W dniu 20.02.2020 r. w Sali Odczytowej Narodowego Instytut Kultury i Dziedzictwa Wsi w Warszawie miało miejsce kolejne wydarzenie zorganizowane przez Członków Stowarzyszenia Inspektorów Ochrony Danych Osobowych w Polsce.

KONFERENCJA SIODO pod głównym tytułem >RODO ~ ” TWORY ”< miała wymiar prezentacji zróżnicowanych doświadczeń inspektorów ochrony danych osobowych w praktyce wprowadzania unijnej regulacji. Wystąpienia prelegentów oscylowały wokół ważnej tezy Karla R. Poppera:

„Należy być krytycznym w stosunku do teorii, którymi zachwycamy się najbardziej”

Celem KONFERENCJI było przedstawienie publicznie dostępnych przykładów interpretacji, nadinterpretacji, wybiórczego stosowania, opacznego wypełnienia obowiązków, zadań i działań administratorów oraz inspektorów w świetle RODO i przepisów prawa ochrony danych osobowych w Polsce. Empiryczne zestawienie przypadków opatrzone przemyślanym komentarzem jako swoistego źródła „rodotwórczości” prezentowano także na gruncie powszechnych publikacji i przekazów medialnych.

Pani dr Ewa Kulesza – Pierwszy Generalny IODO wystąpieniem inicjującym na temat „O RODO” wygłosiła podstawowe przesłanie filozofii i idei ochrony prywatności w oparciu o międzynarodowe Konwencje, Dyrektywy i polską Ustawę o ochronie danych osobowych wraz z dorobkiem jaki został wypracowany przez GIODO od 1997 r. Nie można kojarzyć prawa do prywatności osób wyłącznie od daty 25 maja 2018r. jako nadzwyczajnego odkrycia i zupełnie nowej dziedziny prawa.

W nurcie motta wydarzenia wykazała istotność chłodnego spojrzenia na nowe przepisy prawa, szczególnie podkreślając aspekt uświadamiania relacji zachodzących pomiędzy osobą, której dane dotyczą, a podmiotami publicznymi i przedsiębiorstwami gromadzącymi dane.

Ważnym przesłaniem wystąpienia było podkreślenie przywiązywania dużej wagi do używanych w RODO nowych pojęć, terminów i ich znaczenia w zakresie odpowiedniego stosowania.

W podsumowaniu podkreśliła nadmiarowość wykonywania czynności np. informacyjnych, oczywistych z racji uprawnień administratorów [publicznych], a także skłonność podmiotów do nadużywania instrumentów tzw. „powierzania” danych swoim podwładnym?! w ramach prac recenzenckich.

Dobitnym podkreśleniem potrzeby publicznej debaty o cywilizowaniu podejścia do RODO była znana z historii fraza:

„RODO TAK – WYPACZENIA NIE!”


W kolejnym wystąpieniu będącym symulacją kontaktu obywatela z podmiotami publicznymi, do których aspirował w roli petenta, Pan Robert Wodejko w żywo prowadzonej prezentacji na temat „O RODO Obywatel” – przedstawił wątpliwości związane z gwarancjami ochrony Jego danych osobowych na konkretnych przykładach.

Pierwszy dotyczył możliwości załatwienia sprawy w jednostce publicznej, gdzie potwierdzenie zgody warunkowano wielokrotnie w … jednej sprawie. Przykład drugi wskazywał na nieracjonalność potrzeby uzyskiwania zgody w jednostce resortu sprawiedliwości, a trzeci przypadek to wątpliwości obywatela / podatnika co do jakości wykonywanego „iodonadzoru” przez osobę „realizującą” zadania inspektorskie od północy na południe Polski i ze wschodu na zachód kraju. Wyraził także życzenie, aby inspektorzy posiadali minimalne samoograniczenie ilości wykonywania zadań, zaś administratorzy zwracali uwagę na racjonalność i gospodarność dysponowania środkami publicznymi dedykowanymi na rzecz bezpieczeństwa danych.

Pan Grzegorz Abgarowicz w prezentacji „O RODO W KORPO” naszkicował znaczenie wielkości organizacji, jej niejednokrotnie bardzo złożoną strukturę, zadania i zaangażowanie wielu poziomów zarządzania w dążeniu do uzyskania pożądanych efektów wprowadzania RODO. Silny akcent położył w trakcie prelekcji na konieczną wiedzę i świadomość zespołów decyzyjnych, niestety zbyt często powierzchowną lub ograniczoną do podjęcia decyzji – PROSZĘ NAM WPROWADZIĆ RODO, zapłacimy.

