Odcisk palca lub wzór tęczówki otworzy legalnie drzwi do firmy

Rz: Ministerstwo Cyfryzacji przedstawiło kolejną wersję projektu ustawy o ochronie danych osobowych wraz z propozycją nowelizacji bardzo wielu przepisów sektorowych. Zaczynając od samej ustawy, to wydaje się przesądzone zastąpienie generalnego inspektora ochrony danych osobowych prezesem Urzędu Ochrony Danych Osobowych.

Maciej Kawecki: Ta zmiana jest uzasadniona względami prawnymi. Musimy uchylić obowiązującą obecnie ustawę o ochronie danych i przyjąć nową, wdrażającą prawo unijne. Uchylona zostaje więc obecna podstawa prawna działania GIODO i powstaje nowa, wraz z nowym organem. Legislacyjnie będzie to więc faktycznie zupełnie nowy organ. Bez wątpienia zmiana ma jednak również inny wymiar, który jest bardzo ważny z perspektywy obywateli i przedsiębiorców. To zupełnie nowa wartość – organ będący regulatorem sektora ochrony prywatności i posiadający szereg narzędzi prawnych, ale przede wszystkim otwarty i konsultujący. Rewolucją nie jest więc tylko prawo krajowe, ale prawo unijne. My je tylko wdrażamy. Przepisy unijne wymuszają jednak dokonanie istotnych zmian w dotychczasowym systemie ochrony danych czyniąc go skuteczniejszym. Tym razem nie chodzi bowiem o kolejną nowelizację ustawy z 1997 r., ale tworzenie zupełnie nowych przepisów o ochronie danych osobowych oraz nowelizację ponad 130 ustaw sektorowych. Zastąpienie GIODO prezesem nowego urzędu i zmiana całego krajowego systemu ochrony prywatności jest więc początkiem nowego etapu w historii działania instytucji ochrony danych osobowych w naszym kraju.

Czy projektowana ustawa o ochronie danych osobowych narzuca nowe obowiązki na przedsiębiorców?

Obowiązki związane z prawidłowym przetwarzaniem danych osobowych są określone w unijnym rozporządzeniu. To ono wprowadza normy i standardy w tym zakresie, które od 25 maja przyszłego roku będą identyczne we wszystkich krajach członkowskich. Zmiany są więc nieuniknione, trzeba się do nich dostosować i przygotować firmę. Teraz jest właśnie czas na działanie.

Proszę podać przykład rozwiązań, których nie ma w obecnych przepisach, a zaczną obowiązywać w przyszłym roku.

Na część przedsiębiorców będzie nałożony obowiązek powołania inspektora ochrony danych. Dotyczy to np. firm przetwarzających dane, których główna działalność polega na monitorowaniu osób, których dane dotyczą. Tego obowiązku nie ma przy obecnej regulacji odnoszącej się do administratorów bezpieczeństwa informacji, tzw. ABI. Obecnie administrator danych może powołać ABI – co daje pewne przywileje – ale nie musi.

Przedsiębiorcy – i w tym wypadku będzie to na pewno większa grupa – mogą być zobowiązani do zmodyfikowania systemów informatycznych, tak aby odpowiadały one wymogom RODO. Muszą się także dostosować do wprowadzonego rozporządzeniem prawa do bycia zapomnianym. Nowością będzie obowiązek notyfikacji naruszenia przepisów dotyczących ochrony danych osobowych do organu ochrony, czego dzisiaj nie trzeba robić. Jeszcze raz należy jednak podkreślić, że są to zmiany, które wymusza na krajowych systemach unijne rozporządzenie.

To jak nowa ustawa ma pomóc przedsiębiorcom?

