Chcemy zachować złoty środek: chronić dane obywateli, nie ograniczając rozwoju przedsiębiorców, bo dziś dane osobowe są pewną walutą - mówi PAP dr Maciej Kawecki z Ministerstwa Cyfryzacji, koordynator reformy ochrony danych osobowych.

Ministerstwo Cyfryzacji przekazało do konsultacji społecznych projekt nowej ustawy o ochronie danych osobowych. Związany jest on z przyjętym w maju 2016 r. przez Unię Europejską ogólnym rozporządzenie o ochronie danych osobowych (RODO). Kraje członkowskie muszą zastosować przepisy rozporządzenia do 25 maja 2018 r.

Jak mówił PAP dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji i koordynator reformy ochrony danych osobowych, projekt ustawy zakłada nowe podejście do systemu ochrony danych osobowych w Polsce, wprowadza także zmiany w 133 ustawach. "Projektując ustawę, staraliśmy się zachować złoty środek, czyli - z jednej strony - chcieliśmy zachować rozwiązania proobywatelskie, a z drugiej strony - uszanować to, że dane osobowe są dzisiaj pewną walutą, przedmiotem działalności gospodarczej; nie może być tak, że nowe przepisy ograniczą rozwój przedsiębiorców" - powiedział Kawecki.

Projekt zakłada powołanie w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych nowego państwowego organu - Urzędu Ochrony Danych Osobowych. Jego prezes byłby powoływany przez Sejm na wniosek premiera na czteroletnią kadencję i chroniony immunitetem. "Ponieważ prezes urzędu będzie współpracował z władzą ustawodawczą i wykonawczą, chcieliśmy, aby obie władze miały udział w jego wyborze" - wyjaśnił Kawecki.

Odwołanie szefa urzędu będzie możliwe wyłącznie w wyjątkowych przypadkach, np. skazania prawomocnym wyrokiem sądu za umyślne przestępstwo. Projekt zakłada, że to prezes Urzędu Ochrony Danych Osobowych sam będzie przyznawał sobie statut, czyli przyjmował strukturę organizacyjną najlepiej dostosowaną do swoich zadań. Obecnie statut GIODO nadaje prezydent.

Kawecki powiedział, że nowy urząd będzie także nadzorował przetwarzanie danych osobowych przez policję. Delegowany do tego zadania byłby zastępca szefa urzędu, powoływany przez premiera na wniosek ministra spraw wewnętrznych i administracji po zaopiniowaniu przez ministra obrony narodowej i ministra sprawiedliwości, prokuratora generalnego.

Kolejna zmiana proponowana w projekcie to zniesienie dwuinstancyjności postępowań związanych z naruszeniem przepisów o ochronie danych osobowych. Kawecki podkreślił, że ma to przyspieszyć te postępowania. Dodał, że wprowadzono - nieistniejące dotychczas - ograniczenie czasu postępowań kontrolnych w sprawach dotyczących ochrony danych osobowych - do 30 dni.

Kawecki podał, że wśród spraw, które trafiły do sądów, średni czas postępowania w sprawach dotyczących zasad naruszenia ochrony danych osobowych w Polsce wynosi 295 dni do czasu wydania przez GIODO decyzji w I instancji, a do decyzji w II instancji – 437 dni. "Wskazane statystyki pokazują ogromną skalę problemu, z którą mamy do czynienia" - ocenił.

Urząd byłby także uprawniony do wydawania przedsiębiorcom certyfikatów poświadczających standardy ochrony danych osobowych.

Zmiany dotyczą także zasad gromadzenia danych osobowych pracowników związanych z wykorzystaniem monitoringu wizyjnego w miejscu pracy. Kawecki przypomniał, że obecne przepisy Kodeksu pracy, dotyczące gromadzenia danych osobowych pracowników, nie obejmują wizerunku. "Razem z Ministerstwem Rodziny, Pracy i Polityki Społecznej wypracowaliśmy konstrukcję dotyczącą monitoringu wizyjnego w miejscu pracy. Zaproponowaliśmy rozwiązanie, że pracodawca może odebrać zgodę od pracownika na przetwarzanie jego danych osobowych, ale nie może od tej zgody uzależnić trwałości stosunku pracy" - powiedział.

Wyjaśnił, że np. jeśli pracodawca będzie chciał zorganizować imprezę dla pracowników i ich rodzin, a następnie zdjęcia z tego wydarzenia umieścić w internecie, będzie musiał dostać na to zgodę pracowników. Bez ich zgody nie będzie też mógł wysyłać na ich adresy e-mailowe informacji o swoich dodatkowych usługach, z których pracownicy mogą ewentualnie - jako klienci - skorzystać.

Projektowane przepisy po raz pierwszy określają zasady przetwarzania danych biometrycznych przez pracodawców. Będą oni mogli przetwarzać tylko takie dane biometryczne pracownika, które dotyczą stosunku pracy, a pracownik wyrazi na to zgodę.

Kawecki podkreślił, że dane te będą musiały być odpowiednio zabezpieczone. "Chodzi o to, żeby (...) mogły być odszyfrowywane za pomocą algorytmu, który znajduje się tylko po stronie pracodawcy" - dodał.

Jeśli zaś chodzi o sektor bankowy i ubezpieczeniowy, to - jak wyjaśnił Kawecki - projekt zakłada możliwość tworzenia profili osobowych klientów tych instytucji, ale - zaznaczył - tylko w tych celach, które służą działalności tych przedsiębiorców, a nie w celach komercyjnych. "Jeżeli np. byliśmy wcześniej klientami konkretnego banku, będzie on mógł te wszystkie informacje zebrać do jednego worka, stworzyć nasz profil klienta i wykorzystać tę wiedzę, np. przy decyzji kredytowej. Dzisiaj, jeśli takie decyzje są podejmowane, to na podstawie zgody" - powiedział.

W sektorze ubezpieczeniowym zmiany dotyczyć będą także formy odbierania zgody - zamiast pisemnej będzie mogła być elektroniczna. Według Kaweckiego, otworzy to sektorowi ubezpieczeniowemu drogę do jego pełnej cyfryzacji.

Za złamanie przepisów o ochronie danych osobowych przez administrację publiczną projekt przewiduje kary do 100 tys. zł - podał Kawecki.

Rozporządzenie unijne zakłada, że prezes Urzędu Ochrony Danych Osobowych będzie mógł nałożyć kary finansowe od maksymalnie 20 mln euro albo do 4 proc. obrotu na przedsiębiorców.

Resort skorzystał także z uprawnień przysługujących państwom członkowskim przy dostosowaniu przepisów krajowych do rozporządzenia i obniżył z 16 do 13 lat wiek dziecka, do którego konieczne będzie uzyskanie zgody rodzica na przetwarzanie jego danych w internecie.

Projekt nowej ustawy o ochronie danych osobowych trafił w czwartek do konsultacji społecznych, które potrwają do 13 października br. Może wziąć w nich udział każdy, pisząc na adres: konsultacje.odo@mc.gov.pl.