"To ochrona danych, a nie absurdy". Pół roku z RODO

Dane osobowe to np. imię, nazwisko, wizerunek, odciski palców czy numer PESEL - generalnie wszelkie dane i informacje, które identyfikują nas wprost lub umożliwiają naszą identyfikację w świecie zarówno fizycznym, jak i wirtualnym. RODO, czyli unijne rozporządzenie o ochronie danych, którego przyjęcie miało na celu zharmonizowanie porządków prawnych państw członkowskich UE i sprostanie rozwojowi technologicznemu oraz globalizacji, stosujemy od 25 maja, a więc już pół roku.

- Dane osobowe chroni się w Polsce, i w Europie, już co najmniej od 20 lat. RODO przede wszystkim ujednoliciło przepisy w całej Unii, dzięki czemu przedsiębiorcom działającym w więcej niż jednym kraju łatwiej jest prowadzić działalność, a obywatelom - łatwiej dochodzić swoich praw. Wcześniej była to droga przez mękę: wystarczy przypomnieć walkę austriackiego studenta Maxa Schremsa z Facebookiem - powiedziała Edyta Bielak–Jomaa.

Schrems, który już w 2011 r. kwestionował politykę prywatności Facebooka, skargi w tej sprawie musiał składać do irlandzkiego organu ochrony danych osobowych, którego jurysdykcji podlega europejski oddział amerykańskiej firmy.

- Dzięki RODO, po ostatnim wycieku danych europejskich użytkowników serwisu, polski Urząd może przyłączyć się do postępowania, mieć realny wpływ na ostateczny kształt wydawanej w tej sprawie decyzji, a polscy użytkownicy mogą skarżyć się do UODO - podkreśliła prezes Urzędu.

Wskazała, że stosowane od pół roku przepisy odnoszą się także lepiej do wyzwań związanych z gwałtownym rozwojem mediów społecznościowych, bankowością mobilną i w ogóle usług świadczonych drogą elektroniczną.

Jak mówiła, choć na razie ludzie dostrzegają głównie uciążliwości związane z RODO, to coraz bardziej zaczynają sobie zadawać sprawę także z korzyści, jakie przyniosły nowe przepisy.

- Zresztą większość tego, co media nazywają "absurdami" RODO, wynika z niepełnej znajomości przepisów przez administratorów i nadmiernej gorliwości spowodowanej nieraz strachem przed wysokimi karami, a nie z nowych wymogów. Np. formularze, na których wyrażamy zgodę na przetwarzanie danych osobowych, powinny być nam przedstawiane także pod rządami starych przepisów, tylko niewiele instytucji czy firm wcześniej się tym przejmowało. Teraz zaczęły bać się kar - podkreśliła.

Według Bielak–Jomaa, przedsiębiorcy i instytucje, którzy już wcześniej przestrzegali przepisów o ochronie danych osobowych, nie mieli problemów z dostosowaniem się do nowych regulacji w tym zakresie.

- Ci natomiast, którzy 25 maja zorientowali się, że w Polsce obowiązuje ochrona danych osobowych, stanęli przed ogromnym wyzwaniem. Początkowo, w maju wpłynęła do nas ogromna fala zapytań, ale w miarę edukowania się administratorów, m.in. dzięki wydawanym przez nas poradnikom i organizowanym szkoleniom, wątpliwości jest coraz mniej. Rośnie natomiast liczba skarg, które po 25 maja wpływają do Urzędu: jest ich już ponad 3 tysiące, co w zestawieniu z liczbą skarg, które otrzymaliśmy w całym ubiegłym roku, pozwala stwierdzić, że w przypadku osób, których dane są przetwarzane, świadomość potrzeby ochrony danych i prywatności rośnie - oceniła prezes UODO.

Jak mówi, wiele skarg dotyczyło marketingu, w tym telefonicznego, przekazywania przez sektor bankowy danych do BIK-ów, pracodawców, spółdzielni mieszkaniowych, monitoringu wizyjnego.

Jednak, jej zdaniem, na polu świadomości wagi ochrony danych jest jeszcze wiele do zrobienia, zarówno po stronie obywateli, jak administratorów danych.

- Wystarczy, że zajrzymy na portale społecznościowe i zobaczymy, co ludzie ujawniają na swój temat. Niektórzy wrzucają nawet zdjęcia swoich nowych kart bankowych, chcąc się nimi pochwalić - zauważyła. W jej ocenie, Polacy patrzą bowiem na Internet głównie w kontekście korzyści, które daje, a nie w kontekście zagrożeń.

- Powinniśmy zwracać uwagę na te zagrożenia, które płyną z naszego nieraz bardzo nieroztropnego działania w sieci. Trzeba pamiętać, że wędrując po niej, korzystając z aplikacji mobilnych, zawsze zostawiamy po sobie ślady. Umieszczamy w internecie wiele informacji o sobie, zdjęcia, komentarze, często nie ograniczając nawet dostępu do tych danych. Zapominamy, że nawet mimo przestrzegania przez administratorów przepisów, nasze dane z serwisów społecznościowych mogą wyciec - podkreśliła.

Dlatego - zwróciła uwagę - obywatele powinni rozważnie udostępniać swoje dane, a administratorzy zbierać tylko te, które są im naprawdę potrzebne do działalności.

- Szokujące są informacje np. o jednym z klubów fitness, który pobiera od członków odciski palców, czyli dane biometryczne, żeby wpuszczać ich automatycznie przez bramkę. Ta dana nie jest potrzebna, żeby wpuścić klienta na basen, siłownię czy zajęcia z tańca. Zgodnie z RODO, dane biometryczne należą do szczególnych kategorii danych i powinny być wyjątkowo restrykcyjnie chronione, bo jeśli zostaną "zgubione" przez administratora lub wykradzione, nie da się tego cofnąć. A odcisk palca będzie można wykorzystać w bankowości elektronicznej albo przy wyrabianiu paszportu - oceniła Edyta Bielak–Jomaa.

Jak dodała, administratorzy postępujący niezgodnie z przepisami o ochronie danych osobowych powinni liczyć się z surowymi konsekwencjami, choć na razie Urząd nie wymierzył jeszcze żadnej kary.

- Kary mają być adekwatne do popełnionego czynu i skuteczne. Przed ich nałożeniem trzeba bardzo rzetelnie przeprowadzić postępowanie. Nie mamy zamiaru unikać kar ani nadmiernie ich wymierzać. Ale z pewnością przyjdzie taki moment, w którym kary zostaną nałożone - podkreśliła.

Jednak jej zdaniem, to nie kary, a świadomość i potrzeba budowy zaufania powinny przede wszystkim kierować postępowaniem administratorów i podmiotów przetwarzających.

- Dzisiejsza gospodarka cyfrowa będzie się rozwijać tylko wtedy, jeśli będzie miała nasze zaufanie. Jednak, jeśli się sparzymy, jeśli nastąpi wyciek informacji, to następnym razem nie skorzystamy z usług oferowanych przez e-firmy czy e-administrację - dodała.

Autor: ah/ToL / Źródło: PAP