W tym zakresie możemy poruszać się na kilku płaszczyznach. Po pierwsze bardzo dużą wagę przywiązujemy do edukacyjno-wychowawczej roli nowego organu ochrony danych osobowych. Stąd w przepisach mowa o wydawaniu rekomendacji dotyczących przede wszystkim sposobów zabezpieczenia danych osobowych albo określających środki techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa przetwarzania danych. Co więcej, zachęcamy do tego, aby już teraz tworzyć np. sektorowe rozwiązania, tak aby po powołaniu prezesa Urzędu Ochrony Danych i rozpoczęciu działalności przez urząd, móc jak najszybciej przekazać takie propozycje.

Po drugie certyfikacja działalności w obszarze przetwarzania danych. Przedsiębiorcy będą otrzymywać certyfikaty, czyli swoistą rekomendację, że przyjęty przez nich sposób ochrony prywatności ich klientów i kontrahentów jest prawidłowy. Możliwość pochwalenia się certyfikatem będzie podnosić wiarygodność firmy.

Po trzecie: nowy obszar działalności. Przedsiębiorcy będą mogli starać się o akredytacje prezesa urzędu by monitorować przestrzeganie zatwierdzonych kodeksów branżowych. Nic nie stoi na przeszkodzie, aby taką rolę odgrywały małe lub średnie firmy.

Niezaprzeczalną korzyścią dla przedsiębiorców będzie też przejście na jednoinstancyjny tryb postępowania. Obecnie od decyzji generalnego inspektora można się odwołać, ale wówczas sprawa trafia do tego samego organu! Jest to więc wniosek o ponowne rozpatrzenie sprawy, a nie przekazanie jej do rozstrzygnięcia urzędowi wyższej instancji, bo obecnie takiego nad GIODO nie ma. Zmieniając ten tryb chcemy dać przedsiębiorcom i obywatelom możliwości szybszego załatwiania sprawy. Dziś, jak pokazują statystyki, ogromna ilość spraw jest tak samo ocenianych przez GIODO w drugiej instancji, jak została oceniona przez ten urząd w pierwszej. Konsekwencją jest odwołanie się do sądu, które mogłoby jednak nastąpić znaczenie wcześniej, a tym samym cała sprawa zostałaby szybciej wyjaśniona. I taki jest cel jednoinstancyjnego trybu zaprezentowanego w naszym projekcie ustawy – administrator danych, który nie będzie usatysfakcjonowany rozstrzygnięciem prezesa urzędu, od razu skieruje sprawę do sądu.

To wszystko pięknie brzmi, a ja z tyłu głowy mam cały czas ogromne kary, które będzie mógł nakładać nowy organ.

Kary są jednym z narzędzi, jakimi dysponuje nowy organ, nie jedynym. Będzie m.in. uprawniony do wydawania ostrzeżeń i upomnień. W sytuacji, gdy waga naruszenia przepisów o ochronie danych osobowych będzie znikoma, a strona zaprzestała naruszenia, prezes urzędu może, w drodze decyzji, udzielić upomnienia. Poza tym prezes urzędu, nakazując usunięcie naruszenia, może odstąpić od nałożenia kary. Rozporządzenie unijne nakazuje również miarkować wysokość kary w oparciu o chociażby umyślny bądź nieumyślny charakter naruszenia. Zatem nie każde postępowanie, w trakcie którego ujawnione zostaną pewne nieprawidłowości, musi kończyć się nałożeniem kary. A i wówczas, na wysokość kary będzie mieć wpływ duża liczba różnych czynników.

Inna kwestia, która może budzić obawy, to uregulowanie praw kontrolnych nowego urzędu. Po pierwsze nie będzie on musiał notyfikować, czyli uprzedzać o kontroli w firmie, po drugie będzie mógł wejść w każdym momencie, niezależnie od tego, czy w tym samym czasie nie odbywa się u tego samego przedsiębiorcy inna kontrola, np. państwowej inspekcji pracy lub w zakresie przestrzegania przez przedsiębiorcę norm ochrony środowiska.

Rzeczywiście tę sprawę potraktowaliśmy bardzo poważnie. Co do zasady sposób kontroli w przedsiębiorstwie podlega pod reguły ustawy o swobodzie działalności gospodarczej, ale z istotnymi ograniczeniami, o których pan wspomniał.

