Reforma ochrony danych coraz bliżej

Prawie 1,7 tys. uwag wpłynęło do Ministerstwa Cyfryzacji (MC) podczas uzgodnień i konsultacji pakietu zmian w polskich regulacjach dotyczących ochrony danych osobowych. Większość, bo około tysiąca, zgłoszono do projektu przepisów wprowadzających przyszłą ustawę o tej ochronie, którym zostanie znowelizowanych ponad 130 aktów. Na razie resort wypracował stanowisko do wniosków przedstawionych przez inne ministerstwa dotyczących nowej ustawy.

Dr Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji, zapowiada, że jego resort chce 8 stycznia zorganizować konferencję podsumowującą konsultacje publiczne nad przyszłą polską ustawą o ochronie danych osobowych, a cały pakiet zmian przepisów może być uchwalony w kwietniu. 

— Projekt ustawy ulegnie zmianie. Uwag było dużo, bo konsultacje prowadziliśmy bardzo szeroko — mówi dr Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w MC.

Ulga dla niektórych

Jedna ze zmian odnosi się wprost do obowiązków przedsiębiorców. Resort cyfryzacji wspólnie z Ministerstwem Rozwoju (MR) przygotował przepis, który częściowo ograniczy stosowanie regulacji ogólnego rozporządzenia unijnego (RODO) przez niektóre firmy. Według koncepcji ulga ma dotyczyć przedsiębiorców zatrudniających do 250 pracowników, przetwarzających dane osobowe wyłącznie na własne potrzeby — w celu zawierania umów i prowadzenia rachunkowości — a więc nieudostępniane innym podmiotom, chyba że zobowiązują do tego określone przepisy lub osoba, której dane dotyczą, udzieli na to wyraźnej zgody. Ponadto firmy te nie mogą przetwarzać informacji szczególnie chronionych (tzw. wrażliwych).

— Wobec podmiotów spełniających te trzy kryteria ograniczeniu ulegną niektóre z wymagań unijnego rozporządzenia, aczkolwiek katalog takich wyłączeń nie będzie duży — wyjaśnia dr Maciej Kawecki.

Na razie lista zwolnień jest dopracowywana. Jedno dotyczy art. 34 RODO, który zobowiązuje przedsiębiorcę do poinformowania każdej osoby, której dane dotyczą, o naruszeniu ich ochrony, np. o wycieku zbiorów. Obecne przepisy nie określają takiego obowiązku. W MC uznano, że w niektórych przypadkach nadal nie musi być on wymagany. Resort przyznaje, że co prawda ustawodawca unijny postanowił zwiększyć ochronę, ale dopuszcza też możliwość ograniczenia stosowania pewnych przepisów przez państwa członkowskie Wspólnoty ze względu na interes gospodarczy.

— Uważamy, że obowiązek ten może znacząco obciążać mały i średni podmiot, który nie przetwarza niektórych rodzajów danych i gromadzi je tylko na własne potrzeby. Powiadomienie kilkuset czy więcej osób o naruszeniu będzie dla niego kosztowne. Chcę przy tym jednak zastrzec, że nie zwalniamy firm z innej powinności, mianowicie z poinformowania o takich zdarzeniach organu nadzoru, czego wymaga art. 33 RODO. Proponowana ulga nie oznacza zatem uniknięcia odpowiedzialności, lecz tylko odciążenie przedsiębiorcy. Można się spodziewać, że gdy wspomniany organ zostanie powiadomiony o takiej sytuacji, najprawdopodobniej dojdzie do wszczęcia postępowania — mówi przedstawiciel ministerstwa. Z jego informacji wynika, że takich wyłączeń ze stosowania RODO może być zaledwie kilka. Resort rozwoju proponował dość szeroki ich katalog, ale wspólnie zdecydowano o jego ograniczeniu, dostrzegając jednak potrzebę wprowadzenia takich regulacji. Kierował się zasadą — jak poinformował „PB” — że przyjmując ograniczenia ułatwiające życie biznesowi, należy uwzględniać prawa obywatelskie. — Każde ograniczenie stosowania rozporządzenia ma swoje plusy i minusy. Podejmując decyzje, mamy na uwadze m.in. wyrok Trybunału Sprawiedliwości UE w sprawie C518/07. Stwierdzono w nim: „Celem zagwarantowania ochrony danych osobowych krajowe organy nadzorcze powinny w szczególności zapewnić prawidłową równowagę pomiędzy z jednej strony przestrzeganiem prawa podstawowego do poszanowania życia prywatnego, a z drugiej strony interesami, które wymagają swobodnego przepływu danych osobowych”, czyli np. w działalności gospodarczej — cytuje dr Maciej Kawecki.

Dwie drogi certyfikacji

Po analizie uwag do przyszłej nowej ustawy wiadomo już także, że kompetencje do wydawania certyfikatów potwierdzających, że dany podmiot przetwarza dane zgodnie z RODO, otrzyma nie tylko prezes Urzędu Ochrony Danych Osobowych (UODO zastąpi obecnego Generalnego Inspektora Ochrony Danych Osobowych). Postanowiono przyznać takie uprawnienia również podmiotom z sektora prywatnego. Polskie Centrum Akredytacji ma otrzymać kompetencje do akredytowania podmiotów certyfikujących pochodzących z tego sektora. Rozwiązanie to odciąży prezesa UODO oraz da możliwość uzyskiwania certyfikatów od podmiotów innych niż szef tego organu. Dr Maciej Kawecki wyjaśnia, że według informacji ministra spraw zagranicznych unijne rozporządzenie wymusza rozdzielenie kompetencji. W konsekwencji o wyborze ścieżki certyfikacyjnej zdecyduje przedsiębiorca, który zechce uzyskać dokument świadczący o zgodności z RODO operacji przetwarzania danych osobowych w jego firmie.

— Przedsiębiorcy mogą dostrzegać konflikt interesów w sytuacji, w której organ uprawniony do wszczęcia postępowania w sprawie naruszenia zasad ochrony danych będzie jednocześnie podmiotem pozyskującym w trakcie czynności certyfikacyjnych wiele informacji o zasadach zabezpieczania danych osobowych w danej firmie — wyjaśniono w odpowiedziach na uwagi resortów zgłoszone do tej kwestii.

Będzie przewodnik

Na razie dobiegają końca prace nad ustaleniami międzyresortowymi co do przyszłego kształtu ustawy. Poświęconą jej konferencję uzgodnieniową zaplanowano jeszcze w tym tygodniu, 15 grudnia. Opinie przedstawione w trakcie konsultacji publicznych zostaną przedyskutowane z zainteresowanymi podczas dużej konferencji, którą resort chce zorganizować 8 stycznia. Do udziału w tym spotkaniu zgłosiło się już kilkaset osób. Potem przyjdzie czas na wypracowanie stanowiska przez MC wobec uwag zgłoszonych do projektu wspomnianych przepisów wprowadzających, nowelizujących ponad 130 różnych ustaw.

— Łącznie jest to ogromny pakiet zmian — podkreśla dr Maciej Kawecki. Jego zdaniem, uchwalenie wszystkich tych przepisów jest możliwe w kwietniu przyszłego roku, a powinny wejść w życie 25 maja — z chwilą, kiedy we wszystkich państwach członkowskich UE zacznie być stosowane ogólne rozporządzenie unijne. MC planuje w tym tygodniu opublikować na swoich stronach informator dotyczący problemów związanych z reformą ochrony danych osobowych najczęściej zgłaszanych resortowi.

Źródło: https://www.pb.pl