Rozmowa z Jarosławem Felińskim, prezesem Stowarzyszenia Inspektorów Ochrony Danych Osobowych
Krzysztof Sobczak: Od 25 maja zacznie obowiązywać unijne rozporządzenie ogólne o ochronie danych osobowych (RODO). A tymczasem krajowa ustawa nie została jeszcze uchwalona, nie ma też ustawy wprowadzającej RODO, która ma wprowadzić zmiany w wielu ustawach szczegółowych. Czy to nie powinno niepokoić?
Jarosław Feliński: To jest sytuacja niepokojąca, ale na szczęście unijne rozporządzenie obowiązuje wprost, a więc jeśli nie powstaną na czas przepisy krajowe, to trzeba będzie stosować się wprost do rozporządzenia UE. Ale my jako środowisko osób zajmujących się problematyką ochrony danych osobowych mamy w związku z tym wiele obaw. Przypomnę, że rozmawialiśmy o tym w gronie przedstawicieli różnych instytucji zajmujących się przygotowaniami do wejścia RODO w życie 25 maja 2017 roku na poświęconej temu dużej konferencji. Czyli dokładne rok przed "godziną 0" i wtedy podkreślaliśmy, że to najwyższa pora, by zacząć mówić poważnie o przygotowaniach do wdrożenia tych regulacji. Mówiliśmy wtedy nie tylko o potrzebie przygotowania na czas krajowej ustawy o ochronie danych osobowych, ale także o zmianach w wielu innych przepisach. I wtedy już były poważne obawy, czy zdążymy z tym wszystkim na czas. Także my jako stowarzyszenie mocno sygnalizowaliśmy ten problem.
Projekt tej podstawowej ustawy już jest.
Rzeczywiście, projekt ustawy o ochronie danych osobowych przeszedł już całą procedurę rządową i trafił do Sejmu. Trudno jednak obecnie stwierdzić, czy ta ustawa zostanie uchwalona przed 25 maja. Jest już niecały miesiąc na doprowadzenie tych prac legislacyjnych do finału.
A co z innymi ustawami? Po pierwsze potrzebne są zmiany w wielu z nich, a znaczna ich część ma poważne znaczenie.
To prawda. Jako przykład można podać problem monitoringu wizyjnego, gdzie potrzebne są zmiany w wielu ustawach. Podobnie będzie z przepisami prawa pracy. Bo przecież każdy administrator danych osobowych, prezes firmy, wójt albo burmistrz, szef instytucji, jest pracodawcą. Zatrudnia ludzi, prowadzi rekrutację, zawiera umowy i w związku z tym gromadzi i przetwarza dane osobowe. I dlatego chciałby mieć jasne wskazania, jak ma postępować. Dlatego też tak ważne są te wszystkie zmiany "branżowe" wynikające z RODO. Może to trochę optymistyczne założenie, ale liczę, że do końca tego roku te zmiany zostaną wprowadzone. Bo trzeba mieć świadomość, że praca nad takimi regulacjami wymaga dużej staranności. Nie wiem jak zespoły pracujące nad tymi nowelizacjami mają rozpisane harmonogramy, ale obok tego pojawiają się przecież cały czas nowe ustawy, które też powinny uwzględniać obowiązywanie RODO.
Zgoda co do koniecznej staranności i potrzeby uwzględniania RODO w nowych ustawach, ale ewentualne uchwalenie wszystkich niezbędnych zmian do końca tego roku to żaden optymizm. To zła wiadomość, bo przecież na przygotowanie tych regulacji były co najmniej dwa lata.
Istotnie to prawda, że było dużo czasu na przygotowanie i uchwalenie tych projektów i my to cały czas sygnalizowaliśmy. Choćby na wspomnianej konferencji rok temu. Nie czuję się w pełni uprawniony do oceniania organów odpowiedzialnych za przygotowanie nowego prawa, ale faktem jest, że wiele instytucji może po 25 maja znaleźć się w trudnej sytuacji. Na przykład w szkole lub uczelni prowadzącej proces rekrutacyjny, czy u przedsiębiorcy uruchamiającego nowe usługi może pojawić się pytanie, czy jest to realizowane zgodnie z prawem, gdy obowiązywać już będzie RODO, ale krajowa ustawa będzie jeszcze stara. A co będzie, gdy dojdzie do jakiegoś zdarzenia, które według rozporządzenia będzie naruszeniem, ale w rozumieniu starej polskiej ustawy nie będzie? Pojawi się też kwestia, czy organ kontrolny będzie mógł już interweniować i ewentualnie karać.
