W razie wycieku źle zabezpieczonych danych ZUS czy NFZ zapłaci maksymalnie 100 tys. zł kary, a nie jak prywatne firmy do 20 mln euro – wynika z projektu nowej ustawy o ochronie danych osobowych.
Opublikowany wczoraj przez Ministerstwo Cyfryzacji projekt nie jest jeszcze skończony i prace nad nim będą kontynuowane. Już ta wersja zapowiada jednak wiele istotnych zmian w przepisach o ochronie danych osobowych. Potwierdza się to, o czym DGP już informował – nowy organ stojący na straży prywatności nie będzie nosił nazwy Generalnego Inspektora Ochrony Danych Osobowych. Zastąpi go Urząd Ochrony Danych Osobowych. Chodzi o to, by uniknąć mylenia pracowników GIODO z inspektorami ochrony danych, czyli niezależnymi ekspertami, którzy zastąpią dzisiejszych administratorów bezpieczeństwa informacji.
– Spytaliśmy Komisję Europejską, czy możemy angielskie określenie „data protection officer” przetłumaczyć jako „oficerowie ochrony danych”. Niestety otrzymaliśmy odpowiedź odmowną. Dlatego też musimy zmienić nazwę organu. Inaczej jego kontrolerzy nazywaliby się tak samo, jak specjaliści pracujący w prywatnych firmach czy instytucjach publicznych – wyjaśnia dr Maciej Kawecki z Ministerstwa Cyfryzacji, który przygotowuje nową ustawę.
Ochrona nieletnich
Nowe przepisy mają na celu dostosowanie polskich regulacji do unijnego rozporządzenia 2016/679 o ochronie danych osobowych. Rozporządzenie to zakłada szczególną ochronę osób niepełnoletnich, co do których zgodę na przetwarzanie danych osobowych musi wyrazić rodzic lub opiekun prawny. Cezurą jest ukończenie 16 lat, ale państwa członkowskie mogą nieco zliberalizować te obostrzenia. MC proponuje, by zgoda była wymagana do momentu ukończenia 13 lat, czyli wieku, od którego zgodnie z kodeksem cywilnym przysługuje ograniczona zdolność do czynności prawnych.
– Uważam to za dobry kompromis. Z jednej strony serwisy internetowe, bo to przecież głównie o nie chodzi, będą miały nieco mniej obowiązków związanych ze zbieraniem zgód rodziców i ich archiwizowaniem, z drugiej zaś nie widzę powodu, by trzynastoletni użytkownicy nie mogli pobrać gry czy filmu, skoro kodeks cywilny przyznaje im prawo do rozporządzania pieniędzmi, które zarobią w ten czy inny sposób – ocenia Marcin Cwener, prawnik Omni Modo.
Procedury związane z ochroną danych osobowych mają być szybsze / Dziennik Gazeta Prawna
Po wejściu w życie nowych regulacji serwisy internetowe przetwarzające dane osobowe będą musiały się podczas rejestracji pytać o wiek użytkowników. W przypadku młodszych niż 13 lat zgodę na przetwarzanie będzie wyrażał rodzic. W interesie administratora serwisu będzie stworzenie systemu weryfikującego prawdziwość takich oświadczeń.
Fundacja Panoptykon, która zajmuje się ochroną prywatności uważa, że określenie progu na 13 czy 16 lat to rzecz wtórna.
– Istotniejsze jest, by dzieci zdawały sobie sprawę, że to, co wrzucą do internetu, może tam pozostać na zawsze i za wiele lat może być odczytane choćby przez ich potencjalnego pracodawcę. Warto się zastanowić, czy przepisy nie powinny zobowiązywać administratorów do przekazywania tego typu informacji w sposób zrozumiały także dla najmłodszych użytkowników – uważa Katarzyna Szymielewicz z Panoptykonu.
Nierówne kary
Unijne rozporządzenie przewiduje gigantyczne kary za naruszanie przepisów o ochronie danych. Ich maksymalna wysokość to nawet 20 mln euro. Krajowe regulacje mogą być jednak łagodniejsze, jeśli naruszenia dopuszczają się podmioty publiczne. Z możliwości tej postanowiło skorzystać Ministerstwo Cyfryzacji, wyznaczając górną granicę kar nakładanych na ZUS czy NFZ na kwotę 100 tys. zł.
– Sankcje liczone w milionach euro mogłyby działać paraliżująco, a w przypadku nałożenia ich zagrozić płynności finansowej instytucji publicznych. Dlatego szukaliśmy kompromisu, który z jednej strony działał wystarczająco odstraszająco, z drugiej jednak nie groził utrudnieniami w realizacji zadań publicznych. W polskich warunkach 100 tys. zł to i tak duża kwota – tłumaczy dr Maciej Kawecki.
Nie wszyscy podzielają tę opinię.
– Wysokość kar w unijnym rozporządzeniu pomyślana jest jako bariera psychologiczna. Firmy i instytucje miały mieć motywację, by się przygotować na tyle dobrze, aby ich nie płacić. Takie kwoty w przypadku mniejszych organizacji oznaczają bowiem niewypłacalność. Sprowadzenie kwoty do równowartości rocznej pensji początkującej sekretarki we Francji sprawi, że administracja stanie się bezkarna – uważa dr Łukasz Olejnik, konsultant prywatności i cyberbezpieczeństwa oraz badacz na University College London.
Szybsze postępowania
Jednym z istotnych celów nowych przepisów ma być skrócenie postępowań dotyczących ochrony danych osobowych. Dlatego też resort cyfryzacji proponuje, aby decyzje wydawane przez Urząd Ochrony Danych Osobowych miały charakter jednoinstancyjny. Ewentualna skarga na nie kierowana byłaby od razu do sądu administracyjnego, a nie jak to jest teraz do ponownego rozpoznania przez sam organ.
– Zgodnie z argumentacją ministerstwa, głównym założeniem jest przyśpieszenie postępowań przed organem. Pozbawia to jednak stronę postępowania jednego ze środków odwoławczych, co istotne, bezkosztowego – zauważa Sylwia Kuca, adwokat w Kancelarii Domański Zakrzewski Palinka.
Zdaniem resortu, brak drugiej instancji w postępowaniu równoważy przyznane Urzędowi Ochrony Danych Osobowych uprawnienie do autokontroli swej decyzji. W ciągu 30 dni od wniesienia skargi do sądu będzie on mógł uchylić decyzję i wydać nową. Same postępowania toczące się przed urzędem mają być krótsze – projekt daje mu jeden miesiąc na zakończenie kontroli.
Osoby, których dane są przetwarzane z naruszeniem przepisów, będą mogły dodatkowo dochodzić swych praw w nowej, niezależnej procedurze przed sądami cywilnymi.
– Dzisiaj też mogą wysuwać takie roszczenia, tyle że na wyrok czeka się latami. Nowe przepisy zobowiążą sąd do rozpoznania w terminie trzech dni wniosków o zabezpieczenie roszczeń, co zapewni bez porównania lepszą ochronę osobom, których dane są przetwarzane z naruszeniem prawa – ocenia Katarzyna Szymielewicz.