Rozmowa z dr Maciejem Kaweckim doradcą w gabinecie ministra cyfryzacji na temat rządowego projektu ustawy o ochronie danych osobowych.

- Szykuje się rewolucja w ochronie danych osobowych? Inspektora już nie będzie?
-
W zasadzie można  tak powiedzieć. Powstaje nowy organ, także niezależny i kadencyjny, który będzie się nazywał prezesem urzędu ochrony danych osobowych z mocniejszą pozycją ustrojową niż dotychczasowy inspektor. Będzie on uprawniony do nakładania ogromnych kar finansowych i zaopatrzony w nowe instrumenty.

Czytaj: Jest już projekt nowej ustawy o ochronie danych osobowych>>

- Nowy organ będzie bardziej chronił dane obywateli, czy raczej penetrował te informacje?
- Założeniem ustawodawcy jest ochrona danych. Natomiast musieliśmy zaopatrzyć ten organ w silne instrumenty, np. w wypadku postępowania kontrolnego możliwość korzystania z pomocy policji oraz funkcjonariuszy publicznych, czego dzisiaj w ustawie nie ma. A postępowanie kontrolne, zgodnie z projektem nie będzie poprzedzone zawiadomieniem przedsiębiorcy. Przy uprzednim zawiadomieniu łatwo byłoby zatuszować naruszenia.

- Czy tylko przedsiębiorców ma kontrolować prezes i jego urzędnicy?
-
Także podmioty publiczne. Nie ma tu rozgraniczenia.

- Czy są przewidziane równe kary dla urzędów i dla przedsiębiorców za te same naruszenia prawa?
- Rozporządzenie unijne z 27 kwietnia 2016 r. ( 2016/679) nie daje państwom członkowskim możliwości modyfikowania wysokości kar dla sektora prywatnego, ale przyznaje całkowita swobodę do podjęcia decyzji, czy  karać sektor publiczny. Jeśli karać, to w jakiej wysokości.? Trzeba pamiętać, że karanie administracji publicznej to jest przelewanie środków z tego samego budżetu. A po drugie - kary nakładane na administrację publiczną nie pełnią roli ani represyjnej ani prewencyjnej. Te gigantyczne kary, nawet do 20 mln euro przewidziane w rozporządzeniu unijnym są kilkakrotnie wyższe niż roczny budżet niejednego organu. Nakładanie takich kar uniemożliwiłoby wykonanie zadań publicznych przez daną instytucję. A tak być nie może. Przewidzieliśmy zatem karę do 100 tys. zł. możliwą do nałożenia na ograniczony krąg podmiotów publicznych , która
będzie dotkliwa, ale z drugiej strony - nie wpłynie na realizację zadań publicznych takich podmiotów. 


Czytaj też: Ustawa powoła zamiast GIODO nowy organ>>

- Na czym mogłoby polegać drastyczne naruszenie prawa, które groziłoby najsurowszą karą?
-
Chodziłoby przykładowo o bezprawne udostępnienie danych osobowych, czyli wyciek danych osobowych lub udostepnienie rejestru publicznego bez podstawy prawnej. Ważne jest też ograniczenie kręgu podmiotów, na które kar się nie nakłada w ogóle. Dotyczy to ogólnie mówiąc administracji samorządowej i rządowej, nie tylko Rady Ministrów. Dlatego, że w tych instytucjach kształtowanie polityki państwa jest najbardziej odczuwalne.

- Czy projekt ustawy wyłącza spod kar także kościoły i związki wyznaniowe, tak jak to czyni obecna ustawa?
- Ustawa w ogóle nie reguluje kwestii kościoła. W trakcie prac legislacyjnych zorganizowaliśmy spotkanie ze wszystkimi istniejącymi w Polsce kościołami i związkami wyznaniowymi i poinformowaliśmy o konieczności zmiany w ich porządkach wewnętrznych. Jeśli zmian nie dokonają, to rozporządzenie unijne będzie miało do nich zastosowanie wprost. Kościół katolicki pracuje nad tymi zmianami, co do innych - nic nam nie wiadomo.

Czytaj też>>Jest już nowy projekt ustawy..