Organ, czyli obecnie GIODO, który przekształci się w Urząd Ochrony Danych Osobowych ma na takie sytuacje odpowiedź, że rozporządzenie obowiązuje wprost. Jeśli więc nie będzie nowego krajowego przepisu, to obowiązywać będzie regulacja wynikająca z RODO.
Rzeczywiście to prawda, że obowiązuje taka ogólna zasada. Ale możemy mieć do czynienia z ciekawym doświadczeniem dotyczącym zastosowania w praktyce zupełnie nowej regulacji unijnej w kontekście niezmienionych przepisów krajowych. Bo trzeba mieć świadomość, że niektóre z definicji rozporządzenia mają inny charakter niż te, z którymi mieliśmy do czynienia dotychczas. Jak choćby taka kategoria jak lokalizacja, o której dotychczas nie było mowy, albo identyfikator internetowy, o którym także nic nie było w dotychczasowej ustawie. Wiele nowości jest też w związku z danymi biometrycznymi, które wykorzystuje coraz więcej podmiotów. Pojawią się pytania, czy jest dostatecznie jasne, jakie mamy obowiązki w zakresie gromadzenia, przechowywania, ewentualnego usuwania bądź ograniczenia możliwości dostępu do takich danych. To powinny precyzyjnie regulować krajowe przepisy, jak choćby kodeks pracy w odniesieniu do przetwarzania danych związanych z pracą. A ustawodawca powinien wziąć pod uwagę wszystkie te probemy projektując nowe przepisy.
No i powinien je uchwalić jak najszybciej.
Oczywiście. A tymczasem ogromna ilość takich szczegółowych wskazań rozporządzenia nie znalazła się dotąd w naszym ustawodawstwie. Fakt, że nie musi, ale lepiej by było, gdyby te zagadnienia były uszczegółowienie w krajowych przepisach.
Nie byłoby takiej niezręcznej sytuacji, że ktoś może mieć wątpliwość do której regulacji ma się stosować, albo zastanawiać się co zrobić, gdy będzie sprzeczność pomiędzy unijnym rozporządzeniem i krajową ustawą. Nie powinno tak być w praworządnym państwie.
Istotnie, nie powinno tak być. Lepszy dla każdego wykonawcy jest taki akt prawa, który nie pozwala na interpretację rozszerzającą bądź zawężającą. Po wielu latach dyskusji przez wszystkie możliwe parlamenty w Europejskim Obszarze Gospodarczym i rządy został opracowany dokument, który w 2016 roku stał się rozporządzeniem. A więc to nie jest jakiś nowy pomysł i był czas na ustalenie, co w prawie wewnętrznym trzeba zmienić, by powstał jeden spójny system. Szkoda, że tak późno przystąpiono do tych prac w naszym kraju.
Nic nowego, wiele unijnych regulacji było implementowanych w ostatnim momencie, albo wręcz po terminie.
Można zgodzić się z pana tezą i to prawda, możemy wymienić wskazać wiele takich przykładów. Ale to żadna pociecha ani usprawiedliwienie. Chciałoby się, żeby tak ważna regulacja, która dotyczy tak ważnej dziedziny życia, była solidniej rzetelnie przygotowana.
Czy można sobie wyobrazić, że przy braku krajowych przepisów uda się jakoś bezkonfliktowo stosować RODO wprost?
Chciałbym, żeby taka kolizja nie zachodziła w procesie wprowadzania regulacji RODO. Jako stowarzyszenie będziemy podejmować działania, by to ułatwiać. Spodziewamy się też, że duży wpływ na to będą miały kwalifikacje i zaangażowanie inspektorów ochrony danych osobowych. I liczymy, że administratorzy danych będą rozumieli, jaką ważną rolę będą mogli odegrać inspektorzy we wchodzeniu suchą stopą w tę nową rzeczywistość.