Puls Biznesu: Czy mieszkańcy powinni dziś martwić się o dane osobowe, które zostawiają w urzędach?
Maciej Kawecki: Zdecydowanie nie, mogą czuć się bezpiecznie – stosowane na różnych szczeblach administracji publicznej systemy informatyczne zabezpieczające dane osobowe są dziś zgodne z dzisiejszą literą prawa, a to oznacza, że zapewniają należytą ochronę. Ewentualne problemy związane z administrowaniem danymi wskazałbym gdzie indziej – na pewno jest to kwestia związanych z tym finansów. Systemy zabezpieczające dane osobowe generują koszty. Inny problem to mechanizmy działania administracji publicznej, np. niewystarczająco szybkie reagowanie na wnioski o udostępnienie danych osobowych, co powoduje że są one przetwarzanie niezgodnie ze standardami jakich mógłby oczekiwać mieszkaniec.
JST, tak jak wcześniej firmy, narzekają, że planowane przepisy dotyczące danych osobowych (m.in. rozporządzenie RODO, które za 10 miesięcyzacznie obowiązywać wszystkie podmioty administrujące danymi osobowymi na terenie UE), nie będą zawierać konkretnych wymogów technicznych związanych z systemami, o których Pan wspomniał. Tymczasem ochrona danych osobowych, poza wprowadzeniem i przestrzeganiem należytych procedur, sprowadza się głównie do zainstalowania szyfrujących je programów komputerowych.
W kontekście unijnego rozporządzenia RODO i projektowanej przez resort cyfryzacji nowej ustawy o ochronie danych osobowych (oba te dokumenty są ściśle ze sobą związane), ważne jest przede wszystkim nowe podejście do przetwarzania i ochrony danych osobowych. Owszem, firmy i gminy narzekają na brak technicznych wymagań w przyszłych przepisach, ale z tym po prostu trzeba się zmierzyć I przedsiębiorcy, i sektor publiczny muszą zmienić nastawienie – przyzwyczailiśmy się do podchodzenia do wszystkich zagadnień na zasadzie odhaczania gotowej, z góry narzuconej checklisty. Tego nie będzie w nowym prawie – administracja publiczna nie dostanie już przepisu, który będzie zawierał katalog gotowych rozwiązań. Unijne rozporządzenie jest aktem inteligentnym – specjalnie jest skonstruowane tak, aby prawo nie musiało gonić nowych technologii. Zresztą nigdy by nie dogoniło. W przyszłości administratorzy bezpieczeństwa informacji będą sami musieli szukać rozwiązań technologicznych zgodnych z duchem zmieniającego się czasu, a w mojej ocenie kluczem są te trzy słowa: systemy stabilne technologicznie, powszechnie dostępne i uznane za skuteczne...... To jest clue sprawy. Dzisiaj mamy do czynienia z sytuacją, kiedy w obowiązujące rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych jest niewystarczające, bo technologie się zmieniły.
Jak w takim razie samorządy mają się przygotowywać na nowe przepisy? Czy powinny już teraz zacząć działać?
Administracja publiczna już teraz powinna kłaść nacisk przede wszystkim na doszkalanie się – w tych zasobach, w których obecnie działa. Podejmowanie działań edukacyjnych i ciągłe zwiększanie kompetencji administratorów bezpieczeństwa informacji jest sednem RODO i nowej krajowej ustawy, nad którą pracujemy – a one będą regulować całość zagadnień związanych z ochroną i przetwarzaniem danych osobowych w Polsce. Obecne przepisy w znacznej części przypadków nie zapewniają zgodności z unijnym prawem i będą zmodyfikowane. To, na co należy zwrócić uwagę, to fakt, że 75 proc. nowych regulacji znajduje się w rozporządzeniu unijnym, które będzie stosowane bezpośrednio, a jest ono znane już od 2016 roku. Błędem jest czekanie z działaniem na ogłoszenie ustawy, bowiem przepisy krajowe, nad którymi jeszcze pracujemy, to tylko 25 proc. regulacji, które wejdą w życie w maju 2018 roku. Niemniej, projekt ustawy o ochronie danych osobowych zostanie ogłoszony latem. W przyszłości przewidujemy też delegacje dla ministrów do wydawania bardziej szczegółowych rozporządzeń, np. związanych z przepisami biometrycznymi.
Oczywiście trzeba też mieć świadomość, że wdrożenie nowych przepisów wiąże się z kosztami. Określamy je na etapie przeprowadzania analizy skutków projektowanej ustawy. Ministerstwo prowadzi już działania edukacyjne, niewykluczone że w przyszłości ruszą kampanie promocyjne. Mamy jeszcze czas. 10 miesięcy to i dużo i mało ale liczę, że wystarczy, aby każdy zdążył się przygotować do nowych realiów w przepisach na temat przetwarzania i ochrony danych osobowych.
