400 osób w największej sali Sejmu, 641 uwag wyliczonych na prawie 700 stronach – tak wyglądało wczorajsze spotkanie konsultacyjne w sprawie projektu ustawy o ochronie danych osobowych. Najdalej w kwietniu ma on trafić do Sejmu, gdzie nie pozostanie już zbyt wiele czasu na prace nad nim. Godzina zero to 25 maja 2018 r., kiedy to w całej Unii Europejskiej zacznie obowiązywać nowe rozporządzenie w sprawie ochrony danych osobowych 2016/679 (RODO).

Ministerstwo Cyfryzacji, które jest autorem projektu, uwzględniło niektóre uwagi. Twardo natomiast obstaje przy zmianie sposobu powoływania prezesa Urzędu Ochrony Danych Osobowych, który zastąpi dzisiejszego generalnego inspektora ochrony danych osobowych. Ma on być powoływany przez Sejm, ale nie na wniosek 35 posłów, jak jest to dzisiaj, tylko na wniosek premiera.

Część organizacji pozarządowych, a także sam GIODO uważają, że może to prowadzić do upolitycznienia nowego organu. Tak naprawdę bowiem to prezes Rady Ministrów będzie decydował, kogo widzi na stanowisku prezesa UODO. Sejm będzie mógł jedynie powołać wskazaną osobę. Przy braku kontrkandydatów samo głosowanie wydaje się czystą formalnością.

Doktor Maciej Kawecki, koordynator krajowej reformy danych osobowych z Ministerstwa Cyfryzacji, zapewniał jednak, że tak nie będzie. Jego zdaniem zaproponowany sposób siłą rzeczy wymusi współpracę między władzą wykonawczą i ustawodawczą.

– Zakładamy, że taka formuła będzie prowadziła do uzgadniania kandydatury pomiędzy prezesem Rady Ministrów a marszałkiem Sejmu. Chcemy uniknąć sytuacji, które miały już miejsce w przeszłości, gdy przez pół roku nie można było powołać GIODO, bo nie mogła się zebrać grupa 35 posłów – przekonywał na wczorajszej konferencji.

Z poglądem tym polemizował Wojciech Klicki z Fundacji Panoptykon. Zwrócił uwagę, że fundamentalną rolą prezesa UODO będzie kontrolowanie działań władzy wykonawczej, a nie ustawodawczej. Dlatego pozostawienie obecnego sposobu powoływania prezesa byłoby jak najbardziej uzasadnione.

– W rozwiązaniu przyjętym w projekcie Sejm będzie w zasadzie potwierdzał wybór osoby wskazanej przez premiera – podkreślił Wojciech Klicki.

MC zgodziło się jedynie na drobne ustępstwo dotyczące sposobu powoływania zastępców prezesa UODO. Pierwotnie mieli być narzucani przez szefów resortów cyfryzacji i spraw wewnętrznych. Zgodnie z najnowszą wersją będzie ich powoływał sam prezes UODO, ale na wniosek wspomnianych ministrów.

Inspektor bez zastępcy

Autorzy projektu nie znaleźli natomiast podstaw do wprowadzenia instytucji zastępcy inspektora ochrony danych (IOD). Przypomnijmy: specjaliści ci zastąpią dzisiejszych administratorów bezpieczeństwa informacji (ABI). Jak przyznaje samo ministerstwo, pierwszy okres po wejściu w życie nowych przepisów może być trudny. Będą one wymagać zatrudnienia IOD przez każdego administratora danych z administracji publicznej. Jak szacuje MC, chodzi o 77 tys. podmiotów publicznych. Tymczasem w tej chwili w Polsce nie ma nawet 20 tys. ABI. Jak łatwo wyliczyć, większość administratorów z sektora publicznego może mieć poważny problem z powołaniem IOD.

Pomóc mają w tym przepisy pozwalające na wspólne powoływania IOD przez kilka różnych podmiotów. Przykładowo wszystkie przedszkola w całej gminie będzie mógł obsłużyć jeden inspektor. Co jednak będzie, jeśli zachoruje? Jak zapewniło MC, wolno mu wtedy będzie upoważnić inną osobę do wykonywania swych zadań. Podobnie zresztą, gdy nie będzie dawał sobie rady z natłokiem obowiązków. A sama obsługa odpowiedzi na pytania nadchodzące ze strony osób, których dane są przetwarzane, może generować sporo pracy.

Przy okazji dr Maciej Kawecki zapewnił, że przepisy gwarantują podwójną niezależność IOD. Z jednej strony od samego pracodawcy, a z drugiej od prezesa UODO. Drobną, acz postulowaną przez środowisko ABI zmianą będzie możliwość podawania we wniosku zgłoszenia IOD siedziby przedsiębiorcy, a nie tylko miejsca zamieszkania. Osoby prowadzące działalność indywidualną wolą wskazać siedzibę biura niż prywatny adres.

14-latek jak dorosły

Sporo uwag zgromadzonych podczas konsultacji dotyczyło pozyskiwania zgody na przetwarzanie danych osób nieletnich. Polska wzorem wielu krajów zdecydowała się obniżyć do 13 lat wiek, do którego koniecznie jest uzyskiwanie na to zgody rodzica. Przedstawiciele organizacji zajmujących się bezpieczeństwem dzieci postulowali, by granica ta była ustanowiona na podstawowym poziomie wynikającym z RODO, czyli na wieku 16 lat. Resort cyfryzacji nie uwzględnił tych sugestii.

– To rozwiązanie nowe, które nakłada na przedsiębiorców dodatkowe obowiązki. Dlatego też, szukając złotego środka, obniżyliśmy wiek, do którego dzieci będą objęte specjalnymi zasadami – tłumaczył dr Maciej Kawecki.

Jednocześnie też tłumaczył, dlaczego nie mógł sprostać postulatom płynącym ze strony przedsiębiorców, którzy woleliby mieć jasno wynikającą z przepisów procedurę weryfikacji, czy zgody udziela rodzic. Koordynator prac nad reformą wyjaśnił, że kontaktował się w tej sprawie z Komisją Europejską, która wprost oznajmiła, że jakakolwiek próba skonkretyzowania przepisów zostanie uznana za niezgodną z RODO. Dlatego też jedynie przykładowo można wskazać na sposoby polegające na zakładaniu zweryfikowanych (np. przez telefon) kont rodzicielskich czy też przelewaniu symbolicznej kwoty 1 gr w celu potwierdzenia wieku.

MC próbowało przy tym rozwiać pewne nieporozumienie narosłe wobec nowych przepisów. Nie mogą być one traktowane jako chroniące dzieci przed pornografią czy uzależnieniem od gier. Służą bowiem jedynie ochronie danych osobowych.

Setki uwag do projektu

Setki uwag do projektu

źródło: Dziennik Gazeta Prawna

Sporą zmianą w stosunku do wcześniejszej wersji projektu będzie natomiast umożliwienie certyfikacji przez prywatne firmy. Certyfikaty mają potwierdzać spełnianie standardów związanych z bezpieczeństwem danych.

Zgodnie z najnowszą wersją projektu Polskie Centrum Akredytacji będzie akredytowało chętnych do wydawania takich certyfikatów. Mają oni stanowić konkurencję dla UODO, który także będzie miał takie uprawnienia.

Etap legislacyjny

Projekt po konsultacjach