Polityka i prawo
GIODO: nie można dopuścić do obniżenia standardów ochrony danych po reformie
Nowe przepisy mogą obniżyć standardy ochrony danych osobowych w Polsce. Tymczasem zadaniem unijnego RODO miało być ich podwyższenie - zwraca uwagę w rozmowie z PAP dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych.
Przepisy unijnego ogólnego rozporządzenia o ochronie danych (RODO) zaczną obowiązywać już 25 maja i będą stosowane bezpośrednio. Natomiast przepisy ustawy o ochronie danych osobowych, które mają ułatwić wdrażanie RODO w Polsce i dookreślić pewne kwestie organizacyjno-proceduralne, trzeba - jak wskazuje dr Bielak-Jomaa - notyfikować Komisji Europejskiej. Istotna będzie zatem jej opinia, lecz zdaniem GIODO w obecnie proponowanym kształcie przepisy te są niezgodne z RODO i KE może je z tego powodu zakwestionować.
"Niepokój budzą przede wszystkim kwestie takie, jak gwarancje niezależności organu odpowiedzialnego za ochronę danych osobowych (Prezesa Urzędu Ochrony Danych Osobowych, PUODO - PAP), a także kwestie wyłączeń spod obowiązywania RODO podmiotów zatrudniających mniej niż 250 osób" - mówi PAP dr Bielak-Jomaa.
Według GIODO szczególne wątpliwości budzą przepisy dotyczące powoływania zastępców PUODO. "Z projektu ustawy o ochronie danych osobowych wynika, że powołanie zastępców prezesa urzędu następuje na wniosek właściwych ministrów, podobnie jak ich odwołanie. Możemy powołać zastępców PUODO jedynie spośród osób wskazanych przez ministrów. Rodzi się zatem pytanie, jak to się ma do gwarancji niezależności organu, określonej w art. 52 RODO, zgodnie z którym każde państwo członkowskie zapewnia, że każdy organ wybiera i posiada własny personel działający pod jego nadzorem? Z perspektywy organu odpowiedzialnego za ochronę danych osobowych projektowane w Polsce rozwiązanie nie gwarantuje niezależności działania urzędu" - stwierdza dr Bielak-Jomaa. "To wpłynie na postrzeganie i rolę polskiego organu wśród jego europejskich odpowiedników" - dodaje.
"Gdy mowa o projektowanych wyłączeniach, proszę zwrócić uwagę, że nie dotyczą one wyłącznie małych i średnich przedsiębiorstw. Niestety takie rozumienie przepisu zafunkcjonowało w mediach, tymczasem art. 3 ustawy o ochronie danych osobowych, poprzez odesłanie do przepisów ustawy o finansach publicznych, dotyczy także innych podmiotów, takich jak uczelnie prywatne, szkoły niepubliczne, stowarzyszenia czy fundacje" - zwraca uwagę GIODO. "Przepisy te wywołują również inne niejasności. Pojawią się tu problemy dotyczące sformułowań, np. jak rozumieć zwrot +zatrudniających mniej niż 250 osób+? Czym jest zatrudnienie? Możemy dyskutować o pracownikach pełnoetatowych i niepełnoetatowych. Oceny będzie musiał dokonać administrator danych osobowych. Przepisy te nie ułatwiają mu działań, a to miało być ich celem" - mówi dr Bielak-Jomaa.
Jak zaznacza, głównym punktem wyjścia przy notyfikacji przepisów, do których ma zastrzeżenia, będzie ocena ich zgodności z unijnym rozporządzeniem. "Kiedy pojawił się pierwotny projekt RODO, przyjęto rozwiązanie przewidujące ograniczenie obowiązywania niektórych przepisów ze względu na wielkość administratora danych. W ciągu dalszych prac unijny ustawodawca co do zasady z niego zrezygnował, uznając je za budzące wątpliwości. Zatem ustawodawca europejski dokonał już jego analizy i ocenił je jako niewłaściwe, tymczasem polski ustawodawca próbuje je wprowadzić" - zwraca uwagę GIODO. "W jakim świetle nas to stawia i jak może zostać ocenione przez Komisję Europejską?" – pyta.
Zdaniem GIODO nowe przepisy mogą obniżyć standardy ochrony danych osobowych w stosunku do poziomu, jaki gwarantuje obecnie obowiązująca ustawa. "Chodzi tu m. in. o obowiązek informacyjny. Według nowych przepisów dotyczących wspomnianych wyłączeń mniejsze podmioty nie będą musiały informować osób, których dane przetwarzają, o ich prawach, m.in. prawie dostępu do danych, prawie żądania ich usunięcia lub sprostowania, czy też o prawie wniesienia skargi do organu nadzorczego. Osoba, która nie będzie poinformowana o swoich prawach, może o nich nie wiedzieć i z nich nie korzystać" - mówi dr Bielak-Jomaa. "Może dojść do sytuacji, w której w obrocie funkcjonować będą dane nieaktualne czy też nieprawdziwe. To ograniczanie podstawowych praw osób, których dane są przetwarzane" - dodaje. "Sprawy te są szczególnie istotne w kontekście zagrożeń takich, jak np. zaawansowane profilowanie. Psujemy coś, co wypracowaliśmy i co obowiązuje od lat" - twierdzi dr Bielak-Jomaa.
Jej zdaniem odpowiedzialność administratorów danych daje gwarancję, że reforma ochrony danych osobowych w Polsce się powiedzie. "Od dawna przestrzegaliśmy, że to, co jest obowiązkiem administratorów, wynika wprost z rozporządzenia. Nic się tutaj nie zmieni, więc warto, nie czekając na przepisy krajowe, przygotować się do jego stosowania. Wszystko, co wydarzy się po dniu 25 maja tego roku, będzie uzależnione od tego wczesnego procesu przygotowawczego" - mówi GIODO. "Czy zahamujemy niebezpieczeństwo kradzieży tożsamości w związku z ustawicznym procederem kserowania dowodów osobistych, które często również zostawiamy w zastaw? Czy znikną uciążliwe telefony marketingowe? To, w jakim stopniu będziemy bezpieczni, będzie zależało od nas wszystkich" - zauważa minister. "Bezpieczeństwo to kwestia, w której znaczenie będzie miało zarówno działanie ustawodawcy, postępowanie administratorów danych i podmiotów przetwarzających, krajowego organu nadzorczego, jak i każdego z nas. Jaką mamy wiedzę na temat swoich praw?" - pyta dr Bielak-Jomaa.
"Trzeba dziś przekomponować myślenie o systemie ochrony danych osobowych. To administrator ponosi odpowiedzialność za ich przetwarzanie i ryzyka z tym związane. Musi mieć zatem pewność prawną, a do tego potrzebne są klarowne, dobre przepisy" - ocenia Generalny Inspektor Ochrony Danych Osobowych.