Ochrona danych: czas przygotować się na rewolucję

28 marca 2017 r. na stronie Ministerstwa Cyfryzacji został opublikowany długo oczekiwany projekt nowej ustawy o ochronie danych osobowych. Regulacja ta, wraz z unijnym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO lub rozporządzenie), zastąpi obowiązujące przepisy, a jednocześnie na nowo zdefiniuje prawa osób fizycznych do ochrony danych osobowych. Co przewidują te regulacje? W jaki sposób wpłyną one na polskich przedsiębiorców?

Czy nowe regulacje są potrzebne?

Ewolucja technologii informatycznych, która nastąpiła w ostatnich latach, diametralnie zmieniła środowisko przetwarzania danych i przyniosła wiele nowych wyzwań. Ze względu na powszechny dostęp do internetu (wiążący się chociażby z wykorzystywaniem aplikacji mobilnych, dokonywaniem zakupów internetowych, wysyłaniem ofert handlowych drogą elektroniczną czy też korzystaniem z portali społecznościowych) do przetwarzania danych osobowych dochodzi już na szeroką skalę. Niestety, obowiązujące regulacje krajowe i unijne – tworzone w latach 90. ubiegłego wieku – nie są dostosowane do tak dużego postępu technologicznego.

Potrzebę gruntownych reform zauważyła Unia Europejska, która wraz z państwami należącymi do Europejskiego Obszaru Gospodarczego postanowiła wprowadzić jednolity standard ochrony danych osobowych – dostosowany do naszych czasów. Tym samym 4 maja 2016 r. został opublikowany ostateczny tekst unijnego rozporządzenia, które ma zwiększyć ochronę przetwarzania danych osób fizycznych. W praktyce oznacza to wprowadzenie wielu nowych obowiązków dla przedsiębiorców, m.in. zwiększenia zakresu informacji przekazywanych osobie, której dane są przetwarzane; zobligowania administratorów do zgłaszania naruszeń ochrony danych osobowych w ciągu 72 godzin od wystąpienia naruszenia czy choćby obowiązek przeprowadzania analiz ryzyka i potencjalnego wpływu zamierzonego przetwarzania na prawa i wolności osób fizycznych.

Za niewypełnianie obowiązków wynikających z RODO przepisy przewidują wysokie kary finansowe – nawet do 20 mln euro lub do 4 proc. światowego rocznego obrotu.

Czasu na dostosowanie organizacji do zmian pozostało już niewiele. Rozporządzenie zacznie obowiązywać 25 maja 2018 r. i najpóźniej tego dnia przedsiębiorcy powinni być gotowi na wypełnianie obowiązków wynikających z RODO.

RODO a polskie przepisy

Co warto podkreślić, nie wszystkie kwestie, które zostały poruszone w RODO, są jednoznaczne lub też doprecyzowane. W konsekwencji rodzi się wiele wątpliwości, czy prawidłowo interpretujemy przepisy rozporządzenia, mając świadomość wysokich sankcji za uchybienia w stosowaniu rozporządzenia. Dzieje się tak za sprawą nowych definicji (jak choćby tych dotyczących profilowania czy też rejestru czynności przetwarzania) czy też ogólnych zapisów, które w naszej ocenie nie zostały dostatecznie wyjaśnione, co z kolei rodzi ryzyko mnogości interpretacji.

Część z obecnych administratorów bezpieczeństwa informacji rozwiązania powyższych wątpliwości upatrywało w polskiej ustawie o ochronie danych osobowych, której projekt właśnie się pojawił – przepisy RODO same wprost bowiem uprawniają lub też zobowiązują państwa członkowskie do rozstrzygnięcia niektórych kwestii na gruncie ustawodawstwa krajowego. Zgodnie z zapowiedziami polska ustawa miała także wprowadzić inne normy – niewynikające z RODO, ale jak mówił dr Maciej Kawecki, doradca w Gabinecie Politycznym Ministra Cyfryzacji, konieczne do skutecznego zastosowania rozporządzenia (choćby w przypadku niemieckiego ustawodawcy, projekt krajowej ustawy określa techniczne aspekty zabezpieczania danych osobowych). Propozycja Ministerstwa Cyfryzacji z 28 marca 2017 r. wprowadza kilka uregulowań, z którymi każdy administrator danych (a więc także przedsiębiorca przetwarzający dane osobowe) lub też ABI (administrator bezpieczeństwa informacji, a w przyszłości inspektor danych osobowych na gruncie RODO) powinien się zapoznać.

Projekt polskiej ustawy dotyczy kilku zagadnień, m.in. tych związanych z postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych, postępowaniem kontrolnym czy też administracyjnymi karami pieniężnymi. Niestety, wbrew oczekiwaniom dokument wydaje się nie poruszać innych istotnych kwestii – tych związanych choćby z wymaganiami stawianymi procedurom i politykom; środkami organizacyjnymi i technicznymi, które powinny funkcjonować w organizacji; czy też tych określających szczegółowo sytuacje obligujące do wyznaczenia inspektora danych osobowych. Ci zatem, którzy liczyli na to, że polska ustawa rozwiąże mnożące się wątpliwości interpretacyjne dotyczące RODO, niestety mogą czuć się zawiedzeni.

