- Nie może być tak, że na rozpoznanie skargi czeka się miesiącami, a czasem i latami. Wbrew pozorom szybkość jest ważniejsza dla Polaków niż wysokość kar nakładanych za naruszenia - mówi Maciej Kawecki.
dr Maciej Kawecki, koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji / Dziennik Gazeta Prawna



Przez wiele miesięcy nie ustawały spekulacje nad kształtem nowego Urzędu Ochrony Danych Osobowych, który zastąpi generalnego inspektora ochrony danych osobowych. Rzecznik praw obywatelskich skierował nawet do MC wystąpienie, w którym podkreślał konieczność zapewnienia pełnej niezależności jego prezesowi.
I okazało się, że wszystkie te obawy były zupełnie niepotrzebne. Zgodnie z przekazanym właśnie do konsultacji projektem nowych przepisów prezes UODO będzie miał zachowaną niezależność dużo większą, niż wymaga tego unijne rozporządzenie. Pomijając sytuacje takie jak choroba czy skazanie prawomocnym wyrokiem, będzie praktycznie nieodwołalny.
Rozporządzenie jako jedną z przesłanek odwołania wskazuje rażące naruszenie prawa. W polskich warunkach oznaczałoby to możliwość odwołania w zasadzie w dowolnym momencie. Nie brakuje bowiem wyroków stwierdzających rażące naruszenie prawa przez organ ochrony danych, choćby z powodu przewlekłości postępowania. Oczywiście zostaną zachowane tak fundamentalne gwarancje niezależności jak podleganie wyłącznie ustawie czy immunitet.
Zmieni się natomiast sposób wyboru prezesa UODO.
Będzie powoływany na wniosek premiera, ale ma to uzasadnienie. Musi on bowiem współpracować i z Sejmem, i z władzą wykonawczą. Najlepszą formą jego powołania jest więc współpraca tych sił przy wyborze kandydata, który wyda się najlepszy zarówno rządowi, jak i Sejmowi.
Niecodzienny będzie sposób wyboru zastępców prezesa UODO. Dwóch z nich ma wyznaczać minister cyfryzacji, jednego – minister spraw wewnętrznych i administracji. Skąd taka koncepcja?
Ochrona danych osobowych jest jednym z zadań MC, z kolei sprawy związane z przetwarzaniem danych na potrzeby zwalczania przestępczości leżą w kompetencji MSWiA. Przyjęliśmy koncepcję, że nadzór nad obydwoma tymi obszarami będzie pełnił jeden organ, czyli właśnie prezes UODO. Są to jednak obszary właściwości obu resortów, stąd też ich wpływ na wybór zastępców prezesa UODO.
Ale to oznacza, że będzie miał zastępców, którzy zostaną mu narzuceni.
Przepisy ustrojowe w projektowanej ustawie są naprawdę bardzo przemyślane. Również w tym zakresie wprowadzone zostały mechanizmy ochronne zapewniające prezesowi pełną niezależność. Projekt wprost mówi bowiem, że to on będzie wyłącznie decydował o zakresie obowiązków powierzanych wiceprezesom. Dzisiaj leży to w gestii prezydenta. To prezes decydował będzie również o pozycji swych zastępców wewnątrz struktury organu.
Duże emocje, choćby ze względu na wysokość, budzą kary finansowe, jakie będzie mógł nakładać prezes UODO. Nowa wersja projektu, w przeciwieństwie do pierwotnej, przewiduje możliwość ich nakładania także na administrację publiczną. Co zadecydowało o zmianie stanowiska?
To efekt prowadzonych przez nas prekonsultacji społecznych. Uwzględniliśmy argumenty izb gospodarczych, które czuły się traktowane gorzej niż administracja publiczna. Rzeczywiście jak się nad tym głębiej zastanowić, to dlaczego instytucje publiczne, również przetwarzające dane i na dodatek działające na zasadzie zaufania, mają być całkowicie zwolnione z kar? Po to prowadziliśmy prekonsultacje, by poznać stanowisko partnerów społecznych i wziąć je pod uwagę. W tym przypadku wzięliśmy.
Górna granica kar nakładanych na administrację będzie jednak dużo niższa – 100 tys. zł, a nie 20 mln euro.
Uważamy, że w polskich warunkach i tak jest to kwota odczuwalna i będzie pełnić swą odstraszającą rolę. Jednocześnie jednak nie sparaliżuje pracy administracji publicznej. Nie możemy dopuścić do sytuacji, w której obywatele będą podwójnie tracić: raz, bo organ naruszył ich prywatność, i drugi raz – bo zapłacił karę, która pochodzi z podatków. Pozbawiona środków instytucja zwyczajnie nie mogłaby wypełniać swych zadań.
Chciałbym też zwrócić uwagę, że wprowadzamy dodatkowy środek penalizujący w postaci obowiązku niezwłocznego udostępnienia na swoich stronach internetowych informacji o działaniach podjętych w celu wykonania decyzji przez organ, do którego była adresowana.
