- Zasadniczo nie powinniśmy wprowadzać krajowych okresów przejściowych – nie pozwala na to RODO. Przepisy polskiej ustawy muszą więc wejść z tą samą datą, z którą wejdzie unijne rozporządzenie - mówi dr Maciej Kawecki w rozmowie z DGP.
dr Maciej Kawecki koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji / Dziennik Gazeta Prawna
W połowie stycznia zakończyły się konsultacje społeczne i zostały przedstawione propozycje zmian w projekcie ustawy o ochronie danych osobowych, jakie wprowadzono po tym etapie. Kiedy należy się spodziewać finalizacji prac nad projektem i uchwalenia ustawy?
Liczymy, że uda nam się przyspieszyć prace. Chcielibyśmy, aby projekt ustawy został w pierwszej połowie lutego skierowany do Komitetu do Spraw Europejskich. Oznacza to, że ma szanse stanąć na posiedzeniu Rady Ministrów pod koniec marca.
Czy do tego czasu uchwalony zostanie również drugi z projektów, ustawa – Przepisy wprowadzające ustawę o ochronie danych osobowych?
W tym przypadku prace również się toczą, ale są mniej zaawansowane – to są naprawdę ogromne zmiany, jeśli idzie o liczbę aktów prawnych. Prace nad ostatecznym kształtem projektów łączymy też z uświadamianiem co do nowych obowiązków wynikających z nowego prawa unijnego. Chcemy też, by w pracach nad przepisami mieli szansę uczestniczyć wszyscy zainteresowani, staramy się wysłuchać wszystkich głosów i uwzględnić je.
W wielu branżach do pełnego wdrożenia RODO niezbędna może być znajomość ostatecznego kształtu zmian do poszczególnych ustaw – mam na myśli np. ustawy regulujące działalność banków lub zakładów ubezpieczeń. Czy wobec braku przepisów, do czasu uchwalenia ich ostatecznego kształtu przez Sejm, polscy przedsiębiorcy powinni się wstrzymać z pełnym dostosowaniem swojej działalności do RODO przed 25 maja 2018 r.?
Projektowane przez ministra cyfryzacji przepisy co do zasady nie zawierają obowiązków. W wielu przypadkach sektorowych wprowadzają pewne innowacje, w obszarze dozwolonym przez prawo unijne, np. w zakresie gromadzenia danych biometrycznych. Ale w żadnym zakresie nie powinno to determinować decyzji przedsiębiorcy o odstąpieniu od przygotowań bądź ich ograniczeniu. Obowiązki mają swoje źródło w RODO, a ono od 25 maja będzie aktem bezpośrednio skutecznym. Na przygotowania mamy już więc naprawdę niewiele czasu.
Czy dla tych, którzy nie zdążą, przewiduje się swoisty okres przejściowy, kiedy będą pouczani, instruowani?
Trzeba pamiętać, że większość, co najmniej 75 proc. obowiązków wynika z samego rozporządzenia unijnego RODO. Tym okresem przejściowym są dwa lata, które zostały przyznane przez ustawodawcę unijnego na przygotowanie do wejścia nowego prawa ochrony danych osobowych. I on się już kończy. Zasadniczo nie powinniśmy wprowadzać krajowych okresów przejściowych – nie pozwala na to RODO. Przepisy polskiej ustawy muszą wejść z tą samą datą, z którą wejdzie rozporządzenie unijne.
Jak zatem nadzór będzie podchodził do przedsiębiorców, którzy nie zdążą?
Trudno mi się wypowiadać w imieniu regulatora, mogę jedynie powiedzieć, jak to widzimy jako Ministerstwo Cyfryzacji, a więc ten organ, który projektuje przepisy. Kary rzeczywiście są, ale powinny być traktowane jako środek ostateczny. Organ nie musi natychmiast podejmować decyzji, w której od razu ukarze przedsiębiorcę. Może wydać decyzję, w której nakaże usunięcie naruszenia przepisów. To, jaką drogę wybierze, zależy od skali naruszenia. Od tego, czy przedsiębiorca działał umyślnie, czy współpracował z organem, czy wdrożył kodeksy postępowania, czy jest certyfikowany czy nie, jak się zaangażował. Na końcu dopiero w grę powinno wchodzić nakładanie kar.