- Jeśli kościoły nie wprowadzą zmian w swoim prawie wewnętrznym, to nie będą mogły swoich zbiorów danych osobowych ukryć? Procesy dotyczące apostatów będą się toczyć inaczej po 28 maja 2018 r?
- Tak. Rozporządzenie unijne jest surowsze pod tym względem niż dotychczasowe prawo. Nowy organ ochrony danych będzie miał prawo uniemożliwić przetwarzanie nie zarejestrowanych zbiorów danych osobowych np. w księgach parafialnych

- Nowością w projekcie jest obniżenie wieku dzieci do 13 lat, od którego wieku nie wymagana jest zgoda rodziców na udział małoletnich w konkursach...
- Nie tylko w konkursach, dotyczy szerszego problemu. To obowiązek nałożony przez prawo UE odebrania zgody rodzica na przetwarzanie danych dziecka, gdy chce ono skorzystać z jakiejkolwiek usługi oferowanej w internecie, np. z serwisów z książkami i filmami, dostęp do poczty elektronicznej i gier. Zdajemy sobie sprawę, że ta regulacja może napotkać gigantyczne problemy. Choćby w jaki sposób firma ma odebrać zgodę rodzica. Chcieliśmy zrównać wiek dziecka w projektowanej ustawie z wiekiem osoby uprawnionej do dokonania czynności prawnej zawartej w kodeksie cywilnym. W wieku 13 lat dziecko jest wystarczająco dojrzałe, aby dysponować swoim zarobkiem, więc tym bardziej będzie zdolne  powierzyć swoje dane osobowe.

- Takie rozwiązanie jest na korzyść dzieci?
-
Tak z punktu widzenia prywatności dzieci, ale dla przedsiębiorców to jest utrudnienie. Przepisy nie określają, jak taka procedura powinna wyglądać. Zachodzi obawa, czy przepis o zgodzie rodzica nie będzie martwy.

- Czy nowa ustawa zmienia definicję danych osobowych? Osoby publiczne w tym sędziowie uważają, że jest to definicja zbyt szeroka, ujawnia zbyt wiele szczegółów z ich życia prywatnego, np. miejsce zamieszkania czy rejestrację auta?
-
Nowa ustawa nie rozstrzyga w ogóle tego problemu. Nie dlatego, że kwestię przegapiliśmy, ale dlatego, że cały czas go analizujemy. Projekt będzie uzupełniony, oprócz braku pozycji ustrojowej nowego organu i braku przepisów przejściowych brakuje chociażby potencjalnego przepisu przetwarzania danych osobowych przez osoby publiczne. Nie wiem, czy takie przepisy wprowadzimy. Moje osobiste dane jest takie, że informacja publiczna powinna być udostępniona, ale obecna definicja informacji publicznej jest zbyt szeroka.

- Czy ustawa reguluje kwestię spamów?
-
Regulacja spamów jest przedmiotem prac na forum Komisji Europejskiej. Udostępniono już projekt wniosku ustawodawczego Komisji tzw. rozporządzenia e-privacy, który reguluje problem spamów i ogólnie - przetwarzania danych osobowych w środach elektronicznych.  Wprowadza też wysokie kary za naruszenia do 20 mln euro. Wprowadza system opt-in, czyli nie zamówione informacje o osobach mogą być gromadzone po uzyskaniu uprzedniej zgody osoby, do której jest adresowany.

- Projekt przewiduje likwidację II instancji i obok drogi administracyjnej - roszczenie do sądu powszechnego, w tym o ochronę dóbr osobistych.
-
Jedna instancja jest wystarczająca, organ ma kompetencje autokontrolne. Dajemy możliwość jednocześnie złożenia skargi do prezesa urzędu i do sądu powszechnego. Sam obowiązek wprowadzenia innej ścieżki dochodzenia roszczeń wynika z art. 79 rozporządzenia unijnego. Sąd może nałożyć grzywnę, ale prezes urzędu będzie miał do dyspozycji kary dużo wyższe niż sąd powszechny.

- Czy nie obawia się pan, że sądy powszechne będą czekać na rozstrzygniecie prezesa urzędu?
-
Przewidzieliśmy to w projekcie. Sąd ma obowiązek zawiadomić prezesa, że wpłynął pozew. Następnie sąd może prowadzić dalej postępowanie lub je zawiesić. Ale też może wydać orzeczenie inne niż prezes urzędu.

- Czy nie obawia się pan, że sprawa może być osądzona dwa razy, czyli przepis może być niezgodny z Konstytucją?
-
Przewidzieliśmy dwie ścieżki. Odpowiedzialność cywilno-prawna to co innego niż administracyjno-prawna. Takie rozwiązanie redukuje problem res iudicata.

- Czemu służyć będzie postanowienie tymczasowe?
-
Jest to środek zabezpieczający. Po złożeniu skargi do urzędu, prezes będzie mógł uznać, że koniczne jest zabezpieczenie interesów osoby, która ją składa i wydaje takie postanowienie np. o zakazie ograniczenia przetwarzania danych osobowych do czasu wydania decyzji merytorycznej. Jeśli takie postanowienie okaże się błędne, to powstaje ryzyko odszkodowawcze po stronie organu.

Rozmawiała; Katarzyna Zaczkiewicz-Zborska