Mentionsy

przykładami nieadekwatnego zabezpieczenia jest decyzja, która została wydana w stosunku do prezesa sądu rejonowego w Zgierzu, w którym prawdziwa analiza ryzyka została przeprowadzona w takim procesie aktywności kuratorów sądowych, w którym to procesie wykorzystywane były pendrive'y.

I doszło do zagłupienia tego pendrive'u, ale nie w tym rzecz.

Rzecz w tym, że jeśli mamy pendrive i przechowujemy na nim dane, przenosimy na nim dane, no to musimy pamiętać o tym, że potencjalne jest ryzyko, że go zgubimy.

Musimy sobie to wyobrazić w tej procedurze analitycznej.

Więc sposobem zabezpieczenia tego jest jakieś inne źródło danych, utrzymywanie ich na jakimś innym nośniku, czyli backupowanie.

Innym zagrożeniem jest to, że ktoś znajdzie tego pendrive'a, odczyta i będzie wiedział, jakie to są dane, czyli nastąpi naruszenie poufności danych.

To, jak zabezpieczamy, no nie backupem, tylko zabezpieczamy szyfrowaniem tego nośnika.

który ze sądu rejonowego w Zgierzu zdecydował się na zabezpieczenie tego nośnika w postaci szkolenia pracowników.

Cześć, witam Was w kolejnym odcinku Prawo na Oko.

Dzisiaj naszym gościem jest dr Dominik Lubasz, radca prawny, który specjalizuje się w prawie nowych technologii, ochronie danych osobowych oraz w prawie gospodarczym, w tym europejskim prawie gospodarczym.

Jest autorem wielu publikacji z tych dziedzin, w tym komentarza do RODO oraz monografii RODO do AI.

To może na początek, od czego to wszystko się zaczęło?

Od kiedy zacząłeś zajmować się tematyką danych osobowych?

Tematyka danych osobowych chyba płynnie wypłynęła z zainteresowaniem nowymi technologiami, bo jeszcze na studiach.

w zeszłym stuleciu, w zeszłym milenium, zajmowałem się, zajmowałem się internetem, aspektami, różnymi aspektami prawnymi internetu, jaką zaczynał raczkować i z tego też pisałem pracę magisterską i potem płynnie przez kwestie e-commerce'owe, handlu elektronicznego, własności intelektualnej, no aspekt ochrony danych, czy danych generalnie się pojawił, no i

Płynnie przeszedłem do ochrony danych i tychże aspektów w latach dwutysięcznych.

Czyli trochę wyprzedziłeś czasy zajmując się dużo wcześniej tym tematem, który jest tak naprawdę teraz na topie.

Tak, rzeczywiście hype rodowy 2017-18 roku troszkę nas wszystkich zdziwił, czyli osoby zajmujące się ochroną danych osobowych, bo nie było nas wiele w Polsce, ale okazało się, że rzeczywiście wiele kancelarii nagle dodatkowo specjalizuje się w ochronie danych osobowych.

A jak oceniasz ewolucję podejścia firm do ochrony danych osobowych od wejścia w życie RODO?

Nie jestem pewien, czy możemy tutaj mówić o ewolucji.

W zeszłym roku pojawiło się sprawozdanie komisji z sześciu lat stosowania rozporządzenia i wskazuje się w nim nadal te same problemy, z którymi borykaliśmy się day one.

Zwłaszcza w sektorze małych i średnich przedsiębiorstw.

mamy dość duży poziom niezrozumienia istoty regulacji ogólnego rozporządzenia ochrony danych osobowych.

U źródła tej regulacji, takim korowym podejściem jest podejście oparte na ryzyku.

To znaczy, że żeby wdrożyć skutecznie ten akt, żeby zastosować go w swojej organizacji, zapewnić zgodność, trzeba przeprowadzić analizę ryzyka.

Ale w RODO nie mamy podpowiedzi, jak tą analizę przeprowadzić należy, na co szczególnie trzeba zwrócić uwagę.

Jest oczywiście ogólne wskazówki kontekstowe, powiedziałbym, co należy wziąć pod uwagę, ale bez szczegółów.

To jest zupełnie inne podejście niż w poprzednim stanie prawnym, gdzie wszyscy robili dokładnie to samo, takie same były wymogi.

To podejście oparte na ryzyku pozwala na bardzo dużą indywidualizację ochrony zależnie od sytuacji prawnej konkretnego, a może faktycznej konkretnego przedsiębiorcy, czy w ogóle konkretnego administratora, bo RODO stosuje się nie tylko do sektora prywatnego, ale również do sektora publicznego.

I to powoduje, że nadal spotykamy się z tymi samymi problemami, jak przeprowadzić analizę dedyka.

I w kontekście naszego dzisiejszego tematu podcastu, aktywność prezesa, w ogóle aktywność organów nadzorczych, ale i Europejskiej Rady Ochrony Danych, czyli takiego ciała...

skupiającego przedstawicieli organów i starającego się zapewnić jednolitość stosowania rodów w Europie.

Jest tutaj bardzo ważna część edukacyjna, ale i część akcyjna też, bo z niej płyną pewne wnioski.

Więc borykamy się z tym problemem i dzisiaj.

No i w tym sprawozdaniu, pętlą nawiążę do niego, jest ten problem nadal wskazany jako istniejący i taki, który musi zostać zagospodarowany.

Właśnie w nawiązaniu do Twojej odpowiedzi chciałam się teraz podpytać, czy w ostatnim półtora roku, od kiedy jest nowy prezes UODO, on się skupia głównie faktycznie na karaniu, czy jest tam jakaś przestrzeń na edukację i doradztwo w zakresie ochrony danych osobowych?

To w ogóle ciekawe spojrzenie, bo rzeczywiście karanie, znaczy jest pewna polityka karania.

No właśnie, przez to, że jest głośno o karach, to one mają swój jakiś cel.

To, że komunikuje prezes urzędu n kary, publikuje je w portalu decyzji, który został teraz dopracowany, powiedziałbym, jeśli chodzi o strony prezesa.

to robi to z jakiegoś powodu.

Tam publikowane są oczywiście nie tylko decyzje nakładające administracyjne kary pieniężne, ale i inne decyzje, również te dotyczące upomnień, ale również inne, na które szczególną uwagę chce prezes zwrócić.

Właśnie po to, żeby edukować rynek, żeby wskazywać, które elementy wykładni z perspektywy prawidłowości stosowania RODO są kluczowe.

