyfikowanych jako „wrażliwe”, jak dane dotyczące stanu zdrowia. Nie będzie możliwe na przykład dokonanie oceny zdolności kredytowej klienta za pomocą zautomatyzowanego algorytmu bez jego wyraźnej zgody. Dodatkowo, podmioty takie jak przedsiębiorcy telekomunikacyjni, banki czy ubezpieczyciele będą zobowiązane regularnie i stale przeprowadzać ocenę skutków przetwarzania danych osobowych, obejmującą ocenę zagrożeń dla praw klientów. Zgodnie ze stanowiskiem Grupy Roboczej Art. 29 („Grupa Robocza ds. Ochrony Danych”), czynności te należy rozpocząć na jak najwcześniejszym etapie projektowania operacji przetwarzania danych, nawet jeśli niektóre z tych operacji nie są jeszcze do końca zdefiniowane. W praktyce oznacza to, że ochrona danych osobowych stanie się istotną częścią podstawowych standardów działania wszystkich podmiotów.

Wiele się słyszy o kradzieżach danych wrażliwych przez hakerów lub blokowaniu firmom dostępu do ich zasobów w celu uzyskania okupu. Czy nowe rozporządzenie zmienia sposób postępowania w przypadku naruszeń bezpieczeństwa?

Zgodnie z nowym rozporządzeniem, w przypadku cyberprzestępstwa lub innego naruszenia ochrony danych osobowych przedsiębiorcy będą zobowiązani tak szybko jak to możliwe, ale nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu bezpieczeństwa, poinformować o tym odpowiedni organ ochrony danych. Ponadto, w niektórych sytuacjach, będzie należało poinformować o takim naruszeniu danych osobowych także swoich klientów. Co za tym idzie, przedsiębiorstwa nie będą już mogły zatajać tego rodzaju zdarzeń. W konsekwencji będą mniej skłonne np. płacić okup cyberprzestępcom, aby uniknąć ujawnienia informacji o atakach, co z kolei – jak można mieć nadzieję – w pewnym stopniu zniechęci cyberprzestępców do ich dokonywania.

Czy rozporządzenie zmieni również tak zwane „prawo do bycia zapomnianym”?

Tak, a w istocie je wzmocni. Wraz z wejściem w życie rozporządzenia – w przypadku, gdy dana osoba zażąda usunięcia dotyczących jej danych (oczywiście z uzasadnionych przyczyn), administrator danych nie tylko będzie musiał spełnić to życzenie, ale także poinformować o nim wszystkich pozostałych administratorów posiadających dostęp do danych tej osoby.

Wygląda na to, że rozporządzenie będzie miało wpływ na naprawdę wiele przedsiębiorstw. Czy uważa Pan, że polskie firmy są przygotowane na wejście w życie RODO? Nastąpi to za niespełna rok.

RODO jest doskonałym przykładem rozporządzenia horyzontalnego, które ma zastosowanie do wszystkich europejskich przedsiębiorców niezależnie od ich miejsca w hierarchii wielkości lub wysokości osiąganych przychodów. Według badań przeprowadzonych przed lipcem bieżącego roku (przez magazyn IT WIZ) 26,5 procent polskich przedsiębiorców planuje rozpocząć przygotowania w drugiej połowie 2017 r., 25,3 procent czeka na wydanie krajowych przepisów branżowych, zaś 41,3 procent odpowiednie przygotowania już rozpoczęło. Sytuacja zmienia się więc w szybkim tempie i myślę, że jesteśmy w samym środku procesu transformacji.

>>> Czytaj też: Ekspert: wadą usług chmurowych jest możliwość wycieku danych

Rozmawiała Beata Socha

Cały wywiad ukazał się Warsaw Business Journal