RODO to nie rewolucja a ważny etap w ewolucji

Rafał Lesiecki, Cyberdefence24: RODO, czyli unijne rozporządzenie ogólne sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych będzie w pełni stosowane w Polsce od 25 maja. Co się wtedy zmieni dla obywateli?

Wojciech Wiewiórowski: To nie jest rewolucja, lecz raczej bardzo poważny etap w ewolucji europejskiego systemu ochrony danych osobowych. Po tej zmianie zniknie duża część różnic, które istniały do tej pory pomiędzy państwami członkowskimi Unii Europejskiej. Cały zestaw norm obowiązujących w Europie będzie odnoszony do wszystkich podmiotów, które działają, oferują usługi albo sprzedają towary na terenie UE, nawet jeżeli nie są formalnie zarejestrowane na terenie któregoś z państw Unii.

Zamiast dotychczasowej dyrektywy z 1995 r., która musiała być implementowana do prawa każdego państwa członkowskiego, pojawi się jedno rozporządzenie, które powinno obowiązywać bezpośrednio i być bezpośrednio stosowane. W zasadzie powinno więc zastąpić dotychczasowe ustawy o ochronie danych osobowych we wszystkich krajach członkowskich. Mówię “w zasadzie”, bo nie wszystkie kwestie zostały wpisane do rozporządzenia. Nie ma w nim rozwiązań organizacyjnych dotyczących organów ochrony danych, procedur i kontroli sądowej.

Jaki jest cel tych zmian?

Chodzi o to, aby prawo ochrony danych osobowych było rozumiane tak samo we wszystkich krajach członkowskich. W przypadku przedsiębiorców działających na terenie więcej niż jednego kraju UE nie będzie potrzeby wypełniania obowiązków administracyjnych w każdym państwie. Wystarczy to zrobić w miejscu głównej siedziby. To tam będą rozstrzygane skargi obywateli niezależnie, gdzie zostaną złożone. Oczywiście będą rozstrzygane wspólnie z tym państwem, z którego wpłynęła skarga, lub innymi krajami, których sprawa może dotyczyć.

To jest tzw. one stop shop, czyli zasada jednego okienka.

To oczywiście pewien skrót myślowy. Z jednej strony dla przedsiębiorcy przestaje mieć znaczenie, gdzie doszło do zdarzenia, które go dotyczy. Z drugiej, również dla osoby, której dane są przetwarzane, przestaje być istotne ściganie przedsiębiorcy w państwie, w którym jest on zarejestrowany. Skargę będzie można złożyć do organu w każdym z krajów członkowskich UE. Polak będzie mógł złożyć do polskiego organu ochrony danych osobowych skargę np. na francuski sklep internetowy albo koncern, który ma europejski oddział w Irlandii; procedura będzie się toczyła w kraju, w którym firma jest zarejestrowana, ale to organy w państwach uczestniczących w sprawie będą odpowiedzialne za to, żeby obie strony były dobrze poinformowane o swoich prawach i obowiązkach oraz mogły je realizować.

Czy państwa członkowskie są na to przygotowane? Czy w ogóle są przygotowane, żeby wdrażać rozporządzenie?

Generalnie tak. To nie jest zaskoczenie, prace nad rozporządzeniem trwają od 2012 r. Wymaganie harmonizacji działań pojawia się i po stronie biznesu, i po stronie obywateli we wszystkich krajach członkowskich. Europejczycy zdają sobie sprawę, że nie powinni żyć w swoistych silosach. Różnice mogą się pojawiać tylko przy niektórych szczególnych aspektach.

Jeśli chodzi o praktyczne wdrożenie, to wracamy do tego, że choć całe meritum prawa ochrony danych osobowych zostało ujednolicone, to organizację trzeba stworzyć. Dlatego w każdym z krajów powstaje coś w rodzaju małej ustawy o ochronie danych osobowych, uzupełniającej to, czego w rozporządzeniu nie ma, oraz odnoszącej się do tych obszarów, w których państwom członkowskich pozostawiono pewną swobodę w podejmowaniu decyzji.

Czy któreś państwo uchwaliło już taką ustawę?

Mamy takie ustawy w Niemczech i w Danii.

Czyli w dwóch państwach na 28 należących do UE.

