Na najbliższym posiedzeniu, które będzie od 8 do 11 maja, Sejm może podjąć prace nad przyszłą nową ustawą o ochronie danych osobowych. To ostatni dzwonek na zajęcie się nią w tym terminie, jeśli miałaby wejść w życie z zakładaną datą, czyli 25 maja. Tempo prac musiałoby być jednak zawrotne, bo zgodnie z procesem legislacyjnym nowe przepisy powinny być poddane też analizie komisji sejmowej, potem trafić do Senatu i ewentualnie z jego poprawkami wrócić ponownie pod obrady posłów. To wszystko parlament miałby wykonać w jednym tygodniu, ponieważ izba niższa i izba wyższa będą obradować w tym samym czasie. Obie zbiorą się potem dopiero w czerwcu. Tak wynika z dostępnego obecnie harmonogramu.
Wspomniana data 25 maja nie jest przypadkowa. Powszechnie i nie od dziś wiadomo, że od tego dnia w krajach Unii Europejskiej zacznie być stosowane unijne ogólne rozporządzenie o ochronie danych (RODO). Ono samo jednak nie wystarczy — każde państwo członkowskie musi dostosować do niego swoje prawo. Temu ma służyć nowa ustawa o ochronie danych osobowych i ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.
Zadania organu nadzoru
Pierwsza z nich, czekająca już na wspomniane obrady Sejmu, określa zasady działania organu nadzoru, którym będzie Prezes Urzędu Ochrony Danych Osobowych (PUODO), następca prawny obecnego Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Reguluje ona procedury postępowania kontrolnego i o naruszenie ochrony danych, ponadto warunki i tryb certyfikowania zgodności z wymaganiami RODO rozwiązań stosowanych przez podmioty przetwarzające pozyskane informacje, a także m.in. odpowiedzialność cywilną za naruszenia i kary administracyjne. Dr Maciej Kawecki, koordynator zmian, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji (MC), ma nadzieję, że parlament zdąży z przyjęciem tego aktu do 25 maja, a jeśli to się nie uda, to zakłada raczej niewielkie opóźnienie terminu, od którego zacząłby on obowiązywać.
— Nawet biorąc pod uwagę okres konieczny na podpisanie ustawy przez prezydenta, opóźnienie jej wejścia w życie może wynieść kilka tygodni, czyli do połowy czerwca. Nie powinno to jednak sprawiać większych problemów. Trzeba przy tym pamiętać, że ogół obowiązków wynika z unijnego rozporządzenia znanego od dwóch lat. To przede wszystkim od stosowania jego przepisów i działania urzędu będzie zależało, jak system ochrony danych osobowych będzie funkcjonował — mówi dr Maciej Kawecki.
Przyznaje, że polskie regulacje także nie pozostają bez wpływu na obowiązywanie w naszym kraju niektórych wymagań RODO. Ustawodawca skorzystał z uprawnień określonych w rozporządzeniu i zdecydował się w niektórych przypadkach na wprowadzenie pewnych ograniczeń w stosowaniu części nowych obowiązków. Dotyczy to np. przygotowywania materiałów prasowych czy twórczości literackiej i artystycznej. W tego rodzaju działalności nie trzeba będzie spełniać części warunków ochrony danych osobowych, w tym m.in. odnoszących się do informowania o przetwarzaniu danych pozyskanych od innej osoby niż ta, której one dotyczą.
Przedstawiciel resortu cyfryzacji podkreśla jednak, że są to nieliczne wyjątki i niewielkie opóźnienie terminu wejścia w życie ustawy nie wpłynie bardzo negatywnie na system ochrony danych. Liczy jednak, że ono nie nastąpi.
Trudna materia
— Tylko kilka państw europejskich przyjęło już ustawy wdrażające przepisy niezbędne do stosowania RODO. Zrobiły to Austria, Belgia, Niemcy i Słowacja. Świadczy to o tym, że to materia nad wyraz trudna legislacyjnie — podkreśla dr Maciej Kawecki.
Z napływającej ostatnio do MC ogromnej liczby pytań od przedsiębiorców wynika, że jednym z największych problemów jest dla nich spełnienie tzw. obowiązku informacyjnego. RODO określa dość długą listę kwestii, które będą musieli przekazać, pozyskując dane m.in. o podstawieich zbierania, czasie gromadzenia czy prawach osób, których dotyczą. Zainteresowanym firmom sprawia kłopot np. ustalenie, w którym momencie należy zrealizować ten obowiązek albo czy jest on wymagany przy przyjmowaniu wizytówek.
— To na pewno nie są łatwe kwestie i są podnoszone nie od dziś — obecnie jednak zgłaszane z dużym natężeniem, z uwagi na większe rygory odpowiedzialności wynikające z RODO. Takie problemy będziemy starali się rozwiązać legislacyjnie, na tyle, na ile będzie to możliwe — zapowiada koordynator.
