Rozmowa z dr Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych
Katarzyna Żaczkiewicz: - Biuro Generalnego Inspektora Ochrony Danych Osobowych wspólnie z odpowiednikami w Czechach i na Węgrzech przygotowało dla przedsiębiorców poradnik. Co on zawiera?
Wojciech Wiewiórowski: - „Przewodnik dla przedsiębiorców” to około 50-stronicowa publikacja, w której zaprezentowano podstawy działania przedsiębiorcy, który chce przetwarzać dane osobowe swoich klientów i pracowników. Opisuje ona ogólnoeuropejskie zasady obowiązujące przy przetwarzaniu danych osobowych, ale pokazuje także różnice istniejące pomiędzy krajami. Bowiem mimo tego, że unijna dyrektywa dotycząca przetwarzania danych osobowych miała za zadanie zharmonizowanie rynku wspólnotowego, to jednak tak się nie stało. Postanowiliśmy przeanalizować tę kwestię na przykładzie trzech państw: Polski, Czech i Węgier, pozyskując na realizację tego projektu unijne dofinansowanie. Mimo iż uczestniczące w tym projekcie kraje łączy wiele podobieństw, to jednak istnieją znaczące niekiedy różnice co do zasad przetwarzania danych osobowych.
Zatem przedsiębiorca, który rozpoczynając działalność na rynkach europejskich, spodziewa się, że w związku z harmonizacją przepisów, będzie funkcjonował na takich samych zasadach, nagle napotyka na nieprzewidziane „przeszkody administracyjne”, które utrudniają prowadzenie firmy.
K.Ż. - Jakie są to przeszkody?
W.W. - Na przykład zgoda na przetwarzanie danych wrażliwych. W Czechach i na Węgrzech nie ma aż tak daleko idących regulacji jak te obowiązujące w prawie polskim. Polska ustawa stanowi, że zgoda na przetwarzanie danych osobowych wrażliwych musi być wyrażona na piśmie. Zatem ktoś, kto prowadził usługi medyczne na terenie Węgier, a teraz takie same usługi chce zaoferować w Polsce, musi zgodę na przetwarzanie danych osobowych swoich klientów pozyskać na piśmie, a nie, jak mógł to robić na Węgrzech, np. w formie elektronicznej. Musi zatem zmienić swoją dotychczasową praktykę działania. Inny przykład to restrykcyjne polskie unormowania odnoszące się do hasła uwierzytelniającego stosowanego przez osoby, które przetwarzają dane osobowe z wykorzystaniem systemów informatycznych. Zgodnie z rozporządzeniem do ustawy o ochronie danych osobowych, trzeba je zmieniać co 30 dni.
K.Ż. - Za krótki termin na zmianę?
W.W - Równie dobrze mogło by to być 60 lub 90 dni. To był wybór naszego prawodawcy. Tymczasem w Europie obowiązują różne sposoby ochrony hasła przed złamaniem, np. metody kryptograficzne, które są wystarczająco bezpieczne, aby hasła nie trzeba było zmieniać co 30 dni. Te różnice rodzą określone problemy. Bowiem firma zagraniczna, której pracownicy mają dostęp do danych osobowych, np. klientów, za pośrednictwem intranetu, w Polsce spotka się z problemem konieczności zmiany hasła co 30 dni, mimo że w żadnym innym oddziale w Europie nie będzie miała takiego obowiązku.
K>Ż- Jakie problemy wynikają z różnic w przepisach dotyczących pracowników?
W.W- We wszystkich wymienionych krajach, które badaliśmy, obowiązują szczególne przepisy prawa pracy, które ograniczają możliwość zbierania danych o pracownikach. Zazwyczaj wyznaczają wprost zamkniętą listę danych, które mogą być od nich pozyskiwane. Na Węgrzech i w Czechach ta lista spraw jest nieco inna. A zatem nasz przedsiębiorca, który chce zatrudnić Czecha, musi znać tamtejsze przepisy prawa pracy.
- Szkoda, że takiego przewodnika nie ma cała Unia.
W.W - Chcielibyśmy przedstawić nasz poradnik na forum Grupy Roboczej Art. 29 (która zrzesza wszystkich unijnych rzeczników ochrony danych osobowych), informując, że warto, by korzystali z niego wszyscy przedsiębiorcy, którzy prowadzą działalność gospodarczą na terenie Polski, Czech czy Węgier, gdyż dzięki niemu poznają zasady obowiązujące w tych państwach przy przetwarzaniu danych osobowych. Jeśli nasi koledzy uznają, że projekt jest interesujący, być zechcą go rozwinąć i taki poradnik powstanie dla całej Unii Europejskiej.
Rozmawiała: Katarzyna Żaczkiewicz-Zborska
-
Rozmawiała: Katarzyna Żaczkiewicz-Zborska