Mentionsy

I może się zadziać, że tych danych nie będziemy mieli, bo to było jedyne źródło tychże danych.

Więc sposobem zabezpieczenia tego jest jakieś inne źródło danych, utrzymywanie ich na jakimś innym nośniku, czyli backupowanie.

Innym zagrożeniem jest to, że ktoś znajdzie tego pendrive'a, odczyta i będzie wiedział, jakie to są dane, czyli nastąpi naruszenie poufności danych.

Dzisiaj naszym gościem jest dr Dominik Lubasz, radca prawny, który specjalizuje się w prawie nowych technologii, ochronie danych osobowych oraz w prawie gospodarczym, w tym europejskim prawie gospodarczym.

Od kiedy zacząłeś zajmować się tematyką danych osobowych?

Tematyka danych osobowych chyba płynnie wypłynęła z zainteresowaniem nowymi technologiami, bo jeszcze na studiach.

w zeszłym stuleciu, w zeszłym milenium, zajmowałem się, zajmowałem się internetem, aspektami, różnymi aspektami prawnymi internetu, jaką zaczynał raczkować i z tego też pisałem pracę magisterską i potem płynnie przez kwestie e-commerce'owe, handlu elektronicznego, własności intelektualnej, no aspekt ochrony danych, czy danych generalnie się pojawił, no i

Płynnie przeszedłem do ochrony danych i tychże aspektów w latach dwutysięcznych.

Tak, rzeczywiście hype rodowy 2017-18 roku troszkę nas wszystkich zdziwił, czyli osoby zajmujące się ochroną danych osobowych, bo nie było nas wiele w Polsce, ale okazało się, że rzeczywiście wiele kancelarii nagle dodatkowo specjalizuje się w ochronie danych osobowych.

A jak oceniasz ewolucję podejścia firm do ochrony danych osobowych od wejścia w życie RODO?

mamy dość duży poziom niezrozumienia istoty regulacji ogólnego rozporządzenia ochrony danych osobowych.

To podejście oparte na ryzyku pozwala na bardzo dużą indywidualizację ochrony zależnie od sytuacji prawnej konkretnego, a może faktycznej konkretnego przedsiębiorcy, czy w ogóle konkretnego administratora, bo RODO stosuje się nie tylko do sektora prywatnego, ale również do sektora publicznego.

I w kontekście naszego dzisiejszego tematu podcastu, aktywność prezesa, w ogóle aktywność organów nadzorczych, ale i Europejskiej Rady Ochrony Danych, czyli takiego ciała...

Właśnie w nawiązaniu do Twojej odpowiedzi chciałam się teraz podpytać, czy w ostatnim półtora roku, od kiedy jest nowy prezes UODO, on się skupia głównie faktycznie na karaniu, czy jest tam jakaś przestrzeń na edukację i doradztwo w zakresie ochrony danych osobowych?

To, że komunikuje prezes urzędu n kary, publikuje je w portalu decyzji, który został teraz dopracowany, powiedziałbym, jeśli chodzi o strony prezesa.

prezes urzędu wyszedł na zewnątrz.

czyli te spotkania z lokalnymi interesariuszami, z prezesem urzędu, po to właśnie, żeby edukować, żeby odpowiadać na pytanie i wskazywać na różne aspekty.

Jest tutaj zrównoważona, aczkolwiek, i to trzeba jasno powiedzieć, prezes urzędu nałożył, obecny piastun tego urzędu, nałożył no najwięcej, wartościowo najwięcej kar ze wszystkich dotychczasowych okresów.

Takim bardzo dobrym obszarem, na który teraz będzie wskazywał i pojawiły się z tego zakresu decyzje, to jest pozycja systemowa inspektora ochrony danych.

I dwa, trzy lata temu już powoli odbyło się zorganizowana przez Europejskiego Inspektora Ochrony Danych Osobowych profesora Wojciecha Wiewiorowskiego konferencja, na którym dywagowano na temat przyczyn tego braku nieskuteczności.

Znowu zreknijmy ile decyzji zostało wydanych.

Terminy w Naczelnym Sądu Dziedzia Administracyjnego są jakie są, więc mówimy o latach tak naprawdę postępowania, zanim decyzja Prezesa Urzędu się uprawomocni.

No właśnie, prezes urzędu kierując się pewnymi założeniami i cechami kar, między innymi prewencyjnym charakterem, udzielając kar, chce oczywiście napiętnować określony typ działania w stosunku do określonego administratora, czyli mamy tutaj prewencję indywidualną.

Pierwsza kategoria dotyczy aspektów zupełnie podstawowych, jak legalizacja, jak zapewnienie przejrzystości przetwarzania, czyli spełnienie odpowiednich obowiązków informacyjnych, zapewnienie świadomości podmiotów danych, zapewnienie realizacji ich praw.

W tym kontekście pojawiają się poboczności, powiedziałbym, które dotyczą takiej procedury Data Protection by Design, czyli uwzględnienia ochrony danych osobowych w fazie projektowania.

I jeszcze jeden aspekt, który dotyczy też analizy ryzyka, to jest włączanie w ten proces, w proces analityczny, odpowiednie włączanie w proces analityczny inspektora ochrony danych.

