Rząd przyjął projekt ustawy wdrażającej RODO, która zmieni aż 168 ustaw, dostosowując je do unijnego prawa. Zanim zaczniemy rozmawiać o szczegółach, proszę o wskazanie, jakie przepisy uznaje pan za wyjątkowo ważne.

Na pewno zmiany w kodeksie karnym, które mają pomóc zwalczać RODO-szantażystów. Choć oczywiście dotyczą one wszelkich prób wyłudzania pieniędzy, to bezpośrednim powodem ich wprowadzenia było to, co zaobserwowaliśmy w pierwszym okresie stosowania RODO. Pamiętam, że z propozycją zmiany przepisów zgłosiła się jedna z izb gospodarczych, a dosłownie dzień później zostaliśmy wręcz zasypani informacjami o podejrzanych ofertach, w których w mniej lub bardziej zakamuflowany sposób próbowano szantażować przedsiębiorców. Dlatego też zaproponowaliśmy poszerzenie definicji groźby karalnej. Będzie nią nie tylko grożenie postępowaniem karnym, ale również postępowaniem administracyjnym kończącym się nałożeniem kary finansowej.

Pojawia się pytanie, na ile skutecznie przepis ten pozwoli karać naciągaczy? Często trudno określić, gdzie kończy się oferta handlowa, a zaczyna szantaż.

Oczywiście będzie to podlegać ocenie organów ścigania, a ostatecznie sądów. Warto tu pamiętać, że kara pozbawienia wolności jest sankcją najwyższą, przy mniej groźnych czynach sąd może poprzestać na wymierzeniu grzywny.

A jeśli sformułuję swoją ofertę w ten sposób, że moje szkolenie pozwoli waszej firmie uniknąć kar finansowych?

W mojej ocenie to nie będzie groźba. W pewnych przypadkach może to być działanie nieetyczne, np. gdy chodzi o radców prawnych czy adwokatów, ale za przestępstwo tego uznać nie można. Jeśli jednak przedsiębiorca dostanie pismo, w którym ktoś zagrozi mu, że musi wykupić określone szkolenia, bo w przeciwnym razie do Urzędu Ochrony Danych Osobowych wpłynie stosowne zawiadomienie, to taki czyn uznałbym już za groźbę karalną. Ktoś bowiem grozi przedsiębiorcy: albo zapłacisz nam, albo otrzymasz karę finansową.

Projekt pozwala pacjentom żądać od placówek medycznych jednokrotnego przekazania całej dokumentacji medycznej. Dlaczego zdecydowaliście się na wprowadzenie takiego obowiązku?

To rozwiązanie proobywatelskie, które jednocześnie stara się uwzględnić interes placówek medycznych. Nie oszukujmy się bowiem, że czasem może chodzić o tysiące stron dokumentów, których przygotowanie i przekazanie wiąże się ze znacznymi kosztami finansowymi. Co gorsza, mamy w obrocie dwa opozycyjne względem siebie stanowiska dwóch różnych organów państwa – Urzędu Ochrony Danych Osobowych i rzecznika praw pacjenta. Zgodnie z pierwszym należałoby anonimizować wszystkie dane, które dotyczą osób trzecich; zgodnie z drugim, anonimizacja taka nie jest potrzebna. Na domiar złego obydwa te organy mogą nakładać kary finansowe, co oznacza, że placówki medyczne znalazły się trochę między młotem a kowadłem.

Dlatego też ustawa przesądza, że pacjent ma prawo zażądać przekazania mu swej dokumentacji, a zawarte w niej informacje, dotyczące chociażby lekarzy, nie naruszają ich praw i wolności. Uznaliśmy, że dane pieczątkowe lekarza czy personelu medycznego mogą być ujawnione pacjentowi.

Nowe przepisy dają firmom z dwóch sektorów – bankowego i ubezpieczeniowego – ustawową podstawę do profilowania klientów. Idą więc dalej, niż wynika to z samego RODO. Czym tłumaczyć tak probiznesowe podejście?