Więc to jest mechanizm...

który ma formę edukacyjną, ale równocześnie i tu chyba jest dosyć istotna zmiana w stosunku do poprzedniego okresu, poprzedniego piastuna tego organu.

prezes urzędu wyszedł na zewnątrz.

Bardzo silnie działa w celach edukacyjnych.

No choćby można wspomnieć ten ostatni, już dość silnie kontynuowany projekt, który rusza w świat, urząd rusza w świat, czy rusza w Polskę.

czyli te spotkania z lokalnymi interesariuszami, z prezesem urzędu, po to właśnie, żeby edukować, żeby odpowiadać na pytanie i wskazywać na różne aspekty.

Równocześnie aktualizowane są obecnie poradniki, które zostały opracowane przez poprzedników aktualnego prezesa.

Pierwszy, który się ukazał dotyczy naruszeń.

Wokół niego powstało dużo dyskusji, ale to dobrze, że powstało dużo dyskusji, bo po pierwsze to jest poradnik, po drugie właśnie te dyskusje otwierają wyższy poziom zrozumienia.

Jasne, że mogą być kontrowersje interpretacyjne, ale poprzez dyskusję na ten temat podnosimy generalnie poziom świadomości.

Więc myślę, że ta polityka z jednej strony edukacyjna, ale z drugiej sankcyjna.

Jest tutaj zrównoważona, aczkolwiek, i to trzeba jasno powiedzieć, prezes urzędu nałożył, obecny piastun tego urzędu, nałożył no najwięcej, wartościowo najwięcej kar ze wszystkich dotychczasowych okresów.

gdzie w 2024 roku, gdzie najwyższy poziom karania był w 2022 milion dwieście.

Więc mamy w stosunku do drugiego roku z najwyższymi karami prawie trzykrotny wzrost.

To oczywiście związane jest...

nie tylko z samym typem naruszeń przepisów, ale również z podmiotami, które naruszają, bo kary między innymi wylicza się z wiele czynników, które na to wpływają, ale wylicza się od obrotu tychże przedsiębiorców.

Więc sama wysokość niewiele mówi, aczkolwiek jest jakimś indykatorem tego, że prezes jest aktywny.

I chyba surowy trochę.

Nie ukrywa tego, że są takie obszary, o których mówił długo, ale teraz już przechodzi do ich egzekwowania.

Takim bardzo dobrym obszarem, na który teraz będzie wskazywał i pojawiły się z tego zakresu decyzje, to jest pozycja systemowa inspektora ochrony danych.

I to jest weryfikowane, no i ewentualnie sankcjonowane.

Pierwsze kary z tego zakresu się pojawiły.

Również inne decyzje upomnienieniowe się pojawiły w celu usunięcia tychże naruszeń, a jest to pokłosie sprzed dwóch lat badania.

Była taka akcja przeprowadzona przez ówczesnego prezesa.

To jest akcja 27 pytań do inspektorów.

Między innymi właśnie dotyczyły...

dotyczyły odpowiedzi, odpowiedzi miały dotyczyć

pozycji, niezależności, w jaki sposób funkcję swoją pełni, jakie zadania wykonuje, tego, że inspektor jest raczej podmiotem monitorującym, nadzorującym, udzielającym informacji niż wykonawcą zapewnienia zgodności.

Wykonanie i zapewnienie zgodności należy do administratora.

Więc to się zmienia i ta aktywność rzeczywiście wzrosła.

A czy twoim zdaniem UODO działa wystarczająco skutecznie w porównaniu z innymi europejskimi organami nadzorczymi?

To jest chyba bardzo trudno określić, bo można zacząć od tego, że generalnie w stosunku do RODO stawia się zarzuty dwojakiego rodzaju.

Jako aktu prawnego i egzekucji tego aktu prawnego.

Pierwsza kwestia to zastrzeżenia dotyczące egzekucji właśnie, skuteczności egzekucji, zwłaszcza egzekucji transgranicznej dla dużych graczy, którzy działają na kilku obszarach jurysdykcyjnych, w kilku państwach członkowskich, albo w ogóle we wszystkich państwach członkowskich, jak Big Techy.

I dwa, trzy lata temu już powoli odbyło się zorganizowana przez Europejskiego Inspektora Ochrony Danych Osobowych profesora Wojciecha Wiewiorowskiego konferencja, na którym dywagowano na temat przyczyn tego braku nieskuteczności.

Obecnie procedowany jest w Unii Europejskiej na etapie Trilogu akt, który ma zapewnić harmonizację niektórych przepisów dotyczących egzekwowania rozporządzenia transgranicznie.

Więc kwestia egzekwowania w ogóle jest pewnym problemem.

W Polsce to egzekwowanie jeszcze napotyka pewne bariery natury procesowej i one wynikają znowu z kilku czynników.

Po pierwsze wielkości samego organu.

Znowu zreknijmy ile decyzji zostało wydanych.

W 2023 roku 1700 decyzji, w 2022 2030 decyzji.

organ by wzrosła liczba wydawanych decyzji, no musiałby rozbudować swój aparat administracyjny.

To jest jakby pierwsze zagadnienie, które jest pewnym blokerem wzrostu aktywności.

A drugie zagadnienie, no to jest kwestia czysto proceduralna.

Zmieniły się wprawdzie przepisy w stosunku do dotychczasowego poprzedniego stanu prawnego.

To postępowanie przed prezesem jest już postępowaniem jednoinstancyjnym i służy do niego, na decyzję prezesa służy skarga do administracyjnego sądu.

No tylko, że tutaj mamy dwa problemy z tą skargą.

Przez to, że jest to sąd administracyjny, no to sąd administracyjny nie dokonuje pełnej kontroli merytorycznej decyzji.

On bada decyzję z perspektywy legalnościowej.

To powoduje, sprawa biznot jest świetnym tego przykładem, to jest jedna z pierwszych decyzji, która zapadła na początku stosowania rozporządzenia.

Decyzja to została uchylona, nie dlatego, że była merytorycznie błędna, tylko dlatego, że została źle wyliczona kara pieniężna.

Często zdarzają się takie pomyłki, że kara zostaje źle wyliczona?

Tu chodziło o to, że nie zostały wzięte pod uwagę niektóre czynniki.

Ta wysokość karania, w ogóle ustalenie kary jest dosyć złożone.

Są do tego trzy wytyczne opracowane przez EROD.

