- Zaplecze polityczne nie przesądza o lepszym respektowaniu prawa przez organ z punktu widzenia standardów państwa prawa - mówi Arleta Nerka.
Dane osobowe są w Polsce chronione od 20 lat. Przez ten czas tak wiele zmieniło się w technologiach, przepływie informacji, że i zakres potrzebnej ochrony bardzo się poszerzył. Ustawa z 1997 roku musiała więc zostać zmieniona, także zresztą w związku z dyrektywą 95/46/WE. Dlaczego więc projekt nowelizacji się pani nie podoba?
Rzeczywiście upływ czasu, który nastąpił od wprowadzenia dyrektywy 95/46/WE i ustawy z 29 sierpnia 1997 r., wiąże się z rozwojem technologicznym dotykającym właściwie wszystkich sfer funkcjonowania człowieka w społeczeństwie. Zwiększa się także ilość danych osobowych trafiających do publicznych baz danych. Coraz więcej spraw prywatnych, jak i urzędowych załatwia się przy wykorzystaniu narzędzi komunikacyjnych w przestrzeni wirtualnej, takich jak portale typu e-PUAP, portale społecznościowe, aplikacje mobilne, chmura obliczeniowa itd. Zwykle jest to związane z obowiązkiem rejestracji i podaniem danych osobowych korzystającego. Coraz częściej dotyczy nas internet rzeczy. Aktywność ludzi w sieci wiąże się na ogół ze zwiększoną świadomością czyhających zagrożeń naruszenia prywatności, w czym udział mają również środki masowego przekazu, informując o wyciekach danych, przypadkach ransomware czy sytuacjach kradzieży tożsamości, itd. Rosnąca świadomość podmiotów danych oznacza większe oczekiwania co do poziomu ochrony danych i skutecznej egzekucji istniejących w tym obszarze przepisów. Odpowiedzią na to jest przyjęcie przez prawodawcę unijnego rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Dotyczy to także uchylenia dyrektywy 95/46/WE oraz dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, tak zwana dyrektywa policyjna.
W związku z wdrożeniem w niezbędnym zakresie RODO Ministerstwo Cyfryzacji przedstawiło projekty ustawy o ochronie danych osobowych oraz ustawy dotyczącej przepisów zmieniających (oba z 13 września 2017 r.). Dobrze się stało, że projekty zostały upublicznione i poddane dyskusji, ponieważ sukces prawidłowego wdrożenia RODO i poziom ochrony obywateli zależy w dużej mierze od jakości przyjętych rozwiązań krajowych. W mojej ocenie w projektach znalazły się jednak pewne rozwiązania dyskusyjne z punktu widzenia celu regulacji. Są to między innymi obniżenie wieku dziecka uprawnionego do wyrażenia zgody na usługi społeczeństwa informacyjnego do lat 13, powierzenie certyfikacji wyłącznie organowi nadzorczemu, tryb powoływania organu nadzorczego, wygaszanie kadencji obecnego GIODO, terminy przyjęte w zakresie dokonywanych kontroli, brak w zakresie przepisów sektorowych regulacji dotyczących ochrony danych osobowych bezrobotnych i poszukujących pracy, brak propozycji uregulowania przetwarzania danych przez Kościoły i związki wyznaniowe. Niepokoi mnie zwłaszcza znaczące obniżenie standardów prawnych w zakresie procedury powołania organu nadzorczego. Rozwiązania przedstawione w projekcie ustawy o ochronie danych osobowych mogą nie zapewniać wymaganej przez RODO i dyrektywę 2016/680 niezależności organu. W szczególności wątpliwości budzi zaproponowany w projekcie tryb powoływania nowego organu. Zgodnie bowiem z art. 20 ust. 3 projektu ustawy, prezesa urzędu ma powoływać i odwoływać Sejm RP za zgodą Senatu na wniosek prezesa Rady Ministrów. Włączenie go w procedurę powoływania organu, obce dziś obowiązującej ustawie o ochronie danych osobowych, bez możliwości zgłaszania kandydatur przez inne gremia oznacza, że organ nadzorczy będzie w istocie wyznaczany przez władzę wykonawczą. A co, jeśli rekomendowany kandydat nie zostanie wybrany? Podobnie można się odnieść do trybu powoływania zastępców prezesa czy braku zapewnienia prawnej ciągłości działania organu nadzorczego. A należy mieć na względzie nie tylko wymagania prawne stawiane przez RODO, lecz również ugruntowane stanowisko w zakresie respektowania niezależności organów nadzorczych wynikające z orzecznictwa europejskiego, np. wyroki TS z 16 października 2012 r. w sprawie Komisja Europejska przeciwko Republice Austrii (C-614/10) czy z 8 kwietnia 2014 r. w sprawie Komisja Europejska przeciwko Węgrom (C-288/12). Musimy mieć świadomość, że nowy organ pełni również funkcję organu nadzorczego w stosunku do zadań wyznaczonych dyrektywą policyjną, przewidującą możliwości znacznego ograniczania praw obywateli w sytuacjach najogólniej związanych z bezpieczeństwem publicznym. Dlatego mam nadzieję, że projektodawca uwzględni racjonalne uwagi zgłaszane w trybie konsultacji społecznych zaprezentowanych rozwiązań prawnych, dbając o odpowiednią jakość stanowionego prawa.
