Ochrona danych osobowych w firmie i szkolenia ABI
Unijna reforma ochrony danych osobowych – wyzwania dla Polski

Unijna reforma ochrony danych osobowych – wyzwania dla Polski

003147_r0_620

Mając na uwadze fakt wejścia w życie ogólnego Rozporządzenia Parlamentu Europejskiego i Rady o ochronie danych osobowych („RODO”) pojawiło się wiele pytań w zakresie odpowiedniej interpretacji i stosowania wskazanych w tym akcie rozwiązań prawnych. Przepisy rozporządzenia co prawda znajdą bezpośrednie zastosowanie dopiero od dnia 25 maja 2018 r. jednak zakres potencjalnych zmian implikuje podjęcie odpowiednich działań juz teraz. O tym jak bardzo zaawansowany będzie to proces dyskutowano 22 maja w Senacie RP na posiedzeniu seminaryjnym „Unijna reforma prawa ochrony danych osobowych – wyzwania dla Polski”.

Posiedzenie Komisji Senatu

Wspólne posiedzenie Komisji Senatu: Praw Człowieka, Praworządności i Petycji oraz Komisji Spraw Zagranicznych i Unii Europejskiej w którym udział brali m.in. dr Edyta Bielak-Jomaa – Generalny Inspektor Ochrony Danych Osobowych, Witold Kołodziejski – Sekretarz Stanu w Ministerstwie Cyfryzacji oraz specjaliści w zakresie prawa ochrony informacji, w tym: prof. Wojciech Cellary, prof. Paweł Fajgielski, dr Paweł Litwiński oraz dr Arwid Mednis, pozwoliło nakreślić skalę przyszłych prac w zakresie dostosowania polskich przepisów do uregulowań RODO, z drugiej zaś było kolejnym przyczynkiem do dyskusji na tamat zdefiniowania cienkiej granicy pomiędzy interesem w wykorzystywaniu danych osobowych (przez podmioty sektora prywatnego i publicznego), a prywatnością osób, których dane dotyczą oraz ich świadomością w zakresie procesów przetwarzania.

Skala przyszłych zmian

Na pierwszy aspekt  szczególną uwagę zwrócili w swoich wystąpieniach dr Edyta Bielak-Jomaa oraz Minister Witold Kołodziejski. GIODO podkreśliła fakt, że zasady ochrony danych osobowych w swoim założeniu nie uległy znaczącej modyfikacji (zapewne dlatego, że są generalne, abstrakcyjne i uniwersalne) jednak RODO wprowadza kluczowe zmiany w ich postrzeganiu poprzez ujęcie w rozporządzeniu m.in. definicji danych biometrycznych, genetycznych oraz stanu zdrowia, procesu tzw. profilowania, zagadnienia prawa do bycia zapomnianym (również na gruncie orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej).

Rola GIODO

GIODO wskazała bardzo istotną rolę organu nadzorczego w całym procesie zmian i podkreśliła konieczność zapewnienia Generalnemu Inspektorowi odpowiednich środków organizacyjnych, finansowych oraz administracyjnych w zakresie realizacji podstawowych założeń oraz implementacji RODO. Tutaj padł przykład Holenderskiego Organu Ochrony Danych, któremu już teraz kilkakrotnie zwiększono  budżet, czego nie można powiedzieć o GIODO. Na marginesie mając na uwadze ostatnie komunikaty na stronie GIODO w przedmiocie prowadzenia procesów rekrutacyjnych oraz możliwości odbycia praktyk nie można odnieść pozytywnego wrażenia, że GIODO już teraz przygotowuje się do realizacji przyszłych zadań.

Nowa ustawa o ochronie danych osobowych

Minister Witold Kołodziejski słusznie podkreślił  fakt, że zastosowanie RODO będzie implikować analizę pod kątem zgodności z przepisami rozporządzenia nawet kilkuset aktów prawnych. Padła w tym miejscu jasna deklaracja, że Ministerstwo Cyfryzacji (odpowiedzialne za implementację RODO) do końca 2016 r. przygotuje do szerokiej konsultacji dokument kierunkowy w zakresie zmian, a przed datą zastosowania RODO zainicjuje proces legislacyjny mający na celu uchwalenie całkowicie nowej ustawy o ochronie danych osobowych.

