Jolanta Ojczyk: Pojawił się pomysł, by ministerstwa mogły rozwiewać wątpliwości dotyczące stosowania RODO w poszczególnych sektorach wydając objaśnienia. To dobry pomysł?

Mirosław Sanek: Wydawanie jakichkolwiek interpretacji czy objaśnień co do stosowania ogólnego rozporządzenia o ochronie danych (RODO) przez inne instytucje niż Europejska Rada Ochrony Danych, krajowe organy nadzorcze (a więc w Polsce Urząd Ochrony Danych Osobowych) czy sądy, byłoby niezgodne z RODO.
Należy też pamiętać, że jednym z celów reformy przepisów o ochronie danych osobowych było zapewnienie spójności stosowania tych regulacji na poziomie europejskim, po to by przedsiębiorca działający w Polsce, na Węgrzech czy we Francji był tak samo traktowany. Nad tą spójnością czuwa właśnie Europejska Rada Ochrony Danych, której jako polski organ nadzorczy jesteśmy członkiem, mając jednocześnie wpływ na jej działania.

 


 

Wskazane w art. 33 ustawy – Prawo przedsiębiorców objaśnienia prawne, które mogą wydawać ministrowie oraz organy, które upoważnione są do przedkładania Radzie Ministrów projektów aktów prawnych, mają dotyczyć krajowych przepisów regulujących podejmowanie, wykonywanie lub zakończenie działalności gospodarczej. Przepisy RODO regulują zaś kwestie związane z ochroną danych osobowych, która jest jednym z naszych praw podstawowych. W Polsce jedyną instytucją uprawnioną do sprawowania nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych jest Urząd Ochrony Danych Osobowych (UODO), którego decyzje mogą być kwestionowane wyłącznie przez sądy.

Firmy chciałyby postępować zgodnie z RODO, ale nie zawsze mają pewność, czy dobrze robią. Potrzebują więc wskazówek.

I takie wskazówki dostają. Po pierwsze w formie Wytycznych Europejskiej Rady Ochrony Danych (wcześniej Grupy Roboczej Art. 29), co m.in. zapewnia ową spójność przepisów związanych z ochrona danych osobowych na poziomie UE. Po drugie, wskazówki takie przygotowuje UODO, m.in. w formie różnych poradników. Wsparciem dla przedsiębiorców mogą być też uprzednie konsultacje z organem nadzorczym, o których mowa w RODO, a które znajdują zastosowanie w sytuacji wystąpienia u administratora wysokiego ryzyka naruszenia ochrony danych, którego sam nie jest w stanie zminimalizować. No i wreszcie kodeksy postępowania opracowywane przez zainteresowane środowiska i zatwierdzane przez UODO. To mechanizmy i instrumenty przewidziane przez RODO.

Objaśnienia dotyczące stosowania RODO wydawane przez inne organy to nieporozumienie. Nie dawałyby przedsiębiorcom żadnej pewności, a jedynie mogłyby wywołać chaos informacyjny. Dla UODO nie miałyby wiążącego charakteru, a przedsiębiorcy nie mogłyby chronić przed sankcjami, w tym karami finansowymi ze strony Urzędu. UODO będzie podejmował decyzje na podstawie obowiązujących przepisów, zgodnie z ich interpretacją wypracowaną przez Urząd, który za nią bierze odpowiedzialność i której poprawność może być zweryfikowana w trybie określonym przepisami prawa.

 

 

Zagraniczne odpowiedniki Urzędu Ochrony Danych Osobowych publikują jednak takie wyjaśnienia, np. brytyjski ICO. Pana zdaniem takie objaśnienia to zły pomysł?

Tak jak wspomniałem, my też wydajemy takie wskazówki. Zapotrzebowanie na takie dokumenty jest spowodowane potrzebą zagwarantowania pewności tego, że działa się zgodnie z prawem. Ja to z jednej strony rozumiem, ale należy też pamiętać o naczelnych wynikających z RODO zasadach i mechanizmach. Ten akt prawny zapewnia administratorom, a wiec także przedsiębiorcom, dużą elastyczność działania. Wymaga od nich jednak samodzielności i kreatywności, nakładając jednocześnie odpowiedzialność za podejmowane decyzje. Jeśli mówimy o zasadzie neutralności technologicznej, rozliczalności, przerzucaniu ciężaru dowodu na podmioty zobowiązane, to nie oczekujmy prostych rozwiązań i gotowych recept. Proste rozwiązania centralne muszą być ogólne.

Co Pan zatem radzi firmowym, które mają praktyczne problemy, np. nie wiedzą, co dokładnie obejmuje monitoring. Czy tylko nagrania z kamer, czy również sprawdzanie pracowników opuszczających zakład, korzystani z usług tajemniczego klienta?

W tym przypadku warto zapoznać się z naszymi wskazówkami dotyczącymi monitoringu wizyjnego i poradnikiem dla pracodawców dotyczącym ochrony danych osobowych w miejscu pracy. Są dostępne na naszej stronie internetowej. Pomocne w rozwiązaniu wielu problemów mogą też być kodeksy postępowania, w których sami przedsiębiorcy mogą wypracować pewne standardy działania, a my jako organ nadzorczy zatwierdzimy. To jest właściwsze i o wiele ciekawsze rozwiązanie.

Tyle, że przedkładając kodeks postępowania, trzeba jednocześnie wskazać akredytowany przez UODO podmiot, który będzie monitorował jego przestrzeganie. Kiedy poznamy kryteria akredytacji?

W przypadku kodeksów postępowania przedkładanych przez podmioty publiczne niezbędne jest wskazanie mechanizmów monitorowania zgodności. Wymóg wskazania akredytowanego podmiotu monitorującego dotyczy natomiast sektora prywatnego. Akredytacja podmiotów monitorujących będzie dokonywana na podstawie opublikowanych przez Prezesa UODO kryteriów. Muszą być one jednak zgodne z wytycznymi EROD, nad którymi trwają obecnie prace. Ich ostateczny kształt poznamy mniej więcej na przełomie roku.
Biorąc pod uwagę to, że niektóre środowiska są mocno zaawansowane w pracach nad swoimi kodeksami postępowania, zaproponowaliśmy im w ostatnim czasie wprowadzenie rozwiązań przejściowych, które pozwoliłby na tymczasowe zatwierdzenie kodeksów przez Urząd w tych branżach, gdzie prace nad nimi są już niemal ukończone.
Pomysł ten na razie nie spotkał się z większym ich zainteresowaniem m.in. z obawy o ewentualną konieczność  znacznej modyfikacji tych dokumentów w późniejszym okresie.

Co się dzieje z certyfikacją. Ona też miała pomóc w działaniu zgodnym z RODO.

Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych będzie dokonywać Polskie Centrum Akredytacji. Jednak bardzo ważne jest zapewnienie spójnego podejścia do niej w całej Unii Europejskiej. W związku z tym Europejska Rada Ochrony Danych opracowuje wytyczne w tym zakresie. To kolejny z dokumentów mających zapewnić spójność stosowania nowego prawa. Dlatego dopiero wówczas, gdy powstanie jego finalna wersja, można będzie podjąć kolejne działania, które umożliwią stworzenie mechanizmów certyfikacji, akredytację podmiotów certyfikujących czy samo wydawanie certyfikatów. Powinno to nastąpić w ciągu najbliższych miesięcy.

Sprawdź w LEX SIP jak wygląda kontrola UODO: