Rozmowa z prof. Pawłem Fajgielskim, kierownikiem Katedry Prawa Technologii Informacyjnych na Wydziale Prawa Katolickiego Uniwersytetu Lubelskiego

Krzysztof Sobczak: Minęły już trzy miesiące stosowania nowego unijnego i krajowego prawa o ochronie danych osobowych. Czy można już oceniać, jak ono sprawdza się w praktyce?

Paweł Fajgielski: Można już dokonywać pierwszych ocen. Na pewne nowe przepisy sprawiły, że wiele podmiotów przykłada znacznie większą wagę do ochrony danych osobowych, starając się sprostać wymogom określonym przez prawodawcę. W okresie ostatnich kilku miesięcy można zaobserwować wzmożoną aktywność administratorów i podmiotów przetwarzających w zakresie realizacji obowiązków związanych z ochroną danych, w szczególności obowiązku informacyjnego.

Warto jednak podkreślić, że prawodawca przeprowadzając reformę ochrony danych nie dokonał rewolucji, a przyjął podejście ewolucyjne, opierające się na dotychczasowych konstrukcjach prawnych, które zostały zmodyfikowane, wprowadził jedynie kilka nowych rozwiązań - m.in. obowiązek zgłaszania naruszeń organowi nadzorczemu czy administracyjne kary pieniężne. Podstawowym celem przeprowadzonej reformy było zwiększenie skuteczności ochrony danych. Dziś jest zbyt wcześnie, by ocenić, czy taki cel zostanie osiągnięty, jednak wyraźnie widoczne jest zwiększenie aktywności w zakresie ochrony danych.

W praktyce jednak stosowanie nowych przepisów sprawia wielu podmiotom trudności, które wynikają niekiedy z niewiedzy (nieznajomości przepisów), błędnego odczytywania norm w tych przepisach zawartych (np. uznawania, że każde naruszenie przepisów o ochronie danych wymaga zgłoszenia tego faktu organowi nadzorczemu), czy też swoistej nadgorliwości, na przykład uznawania, że zgoda jest najlepszą podstawą dopuszczalności przetwarzania danych i warto ją - niejako "na zapas" uzyskać.

Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz

Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz >>

 

Jakie problemy pojawiają się najczęściej, na co skarżą się firmy i ludzie, może wychodzą już jakieś niedoróbki?

Jednym z typowych problemów, jakie można zauważyć w praktyce stosowania nowych przepisów jest powoływanie się na unijne rozporządzenie 2016/679 (słynne już "RODO") jako na przeszkodę w przetwarzaniu danych, w sytuacji, gdy podstawy dopuszczalności przetwarzania danych w swej istocie pozostały niezmienne, a przetwarzanie danych jest z punktu widzenia prawnego dopuszczalne - np. w obszarze przetwarzania danych dotyczących dzieci uczących się w szkole - zakaz podpisywania zeszytów.

Przedsiębiorcy skarżą się m.in. na uciążliwość obowiązku informacyjnego i innych obowiązków wynikających z przepisów o ochronie danych osobowych. Warto jednak podkreślić, że wymóg informowania osób, których dane są przetwarzane istnieje od ponad 20 lat, natomiast przepisy przewidujące ten obowiązek były nagminnie lekceważone. Wprowadzenie realnego zagrożenia sankcjami w postaci administracyjnych kar pieniężnych sprawiło, że wielu przedsiębiorców stara się ten obowiązek spełnić.

Pomocą w wypełnieniu obowiązków służyć mają inspektorzy ochrony danych, jednak jest stosunkowo mało osób mających merytoryczne przygotowanie do pełnienia tej funkcji. Nadal brakuje również przepisów sektorowych, które będą uwzględniały specyfikę przetwarzania danych w różnych dziedzinach działalności. Prace nad tymi przepisami wciąż nie zostały zakończone.

Reforma ochrony danych wpłynęła także na wzrost świadomości społecznej co do wagi ochrony danych osobowych i uprawnień przysługujących osobom, których dane dotyczą, co obserwować można m.in. na podstawie wzrostu liczby skarg kierowanych do Prezesa Urzędu Ochrony Danych Osobowych.

Czy uzasadniony jest pogląd, że pewne "wzmożenie", które można było obserwować z przygotowaniami do wejścia RODO w życie doprowadziło do przesady w stosowaniu tych przepisów. Słyszymy o różnych zmianach i wymogach, które wcale nie wynikają z tej regulacji, a ministerstwo cyfryzacji utworzyło zespół, który ma tropić takie "nadgorliwości". Czy też pan to widzi?

Wydaje mi się, że jedną z głównych przyczyn nadinterpretacji przepisów o ochronie danych osobowych jest obawa przed odpowiedzialnością, gdyż w rozporządzeniu 2016/679 przewidziane została możliwość nałożenia w trybie administracyjnym przez organ nadzorczy wysokich kar pieniężnych na podmioty naruszające przepisy. Osoby, które nie wiedzą jak powinny się zachować, postępują niekiedy asekurancko, co może prowadzić do absurdów. W moim przekonaniu należy walczyć z tego rodzaju praktykami przede wszystkim poprzez działania informacyjne i edukacyjne, a zasadniczą rolę na tym polu aktywności powinien odgrywać organ nadzorczy - Prezes Urzędu Ochrony Danych Osobowych.