Zadzwoń! 730 190 136

Wywiad z Wojciechem Góreckim, specjalistą ds. ochrony danych osobowych z 10-cio letnim doświadczeniem, szkoleniowcem, ekspertem od IT oraz Administratorem Bezpieczeństwa Informacji.

Na początek podstawowe pytanie: RODO, co to jest? Mam wrażenie, że w Polsce ciągle jest niewystarczająco dużo wiedzy na ten ochrony danych osobowych.

Wojciech Górecki: RODO czyli Rozporządzenie o Ochrona Danych Osobowych jest to zestaw aktów prawnych które określają jak należy chronić dane osobowe.

Jakie zmiany czekają nas po wejściu w życie nowej ustawy?

Wojciech Górecki: Po wejściu w życie nowej ustawy o ochronie danych osobowych czeka nas – przede wszystkim:

  • wysokie kary finansowe za nieprawidłowe przetwarzanie danych osobowych sięgające do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku,
  • obowiązek monitorowania i raportowania wycieków danych osobowych do UODO,
  • wymóg regularnego testowania bezpieczeństwa – ciągłe monitorowanie bezpieczeństwa przetwarzania danych osobowych,
  • opracowanie i wdrożenie adekwatnych procedur i środków bezpieczeństwa,
  • konieczność przeprowadzenia analiz ryzyka – czy to co robimy, robimy wystarczająco dobrze,
  • zwiększenie świadomości pracowników o ochronie danych osobowych.
Kogo dotyczy Ochrona Danych Osobowych?

Wojciech Górecki: Praktycznie każda firma musi mieć wdrożoną dokumentację ochrony danych osobowych, są jednak pewne wyjątki:

  • osoby fizyczne, które przetwarzają dane osobowe wyłącznie w celach osobistych lub domowych,
  • podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujące środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych osobowych,
  • ustawy z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1 nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. Prawo prasowe (Dz.U. poz.24, z późń. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane osobowe dotyczą.

Czy za brak dokumentacji ochrony danych osobowych grożą jakieś kary?

Wojciech Górecki: Tak za brak dokumentacji ochrony danych osobowych w obecnym ustawodawstwie grożą kary pozbawienia wolności od roku do trzech lub grzywna, o czym mówi rozdział 8 Przepisy karne.W nowym rozporządzeniu parlamentu europejskiego i rady (UE) 2016/679 kary są już dużo surowsze, „Artykuł 83 Ogólne warunki nakładania administracyjnych kar pieniężnych”.

Wysokość kar pieniężnych zależy od indywidualnego charakteru wykroczenia i może wynieść za:

  • naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

lub

  • naruszenie przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Kto może skontrolować firmy? Co będzie sprawdzane podczas kontroli RODO?

Wojciech Górecki: Kontrolę przeprowadza Urząd Ochrony Danych Osobowych. Zakres takiej kontroli jest przesyłany do instytucji kontrolowanej lub jest przedstawiany pierwszego dnia. Kontroli podlega dokumentacja ochrony danych osobowych, która została wdrożona w przedsiębiorstwie. Natomiast, co do szczegółów to wszystko zależy, czego będzie dotyczyć przedmiotowa kontrola.

Na co zwrócić uwagę podczas tworzenia dokumentacji ochrony danych osobowych? 