„Dobre praktyki" GIODO

Przepisy ogólne projektu ustawy przynoszą pewne zmiany w obszarze nazewnictwa – regulacja przewiduje chociażby, że generalny inspektor ochrony danych osobowych będzie wykonywał swoje obowiązki już jako prezes Urzędu Ochrony Danych Osobowych. Taką zmianę w nazewnictwie wymusiły poniekąd przepisy RODO, które obecnych administratorów bezpieczeństwa informacji (ABI) od 25 maja 2018 r. nazwą inspektorami ochrony danych (IOD). Aby uniknąć sytuacji, w której istnieją dwie kategorie inspektorów – jednych pracujących u administratorów (np. przedsiębiorców) i drugich pracujących w organie nadzorczym (w GIODO), polski ustawodawca zdecydował się – i słusznie – na zmianę nazwy generalnego inspektora.

Opublikowany projekt zawiera także zapisy obligujące prezesa Urzędu Ochrony Danych Osobowych do opracowywania i udostępniania na swojej stronie internetowej dobrych praktyk przetwarzania danych, zawierających rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych (art. 2 projektowanej ustawy). Jak wskazuje ministerstwo, takie „dobre praktyki" miałyby jednak charakter niewiążący i nie posiadałyby waloru ochronnego dla tych, którzy się do nich zastosowali. Należy bowiem pamiętać, iż na gruncie RODO to administrator bądź podmiot przetwarzający dokonują oceny, jakie środki zabezpieczające należy w danym stanie faktycznym zastosować. Ministerstwo Cyfryzacji jednocześnie wskazuje, iż czasem może okazać się konieczne wdrożenie środków idących dalej niż te wskazane w dobrych praktykach.

I choć zdaniem ministerstwa wydawanie takich rekomendacji wpłynie na poczucie pewności prawnej, z punktu widzenia przedsiębiorców w praktyce może być zupełnie odwrotnie. Należy pamiętać przede wszystkim o dotkliwych karach przewidzianych przez przepisy rozporządzenia liczonych w milionach euro. Osoba, która opiera się na rekomendacjach prezesa Urzędu, nie ma pewności, że wykorzystane przez nią środki są wystarczające i tego przykre konsekwencje może odczuć w przebiegu kontroli. Z drugiej jednak strony należy pamiętać, iż wydanie wskazówek o charakterze regulacyjnym (a nie informacyjnym, jak w tym przypadku) mogłoby być uznane za niezgodne z prawem Unii Europejskiej. Przedsiębiorca jest tu zatem pozostawiony samemu sobie.

Postępowanie według KPA

Obecna propozycja Ministerstwa Cyfryzacji przewiduje, aby postępowanie w sprawach ochrony danych osobowych było prowadzone według przepisów procedury administracyjnej z uwzględnieniem jednak pewnych odrębności.

Co istotne, w projekcie odstąpiono od utrzymania postępowania dwuinstancyjnego na rzecz jednoinstancyjnego, o czym mówi art. 15 projektowanej ustawy. Rozwiązanie takie zostało przyjęte głównie po to, by zapewnić obywatelom możliwość szybszego uzyskania ochrony swoich praw. Jak pokazują wyniki analiz przeprowadzonych przez Ministerstwo Cyfryzacji, średni czas oczekiwania na decyzję generalnego inspektora ochrony danych osobowych w pierwszej instancji wyniósł aż 295,75 dni, zaś w drugiej instancji aż 142,3 dni. Wydaje się zatem, iż zawężenie postępowania do jednej instancji umożliwi uzyskanie ostatecznej decyzji w dużo krótszym czasie, co następnie pozwoli, w przypadku niezadowalającego rozstrzygnięcia, na dużo szybsze skierowanie skargi do sądu.

Opublikowany projekt przewiduje procedurę, w której zostało zapewnione uprawnienie prezesa Urzędu Ochrony Danych Osobowych do autokontroli wydawanych decyzji. Artykuł 31 projektu wskazuje, że jeżeli prezes Urzędu uzna wniesioną skargę za zasadną w całości, może, nie przekazując akt oraz odpowiedzi na skargę sądowi, w terminie 30 dni od dnia wniesienia skargi, uchylić zaskarżoną decyzję i wydać nową, o czym niezwłocznie zawiadamia każdą ze stron, przesyłając im nową decyzję. Od nowej decyzji stronom przysługiwałaby skarga do sądu administracyjnego.

W projekcie ustawy szczególną uwagę zwraca, iż nie wszystkie przepisy kodeksu postępowania administracyjnego mają w niej zastosowanie. Należą do nich w szczególności przepisy dotyczące ugody administracyjnej.

Postępowanie kontrolne

Kolejnym istotnym zagadnieniem są przepisy dotyczące postępowania kontrolnego, które w proponowanej ustawie mają charakter dość rozbudowany i dotyczą przebiegu kontroli oraz czynności pokontrolnych. Jeśli przepisy te, w takim lub podobnym kształcie, zostaną finalnie włączone do polskiej regulacji, każdy przedsiębiorca powinien się z nimi zapoznać – by nie być „przedmiotem", ale „podmiotem" kontroli.

Przepisy szczegółowo określają bowiem przebieg postępowania kontrolnego, rozpoczynając od momentu przybycia urzędników do kontrolowanego podmiotu, wskazując następnie na uprawnienia kontrolujących i obowiązki kontrolowanego podmiotu, a kończąc na sporządzeniu protokołu kontrolnego i ewentualnym zgłoszeniu do niego zastrzeżeń przez kontrolowanego. Prezes Urzędu Ochrony Danych Osobowych w razie stwierdzenia w toku postępowania kontrolnego naruszenia przepisów o ochronie danych osobowych niezwłocznie będzie wszczynał postępowanie.