Wchodzi unijna reforma ochrony danych osobowych. Na przygotowanie się do nowych zasad są dwa lata. Przepisy dotyczą nawet najmniejszych przedszkoli czy żłobków. W środę 4 maja 2016 r. w Dzienniku Urzędowym Unii Europejskiej opublikowano nowe rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Tym samym reforma ochrony danych osobowych, nad którą prace toczyły się od ponad czterech lat, stała się faktem.
Nowe prawo unijne wydano w formie rozporządzenia, co oznacza, że będzie obowiązywało wprost we wszystkich państwach członkowskich. Choć będzie stosowane dopiero od 25 maja 2018 r., już teraz warto zacząć się przygotowywać do jego wdrażania. Zwłaszcza że przyswojenie niektórych nowych instrumentów wymagać będzie czasu.
W każdym urzędzie
Zdecydowana większość nowych obowiązków dotyczy zarówno sektora prywatnego, jak i publicznego.
– Podstawowa różnica dotyczy sposobu ich wykonywania, ponieważ każdy podmiot w sektorze publicznym będzie musiał wyznaczyć własnego inspektora ochrony danych osobowych (IOD), którego można określić jako kontynuatora obecnej funkcji administratora bezpieczeństwa informacji – zaznacza dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN. – Obecnie w polskim prawodawstwie powołanie ABI jest dobrowolne, ale po wejściu w życie rozporządzenia dobrowolność wyznaczenia inspektora zostanie zachowana tylko dla części podmiotów z sektora prywatnego – dodaje.
Co to oznacza w praktyce? Nie tylko każdy urząd, lecz także każda publiczna szkoła czy nawet biblioteka będą musiały powołać własnego inspektora ochrony danych. Już w momencie zbierania danych osobowych będą musiały wskazać, kto pełni tę funkcję.
Może to być uciążliwe dla małych podmiotów, np. przedszkola na kilkadziesiąt dzieci. Rozporządzenie nie pozostawia jednak wyboru – IOD będzie musiał zostać powołany bez względu na to, jak duży jest zbiór danych osobowych. Jest jednak pewne ułatwienie, które wprowadza art. 37 ust. 3 rozporządzenia. Zgodnie z nim jeśli „administrator lub podmiot przetwarzający dane są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych”. Pozostając przy przykładzie publicznych przedszkoli – kilka z nich będzie mogło wspólnie wyznaczyć jednego IOD. Czy będzie to mogło zrobić kilkanaście lub kilkadziesiąt podmiotów? Może to już budzić wątpliwości, gdyż przepis mówi o kilku.
Punkt kontaktowy
Dlaczego unijny ustawodawca postanowił ostrzej potraktować publicznych administratorów danych od prywatnych?
– Taki kierunek działania nie dziwi. W przypadku sfery publicznej mamy do czynienia z oczywistą nierównością podmiotów, a obywatele nie mają swobody w podejmowaniu decyzji, czy swoje dane przekazać organom władzy publicznej, czy nie – uważa Katarzyna Witkowska z Kancelarii Radców Prawnych Lubasz i Wspólnicy.
IOD będzie poniekąd następcą dzisiaj funkcjonujących w Polsce ABI, na których powołanie zdecydowała się spora część instytucji publicznych. Tak jak dzisiaj będzie dbał o bezpieczeństwo danych osobowych i pełnił funkcje doradcze. Czekają go jednak także nowe zadania.
– Z pewnością wyzwaniem dla dotychczasowych ABI z sektora publicznego będzie pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą. Będą one mogły kontaktować się z inspektorem ochrony danych we wszelkich sprawach związanych z przetwarzaniem tych zasobów. Tu może pojawić się ryzyko spowolnienia działań inspektora, który poza tym zadaniem będzie miał przecież wiele innych obowiązków – zauważa Katarzyna Witkowska.
Zmiany w polskim prawie
Choć rozporządzenie będzie obowiązywać wprost, to o wielu nowych obowiązkach administracji publicznej decydować będzie polski ustawodawca.
– Przeglądu będą bowiem wymagały w całości przepisy krajowego prawa administracyjnego przyznające kompetencje związane z przetwarzaniem danych osobowych. Trzeba pamiętać, że działania organów administracji publicznej opierają się na właśnie takich regulacjach kompetencyjnych. Ogólne rozporządzenie ich nie zmienia, ale wprowadza warunki dla tych przepisów, które określają wykonywanie zadania publicznego lub powierzają sprawowanie władzy publicznej i skutkują przetwarzaniem danych osobowych – wyjaśnia dr Grzegorz Sibiga.
– Przede wszystkim przepisy krajowe muszą zapewniać proporcjonalność przetwarzania danych w stosunku do realizowanego celu publicznego oraz gwarantować transparentność procesu przetwarzania danych. Jeżeli przepis krajowy ogranicza prawa osoby, której dane dotyczą, co niekiedy ma miejsce w naszym prawie administracyjnym, to według rozporządzenia może to następować tylko w zakresie niezbędnym do realizacji określonego celu (np. bezpieczeństwa publicznego), a przepis ograniczający prawa musi zawierać określone gwarancje (np. zapobiegające nadużyciom w dostępie do danych) – tłumaczy dr Grzegorz Sibiga.
Większa przejrzystość
Bez wątpienia jednak administracja publiczna musi się przygotować na bardziej przejrzyste niż dotychczas działanie. Dotyczy to przede wszystkim komunikacji z podmiotami danych.
– Wszelkiego rodzaju informacje przekazywane podmiotom danych mają być przejrzyste, jasne, pisane powszechnie zrozumiałym językiem. Dla administracji oznacza to konieczność przeglądu i, być może, znacznej modyfikacji stosowanych komunikatów, aby były one czytelne dla obywateli. To może być dużym wyzwaniem – mówi Katarzyna Witkowska.
Bez wątpienia oznacza to konieczność dostosowania stosowanych dzisiaj komunikatów do nowych zasad, i to z wyprzedzeniem, tak aby 25 maja 2018 r. każda instytucja posługiwała się już nowymi. Osoby fizyczne mają być świadome zagrożeń i swych praw związanych z przetwarzaniem ich danych. Rozporządzenie sugeruje m.in. wykorzystanie wizualizacji, które uproszczą przekaz.
Z przejrzystością wiąże się także kolejny nowy obowiązek – zgłaszania naruszenia ochrony danych osobowych generalnemu inspektorowi ochrony danych osobowych (przy założeniu, że nadal to on będzie organem nadzorczym). Przykładowo jeśli nastąpi wyciek danych (takie sytuacje miały już miejsce), trzeba to będzie zgłosić nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia (art. 33 rozporządzenia).
Kolejna zmiana – ułatwienie osobom dostępu do własnych danych osobowych, tak by mogły zweryfikować, czy są prawdziwe i przetwarzane zgodnie z prawem. Jeszcze inna zmiana – prawo do bycia zapomnianym. Choć mówi się o niej przede wszystkim w kontekście dostawców internetowych, to dotyczyć ona będzie również administracji publicznej. Zainteresowany będzie miał np. prawo zażądać wykasowania swego zdjęcia (oczywiście w uzasadnionych sytuacjach) ze strony internetowej szkoły.
Niektóre instytucje, przede wszystkim te stosujące nowe technologie, będą musiały przeprowadzać uprzednią ocenę skutków przetwarzania danych osobowych. Może to dotyczyć danych biometrycznych. Tu znów dużą rolę będzie odgrywał IOD.