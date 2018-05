Unijne rozporządzenie o ochronie danych osobowych 2016/679 (RODO) zacznie być stosowane 25 maja i od tej chwili każdy administrator będzie musiał działać w zgodzie z nim, nawet jeśli polska ustawa nie wejdzie jeszcze w życie. Rozporządzenie obowiązuje bowiem wprost – polskie przepisy mają za zadanie jedynie je doprecyzować. Ustawa jest jednak bardzo istotna, dlatego dobrze, że wejdzie w życie jeśli nie 25 maja, to niedługo później.

– Mimo że większość obowiązków związanych z ochroną danych osobowych wynika wprost z RODO, ustawa uzupełniając je, wyznacza kierunek krajowego systemu ochrony naszej prywatności. Dla nas jest ona więc bardzo ważnym krokiem w zakresie polepszenia ochrony naszej prywatności – podkreśla dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, które przygotowywało projekt.

– To regulacje krajowe są podstawą prawną dla wydawania rekomendacji określających sposoby zabezpieczenia danych. Znoszą też dwuinstancyjność postępowania w sprawie naruszenia danych, uprawniają organ do wydawania postanowień zabezpieczających w przypadku powzięcia informacji o naruszeniu. Długo by tak wymieniać. Ustawa zawiera dużo mechanizmów zarówno proobywatelskich, jak i probiznesowych. I taki był nasz cel – próba poszukiwania w tym wszystkim racjonalności – dodaje.

Jednym z największych punktów spornych podczas prac nad projektem była pozycja Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych. Początkowo jego prezesa miał wybierać Sejm z kandydatów wskazanych przez premiera. Krytycy tego pomysłu podkreślali, że w praktyce to właśnie szef rządu decydowałby o obsadzeniu tego urzędu. Jeszcze bardziej nietypowy miał być sposób powoływania zastępców prezesa – mieli ich narzucać dwaj ministrowie.

Niezależność obroniona

– Zmianę tych propozycji uważam za jeden z najważniejszych sukcesów podczas prac legislacyjnych. Udało się zachować niezależność organu, który będzie wybierany w taki sposób, jak dotychczas był wybierany GIODO. Sam też będzie wyznaczał sobie zastępców i nadawał statut – mówi dr Edyta Bielak-Jomaa, GIODO.

– Od dawna podkreślałam, że tylko niezależny, silny i skuteczny organ ochrony danych osobowych może efektywnie bronić podstawowych praw obywateli, jakimi są prawo do prywatności i prawo do ochrony danych osobowych – dodaje.

– Żałuję natomiast, że nie udało się przekonać projektodawców do zachowania nazwy organu. Jego zmianę uważam za zwyczajnie nieracjonalną, generującą dodatkowe, niepotrzebne koszty. Z dodatkowymi kosztami, które niepotrzebnie będą obciążać budżet UODO, wiąże się też działalność Rady ds. Ochrony Danych Osobowych. Mówiąc wprost – nie widzę potrzeby jej powoływania, zwłaszcza że od dawna przy GIODO działa społecznie komisja ekspertów – dodaje.

Stosują nawet najmniejsi

Dobra wiadomość dla przedsiębiorców jest taka, że jeśli zbierali zgody na przetwarzanie danych z poszanowaniem dotychczasowych przepisów, to zachowają one ważność także pod nowymi. RODO poszerza natomiast zakres informacji, jakie należy przekazywać przy zbieraniu nowych zgód. Nakazuje również informować klientów o poważniejszych wyciekach danych.

Podczas prac nad projektem pojawił się pomysł, by z części tych obowiązków, pod pewnymi warunkami, zwolnić przedsiębiorców. Początkowo przywilejem tym miał być objęty cały sektor MSP, później tylko mikrofirmy zatrudniające do dziewięciu osób. Zastrzeżenia do tego pomysłu zgłosiła jednak Komisja Europejska, dlatego rząd wycofał się z tych propozycji.

– W mojej ocenie propozycja ta zapadła jednak mocno w głowach przedsiębiorców. Liczą oni na to, że ich modeli biznesowych nie będzie trzeba dostosowywać do rozporządzenia, albowiem zatrudniają znacznie mniej pracowników niż 250 osób. Mam nadzieję, że informacja o tym, że zwolnień tych nie będzie, dotrze do wszystkich – uczula Piotr Liwszic, specjalista ds. ochrony danych ODO 24.

Zwraca on uwagę, że dla przedsiębiorców ważnym atutem rynkowym będzie posiadanie certyfikatu świadczącego o zgodności z RODO.

– Warto jednak pamiętać, że obecnie nie istnieje możliwość uzyskania takich certyfikatów i w mojej opinii nie należy oczekiwać, iż nowo powołany organ uzna certyfikacje za swoje priorytetowe działanie – zauważa ekspert.

Niestety na rynku sporo jest nierzetelnych firm, które już teraz oferują różnego rodzaju świadectwa, np. po przeprowadzeniu szkolenia, starając się przy tym wywrzeć na klientach wrażenie, że chodzi właśnie o certyfikaty zgodności z RODO. Przed tego typu naciągaczami ostrzega na swej stronie internetowej GIODO.

Istotną zmianą w polskiej ustawie, w stosunku do tego, co początkowo proponowano, jest podwyższenie z 13 do 16 lat wieku, do którego na przetwarzanie danych dziecka muszą zgodzić się rodzice i opiekunowie. W praktyce uzyskiwanie tych zgód może rodzić sporo problemów.

Domniemanie winy

Choć polska ustawa będzie dla wielu przedsiębiorców podstawowym aktem prawnym, do którego sięgną, przede wszystkim powinni się jednak zapoznać z RODO. Krajowe przepisy nie powtarzają bowiem unijnych regulacji, a to z ich stosowania będą rozliczani administratorzy.

Co jest największą zmianą wprowadzaną przez RODO?

– Po pierwsze zasada rozliczalności. W praktyce oznacza ona tyle, że każdy przedsiębiorca jest winny, chyba że dowiedzie swej niewinności. Grozi mu odpowiedzialność tak długo, aż nie wykaże, że zrobił wszystko, co można było zrobić, by uniknąć naruszenia ochrony danych osobowych – mówi Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners.

– Po drugie, zasada dostosowywania środków technicznych i organizacyjnych do ryzyka. Upraszczając – im większa skala przetwarzania danych i związane z tym ryzyko, tym większy budżet na ochronę. I wreszcie na trzecim miejscu wskazałbym bezkompromisowość. Przedsiębiorca nie może liczyć na to, że organ poprowadzi go za rękę, wskaże gotowe rozwiązania. Może go za to rozliczać w razie najmniejszej wpadki. Wiem, że Ministerstwo Cyfryzacji uspokaja nastroje, ale wypowiedzi pani Andrei Jelinek, prawdopodobnie przyszłej szefowej Europejskiej Rady Ochrony Danych, idą w przeciwnym kierunku – dodaje ekspert.

Etap legislacyjny

Ustawa skierowana do Senatu