To będzie prawdziwa rewolucja. Na początku sierpnia resort cyfryzacji opublikuje nowy projekt ustawy o ochronie danych osobowych, która ma na celu implementację unijnego rozporządzenia – tzw. RODO. Zgodnie z projektowanymi przepisami monitoring nie będzie mógł stanowić środka kontroli wykonywania pracy przez pracownika -mówi w wywiadzie dla DGP Maciej Kawecki, zastępca dyrektora departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator prac nad krajową reformą ochrony danych osobowych.

Gorący temat to biometria. Resort cyfryzacji proponuje dopuszczenie możliwości uzyskiwania przez pracodawców zgody pracownika na przetwarzanie danych biometrycznych. Doktor Maciej Kawecki, zastępca dyrektora departamentu zarządzania danymi w Ministerstwie Cyfryzacji i koordynator prac nad reformą przepisów, zdradza nam, że nowe przepisy znowelizują m.in. kodeks pracy w ten sposób, że umożliwią pracodawcom przetwarzanie danych biometrycznych swoich pracowników, o ile wyrażą oni na to zgodę. Obecnie nie jest to możliwe. Uważa się, że można przetwarzać tylko te dane osobowe, które są wskazane w zamkniętym katalogu art. 221 kodeksu pracy. Przy czym Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 r. (sygn. akt I OSK 249/09) stwierdził, że nie ma mowy o swobodnej zgodzie w przypadku, gdy pyta o nią pracodawca występujący naturalnie z pozycji siły nad pracownikiem.

Uwaga! Od maja kolejne zmiany w RODO – sprawdź jak przygotować się do kontroli przestrzegania przepisów >>

– Po wejściu w życie nowych przepisów organ ochrony danych będzie jednak sprawdzał, czy pracodawca rzeczywiście dał odpowiednią swobodę wyboru pracownikowi. Tak więc przedsiębiorcy zostaną zmuszeni do utrzymywania dotychczasowych rozwiązań na wypadek, gdyby niektórzy pracownicy zdecydowali się nie udostępniać swoich danych biometrycznych – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda.

Odmowa udzielenia zgody na przetwarzanie danych biometrycznych – jak informuje nas resort cyfryzacji – nie będzie mogła być powodem dla rozwiązania stosunku pracy, zmniejszenia wysokości wynagrodzenia czy zmiany warunków umowy.

W projekcie ustawy resort doprecyzował też przepisy dotyczące m.in. korzystania z biometrii w sektorze bankowym. Jej wykorzystanie stanie się dopuszczalne np. w kanałach zdalnych do uwierzytelniania klientów.

Co więcej, jeśli proponowana ustawa wejdzie w życie w obecnym kształcie, pracowników będzie można też podglądać za pomocą monitoringu wizyjnego. Ma on jednak służyć wyłącznie zapewnieniu bezpieczeństwa pracowników, ochronie mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Monitoring nie będzie mógł jednak stanowić środka kontroli wykonywania pracy przez pracownika. Ponadto zostanie wprowadzony zakaz używania kamer w szatniach, stołówkach czy palarniach.

Maciej Kawecki zastępca dyrektora departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator prac nad krajową reformą ochrony danych osobowych / Dziennik Gazeta Prawna
Już za niecały rok, tj. od 25 maja 2018 r., w Polsce będzie bezpośrednio stosowane unijne rozporządzenie RODO (o ochronie danych osobowych). Kiedy poznamy uzupełniony projekt polskiej ustawy wdrażającej to rozporządzenie?
Planujemy, że projekt o ochronie danych osobowych zostanie przedstawiony do konsultacji społecznych już na początku sierpnia. Do wersji przedstawionej w marcu dodaliśmy propozycje zmian przepisów sektorowych. To są zmiany doniosłe, wręcz rewolucyjne. Łącznie zmienianych będzie ok. 140 ustaw, w tym m.in. kodeks pracy, prawo bankowe, prawo ubezpieczeniowe, ustawy o ochronie zdrowia czy działalności kulturalnej. Bez wątpienia wejście w życie RODO będzie jedną z największych zmian w ostatnich latach, również dla przedsiębiorców.
Co się zmieni w kodeksie pracy?
Planujemy m.in. istotne zmiany związane z biometrią – dopuszczamy możliwość uzyskiwania zgody pracownika na przetwarzanie danych biometrycznych, wprowadzamy także regulacje dotyczące monitoringu wizyjnego w miejscu pracy, których dzisiaj nie ma. Nowe przepisy zwiększą poziom ochrony prywatności pracowników przy jednoczesnym uwzględnieniu interesów przedsiębiorców.

Na jakich zasadach dopuszczalne będzie wykorzystanie danych biometrycznych?
W projekcie zapisano, że przetwarzanie przez pracodawcę danych biometrycznych będzie obejmowało dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Zgoda będzie mogła być więc odebrana pod warunkiem oczywiście zapewnienia pełnej jej dobrowolności. Mówiąc prościej: odmowa udzielenia takiej zgody nie może warunkować trwałości stosunku pracy, wysokości wynagrodzenia, warunków umowy o pracę itd.
Będą to pierwsze w Polsce tego typu regulacje dotyczące biometrii. Obecnie mamy sytuację, że z jednej strony – w świetle obecnie obowiązujących przepisów – dane osobowe pracowników mogą być przetwarzane na podstawie art. 221 kodeksu pracy. Z drugiej strony Naczelny Sąd Administracyjny w 2010 r. wydał wyrok, w którym wskazał, że ze względu na stosunek podległości służbowej pomiędzy pracodawcą a pracownikiem nie jest możliwe odebranie zgody pracownika na przetwarzanie danych. Czyli pracodawcy mogą gromadzić tylko te dane, które zawarte są w katalogu wspomnianego art. 221 k.p. Tymczasem ten artykuł nie wymienia chociażby wizerunku czy e-maili. W efekcie – część danych osobowych weszła do szarej strefy. My teraz je z tej strefy wydobywamy i stawiamy kropkę nad i. Pracownik ma prawo udzielenia zgody danych biometrycznych, pod warunkiem zachowania swobody takiej zgody.
A czy przedsiębiorcy będą mogli stosować biometrię w stosunku do klientów? Myślę tutaj np. o klubach fitness, basenach, wypożyczalniach sprzętu?
W pozostałym zakresie – nie planujemy tak szczegółowych regulacji, jak przy przepisach sektorowych, pozostaniemy przy regulacjach określonych w RODO. W ogólnym rozporządzeniu przesądzono wprost przesłanki gromadzenia takich danych, m.in. odebranie wyraźnej zgody na wykorzystanie danych w określonym celu. Przy czym zgoda wyraźna nie musi być wyrażona na piśmie. Jeżeli przedsiębiorca będzie w stanie wykazać, że zgoda była wyrażona w pełnych warunkach swobody, to będzie mogła być wyrażona i elektronicznie, i telefonicznie, i tradycyjnie, czyli poprzez kontakt bezpośredni z klientem, i oczywiście na piśmie. Natomiast nigdy gromadzenie danych biometrycznych nie będzie mogło być uzależnione od świadczenia samej usługi. Przedsiębiorca będzie musiał zaproponować alternatywę.
A co monitoringiem wizyjnym?
Planujemy jego uregulowanie w zakresie kodeksu pracy. Mówiąc bardzo skrótowo: dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia czy też zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca będzie mógł podjąć decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy przez rejestrację obrazu (monitoring), jeżeli uzna to za konieczne. Monitoring nie będzie mógł jednak stanowić środka kontroli wykonywania pracy przez pracownika. Monitoring nie będzie mógł obejmować też pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni.
Czy przedsiębiorcy będą mogli go wykorzystywać w pozostałych obszarach?
Tej kwestii nie regulujemy. RODO nie wypowiada się na temat monitoringu w przestrzeni publicznej czy monitoringu np. na terenie placówek handlowych. To będzie regulowały ogólne zasady RODO.
Czy dane biometryczne będą miały zapewnioną dostateczną ochronę?
Założeniem RODO jest neutralność technologiczna, czyli nie wskazuje, jak zabezpieczać dane osobowe od strony technologicznej. To chyba największy problem, jaki stoi przed przedsiębiorcami. Obecnie są przyzwyczajeni, że przepisy wskazują katalog obowiązków. Tymczasem tego nie będzie. Natomiast są wyjątki: we wszystkich tych przypadkach, w których przewidujemy w przepisach krajowych możliwość wykorzystania danych biometrycznych, projekt ustawy przyznaje właściwemu ministrowi delegację do wydawania rozporządzeń określających standardy gromadzenia takich danych. W przypadku kodeksu pracy wydawać je będzie np. minister cyfryzacji. Chodzi o to, by dane biometryczne były gromadzone w postaci kodu cyfrowego. Tak więc administratorzy będą mogli gromadzić takie dane w postaci zakodowanej. Nawet jeśli część prywatna klucza wycieknie, to i tak nie będzie można uzyskać dostępu do kanału logowania, do której ktoś wykorzystuje dane biometryczne, bo będą zakodowane cyfrowo.
Wspomniał pan o zmianach w przepisach sektorowych, np. w prawie bankowym...
W przypadku sektora bankowego wprowadzamy wprost przepis dotyczący możliwości profilowania klientów. I tak nie potrzeba będzie zgody klienta na profilowanie służące wyłącznie do oceny zdolności kredytowej czy oceny ryzyka. Natomiast nie będzie możliwe profilowanie bez zgody klienta celem chociażby oferowania innych usług czy budowania modelu biznesowego banku.
Ponadto uprawniamy banki do gromadzenia danych biometrycznych w kanałach zdalnych w celu uwierzytelniania klientów. Instytucje finansowe na całym świecie coraz częściej chcą wprowadzać tego typu usługi, natomiast u nas napotykają one blokady prawne.
A jakie zmiany czekają sektor ubezpieczeniowy?
Planujemy m.in. odejście od obowiązku pisemności zgód na gromadzenie danych wrażliwych przez ubezpieczycieli. Obecne regulacje sprawiają, że polski sektor ubezpieczeniowy pozostaje trochę w tyle za zagraniczną konkurencją. Przykładowo, nawet jeśli polisa jest zawierana online, to i tak – na jakimś etapie –musi dojść do podpisania zgody w formie papierowej. My proponujemy zastąpienie wymogu pisemności wymogiem wyraźności zgody.
Jakie inne nowe rozwiązania istotne dla przedsiębiorców pojawiły się w projekcie?
Chociażby mechanizm systemu certyfikacji ochrony danych osobowych. Każdy podmiot będzie mógł starać się o certyfikat potwierdzający zgodność jego działań z przepisami RODO. Dzisiaj rozwiązaniem podobnym jest np. procedura starania się o uzyskanie normy ISO. Ten nowy, nieznany u nas mechanizm wprowadza rozporządzenie RODO, a my go doprecyzowujemy.
I jak ma działać taki system certyfikacji?
Zgodnie z RODO certyfikacja ochrony danych osobowych będzie dobrowolna. Wdrożenie przez administratora danych osobowych mechanizmów certyfikacji i uzyskanie stosownego certyfikatu będzie świadczyć o rzetelności przetwarzania danych osobowych w danym podmiocie. Ponadto pomoże administratorowi wykazać fakt spełnienia obowiązków nałożonych przez RODO.
Zgodnie z projektem ustawy certyfikacją będą się zajmować prywatne podmioty, które uzyskają stosowną akredytację prezesa Urzędu Ochrony Danych Osobowych (będzie on następcą dzisiejszego GIODO –red.). Podmiotami certyfikującymi będą wyłącznie przedsiębiorcy. Między innymi wszystkie te podmioty, które dzisiaj specjalizują się w ochronie danych osobowych, tj. kancelarie, firmy konsultingowe, firmy doradcze. Taki podmiot musi wykazać, że ma wyspecjalizowany zespół osób, spełnia ustawowe kryteria.
Czy określono, ile będzie kosztować certyfikacja?
