BiznesPolecane tematy
RODO: polska ustawa powinna trafić do Sejmu w marcu 2018
W październiku 2017 roku zakończyły się konsultacje społeczne. W ich ramach nadesłano ponad 1600 uwag, które są obecnie rozpatrywane. Konferencja podsumowująca konsultacje odbędzie się w grudniu, zrobimy co w naszej mocy by najpóźniej pod koniec lutego 2018 projekt Ustawy trafił na Radę Ministrów a w marcu do Sejmu. Przypomnijmy, termin wejścia unijnego rozporządzenia o GDPR to 25 maja 2018 roku.
Z dr. Maciejem Kaweckim, kierującym Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynatorem reformy ochrony danych osobowych rozmawiamy o aktualnym stanie prac nad polską ustawą dostosowującą przepisy do unijnego Rozporządzenia o Ochronie Danych Osobowych (GDPR); najważniejszych poprawkach, które zgłoszono do projektu polskiej ustawy w ramach konsultacji, harmonogramie prac nad nią; najważniejszych radach dla organizacji i firm działających w Polsce oraz dlaczego warto uzyskać certyfikat zgodności z RODO.
Na jakim etapie są obecnie prace nad ustawą?
13 października skończyliśmy konsultacje społeczne. W ich ramach – od obywateli, organizacji pozarządowych, firm, jednostek administracji publicznej oraz członków Rady Ministrów – otrzymaliśmy ponad 1600 uwag. Teraz do każdej z nich odnosimy się merytorycznie. Po zakończeniu tego procesu tabele uzgodnieniowe – wraz z naszymi odniesieniami – udostępnimy na stronach Ministerstwa Cyfryzacji i Rządowego Centrum Legislacji. Kolejnym krokiem będzie konferencja podsumowująca konsultacje. Planujemy zorganizowanie jej w połowie grudnia br. Zobaczymy, czy uda się do tego czasu dokładnie przeanalizować każdą z uwag.
Spośród wszystkich nadesłanych najwięcej dotyczy wdrażanego w ustawie mechanizmu certyfikacji. Z pewnością – w jakimś zakresie – ulegnie on więc zmianie. Obowiązek wdrożenia takiego mechanizmu przez państwa członkowskie nakłada natomiast samo rozporządzenie unijne o ochronie danych osobowych (GDPR). Po wejściu w życie Ustawy o ochronie danych osobowych każdy z przedsiębiorców będzie mógł starać się o certyfikat potwierdzający wysoki poziom zabezpieczenia danych osobowych. To ważne nie tylko ze względów „wizerunkowych”. Jest to istotne także w związku z tym, że określając wysokość ewentualnej kary za naruszenie przepisów o ochronie danych osobowych, zobowiązany jest uwzględnić fakt posiadania certyfikatu.
Po konferencji rozpoczynamy prace nad ostatecznym projektem Ustawy o ochronie danych osobowych oraz zmian ustaw sektorowych. Chcielibyśmy, aby projekt ten w lutym 2018 roku trafił na Radę Ministrów, a potem do Sejmu. Ciężko jest jednak określić, kiedy się to stanie. Wszystko zależy od liczby uwag, w tym składanych od członków rządu. Chcieliby, aby był to marzec przyszłego roku. Liczymy, że w kwietniu ustawa będzie gotowa tak, aby było możliwe przyznanie jej jakiegokolwiek vacatio legis. Terminu jej wejścia w życie – 25 maja 2018 roku – zmienić nie możemy, bo wynika z prawa unijnego.
Jakie były najważniejsze uwagi przesłane do obecnego projektu Ustawy o ochronie danych osobowych?
Dostaliśmy dużo uwag których nie zależnie od tego czy dla nas są merytorycznie ciekawe nie możemy uwzględnić bo ogranicza nas prawo europejskie. To po pierwsze. Natomiast spośród wszystkich nadesłanych najwięcej dotyczy wdrażanego w ustawie mechanizmu certyfikacji. Z pewnością – w jakimś zakresie – ulegnie on więc zmianie. Obowiązek wdrożenia takiego mechanizmu przez państwa członkowskie nakłada natomiast samo rozporządzenie unijne o ochronie danych osobowych (GDPR).
Po wejściu w życie Ustawy o ochronie danych osobowych każdy z przedsiębiorców będzie mógł starać się o certyfikat potwierdzający wysoki poziom zabezpieczenia danych osobowych. To ważne nie tylko ze względów „wizerunkowych”. Jest to istotne także w związku z tym, że określając wysokość ewentualnej kary za naruszenie przepisów o ochronie danych osobowych, zobowiązany jest uwzględnić fakt posiadania certyfikatu.
W obecnym projekcie wprowadziliśmy rozwiązanie, w świetle którego to Prezes Urzędu Ochrony Danych Osobowych będzie przyznawał certyfikaty. W przesłanych do nas komentarzach zwrócono nam jednak uwagę na ewentualny konflikt interesów. Z jednej strony bowiem Urząd będzie oceniał zgodność z przepisami i karał za jej brak, a z drugiej ma wydawać certyfikaty. Tymczasem w trakcie procedury ich przyznawania może np. zostać ujawniona w danej firmie jakaś nieprawidłowość. Wówczas Urząd byłby zobowiązany do wszczęcia przeciwko niej postępowania. To może zniechęcać do certyfikacji. Zastanawiamy się więc nad przemodelowaniem mechanizmu.
Czy poza procesem certyfikacji zwracano na coś jeszcze uwagę podczas konsultacji społecznych nad projektem krajowych przepisów o ochronie danych osobowych?