W artykule 83 zawarte są informacje i one są ściśle powiązane ze stanem faktycznym i jest bardzo dużo przesłanek ocennych.

No i tu pewnych elementów nie wzięto pod uwagę.

Tu chodziło o możliwość informowania niektórych typów kategorii podmiotów pod kątem wielkości naruszenia przepisów.

w sądzie cywilnym, gdyby ta procedura miała charakter cywilny odwoławcza, no to sąd by dokonał korekty wysokości kary i mielibyśmy postępowanie w międzyczasie zakończone.

Ale tu postępowanie wróciło do prezesa, no i mamy 2025 rok i nadal decyzji powtórnej nie ma.

Przykładem MoreleNet, która przeszła wszystkie instancje, wróciła do prezesa i znowu wydana decyzja, w tym roku została wydana decyzja nakładająca administracyjną karę pieniężną.

Zresztą to ciekawa sprawa, pewnie jeszcze do niej

I to powoduje, że bardzo długo trwa samo postępowanie.

Najpierw Wojewódzki Sąd Administracyjny w Warszawie, potem Naczelny Sąd Administracyjny.

Terminy w Naczelnym Sądu Dziedzia Administracyjnego są jakie są, więc mówimy o latach tak naprawdę postępowania, zanim decyzja Prezesa Urzędu się uprawomocni.

no to bardzo silnie osłabia ten pazur takiej rzeczywistej prewencji.

No bo podmiot, administrator, który jest adresatem takiej decyzji, no to de facto już organizacyjnie jest w innym świecie niż moment, w którym, czy zdarzenie, za które karę otrzymuje.

To jest bardzo duży problem i dyskusja na temat uproszczeń cały czas się toczą, na temat zmiany tego postępowania z postępowania sądowo-administracyjne na postępowanie cywilne.

Ale tu jest wiele czynników, które ostatecznie na to wpływa i przyczyn, dla których ta decyzja jeszcze nie została podjęta.

Jak jesteśmy przy karach, to najważniejsze pytanie, jakie są najczęstsze powody nakładania kar?

No właśnie, prezes urzędu kierując się pewnymi założeniami i cechami kar, między innymi prewencyjnym charakterem, udzielając kar, chce oczywiście napiętnować określony typ działania w stosunku do określonego administratora, czyli mamy tutaj prewencję indywidualną.

spowodowanie, by dany administrator naprawił swoje błędy i zapewnił zgodność, ale z drugiej strony jest to informacja dla rynku.

I można podzielić te kary na kilka kategorii i w zależności od momentu, o którym mówimy, czyli czasu, w którym znajdujemy się od dnia stosowania rozporządzenia,

Najczęstszymi, a może inaczej, może najpierw zacznijmy od tego nie najczęstszymi, tylko jakie są te kategorie.

Pierwsza kategoria dotyczy aspektów zupełnie podstawowych, jak legalizacja, jak zapewnienie przejrzystości przetwarzania, czyli spełnienie odpowiednich obowiązków informacyjnych, zapewnienie świadomości podmiotów danych, zapewnienie realizacji ich praw.

czyli ułatwienia, ułatwienia wycofania zgody, niestosowania praktyk zaciemniających realizację praw, czy właśnie wycofywanie zgody, czy składanie sprzeciwu w zależności od sytuacji.

I to jest pierwszy blok zagadnień.

Drugi blok zagadnień to są przypadki, w których mamy nieadekwatne zabezpieczenia i tutaj właśnie mówimy o analizie ryzyka, o której wspominałem, prawidłowości jej przeprowadzenia, kompletności tej analizy, adekwatności do ryzyka przyjętych zabezpieczeń, które administrator wdraża.

W tym kontekście pojawiają się poboczności, powiedziałbym, które dotyczą takiej procedury Data Protection by Design, czyli uwzględnienia ochrony danych osobowych w fazie projektowania.

Jest to taka procedura, którą powinno się stosować we wszystkich przypadkach, w których projektujemy nowe rozwiązanie, nowy proces.

W kontekście sztucznej inteligencji zwłaszcza ona ma znaczenie.

Ale przy każdym nowym rozwiązaniu chcemy zmienić platformę szkoleniową z jednej na drugą.

Krajowa Szkoła Sądownictwa i Prokuratury na tym właśnie poległa, zmieniając tą platformę nieprawidłowo, tą procedurę zmiany zaprojektowała.

Więc naruszenie artykułu 25 byłoby tutaj problemem.

I jeszcze jeden aspekt, który dotyczy też analizy ryzyka, to jest włączanie w ten proces, w proces analityczny, odpowiednie włączanie w proces analityczny inspektora ochrony danych.

To jest podmiot, który w tym procesie bierze udział jako konsultant prawidłowości, udziela informacji na temat tego, jak ta analiza powinna być przeprowadzana.

I na przykład Szkoła Głównego Gospodarstwa Wiejskiego ten problem tutaj miała.

Sporo takich spajających decyzji, to przeplata się w wielu decyzjach w różnych obszarach, ale można je wyciągnąć troszkę poza nawias ten aspekt.

To są decyzje, w których pojawia się również kwestia rozliczalności, czyli kwestia dokumentowania zgodności, dokumentowania analizy ryzyka, dokumentowania właśnie holistycznego aspektu tejże analizy prawidłowości wybrania procesorów, podmiotów przetwarzających, czyli realizacja zasady z artykułu 5 ustęp 2.

To w ogóle jest zasada, której istnieniem jest pokłosiem tego podejścia opartego na ryzyku.

No bo jeśli prawodawca mówi w ten sposób, drogi administratorze, twoje ręce oddaje zapewnienie zgodności, masz przeanalizować ryzyka związane z twoją organizacją dla praw i wolności podmiotów danych,

No i mi to wykazać.

Skoro nie nakładam konkretnych obowiązków, to ty konkretyzujesz przepisy prawa, analizując swoją sytuację, no to musisz móc mi to wykazać, czyli udokumentować te kroki.

które wziąłeś pod uwagę, aspekty, które wziąłeś pod uwagę przy zapewnianiu zgodności, czyli właśnie zrealizować zasady rozliczalności.

Jednym z naczelnych elementów tej zasady rozliczalności jest prawidłowe prowadzenie rejestru czynności przetwarzania.

Właśnie chciałam się zapytać, jak to dobrze udokumentować, żeby organ był zadowolony?