Nie doprecyzowujemy w przepisach maksymalnej wysokości opłaty certyfikacyjnej. Uważamy, że o tym powinien decydować rynek. Przewidujemy jedynie wysokość opłaty akredytacyjnej, czyli tej wnoszonej do prezesa UODO. Będzie to trzykrotność średniego miesięcznego wynagrodzenia publikowanego przez GUS. Teraz jest to ok. 4200 zł, czyli ok. 12–13 tys. zł.
A jakie zmiany czekają prawo telekomunikacyjne?
Uchylony będzie rozdział o ochronie danych osobowych, bo zastosowanie znajdą przepisy RODO. Uchylamy wreszcie obowiązek poinformowania generalnego inspektora o fakcie naruszenia przepisów. Bo obowiązek notyfikacji takich przypadków naruszeń, np. wycieku danych, wynika wprost z RODO i będzie dotyczył wszystkich przedsiębiorców.
To wyzwanie nie tylko dla przedsiębiorców, ale i dla GIODO?
Mamy ponad 3 mln przedsiębiorców figurujących w CEIDG. Na podstawie art. 33 RODO każdy będzie zobowiązany do notyfikacji organowi nadzorczemu naruszeń przepisów o ochronie danych osobowych, o ile do takiego naruszenia dojdzie. Organ powinien każdą z tych notyfikacji przyjąć, ocenić i zdecydować, czy wszczynać postępowanie z urzędu czy nie. Jak wyliczyliśmy liczba podmiotów zobowiązanych do notyfikacji zwiększy się około 600 razy. Obecnie w rejestrze prezesa UKE znajduje się ok. 6 tys. przedsiębiorstw telekomunikacyjnych, które są zobowiązane do notyfikacji. W 2015 r. takich notyfikacji było około 90. Zakładając, że po zmianach liczba podmiotów zobowiązanych do notyfikacji zwiększy się blisko 600 razy, możemy szacować, że po wejściu w życie nowych przepisów do urzędu trafiać może ok. 55 tys. notyfikacji rocznie, czyli nawet kilkaset dziennie. To wyliczenie wskazuje skalę zmian, jaką musi przejść urząd.
Czy to oznacza konieczność wzmocnienia tego organu?
Minister cyfryzacji będzie postulował znaczne zwiększenie liczby etatów w urzędzie, który stanie się następcą GIODO. Trzeba pamiętać, że po zmianach urząd będzie miał o wiele więcej zadań niż obecnie. Przykładowo: powstanie nowy obowiązek powołania inspektora ochrony danych. Będzie on dotyczył wszystkich organów administracji, a w przypadku przedsiębiorców – każdego podmiotu przetwarzającego dane wrażliwe na szeroką skalę, np. każdego operatora medycznego. Taki przedsiębiorca będzie zobowiązany do notyfikacji inspektora danych w urzędzie.
Czy w nowym akcie prawnym pojawią się regulacje określające techniczne wymogi związane z zabezpieczaniem danych osobowych gromadzonych przez przedsiębiorców, które dałyby im w tym zakresie bardziej precyzyjne wskazówki?
Nie planujemy wprowadzania technicznych przepisów. Wychodzimy z założenia, że na skutek np. rozwoju nowych technologii uległyby one szybkiej dezaktualizacji. RODO wprowadza podejście oparte na ryzyku. To każdy przetwarzający dane osobowe musi ocenić, czy w danym stanie faktycznym zastosował środki zapewniające ich należytą ochronę. Przy czym projekt nakłada na prezesa UODO obowiązek wydawania rekomendacji dotyczących technicznych i organizacyjnych sposobów zabezpieczenia danych, aby ich gromadzenie i przetwarzanie odbywało się zgodnie z rozporządzeniem RODO oraz ustawą. Wykazy dobrych praktyk będą przygotowane osobno dla poszczególnych sektorów. Te wytyczne pojawią się dopiero, kiedy ustawa wejdzie w życie.
Kiedy to się stanie?
Chcemy wprowadzić ją transparentnie. Każdy przedsiębiorca czy inny obywatel będzie miał 21 dni na wniesienie uwag w trakcie konsultacji społecznych projektu. Ustawa musi wejść w życie dokładnie w dniu, w którym zacznie obowiązywać RODO, czyli 25 maja 2018 r.