Rozważamy różne warianty wybierania szefa nowego organu ochrony danych osobowych, ale w każdym z nich zostanie mu zapewniona pełna niezależność - tłumaczy dr Maciej Kawecki, doradca ministra cyfryzacji, który tworzy nowe przepisy o ochronie danych osobowych.
dr Maciej Kawecki, doradca ministra cyfryzacji, który tworzy nowe przepisy o ochronie danych osobowych / Dziennik Gazeta Prawna
Zaprezentowany niedawno projekt nowej ustawy o ochronie danych osobowych zmienia nazwę generalnego inspektora ochrony danych osobowych na prezesa Urzędu Ochrony Danych Osobowych. Dochodzą mnie słuchy, że to nie koniec zmian i że prezes nowego urzędu nie będzie już wybierany przez parlament, tylko przez szefa Rady Ministrów.
W tej chwili ani tego nie potwierdzę, ani temu nie zaprzeczę. Z prostego powodu – jest kilka punktów w projektowanej ustawie, które wymagają jeszcze podjęcia decyzji przez projektodawcę, a więc ministra cyfryzacji, a prace legislacyjne rozpoczęliśmy od zupełnie innych przepisów. Tych, które zostały udostępnione. Mogę natomiast potwierdzić, że rozważamy różne warianty zgodne z unijnym rozporządzeniem o ochronie danych osobowych. A ono dopuszcza wybór prezesa UODO przez rząd, parlament bądź inny organ. Sam ustawodawca unijny uznał więc, że organ może być powoływany zarówno przez władzę ustawodawczą, jak i wykonawczą. Ostateczne decyzje na etapie rządowym podejmie Rada Ministrów i pani premier, a potem – parlament. Na obecnym etapie projekt to koncept ministra cyfryzacji.
Pojawia się naturalna obawa, czy wybór prezesa UODO przez premiera nie będzie w praktyce oznaczać, że przestanie on być organem niezależnym, odpornym na polityczne naciski.
Powtórzę – decyzja o sposobie wyboru nie zapadła, ale jakakolwiek by ona była, to towarzyszyć jej będą wszystkie gwarancje niezależności organu. Po pierwsze – kadencyjność, prawdopodobnie tak jak dzisiaj, czteroletnia. Po drugie – większa niż obecnie liczba zastępców. Po trzecie – uprawnienie do nadawania samemu sobie statutu, a nie, jak to jest dzisiaj, przez prezydenta. Po czwarte – przesłanki odwołania organu, które wynikają wprost z unijnego rozporządzenia i na pewno nie zostaną w jakikolwiek sposób zmienione. Mało tego, chcemy powołać ciało doradcze w postaci Rady Ochrony Danych Osobowych. Te przepisy wciąż są na etapie koncepcyjnym i dlatego nie zostały ujęte w zaprezentowanym projekcie, ale zapewniam, że prezes nowego UODO będzie miał zagwarantowaną pełną niezależność, a jego pozycja będzie mocniejsza, niż ma dzisiaj GIODO, bo i zadania w dzisiejszych czasach są bardzo poważne. I w pierwszej kolejności należy się skupić na tych kwestiach, bo one będą miały wpływ na podejmowanie przez UODO działań.
Jednym z założeń nowej ustawy jest radykalne skrócenie terminów rozpoznania skarg przez Urząd Ochrony Danych Osobowych. Regułą ma być miesiąc, w wyjątkowych sytuacjach dwa. Jednak sama ustawa nie rozwiąże problemu. Postępowania przed GIODO trwają 270 dni, bo zwyczajnie brakuje mu pracowników.
Oczywiście zdajemy sobie sprawę, że dzisiejszy krajowy system ochrony danych osobowych wymaga gruntownej przebudowy. Postępowania w sprawach takich jak naruszenie praw podstawowych obywateli nie mogą się ciągnąć latami, a nawet miesiącami i powodować, że organ staje się podsądnym za swoją bezczynność, jak teraz się zdarza. Jest to bez wątpienia wyzwanie legislacyjne dla projektodawcy. Zmiana przepisów to jednak początek, a w ślad za nią powinno iść przeznaczenie odpowiednich środków finansowych na przeprowadzenie reformy i zatrudnienie dodatkowych pracowników.
Środki muszą być wyższe niż dotychczas, bo inaczej urząd nie sprosta stawianym przed nim nowym wyzwaniom. I zapewniam, że resort cyfryzacji zdaje sobie z tego sprawę.
Z jednej strony nowe przepisy pisze Ministerstwo Cyfryzacji, z drugiej jednak każdy resort dokłada coś od siebie. W jaki sposób powstaje projekt nowej ustawy?
