- Po wejściu nowych przepisów podmiotowi łamiącemu prawo o danych osobowych będzie groziła kara. W przypadku administracji publicznej jej maksymalną wysokość w projekcie ustawy określono na 100 tys. zł - wyjaśnia Maciej Kawecki zastępca dyrektora departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator prac nad krajową reformą ochrony danych osobowych.
Od 25 maja 2018 r. także w Polsce bezpośrednio stosowane będzie unijne rozporządzenie RODO (o ochronie danych osobowych). Zdecydowali się państwo z tego powodu napisać na nowo polską ustawę o ochronie danych osobowych. Czy to konieczne?
Tak. Regulacja ma bowiem wyłącznie uzupełnić przyjęte rok temu rozporządzenie unijne, które wejdzie w życie i zacznie być stosowane od maja 2018 r. Rozwiązania zastosowane w obecnej ustawie podlegają więc dezaktualizacji. Zmiany, jakie będzie trzeba wprowadzić do polskich przepisów, dotyczą ok. 140 aktów prawnych, w tym tak znaczących, jak: kodeks pracy, prawo ubezpieczeniowe, prawo bankowe, przepisy o statystyce publicznej, ustawy traktujące o ochronie zdrowia czy działalności kulturalnej. To ogromny pakiet zmian. Potrzebne są też krajowe regulacje uzupełniające przepisy RODO. Projekt jest już w zasadzie gotowy. W pierwszym, najdalej drugim tygodniu sierpnia rozpoczynamy proces legislacyjny.
Czy w tym pakiecie znalazły się też ustawy samorządowe?
Maciej Kawecki zastępca dyrektora departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator prac nad krajową reformą ochrony danych osobowych / Dziennik Gazeta Prawna
Nie, choć wprowadzane zmiany - i unijne, i krajowe - będą miały ogromny wpływ na działania samorządów.
Według projektu generalnego inspektora ochrony danych osobowych zastąpić ma prezes Urzędu Ochrony Danych Osobowych. Zmieni się więc też nazwa urzędu. Czy rzeczywiście jest to potrzebne? Zwłaszcza że mamy obecnie do czynienia z wieloma problemami, także dla urzędników, spowodowanymi roszadami w urzędach.
Zastosujemy następstwo prawne. Pracownicy GIODO staną się pracownikami prezesa urzędu z pełnymi tego konsekwencjami. Legislacyjnie będzie to nowy organ, bo uchylamy podstawę prawną funkcjonowania dzisiejszego. Musimy zmienić nazwę. RODO wprowadza bowiem inspektora ochrony danych (dalej IOD). Jest to osoba wyznaczana przez administratora. Jej zadaniem będzie szeroko rozumiane monitorowanie przestrzegania rozporządzenia wewnątrz organizacji. Pozostawienie GIODO można by zrozumieć jako utworzenie zwierzchnika dla IOD, a tak nie jest. Ponadto utrzymanie obecnej nazwy powodowałoby konieczność nazwania pracowników biura, kontrolujących zobowiązane do przestrzegania przepisów podmioty, inspektorami. To powodowałoby chaos w nazewnictwie.
Czego samorządy mogą się najbardziej obawiać po zmianach?
Obawiać nie trzeba się niczego, ale urzędników czeka trochę pracy. Pakiet zmian wynikający z RODO i prawa krajowego jest bowiem bardzo obszerny. Najważniejsza zmiana to możliwość karania za naruszenie zasad ochrony danych. Dzisiaj takiego przepisu nie ma. Kary mogą być ogromne – do 20 mln euro w przypadku przedsiębiorców. W przypadku administracji publicznej będzie to znacznie mniej – do 100 tys. zł.
Do powołania IOD zobowiązane będą podmioty publiczne. Czy jest w projekcie określone, o które chodzi?
Generalnie wszystkie podmioty publiczne mają obowiązek wyznaczenia IOD, niezależnie od tego, czy pracują w nich 3 osoby, czy 300. Nie są one bezpośrednio określone w projekcie ustawy. W przepisach krajowych doprecyzowujemy, że dotyczy to tych wymienionych w art. 9 ustawy o finansach publicznych. Chodzi m.in. o organy administracji rządowej, kontroli państwowej, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne, samorządowe zakłady budżetowe, jednostki budżetowe, samodzielne publiczne zakłady opieki zdrowotnej, państwowe i samorządowe instytucje kultury.
To znaczy, że swojego IOD muszą powołać zarówno gmina, jak i odrębnie jej zakład budżetowy, każda szkoła, szpital czy związek komunalny. Także komenda policji czy np. powiatowy inspektor sanitarny. Nie jest to nasz pomysł. Wynika z rozporządzenia.
Czy jeden inspektor będzie mógł pracować dla kilku różnych instytucji gminnych?