Słychać głosy, że to, czy to jest GIODO, czy prezes UODO, nie ma wielkiego wpływu na ludzi, których dane mają być chronione. Dlaczego to powinno interesować przeciętnego człowieka?
W moim przekonaniu kwestia nazwy organu nadzorczego, czy będzie ona brzmieć jak obecnie – GIODO – czy zgodnie z propozycją wskazaną w projekcie – prezes Urzędu Ochrony Danych Osobowych – nie ma większego znaczenia dla funkcjonowania systemu ochrony danych osobowych. Można oczywiście twierdzić, że GIODO utrwalił się w świadomości społecznej i z tego powodu należy taką nazwę organu nadzorczego zachować. Jednak dla przeciętnego Kowalskiego bardziej istotne są kwestie bezpieczeństwa jego danych i prywatności. Z punktu widzenia ochrony interesów człowieka ważna jest nie tyle nazwa, co sprawne funkcjonowanie organu nadzorczego, jego zaangażowanie w działaniach na rzecz ochrony praw człowieka, zwłaszcza że RODO zmieniło jego optykę. Zbyt mało mówi się o pewnym przeorientowaniu funkcji i zadań organu nadzorczego. RODO nie kształtuje go wyłącznie jako podmiotu kontrolnego nakładającego kary finansowe – akcent pada raczej na funkcje monitorowania i egzekwowania stosowania przepisów, doradcze, edukacyjne, informacyjne, inicjujące dobre praktyki, czyli działania istotne dla poziomu bezpieczeństwa prywatności osób. Organ nadzorczy ma upowszechniać w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych, dążyć do rozumienia mechanizmów ochrony danych przez przeciętnego człowieka. To z kolei powinno się przełożyć na świadome „zarządzanie” swoimi danymi. Skuteczne działanie organu nadzorczego ma znaczenie w razie naruszenia prywatności, czyli gdy osoba dozna uszczerbku na skutek nielegalnego wykorzystania jej danych osobowych. Stąd tak ważne są gwarancje niezależności organu na poziomie politycznym, organizacyjnym i finansowym, ponieważ przesądzą one o efektywności działania organu na rzecz ochrony danych osób fizycznych.
Jak rozwiązują powoływanie głównego inspektora/prezesa inne kraje UE? Jaką praktykę uważa pani za najlepszą?
W krajach członkowskich funkcjonują organy kolegialne bądź jednoosobowe – rzecznicy lub inspektorzy – dotyczące ochrony danych osobowych, których tryb powoływania uwzględnia standardy przyjęte w poszczególnych państwach. Trudno oceniać je w kategoriach rozwiązań lepszych czy gorszych, ponieważ prawodawca unijny przyznał państwom członkowskim pewien zakres swobody w zorganizowaniu swoich organów nadzorczych. Artykuł 53 RODO wymaga, by każdy członek organów nadzorczych był powoływany w drodze przejrzystej procedury przez organy państwa członkowskiego. Mogą być nimi parlament, rząd, głowa państwa lub niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego. Swoboda ta, mimo iż w efekcie przyniesie odmienne rozwiązania prawne w poszczególnych krajach, może przyczynić się do tego, aby państwa członkowskie odpowiedzialnie podeszły do powoływania organu. Jednocześnie zmniejszając dające się zauważyć w dotychczasowych sprawach poczucie, że prawo unijne narzuca wszystkim jednolite rozwiązania, nie zważając na specyficzne cechy systemów organów władzy w poszczególnych państwach.