W Ministerstwie Cyfryzacji powstaje główny projekt, czyli ustawa o ochronie danych osobowych, ale także propozycje zmian w ustawach, które podlegają resortowi cyfryzacji, czyli chociażby ustawie o świadczeniu usług drogą elektroniczną, ustawie o informatyzacji podmiotów publicznych oraz prawie telekomunikacyjnym. Jednocześnie wszystkie inne ministerstwa dokonują przeglądu ustawodawstwa, które im podlega, i kierują do nas swoje propozycje zmian. Jest to najczęstszy wykorzystywany model. My je następnie oceniamy z jednej strony pod kątem zgodności z unijnym rozporządzeniem o ochronie danych osobowych, a z drugiej pod kątem zgodności z założeniami przyjętymi przez ministra cyfryzacji.
Kiedy można się spodziewać ostatecznego efektu?
Realnie patrząc – latem. Dołożymy starań, by nastąpiło to na przełomie czerwca i lipca. Pracy jest jednak ogrom, i nie chciałbym wskazywać konkretnych terminów, by nie wprowadzać w błąd. Przy czym mówię już o finalnym projekcie, który zostanie przedstawiony do uzgodnień międzyresortowych i konsultacji społecznych. Będzie on zawierał kompletną ustawę o ochronie danych osobowych oraz pakiet przepisów sektorowych wprowadzających zmiany w wielu innych ustawach. Będą to zmiany dwojakiego rodzaju. Pierwsze, stosunkowo prostsze sprowadzają się do zmiany nazw w ustawach, np. GIODO zostanie zastąpione przez UODO. Drugie, trudniejsze, to zmiany merytoryczne. Część przepisów jest niezgodna z unijnym rozporządzeniem, część warto zmienić, wykorzystując i tak dokonywany przegląd prawa.
Jakiś przykład?
Artykuł 221 kodeksu pracy, czyli przepis mówiący o tym, jakie dane można pozyskiwać w trakcie rekrutacji. Unijne rozporządzenie daje tu pełną swobodę państwom członkowskim. Wraz z Ministerstwem Rodziny, Pracy i Polityki Społecznej analizujemy możliwe do wprowadzenia zmiany, tak aby rzeczony przepis bardziej przystawał do rzeczywistości. Pracodawcy nie mają chociażby możliwości przetwarzania wizerunku kandydata, a powszechnie to robią chociażby dostając od niego wizytówkę ze zdjęciem.
Unijne rozporządzenie pozostawia państwom członkowskim część spraw do uregulowania własnymi przepisami, ale są też normy, które muszą być jednakowe. Jaką metodologię wprowadzania tych ostatnich przyjęło ministerstwo?
Nie chcemy przepisywać unijnych regulacji do polskiej ustawy, tak jak to zrobiły inne państwa. Dlatego też w polskiej ustawie część regulacji w ogóle się nie pojawi. Przykładowo wszystkie zasady dotyczące transferu danych do państw trzecich będą wynikały wprost z unijnego rozporządzenia. Każdy podmiot zobowiązany do stosowania nowego prawa będzie więc musiał znać zarówno przepisy polskiej ustawy, jak i unijnego rozporządzenia. Dopiero nałożenie na siebie tych dwóch aktów da obraz całości.
Nie boi się pan, że może prowadzić to do chaosu? Jesteśmy przyzwyczajeni, że sprawdzamy przepisy w jednym miejscu.
Nie mogliśmy jednak przepisywać regulacji z rozporządzenia do naszej krajowej ustawy. Zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej jest to niezgodne z prawem unijnym. Państwa, które to zrobią, muszą się liczyć z tym, że pewnego dnia zapuka do nich Komisja Europejska i zażąda wyjaśnień. My nie chcemy mieć takich problemów.
Wierzy pan w skuteczność nowych przepisów? Nie ma pan wrażenia, że choć mają one lepiej zabezpieczać naszą prywatność, to coraz częściej pozostają pustymi postanowieniami, na które zwracają uwagę jedynie prawnicy?
Wierzę w skuteczność kar i w konkurencję na rynku. Wszyscy już chyba słyszeli, że nowe przepisy przewidują drakońskie sankcje finansowe do wysokości 20 mln euro. Jeśli zaś chodzi o konkurencję, to mam nadzieję, że przedsiębiorcy zaczną brać pod uwagę, że łamanie przepisów z zakresu ochrony danych osobowych może dla nich oznaczać wizerunkową klęskę, która zostanie wykorzystana przez konkurentów. Dlatego sądzę, że nowe przepisy wymuszą na firmach większą dbałość o to, co robią z naszymi danymi. Wierzę też, że nowy organ będzie krajowym konsultantem ochrony danych. Jako organ otwarty będzie nie tylko egzekwował, ale również doradzał, edukował i wspierał. Dysponentem własnych danych zawsze jest człowiek, a współczesny świat nie będzie dobrze funkcjonował bez umożliwienia mu udzielenia świadomej zgody co do ich wykorzystania z jednej strony, i mocnego nadzoru z drugiej. Nadzór musi jednak dbać o to, żeby egzekwowaniu ochrony danych osobowych stale towarzyszyło budowanie świadomości co do potrzeby ochrony danych osobowych oraz sposobów takich działań.