Prezes Urzędu Ochrony Danych Osobowych ma być jednak wybierany tak jak dzisiaj GIODO, a nie wskazywany przez premiera. Ministerstwo Cyfryzacji uwzględniło uwagi wysuwane podczas konsultacji.
110 organizacji i obywateli zgłosiło swoje uwagi do projektu ustawy o ochronie danych osobowych podczas konsultacji społecznych / Dziennik Gazeta Prawna
Ustawa o ochronie danych osobowych jest bez wątpienia jednym z najważniejszych aktów prawnych, jakie muszą zostać uchwalone w tym roku. Choć unijne rozporządzenie o ochronie danych osobowych 2016/679 (RODO) będzie obowiązywało wprost, to jednocześnie pozostawia ono wiele kwestii do uregulowania przepisom krajowym. Jedną z nich jest wybór prezesa Urzędu Ochrony Danych Osobowych, który zastąpi generalnego inspektora ochrony danych osobowych.
Początkowo miał on być wybierany przez Sejm, ale na wniosek premiera. Wzbudziło to protesty podczas konsultacji społecznych. Zarówno organizacje pozarządowe, jak i sam GIODO wskazywali, że ten sposób wyboru prezesa UODO nie gwarantuje mu pełnej niezależności. Owszem, formalnie byłby wybierany przez Sejm, ale de facto wskazywałby go premier. Posłowie jedynie zatwierdzaliby jego decyzję, co przy większości sejmowej byłoby formalnością. W najnowszej wersji projektu resort cyfryzacji proponuje zachowanie obecnej formuły, w jakiej wybierany jest GIODO. Prezes UODO ma więc być powoływany przez Sejm, za zgodą Senatu.
– Z dużą satysfakcją przyjmujemy tę zmianę. Walczyliśmy o gwarancje niezależności tego urzędu, a zaproponowana zmiana ten postulat realizuje. Poza wyborami powszechnymi wybór osoby pełniącej urząd przez Sejm i Senat, jakkolwiek nadal polityczny, daje najmocniejszy mandat demokratyczny. Bez takiego mandatu prezes UODO nie mógłby skutecznie realizować powierzonych mu zadań, zwłaszcza kontrolować organów państwa – ocenia Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
MC zgodziło się też na drobne ustępstwo dotyczące sposobu powoływania zastępców prezesa UODO. Pierwotnie mieli być narzucani przez szefów resortów cyfryzacji i spraw wewnętrznych. Zgodnie z najnowszą wersją będzie ich powoływał sam prezes UODO, ale na wniosek wspomnianych ministrów.
Szerokie konsultacje
To niejedyne zmiany, jakie wprowadzono w projekcie. Nawet krytycy przyznają, że konsultacje społeczne nad nim były prowadzone w modelowy sposób. Nie tylko zestawiono w jednym dokumencie wszystkie zgłoszone uwagi, ale również zorganizowano całodniowe spotkanie w Sejmie, na którym każdy mógł zabrać głos.
– W toku konsultacji społecznych swe opinie zgłosiło łącznie ponad 110 organizacji i obywateli, przedstawiając w przybliżeniu 700 stron uwag. Zakładam, że ta liczba świadczy o wspólnej trosce o jakość ostatecznego kształtu ustawy. My te uwagi bardzo rzetelnie analizowaliśmy, prowadziliśmy rozmowy z innymi resortami oraz GIODO, w efekcie projekt uległ daleko idącym zmianom – mówi dr Maciej Kawecki, dyrektor departamentu zarządzania danymi MC i autor projektu ustawy.
Jako jedną z istotnych zmian wskazuje umożliwienie wydawania certyfikatów przez prywatne firmy. Certyfikaty mają potwierdzać spełnianie standardów związanych z bezpieczeństwem danych. Pierwotnie certyfikacją miał się zajmować wyłącznie UODO. W uwagach do projektu powtarzała się jednak obawa, że zostanie on zalany wnioskami ze strony przedsiębiorców, co może doprowadzić do wydłużenia się procedur. Dlatego konkurencję dla UODO mają stanowić prywatne firmy uprawnione do wydawania certyfikatów. Ich akredytacją zajmie się Polskie Centrum Akredytacji.