Jest to podyktowane tym, że prawo do ochrony danych osobowych należy do praw podstawowych. Biorąc pod uwagę ilość danych pozyskiwanych obecnie przez firmy, zakres ich wykorzystywania, np. do profilowania ofert pod kątem poszczególnych klientów, musimy szczególnie zadbać o ich ochronę i zapewnić, aby przetwarzanie danych przebiegało w zgodzie z przepisami. Dlatego trudno sobie wyobrazić, aby kontrola prowadzona przez inną instytucję np. Najwyższą Izbę Kontroli mogła blokować wejście kontrolerów Urzędu Ochrony Danych Osobowych w przypadku wykrycia wycieku danych.

Natomiast co do braku obowiązku notyfikacji, to proszę zauważyć, że także na gruncie obecnych przepisów GIODO nie zawsze informuje o zaplanowanej kontroli. Wiem o szeregu postępowaniach prowadzonych przed GIODO, przy których przedsiębiorcy nie otrzymali żadnych zawiadomień. Tym samym nowe przepisy nie zmieniają praktyki w tym zakresie aż tak bardzo.

Przejdźmy na koniec do zmian w przepisach szczególnych. Ministerstwo przewiduje konieczność wprowadzenia zmian w ponad 130 ustawach. Oczywiście nie omówimy ich i nie wystarczy miejsca nawet na ich wymienienie. Wydaje się jednak, że szczególnie jedna sprawa budzi liczne kontrowersje. To kwestia wykorzystywania danych biometrycznych.

To nie jest nowa kwestia, nowością jest uregulowanie spraw, które dziś są poza prawem. Postanowiliśmy, że problematyka wykorzystywania takich danych musi wyjść ze swoistej szarej strefy, w której obecnie się znajduje. Zdając sobie sprawę z wielu zagrożeń związanych z przetwarzaniem danych obejmujących, np. odciski linii papilarnych, wizerunek twarzy, zapis obrazu tęczówki, nie możemy jednocześnie zapominać, że żyjemy w XXI wieku, w okresie rewolucji technologicznej związanej z wykorzystaniem systemów teleinformacyjnych.

Strach przed biometrią, która jest już wykorzystywana, choć być może nie wszyscy zdają sobie z tego sprawę, przypomina lęki XIX-wiecznych chłopów w epoce rozwoju kolei żelaznych. Wtedy myślano, że gdy pociąg przejedzie w pobliżu zabudowań kury przestaną się nieść, a krowy zaczną dawać czarne mleko. Takie przesądy krążyły i chłopi nie chcieli sprzedawać ziemi pod linie kolejowe. Ale jak widać po dzisiejszej sieci, przesądy nie są w stanie zatrzymać postępu. Podobnie w przypadku biometrii – pojawiają się głosy z lękiem podchodzące do rozwiązań, które w ściśle określonych przypadkach i po spełnieniu restrykcyjnych wymagań, będą dopuszczały wykorzystywanie biometrii. Ale mamy 2017 rok, trwa rewolucja cyfrowa i biometria jest jej częścią. Dziś przedsiębiorcy bardzo często korzystają z biometrii, a to oznacza, że rzeczywistość wyprzedziła prawo. Dlatego dostosowując polskie prawo do rzeczywistości dopuszczamy przetwarzanie danych biometrycznych w obszarze prawa pracy, gdzie pracownik będzie mógł wyrazić zgodę na wykorzystywanie jego danych oraz w sektorze bankowym i ubezpieczeniowym na potrzeby procedur identyfikacyjnych, czyli uwierzytelniania tożsamości.

To, że zamkniemy oczy na otaczający nas świat i będziemy udawać, że problemu nie ma, nie załatwi spawy. Język prawa musi po prostu wypowiedzieć się na temat biometrii. Prawo musi gonić rozwój technologiczny, dostosowywać się do niego i wyważać interesy różnych stron, np. przedsiębiorców i konsumentów.