Dużo uwag dotyczyło także mechanizmu monitoringu. Uczestnicy konsultacji mieli uwagi co do zasad, na jakich pracodawcy mogą korzystać z monitoringu wizyjnego. Zgodnie z zapisami ustawy, monitoring miejsca pracy ma ograniczać się wyłącznie do zapewnienia bezpieczeństwa pracowników oraz ochrony mienia i tajemnic przedsiębiorstwa. Zarzuty do naszego projektu dotyczyły tego, czy wyodrębniliśmy wszystkie obszary, które powinny zostać wyłączone z monitoringu. W projekcie ustawy są to m.in. toalety, szatnie i palarnie.
W trakcie konsultacji zwrócono nam uwagę na to, abyśmy objęli regulacjami monitoring aktywności korespondencji mailowej i pozycji GPS. Na razie nie zdecydowaliśmy, w którym kierunku powinny iść zmiany w prawie. W przypadku dostępu do wiadomości służbowych mamy przykładowo do czynienia z konfliktem dwóch wartości – tajemnicy korespondencji i ochrony interesów i mienia pracodawcy. Jeśli pracownik korzysta z maila do prywatnych celów to monitorowanie tego typu korespondencji stanowi częściowo naruszenie jej tajemnicy. Z drugiej strony to jednak mail służbowy. Na chwilę obecną poszukiwałbym tutaj jednak rozwiązań poza legislacyjnych.
Zwrócono nam także uwagę na to, abyśmy objęli regulacjami monitoring aktywności korespondencji mailowej i pozycji GPS. Na razie nie zdecydowaliśmy, w którym kierunku powinny iść zmiany w prawie. W przypadku dostępu do wiadomości służbowych mamy przykładowo do czynienia z konfliktem dwóch wartości – tajemnicy korespondencji i ochrony interesów i mienia pracodawcy. Jeśli pracownik korzysta z maila do prywatnych celów to monitorowanie tego typu korespondencji stanowi częściowo naruszenie jej tajemnicy. Z drugiej strony to jednak mail służbowy. Na chwilę obecną poszukiwałbym tutaj jednak rozwiązań poza legislacyjnych. Rozwiązaniem może być prowadzenie w regulaminie firmowym przez pracodawcę zakazu używania maila do celów prywatnych albo oznaczanie maili prywatnych przez pracowników jako prywatne.
Były jeszcze inne sugerowane poprawki do ustawy?
Wiele z nich dotyczyło zgody dziecka na przetwarzanie jego danych osobowych w sieci. Przepisy unijnego rozporządzenia określają wiek na 16, gdy rodzic nie musi wyrażać za dziecko zgody na gromadzenie takich danych. Młodsze dzieci muszą mieć zgodę rodziców lub opiekunów na wyrażenie zgody na przetwarzanie swoich danych osobowych. My obniżyliśmy ten wiek do lat 13.
Ustawa trafi do Sejmu dopiero w marcu. Jakie, wobec tego miałby Pan dziś rady dla przedsiębiorców w związku z przygotowaniem się do rozpoczęcia jej obowiązywania już od 25 maja przyszłego roku?
Przede wszystkim warto zwrócić uwagę na nowe uprawnienia Urzędu Ochrony Danych Osobowych, następcy Generalnego Inspektora Danych Osobowych. Każde z tych uprawnień to nowe obowiązki dla firm. Część z nich dotyczy wyłącznie zmiany stosowanych procedur, co można zrobić stosunkowo szybko. Wiele z nich jednak wymusza dokonanie zmian w stosowanych systemach IT, a to wymaga już czasu. To ostatni dzwonek na rozpoczęcie tego typu projektów. Im większy podmiot tym więcej zmian, które trzeba wprowadzić.
Przykładem tego typu nowych obowiązków jest także notyfikacja naruszeń. Każda firma, ale i urząd administracji państwowej, będą zobowiązane do informowaniu o naruszeniu ochrony danych osobowych. To może – zwłaszcza w przypadku dużych organizacji – wymagać stworzenia osobnej jednostki zbierającej informacje o naruszeniach i decydującej, o których należy poinformować Urząd Ochrony Danych Osobowych.
Warto zwrócić uwagę na nowe uprawnienia Urzędu Ochrony Danych Osobowych, następcy Generalnego Inspektora Danych Osobowych. Każde z tych uprawnień to nowe obowiązki dla firm. Część z nich dotyczy wyłącznie zmiany stosowanych procedur, co można zrobić stosunkowo szybko. Wiele z nich jednak wymusza dokonanie zmian w stosowanych systemach IT, a to wymaga już czasu. To ostatni dzwonek na rozpoczęcie tego typu projektów. Im większy podmiot tym więcej zmian, które trzeba wprowadzić.
Kolejny obowiązek to przenaszalność danych. Każdy będzie mógł – w momencie zmiany firmy, która przetwarza jego dane osobowe – nakazać przeniesienie ich np. z banku A do banku B. Warto pamiętać, że istotą rozporządzenia jest jego neutralność technologiczna. Każdy więc musi dostosować się do zapisów nowej ustawy we własnym zakresie, w tym samodzielnie wybrać odpowiednie środki techniczne.
Najważniejsze nowe uprawnienia obywateli:
1. Prawdo do przeniesienia danych osobowych.
2. Prawo do bycia zapomnianym.
3. Prawo do sprzeciwu wobec przetwarzania danych osobowych w celach automatycznego podejmowania decyzji w celu profilowania.
4. Prawo do sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych.
5. Możliwość uzyskania kopii przetwarzanych danych osobowych (dziś tego typu obowiązku nie ma).
6. Poszerzone obowiązki informacyjne.
7. Nowa podstawa do dochodzenia roszczeń, istnieć będzie możliwość wystąpienie z pozwem do sądu powszechnego (obecnie takiej możliwości nie ma).