Tak pojmowane przez Zarządy korporacji obowiązki ustawowe, w zasadzie można uznać za porażkę. Podkreślił znaczenie zaangażowania wielu poziomów i działów organizacyjnych w działaniach wspólnych, zintegrowanych, koordynowanych i wspieranych fachowcami. Zaznaczył wartość jaką jest systematyka działań procesowych w dobrze znanym modelu PDCA.

Nie podzielał w trakcie prezentacji entuzjazmu wielu administratorów, skojarzeniem IODO wprowadza i odpowiada za wszystko czym jest RODO, a także że technologiczne nowości są TYLKO narzędziem, a nie rozwiązaniem problemów ochrony danych i prywatności w Korporacji.

Pan Andrzej Szczecina w swoim wystąpieniu „O RODO w SĄDACH” – przedstawił problematykę >prawnie uzasadnionego interesu STRONY TRZECIEJ< w konstrukcji i działaniach sądów powszechnych. Dokonał bardzo sprawnego zdefiniowania pojęć:

  • prawnie uzasadnionych interesów strony trzeciej
  • oraz interesów lub podstawowych praw i wolności osoby, której dane dotyczą

Zdefiniował i omówił znaczenie strony trzeciej, określając kryteria legalności przetwarzania danych w tym aspekcie, podkreślił znaczenie minimalizacji danych i wraz z zasadą celowości ich przetwarzania.

Wszystkie zasady zostały zilustrowane przykładami z komentarzem, a w końcowej części wystąpienia wnioskami i podsumowaniem.

Pan Jakub Styczyński redaktor Dziennika Gazety Prawnej omówił temat „O RODO w PRASIE” – w swobodnej formie przedstawił podział publikacji prasowych na temat RODO w okresie poprzedzającym wejście w życie regulacji, a także po znaczącej dacie 25 maja 2018 r.  Pierwotne publikacje generalnie podnosiły temat jako RODO to problem, dla firm, instytucji a także każdego klienta. Liczne przykłady publikacji z odpowiednim komentarzem prowadzącego ukazały zbyt pochopne podnoszenie „rodoalarmu”, a w szczególności nader CZĘSTO powtarzające się epatowanie i podgrzewanie atmosfery nieuchronnych KAR FINANSOWYCH, jako jedynego ważnego przesłania RODO. Działania te wywołały niejednokrotnie panikę administratorów, a w skrajnych przypadkach „RODO~ histerię” – co znacząco podkreślił prelegent.

Działania te sprzyjały niekorzystnym zjawiskom, jakim stały się dość powszechnie występujące „RODOabsurdy”, co trafnie zilustrowały slajdy prelegenta. Istotniejszym jednak elementem bezpieczeństwa danych w ocenie prowadzącego wykład, była wyrażona głęboka nadzieja na potrzebę „RODOEDUKACJI”, systematycznej, długotrwałej i elementarnej – w szczególnej sytuacji jaką jest opublikowana prze UE „Biała księga w sprawie sztucznej inteligencji: europejskie podejście do doskonałości i zaufania
z dnia 19 lutego 2020 r.”

Pan Jarosław Feliński w prezentowanym temacie „O RODO w OŚWIACIE i KULTURZE” – wskazał na utylitaryzm pojęcia oświata i kultura, jako ważnego składnika wprowadzania RODO.  Pojęcie oświaty [upowszechnianie wiedzy i kultury] i kultury [dorobek materialny i umysłowy poziom społeczeństwa] zostało zaprezentowane w spójności z ideą ochrony prywatności jako wartości wyższej, uniwersalnej i gwarancji poszanowania praw podstawowych jednostki. Na przykładzie związanym z oświatą zaprezentował studium przypadku w odniesieniu do pojęcia administratora w publikacji:

  • Newslettera [2019] – w którym podano informację, iż Rada Rodziców w szkole nie jest administratorem,

a

  • decyzją GIODO z 2008 r, w której Generalny IODO, ocenił jednoznacznie – […] „Radę Rodziców należy uznać za administratora danych osobowych” […]

dualizm ten w działaniach administratorów oraz w kontaktach z rodzicami i Radą Rodziców budzi niejednoznaczność interpretacji,
a niepewność z tytułu odpowiedzialności za gromadzone przez Radę /a nie dyrektora/ dane rodziców, w postaci imienia, nazwiska, numeru rachunku bankowego a czasem adresów mail i nr telefonów.