Czy prezes z silnym zapleczem politycznym nie będzie lepszym gwarantem respektowania prawa niż osamotniony GIODO?
Zaplecze polityczne nie przesądza o lepszym respektowaniu prawa przez organ z punktu widzenia standardu państwa prawa. Dla właściwej realizacji zadań decydujące znaczenie ma jego usytuowanie ustrojowe, gwarancje prawne niezależności w układzie organ–państwo oraz aspekt finansowo-organizacyjny. Wspomnę, że w kwestiach szeroko pojętej niezależności finansowej RODO nakazuje, aby państwa członkowskie zapewniły organom zasoby kadrowe, techniczne, finansowe, pomieszczenia oraz infrastrukturę niezbędną do wypełniania zadań, w tym uczestnictwa organu w Europejskiej Radzie Ochrony Danych (art. 52 ust. 4 RODO). Zapewnienie tych warunków na odpowiednim poziomie stworzy podstawy stabilnego i skuteczniejszego działania organu nadzorczego w państwie prawa, w przeciwieństwie do sytuacji jego upolitycznienia. Taka z kolei grozi niebezpieczeństwem podatności na wpływy. Niezależność organu nie jest jakimś niewygodnym przywilejem, powinniśmy ją traktować jako gwarancję dla obywateli, że ich prawa będą obiektem odpowiednio realizowanej ochrony prawnej.
Co z kwestią kar za naruszenia? Możliwość ich nakładania przez prezesa UODO może się okazać silnym hamulcem dla instytucji, które mogłyby naruszać prawo, może silniejszym niż odpowiedzialność karna poszczególnych ludzi, bo może wpływać na wyniki finansowe. To dobry krok?
Tak, ponieważ brak w obecnych przepisach możliwości nakładania sankcji finansowych jest wskazywany jako jeden z mankamentów działania systemu ochrony danych. Z kolei przepisy karne przewidziane przez ustawę rzadko znajdowały zastosowanie w praktyce. Zgodnie z RODO administracyjne kary pieniężne będą groziły za nieprzestrzeganie przepisów dotyczących ochrony danych i mają realizować określone cele, to znaczy być skuteczne, proporcjonalne i odstraszające. Ich wysokość została zróżnicowana w zależności od rodzaju naruszenia. Jest to do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego albo do 20 mln euro i odpowiednio do 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Jednocześnie art. 83 ust. 1 projektu ustawy ogranicza wysokość kar w stosunku do podmiotów publicznych do 100 tys. zł. RODO nie „wycenia” poszczególnych naruszeń, o wysokości kary będzie decydował organ nadzorczy. Powinien on uwzględnić wiele okoliczności dotyczących rodzaju naruszenia, kategorii danych, liczby osób poszkodowanych, umyślnego lub nieumyślnego charakteru naruszenia, oceny dotychczasowych działań administratora, współpracy z organem nadzorczym itp.
Wysokość kar może spowodować, że ryzyko wiążące się z łamaniem prawa ochrony danych osobowych stanie się nieopłacalne, biorąc pod uwagę chociażby zysk z wykorzystanych dla celów marketingowych zbiorów danych pozyskanych bezprawnie. Do osiągnięcia tego efektu jest konieczne poczucie nieuchronności kary, a to może zapewnić przede wszystkim skutecznie działający organ nadzorczy. Trzeba zaznaczyć, że organ nadzorczy ma prawo korzystać jeszcze z innych środków wobec administratorów. Są nimi między innymi wydawanie ostrzeżeń administratorowi w razie możliwości naruszenia, udzielanie upomnień, nakazanie podjęcia odpowiednich działań w zakresie przetwarzania danych. Takich działań należy oczekiwać w pierwszych miesiącach stosowania RODO, kiedy podmioty gospodarcze będą się go dopiero uczyły w praktyce.
Należy mieć na względzie nie tylko wymagania prawne stawiane przez RODO, lecz również ugruntowane stanowisko w zakresie respektowania niezależności organów nadzorczych wynikające z orzecznictwa europejskiego