W ciągu półtora roku rząd musi dokonać przeglądu kilkuset aktów prawnych i podjąć decyzje dotyczące przepisów o prywatności. Na razie ministerstwa pracują na własną rękę.
Co zmieni się w ochronie danych osobowych / Dziennik Gazeta Prawna
Polskę, tak jak wszystkie kraje UE, czeka poważna reforma systemu ochrony danych osobowych. Wynika to z przyjętego w kwietniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Choć nowe przepisy unijne celowo wydano w formie rozporządzenia, by zapewnić ich jednolitość w całej UE, to nie znaczy, że nasz ustawodawca nie ma nic do roboty. Wręcz przeciwnie, jak wynika z szacunków Rządowego Centrum Legislacji, do przeglądu jest ok. 800 aktów prawnych, w których w mniejszym lub większym stopniu pojawiają się regulacje dotyczące ochrony danych. W zasadzie trudno znaleźć obszar, w którym nie mamy z tym do czynienia. Nasze dane są przecież przetwarzane przez banki, służbę zdrowia, służby czy choćby najmniejsze przedszkola.
Ostateczną datą, do której musimy dostosować nasze przepisy do nowych unijnych wymagań, jest 25 maja 2018 r. Mogłoby się wydawać, że to sporo czasu. Nic bardziej mylnego.
– W rzeczywistości te półtora roku, jakie nam zostało, to niewiele czasu. Konieczny jest nie tylko przegląd ustaw i ich proste dostosowanie. Musimy też podjąć wiele decyzji systemowych, dlatego prace nad dostosowaniem polskiego prawa do unijnego rozporządzenia powinny już być prowadzone pełną parą – ocenia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda.
KPRM umywa ręce
Jak przebiegają prace nad koniecznymi zmianami w prawie? Postanowiła to sprawdzić Fundacja Panoptykon, która skierowała pytania do administracji w trybie dostępu do informacji publicznej. Odpowiedź, jaką otrzymała z Kancelarii Prezesa Rady Ministrów, była mocno niepokojąca.
„KPRM nie dysponuje wnioskowanymi informacjami. Aby je uzyskać, sugerujemy zwrócić się do generalnego inspektora ochrony danych osobowych” – napisano w niej.
Problem w tym, że GIODO nie ma kompetencji legislacyjnych i w zasadzie jedyne, co może, to doradzać rządowi czy konsultować jego propozycje. Z odpowiedzi kolejnych ministerstw wynikało, że spora część na własną rękę przygotowuje zmiany w prawie.
– Widać z nich, że stopień zaawansowania prac i wizja potrzebnych zmian bardzo się różnią. Niektóre resorty już dokonały przeglądu aktów prawnych znajdujących się w ich gestii, inne dopiero zaczynają to robić – analizuje Katarzyna Szymielewicz z Panopotykonu.
Ze znowelizowanej pod koniec ubiegłego roku ustawy o działach administracji rządowej (t.j. Dz.U. z 2016 r. poz. 543) jasno wynika, że kształtowaniem polityki państwa w zakresie ochrony danych osobowych zajmuje się Ministerstwo Cyfryzacji. To ono powinno więc pełnić rolę koordynatora przy pracach nad wdrożeniem nowych regulacji. Czy pełni? Z odpowiedzi udzielonej DGP wynika, że tak.
– MC pełni rolę koordynatora prac dla całej administracji rządowej. Temu służą robocze spotkania z przedstawicielami wszystkich resortów. Do pierwszego takiego spotkania doszło w lipcu, a kolejne planowane jest na wrzesień. Należy podkreślić, że odpowiednie zmiany w ustawach sektorowych, np. prawie pracy, prawie bankowym czy ubezpieczeń, przygotowane będą w resortach właściwych tym tematom – wyjaśnia wydział komunikacji MC.
Potrzebna jednolitość
Część obserwatorów uważa jednak, że MC powinno pełnić czołową rolę w procesie legislacyjnym. Jeśli każdy resort będzie działał na własną rękę, to przepisy mogą być niespójne. Zwłaszcza, że chodzi o tak wiele regulacji rozsianych po tak wielu aktach. Dlatego byłoby źle, gdyby rola MC sprowadzała się jedynie do formalnej koordynacji i pilnowania terminów.
