Jolanta Ojczyk: Skąd w projekcie ustawy o ochronie danych osobowych takie duże wyłączenia dla administracji? Eksperci alarmują, że to może zagrażać naszej prywatności.

Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji: Po pierwsze projekt przepisów w tym zakresie tworzony był w ramach roboczego zespołu w którego skład wchodzili przedstawiciele ministerstw: cyfryzacji, spraw zagranicznych, Rządowego Centrum Legislacji i Generalnego Inspektora Ochrony Danych Osobowych. Trzeba jednak wskazać, że nie ma innego obszaru, w którym dane osobowe byłyby gromadzone w zakresie większym niż w sektorze publicznym. Art.13 ust. 3 RODO przesądza, że jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę której dane przetwarza o tym innym celu. Proszę sobie więc wyobrazić sytuację, w której do bazy PESEL dostęp uzyskuje organ administracji publicznej celem realizacji nowego, nałożonego na niego obowiązku. Powstaje nowy cel i obowiązek poinformowania dziesiątek milionów osób. Jest to technicznie i organizacyjnie w zasadzie nie możliwe. Takim przypadkom dedykowane były właśnie ograniczenia. Zresztą uznanie dopuszczalności ograniczenia w przepisach krajowych obowiązku informacyjnego w przypadku, gdy dane przekazywane są pomiędzy organami publicznymi jest naturalną konsekwencją wyroku TSUE w sprawie Bara C-201/14. W wyroku Trybunał wypowiadał się w sprawie rumuńskiej administracji publicznej, która również nie informowała osób których dane dotyczą o zmianie celu. Trybunał nie znalazł wtedy w prawie krajowym przesłanki wyłączającej taki obowiązek, ale nie zakwestionował w żadnym zakresie możliwości jej wprowadzenia. No i najważniejsze, proszę zobaczyć  w jak ogromną ilość warunków które muszą być spełnione zaopatrzony jest przepis o który Pani pyta, ograniczający zastosowanie RODO. 

Dlaczego nie będzie wyłączeń dla małych firm?

Rzeczywiście wskutek uwagi Ministra Przedsiębiorczości i Technologii, taki przepis został wprowadzony do projektu na etapie prac rządowych. Przepis konsultowaliśmy również z Komisją Europejską i finalną decyzją w ramach podejmowanych prac rządowych było odstąpienie od wprowadzenia takiej regulacji.

Czy będą jakieś firmy, ktore nie muszą się martwić RODO?

Te, które nie przetwarzają w ogóle danych osobowych. W praktyce jednak takich nie ma. Zarówno RODO jak i nasza ustawa będzie znajdowała więc zastosowanie praktycznie do wszystkich podmiotów. Oczywistym jest, że zakres obowiązków będzie różny w zależności od wielkości przedsiębiorcy, od tego czy przetwarza dużo czy mało danych osobowych. Niemniej podkreślić trzeba jedno, nie znam przedsiębiorcy (a jeżeli tacy są, to garstka) który dzisiaj nie przetwarza żadnych danych osobowych. Nawet zegarmistrz czy szewc umawiając się na odbiór nareperowanych przedmiotów odbiera od klientów ich dane kontaktowe, często je ewidencjonuje. Czasami wystawia faktury. To są wszystko dane osobowe. Ale musimy pamiętać, że gro obowiązków przewidzianych w RODO istnieje w Polsce już od ponad 20 lat.

RODO to dla firm tylko obowiązki, czy również korzyści?

Oczywiście, że również korzyści. Rozwiązaniem probiznesowym są bez wątpienia kodeksy branżowe. Branża sama będzie w nich mogła doprecyzować sobie sposoby zabezpieczania danych w danym sektorze. Kto potrafi zrobić to lepiej, niż podmioty działające w danej branży i znające ją od „podszewki”. Firmy zdecydowanie skorzystają też na certyfikacji. W projekcie rząd przewiduje dwa mechanizmy certyfikacji: przez Prezesa Urzędu Ochrony Danych Osobowych oraz przez akredytowanych przedsiębiorców. Posiadanie certyfikatu będzie oznaczało, że firma przetwarza dane osobowe zgodnie z wymogami RODO. 

Którą ścieżkę certyfikacji wybiorą firmy?

Sam się nad tym od dłuższego czasu zastanawiam. Mnie wydaje mi się, że biznesową, bo certyfikacja prezesa Urzędu Ochrony Danych Osobowych może się wiązać z ryzykiem. Niemniej, certyfikat Prezesa Urzędu będzie na pewno dużo bardziej prestiżowy.

O jakim ryzyku Pan mówi?

Jeśli w toku czynności sprawdzających, organ wykryje jakieś naruszenie, wiąże się to z ryzykiem wszczęcia postępowania. Niemniej może się okazać, że to problem tylko teoretyczny. Podmiot który przystępuje do certyfikacji powinien być bowiem świadom konieczności ochrony danych i tego na jakim poziomie on chroni swoje zasoby informacji.   

Która ścieżka będzie tańsza: urzędowa czy biznesowa?