Uspokaja, aby nie wpadać w panikę, którą podsycają rozpowszechniane często głosy o groźbie wysokich kar za naruszenia. Zwraca uwagę, że przepisy określają ich górną granicę i nie odbiega ona od przyjętych w innych dziedzinach, np. o ochronie konkurencji i konsumentów. Również dr Edyta Bielak-Jomaa, generalny inspektor, twierdzi, że karanie będzie adekwatne do przewinienia.
— Przewidujemy standardowe działania. Organ będzie korzystał ze swoich uprawnień. Jeśli zajdzie konieczność nałożenia kary, zrobimy to. Podobnie będzie z kontrolami. Nie traktujemy tego jak specyficznych obowiązków czy praw. Mamy też świadomość, że wszyscy będą czekać na działania prezesa urzędu, jednak przedsiębiorcy powinni przede wszystkim przygotowywać się nie do kontroli, lecz do właściwego przetwarzania danych wynikającego z przepisów — mówi dr Edyta Bielak-Jomaa.
Jej zdaniem, co sektor, to inne wątpliwości. Różna jest wiedza przedsiębiorców co do nowych zasad ochrony danych — niektórzy teraz, przed startem reformy, pytają, jakie informacje są takimi danymi.
Kilkaset stron nowelizacji
W opinii GIODO niemałe znaczenie dla stosowania unijnych wymogów będzie miała druga ze wspomnianych ustaw, licząca kilkaset stron. Nowelizuje ona ponad 200 aktów, dostosowując sektorowe regulacje do unijnej reformy. Firmom i instytucjom publicznym przyjdzie jednak czekać na nią dłużej niż na tę, która już trafiła do Sejmu.
— Decyzją rządowego Komitetu do spraw Europejskich w kwietniu powstał zespół roboczy, w którego skład wchodzą przedstawiciele ministerstw cyfryzacji i spraw zagranicznych, GIODO i Rządowego Centrum Legislacji. Pracujemy nad zapewnieniem pełnej zgodności przepisów tylu ustaw z prawem unijnym, ich jednolitą terminologią, wewnętrzną spójnością. W przygotowywanych przez resorty regulacjach zdarzało się np., że gdzieś wprowadzano katalogi danych osobowych, a w innych nie. Wiele poprawek ma jednak charakter techniczny, bo trzeba zamienić dotychczasowe pojęcia czy nazewnictwo na aktualne po 25 maja — wyjaśnia dr Maciej Kawecki.
Jego zdaniem, znaczące zmiany pojawią się przede wszystkim w regulacjach dotyczących wymiaru sprawiedliwości, systemu oświaty, sektorów finansowych i w Kodeksie pracy. Nowela tego ostatniego, a szczególnie zasady prowadzenia monitoringu przez pracodawców, budziła podczas konsultacji publicznych szczególne zainteresowanie.
— Z Radą Dialogu Społecznego pracowaliśmy nad tym, aby znaleźć złoty środek między probiznesowymi rozwiązaniami a prawami obywatelskimi, które w reformie ochrony danych są najważniejsze. Projekt uprawnia pracodawców do monitoringu, ale wskazuje stosunkowo szerokie warunki do spełnienia, aby móc go zastosować, określając też bardzo krótki okres na przechowywanie taśm z nagraniami. Poza tym pracodawca będzie musiał uprzedzić pracowników o korzystaniu z tego rozwiązania, regulując zasady np. w regulaminie pracy — mówi dr Maciej Kawecki.
Uwaga na oszustów
Resort cyfryzacji przestrzega przed działaniami podmiotów, które chcą nieuczciwie zarobić na przygotowaniach do reformy ochrony danych osobowych. Wymuszają one od przedsiębiorców korzystanie z ich usług (np. szkoleń fałszywie oferowanych jako obowiązkowe), strasząc wysokimi karami za niespełnienie wymagań nałożonych przepisami RODO. Tomasz Ochocki, kierownik zespołu merytorycznego w ODO 24, mówi, że oszuści podszywają się pod istniejące firmy audytorskie i grożą skierowaniem sprawy do GIODO, sądu czy prokuratury w przypadku odmowy przyjęcia oferty. Oszuści szukają też dostępu do danych. Podając się za firmy konsultingowe, dopytują telefonicznie o stan przygotowań do RODO, zastosowane zabezpieczenia, liczbę znaków haseł i na podstawie tak zdobytych informacji kierują na firmy atak mający na celu kradzież informacji. Tego typu prośby pojawiają się także w korespondencji e-mailowej.
67 proc. Taki odsetek firm obawia się, że może nie dotrzymać terminu zgodności ochrony danych osobowych z nowymi przepisami — wynika z globalnego badania zleconego przez firmę NetApp. Ankietą objęto 1,1 tys. osób odpowiedzialnych za sprawy IT.