Prelegent zacytował także treść wyroku sądu wskazujący – „[…] nazwisko (i imię) jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i wymienienie go (ujawnienie) przez inny podmiot w celu identyfikacji danej osoby nie może być zasadniczo uznane za bezprawne, o ile ze względu na okoliczności towarzyszące nie łączy się to z naruszeniem innego jej dobra, np. czci, prywatności lub godności osobistej[…]. 2. Ujawnienie przez pracodawcę imienia lub nazwiska pracownika bez jego uprzedniej zgody nie stanowi bezprawnego naruszenia dobra osobistego (imienia i nazwiska), jeżeli jest to usprawiedliwione celem działania pracodawcy, łączącym się z jego zadaniami i obowiązkami związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw i wolności pracownika.”

W ocenie prelegenta kojarzenie informacji personalnych pracownika jako podlegających ochronie w trybie RODO w przypadku np. kontaktu do prowadzenia postepowania o zamówienie publiczne jest działaniem zupełnie nieuzasadnionym. Jednakże w praktyce działań niektórych organizacji i interpretacji inspektorów doradzających jest częstą praktyką.

Podsumowaniem wystąpienia był apel o otwarcie na odważny i pogłębiony dyskurs publiczny w celu opanowania „szumu oceanu informacji, kakofonii dźwięków, fake news’ów i nadinterpretacji” przepisów RODO. [cyt. za – O. Tokarczuk 2019].

Pani Kariota Blicharska podczas prelekcji na temat „O RODO w MŚP” zdefiniowała pojęcie MŚP, a tym samym scharakteryzowała warunki działań i cele przetwarzania w zróżnicowanych działalnościach gospodarczych. Przygotowała liczne przykłady podmiotów gromadzących wielkie ilości danych w małych zespołach osób zatrudnionych, co w bezpośredni sposób wiąże takie działalności do zastosowania się do przepisów RODO w postaci wyznaczenia inspektora ODO. W praktyce jednak w ocenie prelegentki tak to nie działa. Podkreślono fakt przetwarzania danych szczególnej kategorii w systemach informatycznych w ramach działalności podmiotu, bez kojarzenia ich znaczenia i wartości.

W czasie wystąpienia odniosła się do praktyki wyboru kandydata na inspektora, w skrajnym przykładzie zaprezentowano wycinek dokumentu o wyborze najkorzystniejszej oferty za kwotę miesięcznej usługi na poziomie… 79 zł brutto.

Sala była poruszona, a w zdumienie wprawiło wszystkich zgromadzonych odesłanie umieszczone w treści informacji administratora – iż skargi można składać do …Straży Ochrony Danych Osobowych! … gdy osoba uzna iż nastąpiło naruszenie RODO. Niestety taki stan rzeczy nie buduje silnej pozycji inspektora w świadomości administratorów, a sprowadza się do traktowania inspektora jako wymysłu biurokracji UE. W tym nurcie nie pomaga tak powszechna „zgodoza”  i „klauzuloza” [nadmierności zgód i przesadnego informowania, nawet gdy administrator nie posiada jeszcze danych osobowych petenta / klienta, którą postrzega się jako nieekonomiczne marnotrawstwo papieru i stratę czasu.

Pan Piotr Pawłowski w wystąpieniu „O RODO w IT / SI/ KBI i O RODO w JST [BIP]” – przedstawił zagadnienia związane ze stosowaniem przepisów prawa ochrony danych osobowych i prywatności w ujęciu kultury bezpieczeństwa informacji. Podkreślał znaczenie kultury organizacji jako sprawnych instrumentów odpowiedniego zarządzania i tworzenia właściwej atmosfery pracy, w tym także postępowania z przetwarzaniem danych osobowych.

Wykazał potrzebę bezpośredniej współpracy inspektora i służb informatycznych na poziomie urzędu gminy, a także trudności w tym działaniu w sytuacji jednostki gminnej, gdzie obie postacie są zaangażowane w ramach usług zewnętrznych.

