Nie tylko przedsiębiorcom, ale również administracji publicznej będą groziły kary finansowe za wyciek danych. Ich górna granica wyniesie jednak nie 20 mln euro, tylko 100 tys. zł.

Ministerstwo Cyfryzacji przekazało w czwartek do konsultacji pełen projekt ustawy o ochronie danych. W stosunku do pierwotnego, prezentowanego wiosną, największa zmiana dotyczy kar finansowych, jakie będą grozić za naruszenie przepisów. Początkowo zakładano, że poza instytucjami takimi jak Zakład Ubezpieczeń Społecznych czy Narodowy Fundusz Zdrowia, cała administracja zostanie wyłączona spod kar finansowych grożących choćby za wyciek danych. Wzbudziło to duże kontrowersje zarówno w środowisku przedsiębiorców, jak i organizacji społecznych. To pierwsze zwracało uwagę na nierówność wobec prawa, drugie obawiało się, że zwolnione z sankcji finansowych instytucje publiczne nie będą mieć żadnej motywacji, by troszczyć się o prywatność obywateli.

Ostatecznie resort cyfryzacji uwzględnił te uwagi i zmienił projekt. W aktualnym brzmieniu całej administracji publicznej (z pominięciem instytucji kultury) będą grozić kary finansowe za naruszenie przepisów o ochronie danych osobowych. Ich górna granica ma być jednak dużo niższa niż w przypadku przedsiębiorców. Tym ostatnim grozić będzie nawet do 20 mln euro, urzędom zaś do 100 tys. zł. MC zwraca uwagę, że wyższe sankcje mogłyby zagrozić budżetom wielu instytucji publicznych, co w efekcie sparaliżowałoby ich działalność. Konsekwencje tego odczuliby zaś ostatecznie obywatele.

Zdaniem części komentatorów dysproporcje w sankcjach są jednak zbyt duże.

- Czy kary w wysokości średnich zarobków początkującej sekretarki we Francji będą w stanie skłonić publiczne uczelnie, NFZ lub ZUS do przestrzegania wszystkich reguł? Śmiem wątpić. Różnice są zbyt drastyczne, a strategicznie ujmując sprawę - marnuje się wspaniałą okazję, by spróbować w instytucjach państwowych dokonać skokowego nadgonienia standardów – uważa dr Łukasz Olejnik, konsultant i badacz cyberbezpieczeństwa prywatności, afiliowany przy Center for Information Technology Policy Uniwersytetu Princeton.

Niezależny, ale czy apolityczny

Zgodnie z projektem Generalnego Inspektora Ochrony Danych Osobowych zastąpi Urząd Ochrony Danych Osobowych. Od kilku miesięcy w przestrzeni publicznej pojawiały się pytania o jego umiejscowienie i sposób powoływania prezesa. Rzecznik Praw Obywatelskich skierował nawet do MC wystąpienie, w którym zwracał uwagę na potrzebę zachowania pełnej niezależności nowego organu.

Gwarancje tej niezależności zostały w projekt wpisane. Pomijając sytuacje takie jak choroba, sprzeniewierzenie się ślubowaniu czy skazanie prawomocnym wyrokiem sądowym, będzie on w zasadzie nieodwołalny.

- Kluczowym problemem na gruncie tego projektu nie jest brak niezależności szefa urzędu, bo odpowiednie gwarancje chroniące go przed naciskami są zapewnione, ale upolitycznienie tej instytucji już na etapie wybierania jej prezesa – zauważa Katarzyna Szymielewicz z Fundacji Panoptykon. Zgodnie z projektem szef UODO ma być wybierany przez Sejm na wniosek prezesa Rady Ministrów.

- To premier będzie więc de facto decydować, kto może zostać prezesem. Najistotniejszy jest przecież etap zgłaszania kandydatur i ich jakości. Jeśli na tym etapie pojawia się tyko jeden, polityczny kandydat, dalsza część procedury z udziałem Sejmu, a nawet silne gwarancje niezależności, na wiele się nie zdadzą – przekonuje szefowa Panoptykonu. Organizacja ta podczas konsultacji proponowała, by prezes UODO był wybierany albo w otwartym konkursie, albo też przez parlament, ale z możliwością zgłaszania kandydatur przez różne środowiska i instytucje.

W swym wystąpieniu RPO pytał również o kadencję dr Edyty Bielak-Jomaa, obecnego GIODO. Pojawiały się bowiem spekulacje o możliwości jej skrócenia w związku z powstaniem nowego urzędu. Zgodnie z projektem ustawy kadencja ta nie zostanie skrócona i dotychczasowy GIODO automatycznie zostanie prezesem UODO aż do jej końca czyli do kwietnia 2019 r.