Pamiętajmy, że terminem jest 25 maja. W większości krajów członkowskich projekty takich ustaw znajdują się na różnych etapach procedury legislacyjnej. Przypuszcza się, że wszystkie kraje zdążą z wdrożeniem przepisów przed 25 maja. Prawdą jest natomiast, że ostatecznego kształtu niektórych z tych przepisów nie znamy i niektórych krajach toczą się jeszcze dyskusje na temat zastosowania pewnych wyjątków, które pozostawiono państwom członkowskim.

Jakie są główne problemy z wdrażaniem ustaw krajowych?

Najpoważniejsze jest tych kilka obszarów, gdzie państwom UE pozostawiono samodzielne podjęcie decyzji. Dwa są dość krytyczne dla praktyki prawa ochrony danych osobowych. Po pierwsze, to wiek osoby, która może samodzielnie wyrazić zgodę na przetwarzanie danych. Dotyczy to oczywiście osób poniżej 18 roku życia. To nie jest nowa sprawa. Państwom UE nigdy nie udało się ustalić wspólnego wieku uzyskania pełnej lub ograniczonej zdolności do czynności prawnych. W niektórych krajach to jest 13, 14 lub 16 lat, co oczywiście wprowadza duże zamieszanie w przypadku serwisów internetowych dostępnych w więcej niż jednym państwie.

Drugi problem to możliwość zgłoszenia samodzielnej regulacji w zakresie danych pracowników. Większość państw UE korzysta z tego uprawnienia i zgłasza wyjątki od rozwiązań RODO. Nie znam ostatecznej decyzji, ale można się spodziewać, że Polska również tego typu wyjątek zgłosi, skoro w Kodeksie pracy jest specjalny artykuł dotyczący ochrony danych pracowników.

Skoro wspominamy o Polsce, to jakie są główne problemy z RODO w naszym kraju?

Zastępcy Europejskiego Inspektora Ochrony Danych oczywiście nie wypada wypowiadać się w sprawach poszczególnych państw członkowskich, a już szczególnie w sprawie państwa, z którego pochodzi. Mogę powiedzieć tylko, że bardzo cieszy nas to, że projekt ustawy wdrażające RODO przechodzi przez kolejne szczeble procedury legislacyjnej. Ostatnio został skierowany na Komitet Stały Rady Ministrów.

Zostało już mało czasu na zakończenie procedury w rządzie i na prace w Sejmie i w Senacie.

To prawda, ale większość kwestii została w różny sposób przedyskutowana. Jak zwykle przy wszystkich wdrożeniach, we wszystkich państwach członkowskich, pozostaje kilka spraw, które do samego końca będą rozważane i z pewnością spotkają się z krytyką zainteresowanych z jednej albo z drugiej strony.

Z pewnością Komisja Europejska jeszcze w 2018 r. podsumuje wdrożenie RODO w poszczególnych państwach członkowskich. Takie podsumowanie zrobią pewnie także rzecznicy ochrony danych. Jednak to Komisja jest strażnikiem prawa europejskiego i jej zadaniem jest wskazywanie przypadków, w których nie zostało ono prawidłowo wdrożone.

Fundacja Panoptykon uważa, że taką nieprawidłowością w projekcie polskiej ustawy może być to, że małe i średnie przedsiębiorstwa nie będą musiały aktywnie informować klientów o ich prawie do żądania dostępu do danych osobowych, do sprostowania itd. MŚP to zdecydowana większość podmiotów na rynku.

To jest problem, który pojawia się od samego początku pracy nad RODO, bo założono, że należy wprowadzić pewne ułatwienia dla małych i średnich przedsiębiorców. Jednak bardzo trudno jest określić, kto jest małym i średnim przedsiębiorcą. Jest wprawdzie europejska definicja, ale KE właśnie rozpoczęła konsultacje w sprawie zmiany tejże definicji, bo nie jest ona doskonała. Jednym z główny kryteriów branych pod uwagę w tej definicji jest liczba pracowników – wszystkie podmioty zatrudniające do 250 osób to małe i średnie przedsiębiorstwa. W Niemczech, Włoszech i Francji to pojęcie rzeczywiście ma jakiś sens, ale na Malcie, w Estonii i Słowenii MŚP to praktycznie wszystkie podmioty gospodarcze. W Polsce problemem jest duża różnica między małymi przedsiębiorstwami a mikroprzedsiębiorstwami, czyli osobami samodzielnie prowadzącymi działalność gospodarczą. U nas jest to bardzo rozpowszechnione zjawisko, w innych krajach UE – nie.

