Od 25 maja 2018 r. zaczną być stosowane nowe unijne przepisy o ochronie danych osobowych. Oznacza to sporo dodatkowych obowiązków nie tylko dla przedsiębiorców, ale też i dla Urzędu Ochrony Danych Osobowych, który zastąpi obecnego generalnego inspektora ochrony danych osobowych.

To od sprawności jego pracy w znacznej mierze będzie zależeć, jak zafunkcjonują nowe przepisy. Musi być przygotowany na obsługę nawet 55 tys. zgłoszeń o naruszeniach rocznie, będzie zajmował się wydawaniem certyfikatów dla firm, zatwierdzaniem branżowych kodeksów postępowań i konsultowaniem oceny skutków dla przetwarzania danych osobowych. Nic więc dziwnego, że jego tegoroczny budżet ma zostać ponad dwukrotnie zwiększony, co wynika choćby z konieczności zatrudnienia 100 nowych pracowników.

Właśnie okazało się, że pieniądze te zostaną uruchomione nie wcześniej niż po wejściu w życie nowej ustawy o ochronie danych osobowych, czyli na chwilę przed 25 maja, kiedy zacznie być stosowane unijne rozporządzenie o ochronie danych osobowych 2016/679 (RODO).

– To oznacza, że organ ochrony danych osobowych w Polsce zostaje pozbawiony możliwości przygotowania się do tego, by sprostać nowym obowiązkom na czas. W maju, gdy będzie już stosowane RODO, my dopiero będziemy startować z naborem nowych pracowników i przetargami na sprzęt czy oprogramowanie. Już samo znalezienie pomieszczeń dla 100 nowych pracowników wymagać będzie czasu. To wszystko sprawi, że pełną efektywność zyskamy dopiero po kilku miesiącach – alarmuje dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.

Trzeba czekać

W budżecie na ten rok przeznaczono dla GIODO ok. 21 mln zł. Jednocześnie jednak Ministerstwo Cyfryzacji przewidziało w projekcie nowej ustawy o ochronie danych osobowych zwiększenie tych wydatków o ponad 29 mln zł. Pieniądze na ten cel są przewidziane w rezerwie budżetowej.

Nowe obowiązki, nowe etaty

Nowe obowiązki, nowe etaty

źródło: Dziennik Gazeta Prawna

GIODO poprosiło Ministerstwo Finansów o potwierdzenie, że może z nich korzystać już teraz, aby móc rozpocząć reorganizację biura i nabór nowych pracowników. Z odpowiedzi wynika, że będą one do dyspozycji dopiero po uchwaleniu ustawy, przy czym zostaną pomniejszone o okres, do którego ustawa nie wejdzie w życie i nie zostaną zatrudnieni dodatkowi pracownicy. Mówiąc wprost – GIODO czy też już UODO musi czekać z rozpoczęciem reorganizacji do wejścia w życie nowej ustawy. Jej projekt nie został jeszcze nawet skierowany do Sejmu.

To zaś oznacza, że 25 maja nowy urząd nie będzie przygotowany do realizacji nowych zadań ustawowych. Tymczasem z siedmiu dotychczasowych ich liczba urośnie do 22.

– Wymaga to reorganizacji biura, powołania zupełnie nowych działów, chociażby do konsultowania oceny skutków dla ochrony danych, przyjmowania zgłoszeń o wyciekach, konsultowania i zatwierdzania kodeksów postępowań czy prowadzenia certyfikacji. Do teraz nie zajmowaliśmy się tym. Gdybyśmy mogli z wyprzedzeniem zatrudnić i przeszkolić pracowników, moglibyśmy realizować te obowiązki od 25 maja 2018 r. Brak środków sprawi, że nie będziemy mogli terminowo rozpocząć wypełniania ciążących na nas zadań – mówi dr Edyta Bielak-Jomaa.

Jednocześnie dodaje, że na scenie unijnej, na którą to przenosi się obecnie problematyka ochrony danych osobowych, możemy zacząć być postrzegani jako niewiarygodny partner, który nie zapewnia odpowiedniego poziomu ochrony danych obowiązującego w całej UE

Zostaniemy w tyle

Skutki opóźnień odczują zarówno przedsiębiorcy, jak i zwykli obywatele. Ci pierwsi mogą mieć choćby problem z zawieraniem nowych kontraktów z partnerami zagranicznymi czy nawet startem w publicznych przetargach. Od 25 mają będzie bowiem można od nich wymagać posiadania certyfikatów w zakresie ochrony danych osobowych. UODO zaś przez pewien czas nie będzie mogło ich wydawać. Inny przykład to ocena skutków dla ochrony danych osobowych. Jeżeli wynika z niej ryzyko dla prywatności, to przepisy wymagają od firm konsultacji z UODO. W projekcie ustawy wprowadzono termin instrukcyjny – 30 dni. Jeśli jednak urząd nie będzie przygotowany, to takie konsultacje mogą przeciągnąć się o wiele miesięcy. W tym czasie przedsiębiorca nie będzie mógł wdrożyć nowej usługi, co grozi tym, że wyprzedzi go konkurencja.

Podobna sytuacja może dotyczyć branżowych kodeksów postępowań. Wiele izb przedsiębiorców jest zainteresowanych ich stworzeniem, ale okazuje się, że na zatwierdzenie będą musieli poczekać.

Z kolei zwykli obywatele nie mogą mieć pewności, że zgłaszane do UODO naruszenia ochrony ich danych osobowych będą sprawnie analizowane. Chodzi m.in. o zgłoszenia na temat wycieków danych. Do ich obsługi konieczny jest zakup specjalnego systemu informatycznego.

Eksperci nie mają wątpliwości, że środki na dodatkowe zadania już dawno powinny być uruchomione.

– Opóźnienie będzie stanowić zagrożenie dla sprawnego funkcjonowania urzędu w początkowym okresie stosowania RODO. Co gorsza, może to być bardzo zły sygnał dla całego rynku. Oczywiste jest bowiem, że administratorzy właśnie w tym początkowym okresie będą bacznie przyglądać się, jak organ nadzorczy reaguje na zgłoszenia o naruszeniach. Jeśli okaże się, że nie reaguje, albo też reaguje z opóźnieniem, to może to działać demobilizująco, co w dłuższej perspektywie oznacza szkodę dla wszystkich – zarówno dla obywateli, jak i przedsiębiorców czy administracji publicznej – ostrzega Grzegorz Sibiga, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy i kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN.