Po dwóch latach od uchwalenia unijnej reformy budzi ona coraz więcej kontrowersji. Organ nadzoru przyznaje, że firmom może być trudno jej sprostać
Do dnia, w którym przetwarzanie danych osobowych będzie musiało spełniać nowe wymagania, zostało już mniej niż 50 dni. Na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO) umieszczony został zegar, który odlicza ten czas sekunda po sekundzie. To pozwala sądzić, że pewnie już wszyscy administratorzy takich zbiorów i podmioty je wykorzystujące wiedzą o obowiązkach, które nakłada unijne rozporządzenie regulujące te kwestie (RODO) — i są do nich przygotowani. Weszło ono w życie 24 maja 2016 r., a ma być stosowane w krajach Wspólnoty po dwóch latach od tamtej daty, czyli od 25 maja tego roku. Jednak okazuje się, że „za pięć dwunasta” niektórzy pytają nawet o to, czym są dane osobowe.
— Świadomość administratorów jest bardzo różna. Niektórzy są bardzo zaangażowani w proces przygotowań do stosowania rozporządzenia, ale niestety duża część dopiero teraz odszyfrowuje znaczenie ochrony danych osobowych, by przenieść ją na grunt swoich przedsiębiorstw. To nas niepokoi, bo od dwóch lat apelujemy o przygotowania, po 25 maja nie będzie żadnego okresu przejściowego, a my jako urząd będziemy korzystać ze wszystkich uprawnień, które rozporządzenie nam daje, i wykonywać nałożone na nas zadania — zapowiada dr Edyta Bielak-Jomaa, generalny inspektor.POZWOLENIA DO WERYFIKACJI: Ludzie muszą wiedzieć, co oznacza dla nich wyrażona przez nich zgoda na przetwarzanie danych, komu jest ona udzielana, kto będzie miał dostęp do nich, jak długo będą one wykorzystywane i komu przekazywane. Dlatego administratorzy muszą zweryfikować posiadane pozwolenia już teraz i stwierdzić, czy będą one ważne pod rządami RODO — mówi dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Niejednoznaczne przepisy
Z pytań przesyłanych do biura GIODO wynika, że nowe przepisy budzą wiele wątpliwości w niemal każdej branży. Niektórzy wciąż mają problem z ustaleniem, jakie rozwiązania techniczne zastosować do zabezpieczenia danych, inni nie wiedzą, na czym polega ocena skutków ich wykorzystywania lub co znaczy prawo do bycia zapomnianym. Generalny inspektor podkreśla, że administrator musi mieć świadomość odpowiedzialności za cały proces bezpiecznego przetwarzania informacji, ale przyznaje też, że to niełatwe — chociażby dlatego, że RODO nie daje np. technicznych wskazówek, jak o to zadbać. Kłopot sprawiają także niejednoznaczne przepisy — i to dotyczące nawet tak istotnej kwestii jak ocena, czy pozwolenia na przetwarzanie danych uzyskane przed 25 maja utracą ważność po tym terminie. Wytyczne w tej sprawie są różne i różne są zachowania przedsiębiorców.
— Niektórzy, np. zarządzający portalami internetowymi, prowadzą akcje zbierania pozwoleń, a inni nie. Zauważam tendencję, że gdy przedsiębiorcy brakuje pewności co do zgodności jego praktyki ze zbliżającą się reformą, woli uzyskać pozwolenie po raz drugi. Co prawda to nie jest błąd, ale powstaje ryzyko, że ktoś może już nie przystać na dalsze przetwarzanie jego danych — mówi Damian Karwala, radca prawny i starszy prawnik zespołu prawa własności intelektualnej i nowych technologii w kancelarii CMS.
Obawy przed skutkami nieprawidłowego stosowania nowych przepisów są tym większe, że przewidują one ostrzejsze niż do tej pory konsekwencje za naruszenie prawa, w tym kary administracyjne. Ich stosowanie określa m.in. projekt nowej ustawy o ochronie danych osobowych, przyjęty już przez rząd, którym niedługo powinien zająć się Sejm. Służyć ma proceduralnemu wdrożeniu zbliżającej się reformy, regulując przede wszystkim zasady działania organu nadzoru, czyli Prezesa Urzędu Ochrony Danych Osobowych (PUODO), prawnego następcy GIODO.
— Wbrew rozpowszechnianym informacjom o tym, czy początkowo organ będzie mniej lub bardziej liberalny, chcę wyjaśnić, że przewidujemy normalne działania i korzystanie z przyznanych nam uprawnień. Jeśli będzie konieczność nałożenia kary, zrobimy to. Jeśli uznamy, że należy przeprowadzić kontrole, czy to w wyniku naszej oceny sytuacji, czy np. sektorowe albo planowane, to je przeprowadzimy, wykonując swoje zadania. Nie traktujemy ich jak specyficzne obowiązki czy prawa, a administratorzy muszą się przygotować do zmian — nie ze względu na ewentualne postępowania kontrolne. Konieczność właściwego przetwarzania danych wynika z przepisów — podkreśla dr Edyta Bielak-Jomaa.
Nowe narzędzia
GIODO zwraca przy tym uwagę, że rozporządzenie przewiduje nowe narzędzie prawne dla ludzi, których dane będą przetwarzane z naruszeniem prawa. RODO daje możliwość występowania na drogę sądową z roszczeniami o odszkodowania za szkody materialne i niematerialne. Pokrzywdzeni będą mogli ich dochodzić w procesach cywilnych bez względu na to, czy organ nadzoru przeprowadzi kontrolę, czy nie. Przedsiębiorcy też muszą liczyć się z odpowiedzialnością karną.