Trudno w tym momencie powiedzieć. Projekt ustawy nie reguluje zasad odpłatności dla ścieżki biznesowej, np. nie wprowadza maksymalnej stawki.  Tu zadziałają prawa rynku. Z kolei certyfikacja urzędowa będzie się wiązała z opłatą w maksymalnej wysokości czterokrotności przeciętnego wynagrodzenia, obecnie to ok. 16 tys. zł. Prezes będzie mógł więc ustalić niższą. Jej wysokość ma odpowiadać przewidywanym kosztom poniesionym z tytułu certyfikacji. Pod uwagę ma być brany zakres prac, długość postępowania oraz koszt pracy pracownika.

Widzi Pan jeszcze jakieś korzyści dla firm?

Sam fakt wdrożenia RODO wyróżnia dany podmiot jako dochowujący staranności w ochronie gromadzonych danych, czyniąc go bardziej konkurencyjnym. Zdecydowanie probiznesowym rozwiązaniem jest też obowiązywanie jednego, niemal identycznego systemu ochrony danych osobowych w całej Unii Europejskiej. Internet nie ma przecież granic, a to z jego wykorzystaniem firmy coraz częściej gromadzą dane. Coraz więcej podmiotów gospodarczych działa również w formie sieci zlokalizowanych w kilku krajach. Probiznesowym rozwiązaniem jest również wprowadzenie do przepisów krajowych skracających czas trwania postępowań w sprawie naruszenia zasad ochrony danych osobowych oraz zwiększenie ilości środków prawnych, które będzie mógł wydawać Prezes Urzędu. Naruszenia będą mogły skończyć się nie tylko decyzją zawierającą karę finansową, ale również ostrzeżeniem oraz upomnieniem. Sama reforma na pewno wpłynęła też na wyodrębnienie się lub wzmocnienie nowej grupy zawodowej osób specjalizujących się w ochronie danych osobowych. Na pewno stymuluje również rozwój usług prawniczych. Pozytywne skutki reformy mógłbym więc tak wyliczać i wyliczać. Najważniejszym jest jednak to, że o ochronie danych osobowych po raz pierwszy od ćwierć wieku tak dużo się mówi.

Na pewno pojawiło się bardzo dużo ofert szkoleń, bez których firmom grożą wysokie kary.

Rzeczywiście prawnicy ale nie tylko oni straszą karami. Uważamy to w wielu przypadkach za nieetyczne, bo reforma nie jest o karach. Inną sytuacją jest, gdy prawnik informuje swojego klienta o ryzykach związanych z niedostosowaniem się do nowych zasad ochrony danych mówiąc m.in. o karach, a  inną, gdy aby przyciągnąć klientów dany podmiot nazywa szkolenie np. „Zbrodnia i Kara w ochronie danych osobowych”. Poza karami RODO wprowadza ostrzeżenia, upomnienia, możliwość wydania decyzji bez kary oraz dużo okoliczności, które organ musi wziąć pod uwagę ustalając wysokość kary. Dopiero gdzieś na końcu jest ta  kara.

Czy jednak firmy bez prawników poradzą sobie z przygotowaniem do RODO?

Duża firma pewnie nie poradzi sobie bez prawnika a czasami też bez informatyka i analityka. Natomiast małe przedsiębiorstwa, tak. Ale nic nie zwalnia nas przed lekturą RODO.

GIODO parę dni temu udostępnił dokument wskazujący na propozycję sytuacji, kiedy trzeba przeprowadzić ocenę skutków dla ochrony danych.

Tak. Bardzo dobry dokument. GIODO wypowiada się w nim m.in. o przetwarzaniu danych biometrycznych, o pozyskiwaniu zgody pracowników na przetwarzanie ich danych. Zdecydowanie warto brać udział w konsultacjach społecznych dokumentu.

Firmy tak naprawdę obawiają się jednak konsekwencji wycieku danych. Mają czego się bać? Na co będą zwracać uwagę organy, wymierzając karę.

Jeśli dojdzie do wycieku, to niezależnie od wielkości, firma będzie musiała o nim poinformować swoich klientów, a także organ nadzoru w ciągu 72 godzin od wykrycia naruszenia. Jeśli tego nie zrobi, to będzie to dodatkowe naruszenie RODO.  Dlatego bardziej opłaca się informować.

Jak RODO wpłynie na wymiar sprawiedliwości, czy sądy też powinny się dostosować?

Wymiar sprawiedliwości w zakresie w jakim dane przetwarzane są przez niego w związku ze sprawowaniem wymiaru sprawiedliwości, podlega szczególnej regulacji. Prezes Urzędu Ochrony Danych Osobowych nie będzie mógł (co wynika wprost z RODO) sprawować nadzoru nad tak przetwarzanymi danymi. Projektowana teraz ustawa wprowadzająca ustawę o ochronie danych osobowych (ustawa będzie miała nazwę: ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679), będzie zawierała więc odrębny mechanizm nadzoru. Ale sądy to też np. pracodawcy i usługodawcy. Zatrudniają pracowników w tym administracyjnych oraz korzystają z różnych usług np. firm sprzątających. Dane przetwarzane w tym zakresie będą podlegały pełnemu nadzorowi.