Jeden procent kar będzie trafiał na specjalny fundusz, z którego będą finansowane np. przedsięwzięcia edukacyjne na temat ochrony prywatności. Nie boi się pan, że może to zachęcać prezesa UODO do tego, by nakładał jak najwyższe kary? Dzięki temu więcej środków trafi do funduszu, którym on przecież będzie zarządzał.
To pomysł, którego sami nie wymyśliliśmy, tylko wyszedł od obywateli. Do MC wpłynęła petycja, powielona następnie przez bardzo dużą liczbę różnych podmiotów, o stworzenie takiego funduszu i przeznaczenie części środków z kar na edukację dzieci. Uznaliśmy to za doskonały pomysł, dlatego wpisaliśmy go do projektu i poddajemy teraz pod szeroką dyskusję publiczną. Zresztą środki te prezes będzie mógł wydać wyłącznie na ściśle sprecyzowane cele, przede wszystkim upowszechnianie w społeczeństwie wiedzy na temat potrzeby ochrony danych osobowych.
Jak już jesteśmy przy organizacjach społecznych – będą one mogły żądać od prezesa UODO wszczęcia postępowania. Czy nie rodzi to ryzyka, że znów pojawią się quasi-organizacje, powstałe wyłącznie po to, by szantażować przedsiębiorców? Tak jak te, które wynajdywały uchybienia w regulaminach sklepów internetowych i groziły im procesami.
Rzeczywiście część przedsiębiorców podnosi takie argumenty. Mogę tylko powtórzyć to, co już powiedziałem Polskiej Izbie Informatyki i Telekomunikacji. Będziemy podczas konsultacji szukali formuły legislacyjnej, która zabezpieczy przed takimi praktykami, ale jednocześnie umożliwi organizacjom społecznym udział w postępowaniach. Ich rola jest bowiem nie do przecenienia.
Przepisy umożliwią zawieranie ugody w postępowaniu. Czy to z kolei nie będzie powodować, że przedsiębiorcy będą niejako przekupywać poszkodowanych, aby uniknąć kar?
Tego właśnie się obawialiśmy i dlatego pierwotny projekt nie zakładał możliwości zawierania ugody. Baliśmy się, że przedsiębiorca przyjdzie do osoby, której prawa naruszył, i zaproponuje, powiedzmy, 5 tys. zł, aby dzięki temu nie płacić kary 20 mln euro. Sytuacja zmieniła się po nowelizacji przepisów kodeksu postępowania administracyjnego. Nowa formuła ugody przewidziana w kodeksie postępowania administracyjnego eliminuje wspomniane przeze mnie ryzyko. Ugoda jest bowiem zawierana przed organem. Prezes UODO będzie więc znał warunki ugody i poniekąd ją „zatwierdzał”.
Postępowania o naruszenie danych osobowych mają być krótsze niż obecnie. Co do zasady mają się kończyć w ciągu miesiąca, w wyjątkowych sytuacjach w ciągu dwóch. Sama zmiana przepisów jednak nie wystarczy, jeśli nowy urząd nie będzie miał na to wystarczających środków.
Dlatego też przewidujemy ich podwojenie. Podwojona zostanie także liczba etatów. Jak wynika ze sprawozdania GIODO za 2015 r., bo za ubiegły nie zostało jeszcze złożone, dysponuje on 145 etatami. Planujemy dołożyć dokładnie drugie tyle. Z naszych obliczeń wynika bowiem, że podwoiły się obowiązki organu. Przy czym kwota przewidziana przez MC nie obejmuje zadań związanych z nadzorem przekazywania danych osobowych przez służby, gdyż to uwzględni MSWiA w projekcie ustawy wdrażającej tzw. dyrektywę policyjną.
Gdyby miał pan wskazać jedną, najważniejszą pana zdaniem zmianę, jaką przyniosą nowe przepisy, to byłoby to...
Jeśli chodzi o obywateli, to zdecydowanie wskazałbym na wspomniane przed chwilą przyspieszenie postępowań. Nie może być tak, że człowiek składa skargę i czeka na jej rozpoznanie długimi miesiącami, a czasem nawet latami. Wbrew pozorom to jest ważniejsze dla Polaków niż wysokość kar, jakie będą nakładane za naruszenia. Jeżeli chodzi o przedsiębiorców, to chciałbym im powiedzieć, że nowy system ochrony danych to nie tylko nowe obowiązki, ale również nowe możliwości. Natomiast za najważniejsze uważam położenie nacisku na konsultacyjny charakter nowego UODO i jego rolę w wydawaniu rekomendacji oraz zmiany sektorowe, zwłaszcza w sektorze finansowym, a więc przede wszystkim w bankowości i ubezpieczeniach. Wbrew powszechnemu przekonaniu nowe przepisy przewidują bowiem spore ułatwienia dla przedsiębiorców. Wskażę jedno z nich, pozornie błahe, a tak naprawdę rewolucyjne, a mianowicie możliwość wyrażenia zgody na przetwarzanie danych dotyczących zdrowia w sektorze ubezpieczeniowym nie tylko na piśmie. Dzisiaj konieczność uzyskiwania pisemnych zgód uniemożliwia zawieranie umów ubezpieczenia przez internet, po zmianach będzie to możliwe.