Ochroną danych osobowych zajmie się nowa instytucja z uprawnieniami do ustalania zasad ochrony danych, kontrolowania oraz karania. Wzrosną również uprawnienia organizacji społecznych działających w tym obszarze. Wymogi i kary będą wyższe.

28 marca Ministerstwo Cyfryzacji przedstawiło pierwszy roboczy projekt Ustawy o ochronie danych osobowych wprowadzającej do polskiego porządku prawnego rozporządzenie Parlamentu Europejskiego i Rady w tej sprawie (dalej: RODO). Ministerstwo zakłada, że projekt trafi do sejmu jesienią. Jest bardzo uważnie analizowany, zwłaszcza w środowisku prawniczym. Finalna wersja ustawy musi być gotowa przed 25 maja 2018 roku, kiedy w Europie zacznie obowiązywać RODO.

Wedle projektu nowej ustawy Generalnego Inspektora Ochrony Danych Osobowych ma zastąpić prezes Urzędu Ochrony Danych Osobowych (UODO). Ta instytucja dostanie także szerokie uprawnienia w zakresie uszczegółowienia zasad ochrony danych, kontroli i karania.

UODO wskaże jak chronić dane

Obecnie obowiązująca ustawa nakłada wymóg stosowania „odpowiednich środków zabezpieczających”, nie precyzuje jednak, kto ma wskazywać, jakie to są środki. Generalny Inspektor Ochrony Danych Osobowych wydaje w tym zakresie wytyczne, które nie mają mocy powszechnie obowiązującej. Po drugie nie ma on obowiązku ich wydawania. Wytyczne te mają charakter zbliżony do opinii, a nie nakazu stanowiącego sui generis regulację prawną.

Reklama

Nowa ustawa ma to zmienić. W artykule 2 projektu ustawy wskazano, że prezes UODO opracowuje i udostępnia na stronie internetowej dobre praktyki przetwarzania danych osobowych, zawierające rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Co prawda w projekcie nie znalazł się zapis mówiący o tym, że praktyki te wiążą bezwzględnie wszystkie podmioty przetwarzające dane na terenie Polski, ale sposób sformułowania wspomnianego artykułu oraz przepisów dotyczących kontroli nakazuje wnioskować, że tak właśnie będzie.

Zaproponowane przez Ministerstwo Cyfryzacji rozwiązanie należy ocenić pozytywnie. Z jednej strony regulacja jest otwarta na dynamicznie rozwijające się technologie i zagrożenia bezpieczeństwa. Z drugiej przyznaje prezesowi UODO prawo do ustanawiania „dobrych praktyk”, które będą obowiązywały przetwarzających dane osobowe.

Rozwiązanie to nie jest nowe. Można przewidywać, że dobre praktyki ogłaszane przez UODO będą miały formułę zbliżoną do wytycznych i rekomendacji wydawanych przez KNF dla podmiotów z sektora finansowego, czyli będą stanowiły specjalistyczne uszczegółowienie obowiązków ustawowych.

Ważne – i o to należy postulować – aby tego typu dobre praktyki i rekomendacje były zsynchronizowane i nakładały na podmioty zobowiązane do ich stosowania tożsame obowiązki. Ciężko sobie bowiem wyobrazić sytuację, w której dobre praktyki prezesa Urzędu Ochrony Danych Osobowych będą nakładały na przykład na podmioty działające w sektorze ubezpieczeniowym niższe wymagania niż wynika to z wytycznych KNF. Podkreślenia wymaga, że KNF wydał między innymi rekomendację dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji, której zakres przedmiotowy z pewnością będzie nakładał się w sporej części na dobre praktyki, które zostaną wydane przez prezesa UODO.

Propozycje ustawodawcy

Projekt ustawy o ochronie danych osobowych wskazuje, że polski ustawodawca chce wprowadzić system certyfikacji, proponowany – ale nie narzucany – przez RODO. UODO ma akredytować podmioty posiadające odpowiednie kwalifikacje do wystawiania certyfikatów, znaków jakości i oznaczeń mających świadczyć o zgodności przetwarzania danych z RODO. W ten sposób zbudowana zostanie sieć specjalistycznych jednostek z zakresu ochrony danych osobowych, które będą badać sposób przetwarzania oraz wydawać zalecenia w tym zakresie. Prawdopodobnie jednostki te będą również informować prezesa Urzędu o stwierdzonych naruszeniach.