Wojciech Górecki: W trakcie tworzenia dokumentacji ochrony danych osobowych należy zwrócić uwagę na wszelkie wzory dokumentacji, które możemy pobrać za darmo z Internetu. Nie twierdzę, że pomoc z Internetu jest zła, lecz musimy umieć ją wpasować w nasze realia. Często zdarza się tak, że pracując na ogólnych wzorach dokumentów popełniamy bardzo dużo błędów. Na przykład w zakresie zabezpieczeń wypisujemy takie, których nie stosujemy lub o których nie mamy nawet pojęcia, (ale fajnie brzmią, więc wpiszmy :)). Kolejnym jest problem z wykazaniem miejsc, w których przetwarzamy dane osobowe. Zazwyczaj nie mamy problemu, że należy wpisać adres siedziby czy adres gdzie wynajmujemy biura, ale zapominamy o umowach, np. z biurem rachunkowym i o tym, że zazwyczaj miejscem przetwarzania danych jest właśnie siedziba danego biura rachunkowego. Zapominamy również o tym, że jak już mamy całą dokumentację przygotowaną to musimy ją jakoś prawnie wdrożyć w firmie. Nie wystarczy powiedzieć, że od dziś mamy dokumentację ochrony danych osobowych. Należy przeszkolić personel wystawić odpowiednio przygotowane oświadczenia oraz upoważnienia, prowadzić porządnie ewidencję osób upoważnionych, ale co najważniejsze potem całą dokumentacje na bieżąco AKTUALIZOWAĆ i dostosowywać do zmieniającego się prawa.

Powiedział Pan, że każda firma musi na bieżąco AKTUALIZOWAĆ i dostosowywać dokumentację ochrony danych osobowych do zmieniającego się prawa – z czym to się wiąże?

Wojciech Górecki: Tak naprawdę za ochronę danych osobowych z automatu odpowiada najwyższe kierownictwo w przedsiębiorstwie w postaci prezesa, dyrektora, członków zarządu, prezydenta/burmistrza itp. czyli tzw. ADO – Administrator Danych Osobowych. Oczywiście zdajemy sobie sprawę z tego, że nie każda z tych osób będzie w stanie śledzić na bieżąco zmieniające się przepisy oraz prowadzić dokumentacje ochrony danych osobowych. W tej sytuacji ustawodawca dopuścił możliwość powołania przez Administrator Danych Osobowych – Administratora Bezpieczeństwa Informacji (ABI) – (po zmianie przepisów od 2018 roku będzie to Inspektor Ochrony Danych (w skrócie IOD), który będzie odpowiadał za przygotowanie dokumentacji oraz jej aktualizowanie czy dostosowywanie do aktualnych aktów prawnych).

Nowe Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 mówi, wprost że Inspektor Ochrony Danych wyznacza się zawsze, gdy:

–      przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

–      główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

–      główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10

Kim jest Inspektor Ochrony Danych? za co jest odpowiedzialny i jak go powołać? 

Wojciech Górecki: Inspektor Ochrony Danych (IOD) to nowy Administrator Bezpieczeństwa Informacji (ABI) czyli osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, nie była karana za umyślne przestępstwo oraz posiada odpowiednią wiedzę w zakresie ochrony danych osobowych. Inspektor Ochrony Danych będzie powoływany przez Administratora Danych Osobowych.

Podstawowym obowiązkiem Inspektora Ochrony Danych będzie zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych i środki techniczne oraz organizacyjne zapewniające jej ochronę i przestrzegania zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Jak długo trwa przygotowanie i wdrożenie PBI?

Wojciech Górecki: Nie da się jednoznacznie odpowiedzieć na to pytanie, ponieważ wszystko zależy od współpracy pomiędzy wykonawcą a zleceniodawcą, od złożoności firmy i wielu innych czynników. Myślę jednak, że bezpiecznie można stwierdzić, że maksymalnie do 30 dni roboczych cała dokumentacja ochrony danych osobowych powinna powstać.

Często spotykamy się z ofertami kupna gotowych druków dot. Polityki Bezpieczeństwa Informacji – czy watro skorzystać z takiej oferty?

Wojciech Górecki:  Wszystko zależy od stopnia wiedzy osoby, która ma wdrożyć dokumentację ochrony danych osobowych w przedsiębiorstwie. Moim zdaniem jeżeli ktoś nie ma pojęcia jak się zabrać do tego tematu to nie warto, ponieważ w takiej dokumentacji będzie dużo nieścisłości i błędów.

Dziękujemy bardzo za cenne informacje. Chętnych, którzy chcą poznać szczegóły dotyczące wdrażania dokumentacji ochrony danych osobowych zapraszamy do kontaktu tel. 600 986 874