Od początku był problem, jak podejść do tych wszystkich różnic, szczególnie że dla ochrony danych osobowych wielkość przedsiębiorstwa nie ma tak dużego znaczenia. Łatwo sobie wyobrazić wielką firmę, w której jedynymi przetwarzanymi danymi osobowymi będą informacje kadrowe. I łatwo wyobrazić sobie trzyosobową firmę, która przetwarza dane setek tysięcy osób.

Jakie kryterium należy więc przyjąć?

Znaczenie mają dwie sprawy. Po pierwsze, ile danych jest przetwarzanych. Po drugie, czy przetwarzanie danych jest głównym celem biznesu.

Państwa UE, którym pozostawiono swobodę samodzielnego decydowania, próbują podchodzić do tego, biorąc pod uwagę swoje własne rynki. Do tego dochodzącą naciski ze strony przedsiębiorców i konsumentów.

Zaczęliśmy od obywateli. Przejdźmy do przedsiębiorców. Co dla nich zmieni się 25 maja? To znów jest bardziej ewolucja niż rewolucja?

Tak, chociaż na pewno jest kilka kwestii, które są nowe lub wzbudzają duże kontrowersje. Nowością są przepisy wprowadzające obowiązek przeprowadzenia oceny skutków przedsięwzięcia dla ochrony danych (ang. data protection impact assessment). Ten obowiązek zastępuje dotychczasowe rozwiązania dotyczące dokumentacji przetwarzania danych. Pojawia się tylko w przypadku przetwarzania szczególnych kategorii danych osobowych.

Nowością jest także obowiązek – jak to nazwano w rozporządzeniu – uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych (ang. data protection by design and by default). To niedoskonałe tłumaczenie, bo nie chodzi tylko o fazę projektowania, lecz o cały proces przetwarzania danych.

Natomiast zmianą, która wywołuje najwięcej kontrowersji i zainteresowania jest pojawienie się sankcji finansowych, które mogą nakładać organy ochrony danych.

RODO przewiduje kary administracyjne w wysokości do 20 mln euro lub do 4 proc. rocznego światowego obrotu danego przedsiębiorstwa, przy czym zastosowanie ma kwota wyższa. Czy to nie jest straszak, który nigdy nie zostanie użyty?

Warto przypomnieć, jak wyglądała ewolucja unijnych przepisów i praktyki w zakresie ochrony konsumentów i konkurencji. Tam już wcześniej wprowadzono tego typu kary. One były i nadal są stosowane. Kary z pewnością są ważnym narzędziem w arsenale instytucji chroniących dane osobowe, ale będą musiały być stosowane rozsądnie. Nie należy się więc spodziewać, że w każdym z organów ochrony danych usiądzie “sąd kapturowy” i zacznie decydować, którego przedsiębiorcę ukarać jako pierwszego.

Jednak każda skarga, która wpłynie po 25 maja 2018 r. uruchomi normalną procedurę na podstawie RODO. Może więc doprowadzić do wykorzystania któregokolwiek rozwiązania, które jest w RODO, włącznie z karami.

Można się spodziewać, że kary administracyjne będą stosowane przede wszystkim w przypadku naruszenia obowiązku zgłaszania incydentów bezpieczeństwa do organów ochrony danych. To nowość w RODO. Jeśli taki incydent bezpieczeństwa nastąpił, nie został zgłoszony, nie zostały wdrożone odpowiednie środki naprawcze, to z pewnością zainteresuje organy ochrony danych w pierwszej kolejności.

Pamiętajmy, że sankcje powinny być wprowadzane w zharmonizowany sposób w całej UE. Odpowiednie wytyczne przygotowała Grupa Robocza Artykułu 29 (wszyscy europejscy rzecznicy ochrony danych osobowych – przyp. red.). Każdy organ, który zdecyduje się na nałożenie sankcji, musi zdawać sobie sprawę, że jego decyzja zostanie zaskarżona do sądu. Dlatego organ ochrony danych może nakładać sankcje tylko wtedy, gdy jest gotowy bronić swego stanowiska w trakcie procedury sądowej, która będzie wyglądała różnie w różnych państwach.

Co z koncernami z USA i Chin? Czy RODO jest w stanie realnie wpłynąć na ich działalność?

