28 stycznia 2023
W 2023 r. okazją do podsumowania i oceny systemu ochrony danych osobowych była konferencja z okazji dnia ochrony danych osobowych w Brukseli organizowanej przez Stałe Przedstawicielstwo Polski przy Unii Europejskiej. Dzień Ochrony Danych Osobowych przypada właśnie 28 stycznia.
Na zaproszenie organizatorów w konferencji uczestniczyli przedstawiciele instytucji zaangażowanych w nadzorowanie stosowania i egzekwowania ogólnego rozporządzenia ochrony danych osobowych.
Instytucje Europejskie reprezentowały m.in. Ms Christiane Kirketerp de Viron, Head of Unit, Cybersecurity and Digital Privacy Policy, DG CNECT, Mr Luis Velasco, Head of Unit of Technology and Privacy, EDPS, Mr Olivier Micol, Head of Unit, Data Protection, DG JUST, Juhan Lepassaar, Executive Director, ENISA (tbc) a także przedstawiciele biznesu oraz państw członkowskich. Unia Metropolii Polskich również została zaproszona do udziału. Konferencję podzielono na dwa panele.
W trakcie dwóch paneli dyskusyjnych starano się odpowiedzieć, czy system ochrony danych osobowych ustanowiony m.in. Ogólnym Rozporządzeniem o Ochronie Danych Osobowych – RODO jest systemem skutecznym zapewniającym odpowiednia ochronę tego prawa podstawowego w państwach członkowskich. W toku dyskusji przedstawiciele Komisji Europejskiej podkreślili, że z pewnością po wejściu RODO zwiększyła się świadomość obywateli UE w tym zakresie, co wynika z badań opinii społecznych, także RODO wywarło duży wpływ na regulację ochrony danych w innych państwach świata.
RODO: Zbyt wygórowane oczekiwania?
Z drugiej strony przedstawiciele sektora pozarządowego i środowiska naukowego wskazywali, nie negując osiągnięć UE, że istnieją problemy z egzekucją praw, koordynacji działań organów nadzoru, trudności z kontrolą dużych koncernów przetwarzających ogromne ilości danych obywateli. Wskazywano również, że świadomość obywateli ogranicza się głownie o wiedzy, że taki akt jak RODO istnieje. Brakuje wyraźnych dowodów, że obywatel faktycznie rozumieją przysługujące im prawa.
Podczas długiej i żywej dyskusji wskazywano, że być może oczekiwania w stosunku do RODO były zbyt wygórowane i częściowo jesteśmy niezadowoleni ze wszystkich wprowadzonych rozwiązań. Oczywiście walka o ochronne danych w świecie cyfrowym jest obecnie istotnym elementem, który rzutuje na postrzeganie RODO, lecz nie może to być wyłącznie jedno kryterium oceny.
RODO – implementacja krajowa
W trakcie dyskusji wskazywano ponadto, że mimo jednego aktu obowiązującego w całej UE, to zakres spraw, które mogą uregulować państwa członkowskie m.in. związane z ograniczeniami i wyłudzeniami spod niektórych obowiązków RODO powoduje to, że nie osiągnięto zadowalającego poziomu ujednolicania przepisów. W efekcie dochodzi do sytuacji, że w zakresie ochrony prawa niektórych obywateli nie są chronione jednorodnie. Głosy te głównie pojawiały się ze strony osób reprezentujących sektor naukowy i sektor pozarządowy.
Bardzo ważnym głosem był głos przedstawiciela Sekretariatu Europejskiej Rady Ochrony Danych Osobowych wskazujący, że ochrona danych jest elementem systemu ochrony praw podstawowych. Jest to istotna okoliczność, gdyż prawa podstawę są silnie powiązane z prawem krajowym, często mają zakorzenienie w dorobku orzeczniczym sądów krajowych lub wręcz wynikających z konstytucji krajowych. Powoduje to, że ta elastyczność RODO pozwala wplatać ochronę danych osobowych w systemy i kultury prawne państw członkowskich. RODO w tym zakresie nie daje pełnej dowolności i wplatanie musi uwzględniać pryncypia zawarte w tym akcie m.in. zasady minimalizmu, zasady proporcjonalności itp.
Udręka administratora
W innym panelu dyskutowano nad efektywnością wynikającą z RODO oraz przepisów innych aktów UE np. NIS mechanizmów zgłaszania naruszeń. W trakcie dyskusji przedstawiciel sektora biznesu wskazywał, iż obecnie wiele aktów UE przewiduje obowiązki zgłaszają bezpieczeństwa danych, w tym danych osobowych. Te naruszenia mogą być skutkiem naruszeń bezpieczeństwa IT. Jednocześnie jednak system ten jest rozproszony pod względem instytucjonalnym tj. wiele uprawnionych organów do badania naruszeń oraz pod względem proceduralnym np. część przepisów wymaga zgłoszenia w okresie 24 godzin, część w okresie 72 godzin.
Warto wskazać, że chociaż głos pochodził z sektora prywatnego, to w przypadku podmiotów publicznych istnieje podobny stan prawny, organizacyjny i sytuacja prawna podmiotów publicznych m.in. gmin jest w wyżej wymienionym przypadku analogiczna.
Dobry przykład z Danii
W odpowiedzi na te głosy przedstawicielka Danii wskazała, że jej państwo w okresie wdrażania RODO opracowywało strategię bezpieczeństwa. W ramach przyjętej strategii uznano, że podmioty prywatne będą zgłaszać różne naruszenia bezpieczeństwa, także te ewentualnie skutkujące naruszeniom danych osobowych w jednym miejscu. W ramach tego mechanizmu przewidziano pomoc w ustaleniu charakteru naruszenia i jego zgłoszenia. Sam system nie przechowuje danych o zgłoszonych naruszeniach stanowi jedynie bramę do komunikacji oraz miejsce wsparcia. Cały czas w oparciu o doświadczania jest udoskonalany.
Przedstawcie ENISY (Agencji UE odpowiedzialnej za obszar cyberbezpieczeństwa) z kolei wskazał, że przykład duński jest warty oceny a sama ENISA, do której zadań należy kształtowanie norm bezpieczeństwa informatycznego i cyberbezpieczeństwa chce na podstawie udzielonego jej mandatu opracować mechanizm oceny naruszeń właśnie po to, aby pomógł podmiotom w ich kwalifikacji I przypisania do poszczególnych organów nadzoru. Duńska strona zawierająca pojedynczy punkt naruszeń dostępna jest tutaj:
https://virk.dk/myndigheder/stat/ERST/selvbetjening/Indberetning_af_brud_paa_sikkerhed/
W trakcie dyskusji zaproponowano jak najszybsze wydawanie wspólnych wytycznych w tym zakresie oraz budowanie takich rozwiązań organizacyjnych które będą ułatwiały organom zgłaszanie naruszeń. Jest to istotne po to, aby z jednej strony nie dochodziło do nakładania się działań i kompetencji, a z drugiej strony, aby podmioty nie miały obaw przez zgłaszaniem naruszeń bezpieczeństwa w obawie o konsekwencje, w przypadku innej oceny charakteru naruszenia. Zgłaszanie naruszeń bezpieczeństwa w tym naruszeń ochrony danych osobowych jest ważne dla skutecznego systemy ochrony danych osobowych, usuwania potencjalnych luk w bezpieczeństwa całych sektorów oraz podnoszenia poziomu bezpieczeństwa.
Sylwester Szczepaniak
Autor