Nowością jest przepis umożliwiający prezesowi UODO podawanie w wątpliwość decyzji Komisji Europejskiej uznającej kraje spoza UE za takie, do których można bezpiecznie eksportować dane osobowe.
– Dokonując analizy wyroku Trybunału Sprawiedliwości UE w sprawie Maxa Schremsa i po wyczerpującej analizie departamentu prawnego, wprowadzony został do projektu art. 65. Na jego podstawie prezes UODO będzie mógł wystąpić do sądu administracyjnego z wnioskiem o wydanie postanowienia w sprawie zgodności decyzji KE z prawem UE – wyjaśnia dr Maciej Kawecki. (W sprawie Maxa Schremsa TSUE uznał za nieważną decyzję KE dotyczącą programu „Safe Harbour”, który umożliwiał transfer do USA danych osobowych Europejczyków – sprawa nr C-362/14).
Podczas konsultacji uwzględniono też uwagi dotyczące procedury zatwierdzania tzw. kodeksów postępowań. Chodzi o kodeksy dobrych praktyk, w których dane branże uregulują zasady postępowania z danymi osobowymi. Początkowo miały one być zatwierdzane przez prezesa UODO bez udziału zainteresowanych, np. organizacji pozarządowych. W obecnej wersji projekt gwarantuje przeprowadzenie konsultacji z zainteresowanymi podmiotami.
Dyskusyjne wyłączenia
Najwięcej kontrowersji wzbudza zmiana dotycząca zwolnienia mikro, małych i średnich przedsiębiorców z niektórych obowiązków przewidzianych przez RODO. Od samego początku towarzyszyły jej wątpliwości, czy jest to zgodne z przepisami unijnymi. Rzeczywiście przewidują one możliwość wprowadzenia pewnych wyłączeń, ale te proponowane pierwotnie dotyczyły większości obowiązków informacyjnych.
Ostatecznie MC zdecydował się okroić wyłączenia. Nawet firmy z sektora MSP będą musiały informować o swoich danych, celu i podstawie prawnej przetwarzania danych, danych kontaktowych inspektora ochrony danych (o ile takiego posiadają) oraz prawie do cofnięcia zgody.
Część prawników uważa, że najnowsza propozycja jest już zgodna z przepisami unijnymi. – Takie ograniczenie z pewnością nie wykracza poza zakres istoty prawa do informacji i zawiera wszystkie te informacje, które zdaniem Grupy Roboczej Art. 29 i KE są wymagane do tego, aby zgoda została udzielona skutecznie – ocenia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Część ekspertów nadal uważa, że wyłączenia idą zbyt daleko. – Mali i średni przedsiębiorcy nie będą musieli przekazywać wielu informacji określonych w art. 13 ust. 2 RODO, w szczególności gdy chodzi o okresy, przez jakie zamierzają przechowywać zebrane dane, prawa do wniesienia skargi do organu nadzorczego, tego, czy przetwarzając dane osobowe, będą korzystać z zautomatyzowanego podejmowania decyzji, w tym profilowania. Dodatkowo nie będą zobowiązani do informowania o prawie dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych – wylicza Marcin Cwener, prawnik z kancelarii Maruta Wachta. Zwraca też uwagę, że z tego wyłączenia będzie mogła skorzystać zdecydowana większość działających w Polsce firm, gdyż mało jest takich, które zatrudniają co najmniej 250 osób.
W uzasadnieniu projektu MC wskazuje na trudności, jakie mogą mieć firmy, odczytując wszystkie wymagane przez RODO informacje przez telefon. Argument ten nie przekonuje Wojciecha Klickiego z Panoptykonu.
– Jeśli to jest główny powód wyłączeń, to wystarczyłoby doprecyzowanie w ustawie, że w takich przypadkach obowiązki informacyjne są realizowane ex post, innym kanałem komunikacji – zauważa prawnik. – Jednak w sektorze MSP zawieranie umów przez telefon wcale nie jest standardem. Mnóstwo jest natomiast firm, które działają w internecie, gromadząc ogromne ilości danych, i bez większego problemu oraz specjalnych kosztów mogłyby realizować swoje obowiązki informacyjne – dodaje.
Etap legislacyjny
Projekt ustawy skierowany do Komitetu do Spraw Europejskich