Właśnie, tu jest kilka aspektów, które się troszkę zmieniały na przestrzeni czasu w trakcie kontroli, które były prowadzone przez prezesa Urzędu Ochrony Danych.

Na początku zwracano uwagę bardziej na aspekty bezpieczeństwa, na plany ciągłości działania.

Później słusznie skierowano swoje kroki na rejestr czynności właśnie.

To jest taki dokument, w którym odzwierciedlamy

Procesy, które odbywają się w naszej organizacji.

Te procesy językiem ogólnego rozporządzenia ochrony danych to są czynności przetwarzania danych osobowych.

Na przykład to są działania marketingowe, działania rekrutacyjne, działania HR-owe, logistyczne.

Wszystko, co jest w naszej organizacji, co służy osiągnięciu celu organizacji, de facto jest procesami przetwarzania danych osobowych.

Więc można byłoby w pewnym uproszczeniu powiedzieć,

że jak popatrzymy na naszą organizację i popatrzymy jakiego rodzaju procesy biznesowe się w niej odbywają, to jest to mniej czy bardziej podział na czynności przetwarzania, które stanowią poszczególne wpisy w rejestrze czynności przetwarzania.

Jak ten aspekt mamy uchwycony, no to każda z tych czynności przetwarzania ma swój kontekst, czyli ma swój stan faktyczny, jak ona wygląda.

Weźmy za przykład czynności rekrutacyjne.

Przy czynnościach rekrutacyjnych mogę zdecydować się na to, żeby kandydaci do pracy przynosili CV do sekretariatu i zostawiali je na rejestracji portierniczej jakkolwiek.

mogę zdecydować się, żeby utworzyć do tego skrzynkę mailową, na którą te CV mają trafiać.

Mogę skorzystać z podmiotu zewnętrznego, agencji rekrutacyjnej, czy wreszcie portalu, który agreguje takie CV, czy ogłoszenia o pracę.

To powoduje, że każda z tych sytuacji ma troszkę inny kontekst, inne zagrożenia z niej płyną.

No bo w pierwszym przypadku muszę zastanowić się, jak ten dokument CV będzie krążył, kto będzie miał do niego dostęp.

W drugim przypadku, jak mam zabezpieczoną infrastrukturę teleinformatyczną.

W przypadku korzystania z zewnętrznych podmiotów, jak agencja rekrutacyjna czy portal rekrutacyjny, no to będą to procesorzy, podmioty przetwarzające, więc tam też muszę ocenić, jakie gwarancje bezpieczeństwa oni dają.

W każdym przypadku mamy do czynienia z różnym kontekstem.

Mając proces przetwarzania danych osobowych, ten kontekst opisujemy.

z tego kontekstu, z tego stanu faktycznego oraz zakresu danych osobowych, celu przetwarzania i charakteru tego przetwarzania, o czym mówią przepisy.

To są aspekty związane z narzędziami, które wykorzystuje, z liczbą osób, która jest tu zaangażowana.

Wszystkie czynniki, które operacyjnie mają znaczenie, one są źródłem potencjalnych zagrożeń.

czyli tą bazę, którą mamy już w ten sposób, możemy zabezpieczyć.

Zabezpieczyć adekwatnie.

Przykładami nieadekwatnego zabezpieczenia jest decyzja, która została wydana w stosunku do prezesa sądu rejonowego w Zgierzu, w którym wprawdzie analiza ryzyka została przeprowadzona w takim procesie aktywności kuratorów sądowych, w którym to procesie wykorzystywane były pendrive'y.

I doszło do zagłupienia tego pendrive, ale nie w tym rzecz.

Rzecz w tym, że jeśli mamy pendrive i przechowujemy na nim dane, przenosimy na nim dane, no to musimy pamiętać o tym, że potencjalne jest ryzyko, że go zgubimy.

Musimy sobie to wyobrazić w tej procedurze analitycznej.

Więc sposobem zabezpieczenia tego jest jakieś inne źródło danych.

Utrzymywanie ich na jakimś innym nośniku.

Czyli backupowanie.

Innym zagrożeniem jest to, że ktoś znajdzie tego pendrive'a, odczyta i będzie wiedział, jakie to są dane.

To, jak zabezpieczamy, no nie backupem, tylko zabezpieczamy szyfrowaniem tego nośnika.

który ze sądu rejonowego w Zgierzu zdecydował się na zabezpieczenie tego nośnika w postaci szkolenia pracowników.

No właśnie.

Czy to jest adekwatne do tego zagrożenia, o którym mówiłem wcześniej?

Więc musimy pokazać tą adekwatność.

I na koniec, jak to pokażemy, w każdym z procesów przetwarzania danych osobowych, wychwytując wszystkie tego typu zagrożenia, mamy całą strukturę rejestru czynności, bo od niego wyszliśmy.

analizy ryzyka i czegoś, co wraca do rejestru czynności z analizy ryzyka, czyli zabezpieczenia, środki techniczne i organizacyjne, które mają na celu zabezpieczenie przetwarzania danych osobowych.

To się znajdzie nam z powrotem w rejestrze czynności.

Więc on pełni taką funkcję, która odzwierciedla funkcjonowanie naszej organizacji, spajając wszystkie sznurki.

O ile jest prowadzony prawidłowo, obejmuje całą naszą organizację,

No i jest cały czas aktualizowany.

Zarówno duże, jak i małe organizacje otrzymywały kary.

Skalę kar mamy od kilkuset złotych do kilku milionów złotych, więc tutaj nie mamy sytuacji, w której można byłoby wskazać jakąś konkretną tendencję.

sektora publicznego, jak i sektora prywatnego.

W sektorze publicznym jest tylko ta oboczność, odmienność, że polski ustawodawca na bazie kompetencji, która została mu przyznana w rozporządzeniu ogólnym, skorzystał z tej kompetencji i ograniczył wysokość kar dla sektora.

publicznego do 100 tysięcy złotych jako maksymalne kary, więc na przykład ta sytuacja dotycząca ministra zdrowia, jak wszyscy pamiętamy, dotycząca ujawnienia danych, no zakończyła się maksymalną karą 100 tysięcy złotych, chociaż z perspektywy waloru tej kary kwalifikowała się na pewnie na dużo większą.

Więc nie ma tutaj jakiejś jasnej tendencji.

I zarówno nie było wcześniej, jak i teraz tej tendencji ja nie widzę, żeby jakiś konkretny sektor był specjalnie narażony, czy wielkość podmiotu tutaj decydowała.

