W piątek w Ministerstwie Cyfryzacji odbywał się dzień otwarty, podczas którego obywatele i przedsiębiorcy mogą dowiedzieć się "z pewnego źródła", czym jest Rozporządzenie o Ochronie Danych Osobowych i z czym się wiąże. Informacji udzielał m.in. Maciej Kawecki.
"Dziś mamy ogólnopolską lekcję ochrony danych osobowych" - powiedział Kawecki pytany o ocenę przygotowania firm do wchodzących w piątek w życie regulacji. Zapewnił, że ktoś, kto jeszcze nie dostosował się do wymogów RODO nie będzie musiał zamknąć biznesu. Zapowiedział jednocześnie przygotowanie zmian w prawie, ułatwiających wykonywanie RODO przedsiębiorcom.
"Szukamy rozwiązań, rozważamy wprowadzenie zmian ułatwiających stosowanie RODO firmom. Obserwujemy co się dzieje, z czym jest największy problem i czego dotyczą wątpliwości. Potem będziemy przygotowywali przepisy trochę ułatwiające (wykonanie obowiązków - PAP)" - mówił Kawecki.
Wyjaśnił, że zdecydowana większość pytających o RODO podczas "dnia otwartego" to właśnie przedsiębiorcy. "Zaskakuje mnie bardzo dobra znajomość przepisów RODO, choć rozumiem, że fakt przyjścia do ministerstwa na dzień otwarty jest wyrazem pewnej świadomości. Odwiedzili nas ludzie, którzy w organizacjach zajmują się taką tematyka. Byli też przechodnie, którzy zainteresowali się tą problematyką. Zadawali bardzo proste pytania, np. co to są dane osobowe" - powiedział.
Dyrektor w MC podał przykład kwiaciarki z Hali Mirowskiej, zatrudniającej dwie osoby, która chciała wiedzieć, czy ją także obejmie RODO. "Obejmie. Jeżeli zatrudnia dwie osoby, wystawia faktury, współpracuje z kontrahentami, zamawia kwiaty - wszędzie tam są przecież dane osobowe" - wyjaśnił.
Zgodnie z przepisami, taka kwiaciarka jest administratorem posiadanych danych osobowych, ponosi pełną odpowiedzialność np. za dane swoich pracowników, współpracowników. Jeżeli prowadzi też kwiaciarnię on-line, odpowiada także za dane klientów pobierane m.in. na potrzeby rejestracji konta, adresu, dostawy itp.
RODO wiąże się przede wszystkim z obowiązkami informacyjnymi wobec wszystkich wymienionych osób. Przedsiębiorca, w tym wypadku kwiaciarka, musi poinformować, że jest administratorem ich danych, poinformować o celu ich przetwarzania, o przysługujących na podstawie RODO prawach. Wynika to z art. 13 RODO.
"Każdy przedsiębiorca musi sam stworzyć sobie klauzulę na podstawie art. 13 i dostosować ją do swojej rzeczywistości. Ministerstwo cyfryzacji korzysta z takich klauzul, na swojej stronie internetowej mamy klauzule dostosowane do treści wynikającej z RODO. Można ją ściągnąć, pozmieniać, dopasować do swojej wewnętrznej organizacji. Ale nie można jej potraktować, jako szablonu, bo każdy ma inny cel przetwarzania danych" - zastrzegł Kawecki.
Dodał, że każdy przedsiębiorca musi też odpowiedzieć sobie na pytanie o podstawę prawną przetwarzania danych - czy jest nią zgoda, umowa, czy też obowiązek wynikający z przepisów prawnych.
Poza tym należy zastanowić się, czy przetwarzane dane przekazywane są podwykonawcom. "Jeżeli przedsiębiorca przekazuje je swoim podwykonawcom, na przykład korzysta z usług outsourcingu serwera itp., musi zawrzeć umowę powierzenia przetwarzania danych osobowych" - poinformował. Dodał, że wzoru takiej umowy nie ma, ale jej treść jest przewidziana w art. 28 RODO.
"Ponadto każdy przedsiębiorca musi wiedzieć, że RODO przyznaje dużą liczbę nowych uprawnień osobom" - dodał Kawecki.
Według niego największy problem sygnalizowany przez firmy - w kontekście RODO - wiąże się z nowymi obowiązkami informacyjnymi. "Jak je realizować, czy to jest możliwe, jeżeli kontaktujemy się z kimś tylko telefonicznie, jak odczytać długą klauzulę - z tym mamy największe problemy. Generalnie to bardzo skomplikowana materia" - przyznał dyrektor w MC.
Wcześniej minister cyfryzacji Marek Zagórski informował na spotkaniu z dziennikarzami, że w piątek weszły w życie dwa akty prawne: ustawa o ochronie danych osobowych i rozporządzenie o ochronie danych osobowych. "Zmienia się ten aspekt naszego życia (...), ale też nie mamy jakiegoś kataklizmu. To są oczywiście dla obywateli uprawnienia, to jest większa ochrona, dla przedsiębiorców większe obowiązki. Zarówno w jednym, jak i w drugim przypadku należy zachować zdrowy rozsądek i o to też apelujemy" - powiedział minister.
Zagórski dodał, że zmiana wprowadza dla obywateli przede wszystkim prawo do bycia informowanym o tym, co się dzieje z jego danymi; prawo do ich skorygowania, prawo do informacji o celu ich przetwarzania, prawo do informacji o okresie, na jaki są zbierane.
"Najbardziej rozpowszechniane uprawnienie to prawo do +bycia zapomnianym+, czyli możliwość zażądania usunięcia naszych danych, oczywiście pod pewnymi warunkami" - podkreślił szef MC.
Zagórski zwrócił uwagę, że korzyści dla jednej strony oznaczają obowiązki dla drugiej, w tym wypadku przedsiębiorców. Wyjaśnił, że w pierwszej fazie są to obowiązki głównie informacyjne związane z ochroną danych, pilnowaniem tych danych, ze świadomością, że dane, które firmy pozyskują od klientów, są ważne. Minister zaznaczył, że przedsiębiorcy nie powinni obawiać się wysokich kar. Podkreślił, że "kary są ostatecznością".