— Na szczęście grzywny czy ograniczenie wolności są przewidziane jedynie w kilku przypadkach. Takie kary mogą grozić za utrudnianie kontroli, co jest zrozumiałe, a także za przetwarzanie danych bez podstawy prawnej — i to niezależnie od tego, czy są to dane wrażliwe czy nie, jak przyjęto w ostatniej wersji projektowanej ustawy — wyjaśnia Damian Karwala.
Jego zdaniem, pewnym plusem projektu po poprawkach jest też wprowadzenie regulacji umożliwiających złożenie skargi na postanowienie PUODO, nakazujące przedsiębiorcy ograniczyć przetwarzanie danych, gdy ten w trakcie prowadzonego postępowania uzna, że dalsze ich wykorzystywanie może spowodować poważne nieodwracalne skutki. — Dobrze, że przepis o zastosowaniu tego środka tymczasowego został poprawiony i dano szanse zaskarżenia postanowienia organu w tej sprawie, jednak to nie zmienia faktu, że zanim skarga zostanie rozpatrzona, decyzja prezesa urzędu może nawet zahamować przetwarzanie danych, a na odrobienie strat potem będzie za późno — ocenia radca z kancelarii CMS. Szef przyszłego organu nadzoru będzie też mógł po zakończonym postępowaniu podać na swojej stronie internetowej, czym ono się zakończyło dla skontrolowanej firmy. Jeśli PUODO uzna, że przemawia za tym interes publiczny, będzie mógł publicznie poinformować o wydaniu decyzji w danej sprawie.
— Taki rodzaj swoistego „napiętnowania” nie jest do końca nowym rozwiązaniem w krajowych regulacjach, choć nowym w prawie ochrony danych. Trudno jednak precyzyjnie odczytać intencje ustawodawcy, a skutki dla przedsiębiorcy mogą być poważne i trudne do odrobienia, gdy po latach, np. po procesie sądowym, okaże się, że miał on rację. Przesłankę tego uprawnienia, czyli interes publiczny, można rozumieć bardzo szeroko. Sprawy na pewno będą skomplikowane, ale z projektu ustawy wynika, że mogą być upublicznione, jeszcze nim trafią do sądu, skoro w projekcie mowa o ogłoszeniu wydania decyzji po zakończonym postępowaniu. Poza tym, przepisy te nie wyjaśniają, czy prezes urzędu ma przedstawić szczegóły decyzji, czy tylko krótko poinformować o ukaraniu danej firmy — wyjaśnia Damian Karwala.
Podaje przykład: organ brytyjski informuje jedynie o nałożeniu na określoną firmę kary za praktyki niezgodne z prawem i informuje wysokości sankcji. Zdaniem radcy, wątpliwości środowiska biznesu co do tego, jak w praktyce będzie stosowane nowe uprawnienie polskiego urzędu, są uzasadnione, chociaż dla klientów czy konsumentów może być ono korzystne. Dla przedsiębiorców oznacza ryzyko, może też działać jak przestroga.
Sektor publiczny ma lepiej
Prawników dziwi wobec tego, że przy zaostrzeniu zasad ochrony danych osobowych bardziej ulgowo potraktowano sektor publiczny. Projektowana ustawa przewiduje dla jego jednostek sytuacje, w których nie będą musiały przekazywać zainteresowanym informacji np. o zmianie celu przetwarzania ich danych. — Przedsiębiorca musi o tym poinformować, chociażby po to, aby umożliwić komuś ewentualny sprzeciw lub inną reakcję. Według RODO cel przetwarzania musi być w każdym przypadku oczywisty, tożsamy z pierwotnie zakładanym i w sposób wyraźny ujawniony, sprecyzowany — podkreśla przedstawiciel kancelarii CMS. Na dodatek — zgodnie z projektem — w przypadkach, w których informacja o zmianie celu przetwarzania ma pozostać „tajemnicą”, osoby, od których informacje zostały wcześniej zebrane, mogą nie mieć dostępu do swoich danych. Co prawda projektowana ustawa zastrzega, że takie wyjątkowe zwolnienia sektora publicznego przysługują ze względu np. na bezpieczeństwo narodowe czy utrudnienie prawidłowego wykonania zadania publicznego, ale według Damiana Karwali są to tak pojemne i ogólne przesłanki, że łatwo można będzie w praktyce znaleźć podstawę do uniknięcia obowiązku informacyjnego. — Ten ukłon wobec administracji publicznej to wprowadzanie nierówności na rynku, ryzyko wystąpienia zagrożeń dla obywateli i dla firm. A trzeba pamiętać, że np. w Polsce to nie przedsiębiorcy budują największe bazy danych — podkreśla radca.
Prawo dostępu do danych
Zgodnie z RODO, osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy je przetwarza, a jeżeli tak jest, ma prawo uzyskać dostęp do nich oraz do informacji o:
celach przetwarzania,
odbiorcach lub kategoriach odbiorców, którym dane są lub zostaną ujawnione,
w miarę możliwości — planowanym okresie przechowywania danych, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu,
prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania i do wniesienia sprzeciwu wobec takiego przetwarzania, a także o prawie wniesienia skargi do organu nadzorczego,
jeżeli danych nie zebrano od osoby, której dane dotyczą — o wszelkich dostępnych informacjach o ich źródle,
zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu. Administrator ma dostarczyć osobie, której dane dotyczą, kopię tych, które podlegają przetwarzaniu. Za wszelkie kolejne kopie, o które się zwróci, będzie można pobrać opłatę — w rozsądnej wysokości wynikającej z kosztów administracyjnych.
Przesyłanie obrazu
Dodaj obraz