Oczywiście, i to pewna wskazówka, należy śledzić corocznie publikowane informacje na temat tego, co będzie przedmiotem kontroli w danym roku.

Jaki sektor, jaki obszar ewentualnie.

I to jest pewnym indykatorem tego, który sektor musi być lepiej.

przygotowany.

Ale to znowu nie jest, nie czytać należy tego jako jakąś specjalną wskazówkę co do tendencji, że to jest jakiś sektor specjalnie domknięty, dotknięty potencjałem naruszeń.

Oczywiście trochę tak, ale to nie jest znowu tak, że potem w tym sektorze wybuchają kary.

A jak przygotować firmę na kontrolę łodu?

Co warto mieć w szukladzie?

No o tym troszkę już opowiadaliśmy.

Przede wszystkim rejestr czynności, bo to jest ten pierwszy i podstawowy dokument.

A z takich nieoczywistych rzeczy, o których może ktoś jeszcze nie pamięta, nie wie?

Przede wszystkim trzeba pamiętać o tym, jak ta kontrola wygląda.

Te kontrole są zapowiedziane, zasadniczo.

Oczywiście są sytuacje, w których one nie są zapowiedziane, ale jakby pójdźmy tym nurtem zasadniczym.

One są zapowiadane, organizacja powinna się do nich przygotować, ma na to generalnie 14 dni.

Więc nie jest możliwe wdrożenie rozporządzenia w takim krótkim okresie w całej organizacji.

A zatem to przygotowanie to raczej zebranie odpowiednich dokumentów, wskazanie osób, które będą z ramienia organizacji odpowiadały za uczestnictwo w kontroli, będą udzielały odpowiednich informacji.

A jest to istotne w dwóch zasadniczych obszarach.

Kontrolerów zawsze jest dwóch.

Jeden odpowiada za część formalno-prawną, drugi za część techniczną.

W związku z tym oba te obszary musimy mieć przygotowane.

Musimy mieć w trakcie kontroli przedstawiciel działu IT, przedstawiciel działu compliance na przykład, który te informacje będzie udział.

Jeśli kontrolowany jest określony zakres, na przykład marketing, no to to rejestr czynności dotyczący czynności marketingowych, albo ogólne, albo bardziej analityczne, w zależności od tego, jak prowadzimy i

I to spowoduje, że na bazie tego rejestru będziemy robili kolejne kroki.

Potem będą pojawiały się prawdopodobnie procedury szczegółowe, procedura naruszeń, jeśli podstawą takiej kontroli jest zgłoszone naruszenie.

sposób wyboru i oceny procesorów, jeśli znowu gdzieś w kontekście działania prezesa urzędu jest relacja z procesorami, procedury realizacji praw podmiotów danych, czy właśnie dokumenty ogólne w postaci polityk ochrony danych.

O tych procedurach na nie wskazuje, chociaż przepisy do nich się nie odnoszą zasadniczo.

Bo znowu to, jakie procedury zastosujemy, jest naszą decyzją, decyzją administratora, który mówi, robię procedurę po coś, bo ona ma mi czemuś służyć.

Również w celach świadomości organizacji, tego, żeby szybciej zagospodarować jakiś incydent, to po to tworzę te procedury.

To nie znaczy, że małe organizacje te procedury mieć wszystkie powinny.

Jeśli nie ma komu tych informacji propagować, bo jeśli nie mam pracowników, prowadzę jednoosobową działalność, no to nie za bardzo mam potrzebę tychże procedur mieć.

I w kontekście jeszcze jednoosobowych działalności, czy w ogóle małych administratorów, mówi się ostatnio, czy mówiło się ostatnio głośno o deregulacji ogólnego rozporządzenia o ochronie danych osobowych.

I pakiet deregulacyjny 21 maja przez komisję został ogłoszony i zmienia się przepis dotyczący wyjątków od wprowadzenia rejestru czynności przetwarzania.

Dotychczas był taki wyjątek, który mówił, że administratorzy, którzy zatrudniają mniej niż 250 osób, jeśli przetwarzanie nie wiąże się z ryzykiem dla podmiotów danych, nie muszą prowadzić rejestru czynności przetwarzania.

W obrocie nie spotkałem takiej sytuacji, bo zawsze, bo to nie liczba ma znaczenie, bo rzeczywiście to objęlibyśmy cały MŚP, sektor MŚP, ale ma znaczenie ten drugi aspekt, czyli przetwarzanie, które nie wiąże się z ryzykiem.

No trudno mi sobie wyobrazić przetwarzania, które nie wiąże się z ryzykiem, jakimś ryzykiem.

Tu nie kwantyfikowaliśmy tego ryzyka, więc de facto nie stosowaliśmy tego wyłączenia, pomimo tego, że istniało.

To co zaproponowała komisja to zmianę tego postanowienia, chcąc troszkę zmniejszyć obciążenie formalne i przesunęła granicę liczbową do 750 pracowników i wprowadziła zamiast tego pierwotnego wyłączenia dotyczącego...

jakiegokolwiek ryzyka, wysokie ryzyko naruszenia praw i wolności podmiotów danych.

I wprowadziła, zaproponowała na tym etapie, bo to jest dopiero początek, to jest pakiet deregulacyjny Omnibus 4, który jest na początku ścieżki legislacyjnej, więc teraz naprawdę otworzy się dyskusja na temat tego, co ostatecznie się w tym pakiecie znajdzie i co się ostatecznie w RODO zmieni.

Natomiast do tego w zasadzie się deregulacja RODO ogranicza i w kontekście tego wyłączenia i analizy ryzyka, czy oceny tego, czy mamy do czynienia z wysokim ryzykiem, a zatem czy może z innym niż wysokie ryzyko, a zatem czy możemy skorzystać z benefitu nie prowadzenia rejestru czynności przetwarzania.

no to musimy analizę ryzyka przeprowadzić.

Żeby ją przeprowadzić, musimy zmapować naszą organizację na procesy przetwarzania danych osobowych.

Czyli de facto zrobić ten rejestr czynności wcześniej.

Więc iluzoryczne wyłączenie.

A zatem pierwszy i podstawowy i może oczywisty, ale jednak ważny dokument to jest rejestr czynności.

Nieoczywiste w nim byłoby to, że moim zdaniem powinniśmy w nim umieszczać więcej niż to wynika z przepisu.