– Z perspektywy celów reformy najważniejsze jest to, czy ostateczny efekt będzie spójny i zgodny z zasadami, jakie wynikają bezpośrednio z europejskich przepisów. To wymaga ścisłej koordynacji prac i więcej niż opiniodawczej roli MC. Jeśli każdy z resortów będzie niezależnie interpretował standardy ochrony danych na swoim gruncie, mogą się pojawić niebezpieczne wyłomy, ostatecznie uderzające zarówno w ideę harmonizacji, jak i w prawa obywateli – przekonuje Katarzyna Szymielewicz z Fundacji Panoptykon.
Co więcej, brak pełnej koordynacji może doprowadzić do tego, że pewne regulacje mogą zostać zwyczajnie przeoczone. Przykładem może być tu tzw. wyjątek dziennikarski, który dzisiaj zwalnia dziennikarzy ze stosowania większości przepisów o ochronie danych osobowych. O ile za regulacje dotyczące przetwarzania danych pracowników odpowiada Ministerstwo Rodziny, Pracy i Polityki Społecznej, a za kwestie związane ze służbą zdrowia – Ministerstwo Zdrowia, o tyle przepisy dotyczące dziennikarzy trudno jednoznacznie przypisać do konkretnego resortu. Ponieważ obejmują one również działalność literacką czy artystyczną, powinno się nimi zainteresować Ministerstwo Kultury i Dziedzictwa Narodowego. To jednak w odpowiedzi dla Panoptykonu stwierdziło, że już zakończyło przegląd aktów prawnych mu przypisanych i nie przewiduje potrzeby podejmowania prac legislacyjnych.
Jeśli zaś wspomniany wyjątek nie zostanie wprowadzony do przepisów, to dziennikarze będą podlegać przepisom o ochronie danych osobowych. A to oznaczałoby, że kajet z telefonami do polityków czy ekspertów stanowi taki sam zbiór danych i podlega tym samym regulacjom co komercyjna baza danych.
Co dalej z GIODO?
O ile większość przepisów unijnego rozporządzenia będzie obowiązywała wprost, o tyle kilkadziesiąt z nich pozostawia krajom pewną swobodę co do ich wdrożenia. Kluczową decyzją, jaką Polska musi podjąć, jest rola i usytuowanie generalnego inspektora ochrony danych osobowych (o ile ta nazwa zostanie utrzymana).
– Na odpowiedź czeka wiele pytań. Czy GIODO ma zajmować się tylko ochroną danych, czy też także dostępem do informacji publicznej? Czy ma to być organ jednoosobowy, czy kolegialny? Czy ma obejmować swoim zasięgiem całą Polskę, czy też ma posiadać delegatury podobnie jak UOKiK? To tylko jedne z istotniejszych kwestii – wylicza dr Paweł Litwiński.
Te decyzje podejmować będzie resort cyfryzacji, który przygotowuje założenia do projektu nowej ustawy o ochronie danych osobowych.
– Trzeba też uregulować całą procedurę przed GIODO. Dzisiaj skargi na decyzje GIODO rozpoznają sądy administracyjne, od lat jednak słychać głosy, że być może powinien to robić Sąd Ochrony Konkurencji i Konsumentów. Tyle że w mojej ocenie na gruntowną reformę procedury już teraz może nie być dość czasu, chociażby ze względu na niezbędne vacatio legis – uważa Paweł Litwiński. Przyjęcie optymalnego modelu jest o tyle istotne, że po wejściu w życie rozporządzenia GIODO będzie mógł nakładać wysokie kary finansowe (nawet do 20 mln euro).
Chociażby kTematów, które musi samodzielnie uregulować, jest więcej. westia korzystania z usług internetowych przez dzieci. Rozporządzenie stanowi, że można przetwarzać dane osobowe użytkowników, którzy ukończyli 16 lat. W przypadku młodszych zgodę musi wyrazić rodzic lub opiekun. Kraje członkowskie mogą jednak ustanowić niższą granicę wiekową.
GIODO nie ma kompetencji legislacyjnych i może co najwyżej doradzać rządowi