Ma być szybciej

Jednym z kluczowych założeń nowych przepisów jest skrócenie postępowań o naruszenie przepisów o ochronie danych osobowych. Pomóc w tym ma m.in. ich jednoinstancyjność. Ewentualna skarga na decyzję prezesa UODO będzie kierowana od razu do sądu administracyjnego, a nie - jak to jest teraz – do ponownego rozpoznania przez sam organ.

- To pozytywna zmiana, gdyż droga do uzyskania ostatecznej decyzji, a co za tym idzie możliwości wniesienia skargi do sądu, ulegnie skróceniu. Dotychczas i tak decyzje podejmowane w pierwszej instancji były z reguły utrzymywane w mocy, bo przecież wydawał je ten sam organ. Teraz zostanie przyspieszony proces ewentualnego korygowania decyzji organu, co jest ważne, gdyż przewlekłość to zmora postępowań – komentuje Tomasz Osiej, radca prawny z Grupy Omni Modo.

Same postępowania mają co do zasady trwać miesiąc, podobnie zresztą jak kontrole. Czy to realne terminy?

- Dużo zależeć będzie od podejścia prezesa UODO i zasobów jakimi będzie dysponował. Czy będzie chciał kontrolować więcej podmiotów, ale mniej szczegółowo? Czy uda mu się nauczyć sprawnego kontrolowania podmiotów w takim czasie i czy będzie miał do tego wystarczające zasoby? – zastanawia się Tomasz Osiej.

- Budżet GIODO na rok 2018 r. został zwiększony ponad dwukrotnie. Jeżeli nowy urząd będzie dzięki temu w stanie znacząco zwiększyć liczbę kontrolerów, to z całą pewnością wpłynie to na szybkość i sprawność przeprowadzanych kontroli – dodaje.

Niezależnie od postępowania prowadzonego przez prezesa UODO osoby, których dane są przetwarzane z naruszeniem przepisów, będą mogły dodatkowo dochodzić swych praw w nowej, niezależnej procedurze przed sądami cywilnymi. Z oczywistych względów zarówno UODO, jak i sąd powinny jednak wiedzieć o toczących się odrębnie postępowaniach. Stąd też obowiązek wzajemnego o tym informowania.

- Aktualny projekt w niewielkim tylko stopniu różni się od tego z czym mogliśmy się zapoznać wiosną. Już wtedy uregulowania odpowiedzialności cywilnej nie budziły istotnych wątpliwości administratorów danych osobowych. Zmiany, które daje się zauważyć dotyczą zawiadomienia przez sąd prezesa UODO o rozstrzygnięciu postępowania. W projekcie z wiosny była mowa o każdym rozstrzygnięciu, teraz obowiązek ten ma dotyczyć tylko rozstrzygnięć uwzględniających powództwo. Akurat ta zmiana wydaje się być negatywna i wymaga z pewnością szerszego uzasadnienia. Jedno jest pewne – aby ochrona była skuteczna – postępowania prowadzone przez prezesa UODO powinny być maksymalnie sprawne i efektywne, tak aby ewentualne zawieszanie postępowań cywilnych nie było długotrwałe – ocenia Michał Kluska, adwokat z kancelarii Domański Zakrzewski Palinka.

Równanie do Zachodu

Nowe przepisy muszą wejść w życie do 24 maja 2018 r., gdyż wtedy zacznie być stosowane unijne rozporządzenie 2016/679 o ochronie danych osobowych (RODO). Jego głównym celem jest większa ochrona prywatności w dobie narastających zagrożeń związanych choćby z nowymi technologiami.

- RODO to akt stworzony na Zachodzie, w odpowiedzi na problemy Zachodu, metodami Zachodu i przy wsparciu zachodnich środowisk badawczych, ich analiz i problemów przez nich identyfikowanych. Wiele mechanizmów takich jak „Privacy by Design” czy ocena skutków dla ochrony danych, na Zachodzie jest już od dawna zakorzeniona. W tym sensie w Polsce będzie to ogromna zmiana. Ten test czeka nie tylko polski biznes, ale także instytucje państwowe. A przecież wysokie standardy prywatności i ochrony danych to nie tylko kwestia zaufania konsumenta, ale i obywatela – podkreśla dr Łukasz Olejnik.

Jednym z pomysłów na poprawę standardów ochrony danych ma być powierzanie zadań z tym związanych inspektorom ochrony danych (IOD). Zastąpią oni dotychczasowych administratorów bezpieczeństwa informacji (ABI), którzy zdążyli się już zakorzenić w polskich realiach. Zgodnie z projektem, ABI wpisani już do rejestru będą pełnić funkcję IOD do 1 września 2018 r. Do tego czasu przedsiębiorcy i administracja publiczna mają podjąć decyzję czy chcą, aby nadal wypełniali te obowiązki.

W poniedziałkowym wydaniu Dziennika Gazety Prawnej ukaże się wywiad z dr Maciej Kaweckim, koordynatorem reformy ochrony danych osobowych w Ministerstwie Cyfryzacji