Przepis artykułu 30 ogranicza się do pewnych kategorii informacji, ale żeby ten dokument prawidłowo prowadzić, moim zdaniem powinniśmy właśnie m.in.

opisać, jak ten proces wygląda, żeby mieć to gdzieś uchwycone, żeby był link między tym, jaka nasza organizacja wygląda, a wnioskami dotyczącymi tego, co wdrożyliśmy w organizacji.

I za to między innymi dostało pierwotną karę.

Tam nie było udokumentowane dlaczego zastosowane zostały te, a nie inne zabezpieczenia.

Nie było udokumentowanej analizy ryzyka właśnie.

A wyjaśnij proszę, czym jest analiza ryzyka i dlaczego ona jest taka ważna?

No bo tutaj przez wszystkie przypadki ją odmieniamy.

No właśnie, to wróćmy do tego przykładu z pendrive'em.

Analiza ryzyka ma na celu uchwycenie tego, jakie ryzyka...

Ryzyka dla osób, których dane przetwarzamy.

Wiążą się z procesem przetwarzania danych osobowych.

Muszę sobie wyobrazić, co się zadzieje, no właśnie jeśli tego pendrive'a zgubię.

Jeśli jestem adwokatem, noszę akta, czy radcą prawnym, noszę akta sprawy i zapominam je na ławce sądowej, w korytarzu sądowym.

No to muszę sobie wyobrazić, czy takie zdarzenie może mieć miejsce.

Jeśli takie zdarzenie może mieć miejsce, to muszę sobie wyobrazić, jak powinienem działać, żeby ktoś nie zapoznał się z tymi dokumentami.

To samo z CV, o którym mówiłem wcześniej.

Te wszystkie aspekty muszę sobie wyobrazić w każdym z procesów przetwarzania danych osobowych i odpowiednio zabezpieczyć.

No właśnie, nie nosić akt w taki sposób tradycyjny na przykład.

albo nosić je w teczkach zanonimizowanych i pamiętać, żeby jednak z tej ławki je zabrać.

Jeśli pendrive'y, to taka decyzja, szyfrujemy, mamy backup, albo rezygnujemy z pendrive'ów, wykorzystujemy chmurę.

To są wszystko decyzje wdrożeniowe na bazie analizy ryzyka.

Każda z nich będzie miała swoje, będzie miała oczywiście swoje konsekwencje.

W taki sposób detaliczny przechodzimy przez wszystkie procesy, które się odbywają w naszej organizacji.

I linkujemy zagrożenia z środkami, które wdarzamy jako zabezpieczenie.

No właśnie, jakieś szyfrowanie, czy zmiana w ogóle przebiegu danego procesu.

I w decyzjach prezesa, oprócz tego, że są poradniki, jak stosować podejście oparte na ryzyku, jak rozumieć podejście oparte na ryzyku,

To w decyzjach prezesa, istotna część tych decyzji, jak wspomniałem, dotyczy właśnie analizy ryzyka.

W sprawie Morelenet, w sprawie burmistrza Aleksandrowa Kujawskiego, to były takie dwie pierwsze decyzje, które bardzo wyznaczyły kierunek wykładni przepisów.

I w nich znajdują się i znajduje się kilka elementów kluczowych.

Pierwszy element kluczowy to jest taki, że analiza ryzyka nie ma charakteru jednorazowego, no bo tak jak nasza organizacja się zmienia, tak i pojawiają się nowe ryzyka.

Rośniemy, mamy więcej, więcej ludzi, używamy inne narzędzia.

Część procesów przestaje być procesami wewnętrznymi, staje się procesami zewnętrznymi np.

decyduje się, żeby dotychczasowy dział kadr przenieść do firmy, która nas będzie obsługiwać.

To jest zmiana w procesie.

Wybieramy procesora, musimy go ocenić z perspektywy bezpieczeństwa.

Potem przepływ, jak dane przepływają, musimy ocenić, czyli żeby zabezpieczyć ten kanał komunikacyjny w odpowiedni sposób.

Tu wybieramy, czy to będzie komunikacja elektroniczna w formie mailowej.

Nie będzie elektroniczna, tylko będzie tradycyjna, czyli będziemy przewozić dokumenty

czy jednak będziemy działać w oparciu o jakieś rozwiązanie chmurowe, do którego wspólnie będziemy mieli dostęp.

W każdym z nich jest specyfika zagrożeń, która nieco inna.

Na nie musimy się zdecydować i wybrać odpowiednie zabezpieczenia do tego.

No i wreszcie musimy podjąć decyzje wdrożeniowe na tej podstawie i je udokumentować.

Czyli znowu opisać w rejestrze czynności albo w analizie ryzyka, dlaczego doszliśmy do tych

A jak często trzeba aktualizować taką analizę ryzyka?

No bo firmy zmieniają się bardzo dynamicznie, dużo jest tych zmian i ta analiza pewnie też musi się zmieniać razem z organizacją.

Tu świetny z kolei przykład innej decyzji w sprawie Virgin Mobile.

Pierwsza decyzja, ona była uchylona w międzyczasie, potem Virgin zostało wchłonięte przez P4.

Więc ostatecznie została wydana decyzja przeciwko P4 i w tej decyzji właśnie prezes odpowiada na to pytanie.

Mówi tak, że z artykułu 32 wynika regularne testowanie.

Raz w tygodniu, raz w miesiącu?

No właśnie, to zależy od czynników zmiennych w naszych organizacjach.

Są organizacje silnie technologiczne, dla których zmiany technologiczne bardzo silnie oddziaływują.

To powoduje, że przy każdej zmianie technologicznej, poziomu zabezpieczeń, nowych zagrożeń,

nowych formataków, ta rekwalifikacja, czyli przeprowadzenie ponownej analizy ryzyka, a przynajmniej weryfikacja adekwatności dotychczasowych decyzji dotyczących zabezpieczeń, musi być przeprowadzona.

Jak wiemy, technologia aktualnie rozwija się w tempie ekspotencjalnym.

Kurzweil twierdzi, że podwójnie ekspotencjalnym.

W związku z tym to taktowanie będzie nam przyspieszać.

ale tylko w kontekście naszej organizacji.

Nie patrzymy w ogóle na rozwój technologii.

Jeśli nie stosujemy sztucznej inteligencji, to nas nie bardzo interesuje, co się dzieje ze sztuczną inteligencją, jak ona szybko się rozwija.