No bo jeśli prawodawca mówi w ten sposób, drogi administratorze, twoje ręce oddaje zapewnienie zgodności, masz przeanalizować ryzyka związane z twoją organizacją dla praw i wolności podmiotów danych,

Właśnie, tu jest kilka aspektów, które się troszkę zmieniały na przestrzeni czasu w trakcie kontroli, które były prowadzone przez prezesa Urzędu Ochrony Danych.

Te procesy językiem ogólnego rozporządzenia ochrony danych to są czynności przetwarzania danych osobowych.

Wszystko, co jest w naszej organizacji, co służy osiągnięciu celu organizacji, de facto jest procesami przetwarzania danych osobowych.

Mając proces przetwarzania danych osobowych, ten kontekst opisujemy.

z tego kontekstu, z tego stanu faktycznego oraz zakresu danych osobowych, celu przetwarzania i charakteru tego przetwarzania, o czym mówią przepisy.

I może się zadziać, że tych danych nie będziemy mieli, bo to było jedyne źródło tychże danych.

Więc sposobem zabezpieczenia tego jest jakieś inne źródło danych.

Czyli nastąpi naruszenie poufności danych.

I na koniec, jak to pokażemy, w każdym z procesów przetwarzania danych osobowych, wychwytując wszystkie tego typu zagrożenia, mamy całą strukturę rejestru czynności, bo od niego wyszliśmy.

analizy ryzyka i czegoś, co wraca do rejestru czynności z analizy ryzyka, czyli zabezpieczenia, środki techniczne i organizacyjne, które mają na celu zabezpieczenie przetwarzania danych osobowych.

publicznego do 100 tysięcy złotych jako maksymalne kary, więc na przykład ta sytuacja dotycząca ministra zdrowia, jak wszyscy pamiętamy, dotycząca ujawnienia danych, no zakończyła się maksymalną karą 100 tysięcy złotych, chociaż z perspektywy waloru tej kary kwalifikowała się na pewnie na dużo większą.

Zaczynamy zasadniczo i najczęściej prezes urzędu o to prosi,

sposób wyboru i oceny procesorów, jeśli znowu gdzieś w kontekście działania prezesa urzędu jest relacja z procesorami, procedury realizacji praw podmiotów danych, czy właśnie dokumenty ogólne w postaci polityk ochrony danych.

I w kontekście jeszcze jednoosobowych działalności, czy w ogóle małych administratorów, mówi się ostatnio, czy mówiło się ostatnio głośno o deregulacji ogólnego rozporządzenia o ochronie danych osobowych.

Dotychczas był taki wyjątek, który mówił, że administratorzy, którzy zatrudniają mniej niż 250 osób, jeśli przetwarzanie nie wiąże się z ryzykiem dla podmiotów danych, nie muszą prowadzić rejestru czynności przetwarzania.

jakiegokolwiek ryzyka, wysokie ryzyko naruszenia praw i wolności podmiotów danych.

Żeby ją przeprowadzić, musimy zmapować naszą organizację na procesy przetwarzania danych osobowych.

Wiążą się z procesem przetwarzania danych osobowych.

Te wszystkie aspekty muszę sobie wyobrazić w każdym z procesów przetwarzania danych osobowych i odpowiednio zabezpieczyć.

Systemu ochrony danych osobowych.

Przy czym z perspektywy ogólnego rozporządzenia ochrony danych, i to bardzo wyraźnie trzeba podkreślić, ryzyko analizowane jest z perspektywy praw i wolności podmiotów danych, czyli praw i wolności osób, których danych w danym procesie przetwarzamy.

I tam będziemy się musieli zastanowić nad tym, czy nie jest tak, że oddziaływujemy negatywnie na podmiot danych przez sam fakt prowadzenia danego procesu.

Od 2018 roku to, co było źle robione, to było robione to, że wszyscy nagle kupowali szafy zgodne z RODO albo kupowali dokumentację dotyczącą zapewnienia zgodności polityki ochrony danych, jakieś wzorcowe procedury.

I to jest zasadniczy błąd i daje tylko i wyłącznie pozorne poczucie zgodności, że a, przyjdzie to prezes urzędu, to będę miał co pokazać.

Nie, prezes urzędu od razu będzie wiedział, że to nie ma nic wspólnego z rzeczywistości.

Z tego też będą płynąć nam wnioski, czy powołać inspektora ochrony danych, czy nie.

I tą wiedzę można zassać również poprzez inspektora ochrony danych, który podpowie jak należy tą zgodność

że aktywność prezesa Urzędu Ochrony Danych Osobowych może mieć swoje źródło właśnie w skardze podmiotu danych.

Jeśli relacja z podmiotem danych jest prawidłowo ułożona, to to źródło ryzyka można sobie odciąć w pewnym uproszczeniu mówiąc.

Następuje incydent i zgłaszamy naruszenie ochrony danych osobowych.

I czwarty, ostatni obszar źródła to są te planowe kontrole, które publikuje, co do obszarów swoich publikuje je prezes urzędu w każdym roku na dany rok.