Istnieją interpretacje, zgodnie z którymi już obowiązujące przepisy mówiące o ocenie zdolności kredytowej czy ryzyka ubezpieczeniowego stanowią wystarczającą podstawę prawną do profilowania klientów. Nasz projekt potwierdza to, przy czym jednoznacznie przesądza, że to profilowanie może dotyczyć wyłącznie oceny zdolności kredytowej i analizy ryzyka bankowego oraz dokonania oceny ryzyka ubezpieczeniowego i wykonania czynności ubezpieczeniowych. Przyznaje też dodatkowe uprawnienie klientom, którego dzisiaj brakuje. Nazwaliśmy to prawem do interwencji ludzkiej, które w praktyce oznacza, że każdy ma prawo otrzymać stosowne wyjaśnienia co do podstaw podjętej decyzji, zakwestionowania tej decyzji oraz wyrażenia własnego stanowiska. Wydaje mi się, że przepisy te należy więc odbierać nie tylko jako probiznesowe, ale i mocno proobywatelskie. Musimy też pamiętać, że przepisy dotyczą wyłącznie profilowania podejmowanego automatycznie, a więc bez znaczącego udziału czynnika ludzkiego.

Czy w praktyce pozwoli mi to zażądać od banku informacji, jakie konkretnie kryteria były brane pod uwagę przy ocenie mojej zdolności kredytowej? Przykładowo są ponoć banki, które sprawdzają, kiedy płaciłem kartą w sklepach z alkoholem.

Nie potrafię odpowiedzieć na to pytanie. Myślę, że w praktyce to sądy będą określać w indywidualnych sprawach, jak bardzo szczegółowych informacji ma prawo zażądać klient. Ale chciałbym, by były jak najdokładniejsze. Na profilowanie nie możemy też patrzeć wyłącznie jako na zagrożenie dla prywatności klientów. Przetwarzanie informacji o tym, ile szkód ma dany klient, pozwala zapewne zaproponować mu ubezpieczenie na korzystniejszych warunkach. Ostateczna wersja projektu zyskała też oczywiście akceptację ministra finansów i UODO.

Zgodnie z projektem urzędy mają spełniać obowiązek informacyjny w pierwszym piśmie kierowanym do strony. Innymi słowy pewne czynności będą podejmowane, zanim obywatel dowie się o przetwarzaniu swych danych.

Rzeczywiście można tu mówić o pewnym przesunięciu momentu spełnienia obowiązku informacyjnego. Artykuł 13 RODO co do zasady uznaje, że już na etapie pozyskiwania danych należy wypełnić ten obowiązek. Tyle że rodzi to bardzo praktyczne problemy. Załóżmy, że do urzędu wpływa wniosek. Do momentu jego przeczytania nie wiadomo jeszcze, czego dotyczy, a jednocześnie już samo jego przeczytanie oznacza przetwarzanie danych. Dlatego też zaproponowaliśmy, aby administracja publiczna musiała realizować pełny obowiązek informacyjny dopiero w pierwszym piśmie kierowanym do strony w związku z prowadzonym postępowaniem. Konsultowaliśmy te przepisy z Komisją Europejską i na tym etapie nie wzbudziły one zastrzeżeń. Poza odciążeniem administracji publicznej wychodzą one zresztą naprzeciw oczekiwaniom samych obywateli.

Podczas prac legislacyjnych usunięto regulacje, które wprost określały, że adwokat czy radca prawny jest administratorem danych. Skąd taka decyzja?

Rzeczywiście sformułowania, które to przesądzały, zostały wykreślone z projektu, ale tak naprawdę niczego to nie zmienia. Chodzi bardziej o pewne uporządkowanie przepisów, które nie muszą przesądzać rzeczy oczywistych. Nie ma jednak żadnych wątpliwości, że adwokat czy radca prawny jest administratorem danych przetwarzanych w zawiązku z prowadzeniem sprawy swego klienta.

Przez wielu prawników zmiana ta została odebrana inaczej – jako zgoda na przetwarzanie danych klientów w roli procesora.

Nie ma ku temu żadnych podstaw. Sformułowanie o administratorze danych zniknęło z niemal wszystkich ustaw, a nie tylko z prawa o adwokaturze czy ustawy o radcach prawnych. Powtórzę – ma to wyłącznie wymiar porządkujący. W zdecydowanej większości sytuacji będą oni jednak administratorami danych, z obowiązkiem zachowania tajemnicy zawodowej. Procesorem mogą być wyłącznie w specyficznych sytuacjach, np. podczas sporządzania w niektórych przypadkach na zamówienie klienta ogólnej opinii na temat interpretacji jakichś przepisów.