Problem analizy Big Data

Bardzo ciekawe pod kątem analizy problematyki wyzwań dla ochrony prywatności i danych osobowych w środowisku cyfrowym było wystąpienie prof. Wojciecha Cellary. Profesor zwrócił szczególną uwagę na obecne możliwości wykorzystania „giga danych”. Podkreślił, że w wykorzystywanie tego typu danych bez skutecznych mechanizmów kontroli może skutkować całkowitą utratą prywatności podmiotów danych, co z kolei może być czynnikiem prowadzącym do m.in. dyskryminacji, szantażu lub innych zjawisk negatywnie wpływających na autonomiczność podejmowania decyzji przez osobę, której dane są przetwarzane. Kolejnym negatywnym zjawiskiem analizy giga danych wg Profesora jest to, że pozwala ona z wysokim prawdopodobieństwem stwierdzić zaistnienie określonego faktu, ale już bez poznania przyczynowości jego zaistnienia tzw. zdobycie „wiedzy bez zrozumienia”. W ocenie prof. Wojciecha Cellarego należałoby istotnie rozszerzyć kompetencje GIODO w zakresie kontroli nad procesem przetwarzania giga danych.

Założenia RODO

Z kolei prof. Paweł Fajgielski skupił się nad szczegółowym omówieniem poszczególnych założeń RODO. Zwrócił uwagę m.in. na:

  • wzmocnienie mechanizmów współpracy pomiędzy organami nadzoru, podkreślając ryzyko zaistnienia konfliktów pomiędzy organami
  • sankcję zawarte w RODO, również w ujęciu perspektywy wprowadzenia ich do porządku krajowego
  • ujednolicenie zasad ochrony jako trzon wspólny jednak z polem do zróżnicowania na gruncie prawa krajowego
  • nowy charakter obowiązku informacyjnego, zwracając jednocześnie szczególną uwagę na problemy natury praktycznej jego wykonania
  • prawo do bycia zapomnianym
  • prawo do przenoszenia danych
  • odstąpienie od systemu rejestracyjnego
  • nowy mechanizm zawiadamiania o naruszeniach – bardzo ważny na gruncie ukształtowania przyszłej praktyki
  • wprowadzenie środków ochrony w postaci skargi oraz prawa dochodzenia od Administratora odpowiedzialności

Dane – paliwo dla gospodarki

Kolejnym ważnym głosem w dyskusji było wystąpienie Włodzimierza Schmidta – Prezesa Zarządu Związku Pracodawców Branży Internetowej IAB Polska, który podkreślił, że wykorzystanie danych jest paliwem dla gospodarki cyfrowej co realnie przekłada się na kondycję gospodarki krajowej. W jego ocenie wobec takiej korelacji prace krajowe powinny być skupione na właściwym podejściu do uregulowania procesu wykorzystywania danych przez przedsiębiorców np. na gruncie profilowania. Krytycznie wyraził się o prawie dostępu do danych zawartym w RODO – potencjalnie mogącym generować gigantyczne koszty dla przedsiębiorców. Na koniec postulował większe zaangażowanie władz w działalność informacyjną w przedmiocie zmian w prawie ochrony danych osobowych.

W toku dalszej dyskusji omawiane były już konkretne rozwiązania zastosowane w RODO w oparciu o jego przepisy m.in.

  • status i kompetencje organu ochrony danych w nowych ramach prawnych ochrony danych osobowych UE
  • status i kompetencje inspektora ochrony danych
  • właściwość i jurysdykcja sądów powszechnych w sprawach dotyczących ochrony danych osobowych w świetle ogólnego rozporządzenia o ochronie danych
  • zasady przetwarzania danych dotyczących dzieci

Opisanie szczegółowo powyższych elementów dyskusji istotnie wykraczałoby poza formułę niniejszego bloga, choć nie wątpię, że w przyszłości poruszymy każdy z nich w osobnych wpisach. W tym miejscu zaznaczę jedynie dość ciekawą kwestię na którą zwrócił uwagę dr Arwid Mednis tj. dostosowanie w ujęciu RODO przepisów sektorowych (tu konkretnie na przykładzie profilowania w aspekcie działalności banków i podmiotów sektora ubezpieczeń). Jest to o tyle ważne, że RODO pozostawia pole do regulacji na gruncie krajowym, dlatego warto już teraz zastanawiać się nad właściwymi modelami rozwiązań.

Skala wyzwań

Podsumowując posiedzenie było bardzo ważnym wydarzeniem wskazującym jednoznacznie ogromną skalę wyzwań na gruncie odpowiedniej implementacji przepisów RODO oraz konieczności dostosowania procesów przetwarzania do zasad wynikających wprost z treści rozporządzenia. Bez wątpienia do 25 maja 2018 r. władza wykonawcza oraz organy nadzorujące przetwarzanie danych osobowych wszystkich państw członkowskich UE  będą miały mnóstwo pracy, aby racjonalnie w drodze dialogu z sektorem prywatnym dostosować prawo krajowe do przepisów RODO, bez istotnego wpływu na pozytywne aspekty postępu technologicznego – mającego kolosalny wpływ na gospodarkę.

Marcin Kaleta

Prezes Zarządu