Jest wielu, którzy twierdzą, że nie i że to jest przesada, kiedy UE uważa, że może doprowadzić do eksterytorialnego stosowania prawa europejskiego wobec podmiotów, które działają spoza UE. Jednak to ani nie jest nowość, ani wyjątek. Dokładnie tak samo działa prawo ochrony konkurencji. Jeżeli dwie firmy amerykańskie postanowią połączyć się w jedno przedsiębiorstwo, potrzebują zgody amerykańskiego regulatora i – jeżeli działają w UE – także Komisji Europejskiej. De facto muszą się dostosować do tego, jak działa rynek, na którym chcą prowadzić interesy.

Z drugiej strony często Amerykanie podnoszą zarzut, że to jest próba ingerencji UE w prowadzenie biznesu w USA. Tymczasem przepisy amerykańskie wyglądają dokładnie tak samo – chcesz oferować towary i usługi w USA, musisz podlegać amerykańskim regulacjom i poddać się kontroli Federalnej Komisji Handlu (FTC). Dlatego uważam, że jest możliwy wpływ na większość przedsiębiorstw działających na terenie UE.

Z pewnością trudny jest temat Chin, aczkolwiek wiemy, że ogromne zainteresowanie RODO w krajach azjatyckich to nie tylko kwestia Japonii, Korei Południowej, Singapuru, Malezji i Indii, ale również Chin. Wiemy, że Chińczycy są zdecydowanie zainteresowani tym, by utrzymać swoją pozycję na rynku europejskim nawet w razie wprowadzenia rozwiązania, które jest dla nich nowe.

Jaki jest związek RODO z dyrektywą NIS?

Ochrona danych osobowych nie może działać prawidłowo w środowisku cyfrowym bez jednoczesnego spełniania zasad bezpieczeństwa informatycznego. Stad też w RODO tak często przywołuje się bezpieczeństwo, o którym mówi dyrektywa NIS. Pojawiają się niekiedy zarzuty, że nadmierna ochrona danych osobowych może przeszkadzać w zapobieganiu atakom na systemy informatyczne lub dokumentowaniu takich ataków. Tymczasem 49. motyw preambuły RODO wyraźnie określa, że przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji, w tym odporności sieci lub systemu informacyjnego na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania, należy uznawać za realizację prawnie uzasadnionego interesu administratora danych.

Jak RODO wpływa na Tarczę Prywatności (ang. Privacy Shiled)?

Tarcza Prywatności – porozumienie ze Stanami Zjednoczonymi tworzące schemat dla transatlantyckiej wymiany danych – przygotowywana była już w trakcie prac nad RODO i rozwiązania obu tych dokumentów wpływały na siebie na wzajem. Dziś możemy powiedzieć, że RODO od początku przewiduje istnienie narzędzi takich jak Tarcza Prywatności. Nie ma więc zagrożenia, że samo pełne stosowanie RODO zagrozi istnieniu Tarczy. Z drugiej strony RODO wymaga, by narzędzia takie jak Tarcza Prywatności były skuteczne a nie tylko ładnie napisane. A to już zupełnie inna historia.

W jakim stopniu RODO dotyczy instytucji europejskich?

Co ciekawe, RODO obowiązuje wszystkich z wyjątkiem instytucji europejskich. Instytucje i agencje UE podlegają specjalnemu rozporządzeniu z 2001 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. Powinno ono być zastąpione nowym rozporządzeniem, takim “RODO dla instytucji europejskich”. W Parlamencie i Radzie trwają prace nad jego projektem. Wydawało się, że rozporządzenie zacznie obowiązywać również od 25 maja, ale od grudnia 2017 r. Parlament i Rada nie mogą dogadać się w sprawie rozwiązań dotyczących nadzoru nad instytucjami z dawnego trzeciego filara UE, czyli przede wszystkim Europolem, Eurojustem oraz europejską prokuraturą (European Public Prosecutor’s Office). Problem nie dotyczy jednak meritum samego nadzoru.

Można więc powiedzieć, że rozporządzenie dla instytucji europejskich zostanie wprowadzone odrębnym aktem prawnym. Nie będzie się merytorycznie różniło od RODO. Proces ten niestety nie skończy się przed 25 maja, choć opóźnienie będzie bardziej liczone w tygodniach niż w miesiącach. To rozporządzenie będzie odpowiednikiem ustaw krajowych.

Dziękuję za rozmowę.

Rozmawiał w Brukseli Rafał Lesiecki, współpraca Andrzej Kozłowski

http://www.cyberdefence24.pl