Przedsiębiorstwa spoza UE, które oferują towary albo usługi obywatelom państw członkowskich lub monitorują ich zachowania online, również będą musiały stosować się do szykowanych unijnych regulacji - uważa dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Na jakim etapie znajdują się prace nad unijnym rozporządzeniem mającym na nowo uregulować ochronę danych osobowych i kiedy możemy się spodziewać jego wejścia w życie?
Prace nad tą reformą weszły w fazę tzw. trilogu. Są to trójstronne negocjacje między Parlamentem Europejskim, Komisją Europejską i Radą Unii Europejskiej. Na potrzeby uzgodnień przygotowano specjalną, składającą się z czterech kolumn tabelę. Kolejno znajdują się w niej: tekst projektu Komisji Europejskiej z stycznia 2012 r., tekst przyjęty przez Parlament Europejski w marcu 2014 r. oraz tekst przyjęty przez Radę w czerwcu 2015 r. W ostatniej kolumnie wpisywana jest informacja dotycząca ustaleń, jakie zapadły w czasie negocjacji, a więc brzmienie tzw. przepisów kompromisowych. Na razie uzgodniono w ten sposób przepisy jednego rozdziału, dotyczącego przekazywania danych do państw trzecich lub organizacji międzynarodowych. Trzeba jednak zaznaczyć, że przy nim było stosunkowo niewiele rozbieżności. Trudno więc przesądzić, jak szybko będą się toczyły prace nad pozostałymi przepisami. Niemniej wciąż się przewiduje, że rozporządzenie zostanie przyjęte jeszcze w tym roku. Gdyby tak się stało, to weszłoby w życie w 2018 r., po dwuletnim okresie vacatio legis. Ten czas trzeba będzie wykorzystać na przygotowanie się do jego stosowania.
Skoro unijne rozporządzenie będzie obowiązywać wprost, to jakie przygotowania ma pani na myśli?
Konieczne będą zarówno zmiany w przepisach polskiego prawa, jak i przygotowanie biura GIODO do realizacji nowych zadań. Zatem w czasie wspomnianego dwuletniego vacatio legis polski ustawodawca musi dokonać przeglądu wielu aktów prawnych, m.in. po to, aby ujednolicić definicje i wprowadzić nowe. Ostatnio bowiem coraz głośniej mówi się o zjawiskach i rodzajach danych, które wymagają uregulowania, a które nie zostały zdefiniowane w polskich przepisach. Mam na myśli na przykład dane biometryczne, dane genetyczne czy biobanki.
Czego możemy się spodziewać po wejściu w życie nowych regulacji?
Projektowane przepisy mają zapewnić każdemu z nas większą kontrolę nad danymi osobowymi. Powinniśmy zyskać łatwiejszy dostęp do własnych danych oraz prawo do łatwiejszego ich przenoszenia między usługodawcami. Wszystkie sprawy dotyczące danych będziemy mogli kierować do krajowego organu ochrony danych, nawet gdy są one przetwarzane w innym państwie. Przez całe lata system ochrony funkcjonował przede wszystkim w ramach danego kraju, ale jeśli np. Polak chciał dochodzić swoich praw od sklepu internetowego czy portalu społecznościowego w Wielkiej Brytanii lub Francji, musiał to robić za pomocą tamtejszego rzecznika i w tamtym języku. Po zmianach obywatele będą mogli składać skargi w swoim kraju, choć docelowo sprawy będzie rozpatrywał tamtejszy organ ochrony danych osobowych.
Ważne jest także to, że unijne przepisy będą musiały być stosowane przez przedsiębiorstwa działające poza UE, które oferują towary lub usługi obywatelom państw unijnych lub które monitorują zachowania obywateli online. Zatem jeśli np. portal internetowy prowadzi podmiot z USA, ale z jego usług korzystają obywatele państw UE, to w swojej działalności będzie on musiał przestrzegać unijnych zasad związanych z przetwarzaniem danych osobowych użytkowników.
Oznacza to, że przedsiębiorcom, także z Polski, przybędzie obowiązków związanych z przetwarzaniem danych. Na co muszą się przygotować?
Na pewno do zmian w procedurach i zasadach przetwarzania danych. Niektóre będą jednak dla nich ułatwieniem. Dzisiaj polska firma, która prowadzi działalność także za granicą – powiedzmy w Niemczech i Francji – musi dostosować się do standardów przetwarzania danych obowiązujących w każdym z tych krajów z osobna, a w przypadku wątpliwości, wyjaśnia je z tamtejszymi organami. Po wejściu w życie rozporządzenia zacznie działać zasada „one stop shop”, czyli wszystko w jednym miejscu. O wyjaśnienia i pomoc będzie można zwracać się tam, gdzie przedsiębiorca ma swoją siedzibę. Dla polskiej firmy będzie to zatem biuro GIODO.
Nowością – z punktu widzenia polskiego prawa – będzie obowiązek zgłaszania incydentów bezpieczeństwa, czyli przypadków związanych np. ze zniszczeniem lub wyciekiem danych osobowych. W tej chwili istnieje on tylko w ustawie – Prawo telekomunikacyjne. Po wejściu unijnego rozporządzenia zostanie rozszerzony na wszystkie sektory gospodarki.
Administratorzy danych w Polsce muszą też mieć świadomość kar, jakie będzie mógł nakładać GIODO. Ich wysokość nie została jeszcze ostatecznie uzgodniona przez państwa członkowskie, ale z pewnością będą one dotkliwe. Nie chcę straszyć sankcjami, jednak na pewno muszą być one odczuwalne ze względu na interes i dobro ludzi, których prywatność zostanie naruszona, oraz pełnić funkcję prewencyjną. Podmioty dysponujące danymi muszą zdawać sobie sprawę, że nie wolno im lekko traktować takich informacji, handlować nimi ani udostępniać osobom nieupoważnionym, bo grozi za to określona kara.