Ale jak już zaczniemy ją stosować, to będziemy musieli badać, jakie są benchmarki do testowania.

jakie pojawiają się nowe zagrożenia, nowe ataki adwersjalne, white box, black box, czy jakieś jeszcze inne, które są specyficzne dla tego typu technologii, w modelach, które stosujemy, to należy śledzić.

To jest kolejny moment, w którym taką zmianę musimy dokonać, taką weryfikację.

Czynniki, które będą na to oddziaływać, to jest również poziom kosztów zabezpieczeń.

Nie zdecydowaliśmy się na inne, bo adekwatne koszty były zbyt wysokie, ale w związku z postępem technologicznym koszty określonych zabezpieczeń spadły.

No więc trzeba by zastanowić się, czy nie lepiej byłoby je drożyć.

I to wszystko składa się właśnie na taki system, który działa w oparciu o cykl Deminga.

Czyli analizuję, doprowadzam do wniosków, wdrażam te wnioski i potem monitoruję działanie systemu.

Systemu ochrony danych osobowych.

Jeśli pojawia się konieczność, czy to właśnie wynikających z czynników zewnętrznych, jak postęp, czy czynników wewnętrznych, jak zmiany organizacyjne, no to muszę dokonać weryfikacji tego systemu naszego adekwatności decyzji.

w obszarze całej organizacji.

I to jest ten drugi aspekt, o którym należy wspomnieć przy decyzjach prezesa, na co on zwraca uwagę, że musimy zagospodarować wszystkie ryzyka.

Jeśli mamy ryzyka wysokie, to odpowiednio adekwatne do tego wysokie zabezpieczenia.

Przy niskich ryzykach oczywiście niższy poziom zabezpieczeń jest dopuszczalny, adekwatny do tego poziomu ryzyka.

pewien aspekt, który jest typowy dla analizy ryzyka, czyli nasz apetyt na ryzyko.

Przy czym z perspektywy ogólnego rozporządzenia ochrony danych, i to bardzo wyraźnie trzeba podkreślić, ryzyko analizowane jest z perspektywy praw i wolności podmiotów danych, czyli praw i wolności osób, których danych w danym procesie przetwarzamy.

Kandydatów do pracy, pracowników naszych w marketingu, naszych potencjalnych użytkowników, nie wiem, odbiorców newslettera, a nie naszej organizacji.

Jaki byś wymienił top trzy błędy, które organizacje najczęściej popełniają przy analizie ryzyka?

No, na pewno dwa są podstawowe.

Jeden wynika z tego elementu, o którym wspomniałem na końcu.

Nie dokonujemy analizy ryzyka, czy nie dokonywana jest analiza ryzyka w sposób całościowy.

Czyli mamy jakieś takie wytyczne, które obejmują niektóre narzędzia, niektóre procesy, no bo na nich się skupiamy i nie mamy przeglądu całej organizacji, interakcji pomiędzy procesami.

Zwłaszcza w sytuacji, gdy to samo narzędzie wykorzystujemy w różnych procesach, ale w innym miejscu tych procesów.

W związku z tym inny potencjalny impakt to narzędzie będzie miało na prawa i wolności.

To jest pierwsze zagadnienie.

Drugie zagadnienie, brak adekwatności, czyli kazus naszego prezesa sądu rejonowego w Zgierzu, który stosuje szkolenie dla zabezpieczenia pendrive.

To jest nagminny problem, że nieprawidłowo dobieramy te narzędzia.

Z perspektywy bezpieczeństwa mówimy o triadzie takich wymogów dotyczących bezpieczeństwa informacji.

Każda z nich musi być zagospodarowana w inny sposób.

RODO troszkę inaczej się do tego odnosi, w sensie mapuje to na pięć obowiązków, ale generalnie mówimy o tych podstawowych trzech, można je zagregować w te trzy wymogi.

Z tej perspektywy

adekwatność tak musimy zmierzyć i tak musimy wykazać.

Ale RODO jeszcze ma ten aspekt związany z zabezpieczeniem zgodności jako takim, nie tylko bezpieczeństwa.

I tam będziemy się musieli zastanowić nad tym, czy nie jest tak, że oddziaływujemy negatywnie na podmiot danych przez sam fakt prowadzenia danego procesu.

szkolimy system sztucznej inteligencji, który to system sztucznej inteligencji potem będzie oddziaływał w procesie podejmowania jakichś decyzji.

Na przykład wyboru kandydatów do pracy.

I okazuje się po pewnym, zresztą przykład ze życia wzięty, okazuje się po pewnym czasie działania tego systemu, że system sugeruje wyłącznie białych mężczyzn do procesu rekrutacyjnego.

Czyli jeszcze oddziaływania samego nie ma, ale już działa dyskryminacyjnie.

I to jest kazus Amazona z lat dwutysięcznych, który po prostu uwzględnił przy trenowaniu systemu dane w Stanach Zjednoczonych z okresu,

który rynek pracy wyglądał w taki, a nie w inny sposób.

Więc o tym należy pamiętać.

Ten obszar oddziaływania dyskryminacyjnego dopiero będzie oddziaływał, jak ten proces będzie funkcjonował w naszej organizacji.

Więc na to też należy zwrócić uwagę.

Oczywiście jako jeden z przykładów.

A jakie są trzy rzeczy, jak już jesteśmy przy wymienianiu takich top, które każda firma powinna zrobić tak od zaraz, żeby spać spokojnie w kontekście RODO?

Od 2018 roku to, co było źle robione, to było robione to, że wszyscy nagle kupowali szafy zgodne z RODO albo kupowali dokumentację dotyczącą zapewnienia zgodności polityki ochrony danych, jakieś wzorcowe procedury.

Co jest oczywiście działaniem totalnie bez sensu.

Po pierwsze dlatego, że zwykle te procedury są w ogóle niedostosowane, znaczy niezwykle, one po prostu z założenia swojego są niedostosowane do organizacji.

W części przypadków prawdopodobnie w ogóle niepotrzebne na tej organizacji.

I to jest zasadniczy błąd i daje tylko i wyłącznie pozorne poczucie zgodności, że a, przyjdzie to prezes urzędu, to będę miał co pokazać.

Nie, prezes urzędu od razu będzie wiedział, że to nie ma nic wspólnego z rzeczywistości.

zgodność dokumentu z rzeczywistością.