Od strony prawnej możliwe będzie powołanie jednego IOD dla kilku instytucji. Dziś formalnie zakazu też nie ma i jeden administrator bezpieczeństwa informacji (ABI) może działać w kilku podmiotach. Jednak w każdym z nich formalnie musi być ABI.
Nowe przepisy dopuszczają, by jeden IOD pełnił taką funkcję w kliku podmiotach publicznych. Nie rekomendujemy jednak korzystania z tego rozwiązania. Wydaje się, że chodzi tutaj o szczególne przypadki, gdy z uwagi na przedmiot działań kilka organów jest do siebie bardzo zbliżonych, np. szkoły podstawowe czy biblioteki w gminie. Natomiast możliwe będzie, zwłaszcza w niewielkich organizacjach, pełnienie funkcji IOD przez pracownika wykonującego także inne zadania. Wtedy jednak trzeba będzie pamiętać, że nie może być podległości służbowej między IOD a innymi osobami pełniącymi funkcje kierownicze w danej instytucji. Musi być on bowiem w wykonywaniu swojej funkcji niezależny. Czyli np. sekretarka wójta będzie mogła zostać IOD, bo podlega wyłącznie wójtowi, o ile ma odpowiednią wiedzę i doświadczenie w tym zakresie. Nie należy też łączyć roli IOD z wyższymi funkcjami kierowniczymi (w tym w zakresie kierowania operacjami, finansami, marketingiem, HR, IT), ale także innymi, niższymi funkcjami, o ile ich pełnienie wiąże się z decydowaniem o celach i środkach przetwarzania danych.
Czym będzie się różniła rola inspektora ochrony danych od roli dotychczasowego ABI?
Przede wszystkim znacznie większy nacisk kładzie się w RODO i w projekcie ustawy na administratorów danych. Są nimi zarządzający organizacją, czyli w przypadku urzędu gminy – wójt, a w szkole – jej dyrektor. Rola IOD ma polegać przede wszystkim na wspieraniu administratora danych w zachowaniu zgodności z RODO i pełnieniu roli pośrednika pomiędzy np. organami nadzoru i jednostkami w ramach danej organizacji. Zmieniają się też kwalifikacje IOD. To znaczy, że inspektorami mogą być osoby, które mają nie tylko wiedzę, lecz także doświadczenie związane z ochroną danych osobowych. Do tej pory trzeba było legitymować się tylko wiedzą.
W ilu podmiotach publicznych działają dzisiaj ABI?
W Polsce mamy ponad 25 tysięcy ABI zarejestrowanych w bazie GIODO, z czego w przybliżeniu ponad 17 tys. działa w administracji publicznej. Organów administracji publicznej jest, jak wynika z rejestru REGON, ponad 68 tys. Czyli należy szacować, że do tej pory ABI jest w 1/4 instytucji. Jednak nie należy postrzegać tego stanu rzeczy wyłącznie jako kłopotu. To będzie także oznaczać tworzenie nowych miejsc pracy.
Rozumiem, że ci, którzy pracowali jako ABI, stosownym doświadczeniem będą się legitymować. Skąd wziąć jednak osoby z doświadczeniem w podmiotach, w których ABI do tej pory nie było?
Musi się wykształcić klasa tych specjalistów. Na pewno mogą nimi zostać dotychczasowi ABI. Osób z doświadczeniem trzeba też szukać w działach kadr wśród tych, którzy zajmują się przetwarzaniem i zabezpieczaniem danych osobowych. Także w pionach IT czy wśród pracowników działów prawnych.
Nowe zasady mają także dotyczyć kontroli. Jakie uprawnienia zyska nowy Urząd Ochrony Danych Osobowych?
Zamierzamy przyznać kontrolerom wsparcie policji, np. w razie trudności z wejściem na teren zakładu. Ponadto chcemy, żeby kontrole nie były zapowiadane. Do tej pory była konieczność zapowiedzenia. Kontrola mogłaby być też przeprowadzana w trakcie trwania innej. Jednak określamy też, że nie będzie mogła trwać dłużej niż 30 dni.
Coraz więcej organów stara się o wyłączenie spod przepisów o swobodzie działalności gospodarczej...
To prawda, ale trudno sobie wyobrazić, że np. doszło do dużego wycieku danych, a my nie mamy możliwości sprawdzenia podmiotu, bo trwa w nim np. kontrola Państwowej Inspekcji Pracy. W trakcie dotychczasowych prekonsultacji nie mieliśmy żadnych uwag co do możliwości prowadzenia w takiej sytuacji dwóch kontroli.
Kiedy nowa ustawa ma szansę wejść w życie?
Chcielibyśmy, żeby została uchwalona jeszcze w tym roku bądź na początku przyszłego, ale biorąc pod uwagę proces legislacyjny, bardziej prawdopodobne jest, że zostanie przyjęta w lutym, tak byśmy mieli przynajmniej trzymiesięczne vacatio legis. Ustawa musi wejść w życie dokładnie w dniu, w którym zacznie obowiązywać RODO, czyli 25 maja 2018 r.