Projekt ustawy przewiduje, że postępowanie w sprawie naruszenia danych osobowych będzie jednoinstancyjne. Ma to uprościć procedowanie. Dotychczas postępowanie było teoretycznie dwuinstancyjne. W związku z faktem, że GIODO jest naczelnym organem administracji publicznej, nie przysługiwało odwołanie do organu wyższego rzędu, ale wniosek o ponowne rozpoznanie sprawy przez ten sam organ. Najczęściej kończyło się to utrzymaniem decyzji w mocy.

Kontrole i wysokie kary

Ustawa wprowadza również szereg regulacji dotyczących przeprowadzania kontroli w zakresie ochrony danych osobowych – zgodnie z planem kontroli, ale dopuszczono też przeprowadzanie kontroli doraźnych. Co ciekawe, w projekcie wskazano, że przyczyną takich kontroli mogą być na przykład informacje lub analizy uzyskane przez prezesa Urzędu.

Kontrolerzy (RODO posługuje się terminem audytorzy) będą mieli prawo do:

- wstępu na tereny zamknięte i do lokali, wglądu do wszelkich dokumentów i informacji związanych ze sprawą,
- przeprowadzania oględzin urządzeń, nośników i systemów informatycznych oraz żądania składania wyjaśnień, w formie pisemnej oraz ustnej.
- możliwość wzywania w charakterze świadka wszystkich osób mających związek ze sprawą.

O tym jak poważnie ustawodawca podchodzi do nowej formuły kontroli świadczy fakt, że kontrolerzy będą mogli korzystać ze wsparcia Policji oraz innych funkcjonariuszy organów kontroli państwowej.

Kolejną zmianą, na którą warto zwrócić uwagę, jest przyznanie organizacjom społecznym prawa do wszczynania postępowań w zakresie ochrony danych osobowych oraz przystępowania do tych, które zostały już wszczęte. Oczywiście pod warunkiem, że mieści się to w ramach ich działalności statutowej. Przewidywać należy wzrost ilości i aktywności takich organizacji. Będą one udzielać pomocy osobom fizycznym w dochodzeniu ich praw oraz będą patrzeć na ręce przetwarzającym dane osobowe.

Dlatego też, będziemy mieć de facto do czynienia z dwoma rodzajami kontroli, administracyjnymi i społecznymi.

Zaskakującym elementem projektu polskiej ustawy jest propozycja obniżenia górnej granicy odpowiedzialności finansowej za naruszenia ochrony danych osobowych dla części jednostek sektora publicznego do 100 tys. zł. RODO przewiduje bowiem wysokie kary finansowe, sięgające dziesiątek milionów euro. Klucz podziału tych jednostek jest niezrozumiały. Przykładowo jednostki samorządowe ponoszą odpowiedzialność nieograniczoną, a odpowiedzialność ZUS i NFZ jest ograniczona do wyżej wskazanej kwoty.

Brak jest uzasadnienia dla tak drastycznego obniżenia poziomu kar dla jednostek, które gromadzą i przetwarzają newralgiczne dane obywateli, takie jak informacje o zaległościach w opłacaniu składek na ubezpieczenia, stanie zdrowia itd.

Propozycję tę należy ocenić krytycznie. Rażąca jest proponowana dysproporcja kar. Podmioty prywatne i publiczne nieobjęte ograniczeniem, w przypadku nie zastosowania odpowiednich do ryzyka i zagrożeń środków organizacyjnych i technicznych zabezpieczających przetwarzanie danych, w tym brak szyfrowania, gdy taki środek jest odpowiedni z uwagi na ryzyka i zagrożenia mogą ponieść karę w wysokości do 10 mln euro, a w przypadku przedsiębiorstw – do 2 proc. całkowitego rocznego obrotu z poprzedniego roku. Zastosowanie znajduje kwota wyższa.

Z projektu ustawy o ochronie danych osobowych wprowadzającej RODO jednoznacznie wynika, że tematyka ta będzie traktowana niezwykle poważnie. Dlatego już teraz warto odpowiednio się przed tym zabezpieczyć. Wielu ekspertów podkreśla, i słusznie, że najtrudniejszą częścią będzie zabezpieczenie danych w systemach informatycznych.

Autor: Piotr Biernatowski