I w decyzjach to też bardzo wyraźnie widać, że nakładane i wytykane są przypadki, w których jest prawie przeprowadzona analiza ryzyka, są sformułowane wnioski wdrożeniowe, ale te wnioski wdrożeniowe nie są zrealizowane.

Czyli znowu, nie sam dokument jest istotny, tylko...

prawidłowość i rzeczywistość funkcjonowania tego dokumentu, zgodność jego z naszą organizacją.

Więc jeszcze raz takim podstawowym elementem i znowu wrócimy do analizy ryzyka oczywiście, ale podstawowym elementem, który należy przeprowadzić i bez którego się nie da stworzyć dokumentacji, bo dokumentacja jest wynikiem analizy ryzyka, a nie podstawą dla niej, jest przeprowadzenie, stworzenie rejestru czynności, podziału naszej organizacji na procesy przetwarzania i przeanalizowanie.

Z tego sformułowane zostaną wnioski dla analizy ryzyka.

Z tego też będą płynąć nam wnioski, czy powołać inspektora ochrony danych, czy nie.

Czyli oczywiście mówię poza obszarami, w których przepisy nakładają taki obowiązek, bo jest w niektórych obszarach taki obowiązek.

analiza ryzyka może nas do tego nakłonić, czyli powiedzieć, że mamy w naszej organizacji taki duży poziom ryzyk w różnych obszarach, że warto byłoby mieć wewnątrz organizacji inspektora, który byłby to koordynował.

W tym sensie koordynował w sensie monitorowania tego, czy to działa prawidłowo, czy jednak nie powinienem czegoś dostosować, bo

No właśnie, organizacja musi zassać odpośloną ilość informacji, żeby tą zgodność zapewnić.

Tą informację może zassać poprzez to, że będzie edukowała swoich pracowników, działy komplajansowe, prawne.

No ale przy mniejszych organizacjach kogo edukować?

No sam siebie mam edukować, więc zasięgam tej wiedzy na zewnątrz.

I tą wiedzę można zassać również poprzez inspektora ochrony danych, który podpowie jak należy tą zgodność

zapewnić, bo to jest jego podstawowa rola.

A czy są jakieś takie szybkie zwycięstwa, czyli takie działania, które możemy wdrożyć relatywnie szybko, a mają duży wpływ na zgodność z przepisami?

Ta droga na skróty skończy się tymi przypadkami sankcyjnymi, jak właśnie Murelenet między innymi.

Droga na skróty powoduje tylko i wyłącznie to, że o czymś zapomnimy, że nie obejmiemy całej organizacji.

że wystąpi incydent nie tam, gdzie działania podjęliśmy.

Taka tendencja, która była po rozpoczęciu stosowania RODO, czyli w 2018 czy 2019 roku, to była tendencja, w której zajmowaliśmy się najpierw tymi obszarami, które widać na zewnątrz.

Na przykład tworzyliśmy polityki prywatności, obowiązki informacyjne na stronach internetowych.

obowiązki informacyjne do newsletterów.

Wtedy ten słynny zalew w ogóle komunikacji mailowej, bo wszyscy aktualizowali klauzule informacyjne.

Więc to był taki pomysł na to, żeby zamanifestować zgodność, a w środku nadal bałagan.

Więc to nie jest dobry pomysł.

On może usunąć pewne źródło problemów polegające na tym,

że aktywność prezesa Urzędu Ochrony Danych Osobowych może mieć swoje źródło właśnie w skardze podmiotu danych.

Jeśli relacja z podmiotem danych jest prawidłowo ułożona, to to źródło ryzyka można sobie odciąć w pewnym uproszczeniu mówiąc.

Następuje incydent i zgłaszamy naruszenie ochrony danych osobowych.

No i prezes może, ale nie musi na tej podstawie wszcząć postępowanie sankcyjne.

Mówimy o skali tysiąca zgłoszeń, wielu tysięcy zgłoszeń w skali roku, a kar mamy kilkanaście, kilkadziesiąt, które nakłada prezes, więc jakby relacji bezpośredniej między tym nie ma.

I w zeszłym roku były to źródła rzeczywiście nakładania administracyjnych karpieniecznych, bodaj w 11 przypadkach, w 11 przypadkach, zaraz powiem, jest taka statystyka, nie, w 14 przypadkach została nałożona kara, gdzie przyczyną była informacja płynąca z naszego zgłoszenia incydentu.

Na 22 kary, które prezes nałożył w zeszłym roku, zaraz jeszcze raz zerknę na to.

Prawie 14 milionów i 20.

Stamy te przykłady choćby z wybory kopertowe.

Są tego przykładem i decyzje, które otrzymał minister cyfryzacji Poczta Polska w tym roku.

One nie płyną z zawiadomień żadnych, tylko właśnie z takiego obszaru medialnego.

I czwarty, ostatni obszar źródła to są te planowe kontrole, które publikuje, co do obszarów swoich publikuje je prezes urzędu w każdym roku na dany rok.

Dominku, bardzo dziękuję Ci za dzisiejszą rozmowę.

Pokazałeś, że wdrażanie RODO nie musi być trudne, a kluczem jest świadomość i dobre przygotowanie organizacji.

Natomiast rzeczywiście są obszary, na które po prostu szczególną uwagę... Analiza ryzyka.

Trzeba zwrócić.

I to na to też nakłada, to chyba takie zdanie podsumowania, w tym kierunku, zwłaszcza w sektorze małych i średnich przedsiębiorstw idzie i do tego nawołuje Komisja Europejska w zeszłorocznych podsumowaniu 6 lat stosowania RODO i nakłada na...

na organy taką sugestię, żeby wzmocnić działania edukacyjne w tym obszarze.

Obszar narzędziowy, żeby trochę rozbudować.

Na przykład francuski organ nadzorczy ma takie narzędzie do pewnej części tej analizy, czyli narzędzie do privacy impact assessment, które pozwala na ocenę poziomu wpływu na prawa i wolności osób, które dane dotyczą w poszczególnych procesach.

Ale jest na rynku sporo również narzędzi, które to ułatwiają.

No bo znowu to decyzja administratora, jaki typ analizy ryzyka wybierze, czy to będzie jakościowa, czy ilościowa.

Warto do tego zerknąć, warto się z tym zapoznać.

Jest trochę odpowiedzi na rynku, ale też organy rzeczywiście będą intensyfikować tutaj swoje prace, żeby tym małym zwłaszcza, czyli sektorowi małych i średnich przedsiębiorstw pomagać.