Dokonał omówienia raportu NIK z 2018 r o wprowadzeniu przepisów w JST, wnioski z raportu były w wielu przypadkach niepokojące z uwagi na jedynie statystyczne, a nie jakościowe podejście do przedmiotu bezpieczeństwa informacji i ochrony danych osobowych. Ciekawymi przykładami były zapytania do:

  • Rady Gminy
  • Urzędu Marszałkowskiego
  • kolejnego Urzędu Marszałkowskiego
  • oraz dwóch jednostek Straży Miejskiej

w każdym z przypadków przyjęto w odpowiedzi inną interpretację statusu administratora, zaś w przypadku jednostki Straży Miejskiej prawidłowe wskazanie administratora nastąpiło w jednostce o mniejszym obszarze działania.

Pani Daria Bartnicka przygotowała materiał na temat ”O RODO w OCHRONIE ZDROWIA i O RODO w OUTSOURCINGU” podkreślając niezwykle ważną rolę inspektora w jednostkach ochrony zdrowia. Ilość i charakter danych ma w tym przypadku szczególne znaczenie w dochowaniu zgodności obrotu danymi na każdym etapie ich gromadzenia. W sposób jednoznaczny wykazała konieczne zaangażowanie inspektora wraz z innymi funkcyjnymi przed zawarciem umowy na usługi laboratoryjne, IT, obrazowanie lub serwis urządzeń medycznych przez wykonawców usług. Zaznaczyła znaczenie symulacji potencjalnego rozporządzania danymi przez wykonawców, a także ich podwykonawców i wykazanie odpowiednich gwarancji wynikających z podstawy prawnej do uruchomienia ewentualnych roszczeń- patrz: „gwarancją nie będzie oświadczenie, które nie kształtuje obowiązków gwaranta i uprawnień kupującego”.

Prelegentka przedstawiła na przykładzie różnicę w podawaniu danych np. PESEL w sytuacjach codziennych /czasami nieuzasadnionych/, w kontrze do potrzeby uzyskania potwierdzenia tożsamości osoby zaopatrywanej w placówce ochrony zdrowia.  Obaliła mit, którym kierują się niektórzy pacjenci – nie podam numeru PESEL w rejestracji „bo RODO”, przypominając o konieczności wynikającej z potwierdzenia posiadania odpowiedniego ubezpieczenia usług leczniczych.

Wystąpienie podsumowała niezadawalającym stanem wiedzy o zasadach prowadzenia audytów i monitorowania procesów w jednostkach wykazujących posiadanie certyfikatów zgodności zarządzania jak np. 9001 lub 27001.

W ramach dyskusji analizowano prawo do prywatności a dostęp do informacji publicznej w świetle ostatnich orzeczeń sądów administracyjnych.

Podziękowania za znakomitą organizację, sprawną obsługę techniczną i audiowizualną członkom zespołu w osobach:

Beata Patoka Szurawska, Ewa Felińska, Dawid Czerw, Piotr Kitela złożył Prezes Zarządu SIODO.

W refleksji podsumowującej wystąpienia Prezes SIODO, podziękował prelegentom za przedstawione materiały i ciekawe wątki prezentowane w czasie wystąpień,  wyraźnie zaznaczył znaczenie odważnego podnoszenia kwestii braku spójności interpretacji przepisów RODO,  zachęcając do debaty publicznej zmierzającej do uporządkowania możliwości odpowiedzialnego wykonywania zadań inspektora, przestrzegał przed udokumentowanymi przykładami ocierającymi się o „patoinspektorowanie”. Zaapelował o tworzenie standardów etyki zawodu i wzrost roli inspektora nie poprzez tworzenie wyłącznie dokumentacji, tabel i ewidencji, a przede wszystkim ogniskującej się na roli doradcy, audytora i edukatora dla wszystkich zaangażowanych stron w organizacji. Angażowanie inspektora do opracowania opisu przedmiotu zamówienia i SIWZ na usługi związane z przetwarzaniem danych przez wykonawców usług. Zaprzeczenie kopiowaniu zaproszenia do założenie oferty na usługę inspektora z warunkami przekraczającymi warunki RODO – np. analityk do logistyki i komunikacji [taki przypadek odnotowano w zamówieniu publicznym – sic!].  Wszystkie te działania należy usystematyzować zaczynając od szczebla personelu obsługi Klienta po najwyższe Kierownictwo.

Zarząd

  /-/

Zapraszamy na kolejne wydarzenie:

IV KONFERENCJA SIODO
DATA WYDARZENIA
26 MAJA 2020 r.  
„AI & IoT w świetle RODO i problemów społeczeństwa informacyjnego”

Fotogaleria – PK

Skrót wystąpień – Youtube