Mając na uwadze fakt wejścia w życie ogólnego Rozporządzenia Parlamentu Europejskiego i Rady o ochronie danych osobowych („RODO”) pojawiło się wiele pytań w zakresie odpowiedniej interpretacji i stosowania wskazanych w tym akcie rozwiązań prawnych. Przepisy rozporządzenia co prawda znajdą bezpośrednie zastosowanie dopiero od dnia 25 maja 2018 r. jednak zakres potencjalnych zmian implikuje podjęcie odpowiednich działań juz teraz. O tym jak bardzo zaawansowany będzie to proces dyskutowano 22 maja w Senacie RP na posiedzeniu seminaryjnym „Unijna reforma prawa ochrony danych osobowych – wyzwania dla Polski”.
Wspólne posiedzenie Komisji Senatu: Praw Człowieka, Praworządności i Petycji oraz Komisji Spraw Zagranicznych i Unii Europejskiej w którym udział brali m.in. dr Edyta Bielak-Jomaa – Generalny Inspektor Ochrony Danych Osobowych, Witold Kołodziejski – Sekretarz Stanu w Ministerstwie Cyfryzacji oraz specjaliści w zakresie prawa ochrony informacji, w tym: prof. Wojciech Cellary, prof. Paweł Fajgielski, dr Paweł Litwiński oraz dr Arwid Mednis, pozwoliło nakreślić skalę przyszłych prac w zakresie dostosowania polskich przepisów do uregulowań RODO, z drugiej zaś było kolejnym przyczynkiem do dyskusji na tamat zdefiniowania cienkiej granicy pomiędzy interesem w wykorzystywaniu danych osobowych (przez podmioty sektora prywatnego i publicznego), a prywatnością osób, których dane dotyczą oraz ich świadomością w zakresie procesów przetwarzania.
Na pierwszy aspekt szczególną uwagę zwrócili w swoich wystąpieniach dr Edyta Bielak-Jomaa oraz Minister Witold Kołodziejski. GIODO podkreśliła fakt, że zasady ochrony danych osobowych w swoim założeniu nie uległy znaczącej modyfikacji (zapewne dlatego, że są generalne, abstrakcyjne i uniwersalne) jednak RODO wprowadza kluczowe zmiany w ich postrzeganiu poprzez ujęcie w rozporządzeniu m.in. definicji danych biometrycznych, genetycznych oraz stanu zdrowia, procesu tzw. profilowania, zagadnienia prawa do bycia zapomnianym (również na gruncie orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej).
GIODO wskazała bardzo istotną rolę organu nadzorczego w całym procesie zmian i podkreśliła konieczność zapewnienia Generalnemu Inspektorowi odpowiednich środków organizacyjnych, finansowych oraz administracyjnych w zakresie realizacji podstawowych założeń oraz implementacji RODO. Tutaj padł przykład Holenderskiego Organu Ochrony Danych, któremu już teraz kilkakrotnie zwiększono budżet, czego nie można powiedzieć o GIODO. Na marginesie mając na uwadze ostatnie komunikaty na stronie GIODO w przedmiocie prowadzenia procesów rekrutacyjnych oraz możliwości odbycia praktyk nie można odnieść pozytywnego wrażenia, że GIODO już teraz przygotowuje się do realizacji przyszłych zadań.
Minister Witold Kołodziejski słusznie podkreślił fakt, że zastosowanie RODO będzie implikować analizę pod kątem zgodności z przepisami rozporządzenia nawet kilkuset aktów prawnych. Padła w tym miejscu jasna deklaracja, że Ministerstwo Cyfryzacji (odpowiedzialne za implementację RODO) do końca 2016 r. przygotuje do szerokiej konsultacji dokument kierunkowy w zakresie zmian, a przed datą zastosowania RODO zainicjuje proces legislacyjny mający na celu uchwalenie całkowicie nowej ustawy o ochronie danych osobowych.
Bardzo ciekawe pod kątem analizy problematyki wyzwań dla ochrony prywatności i danych osobowych w środowisku cyfrowym było wystąpienie prof. Wojciecha Cellary. Profesor zwrócił szczególną uwagę na obecne możliwości wykorzystania „giga danych”. Podkreślił, że w wykorzystywanie tego typu danych bez skutecznych mechanizmów kontroli może skutkować całkowitą utratą prywatności podmiotów danych, co z kolei może być czynnikiem prowadzącym do m.in. dyskryminacji, szantażu lub innych zjawisk negatywnie wpływających na autonomiczność podejmowania decyzji przez osobę, której dane są przetwarzane. Kolejnym negatywnym zjawiskiem analizy giga danych wg Profesora jest to, że pozwala ona z wysokim prawdopodobieństwem stwierdzić zaistnienie określonego faktu, ale już bez poznania przyczynowości jego zaistnienia tzw. zdobycie „wiedzy bez zrozumienia”. W ocenie prof. Wojciecha Cellarego należałoby istotnie rozszerzyć kompetencje GIODO w zakresie kontroli nad procesem przetwarzania giga danych.
Z kolei prof. Paweł Fajgielski skupił się nad szczegółowym omówieniem poszczególnych założeń RODO. Zwrócił uwagę m.in. na:
Kolejnym ważnym głosem w dyskusji było wystąpienie Włodzimierza Schmidta – Prezesa Zarządu Związku Pracodawców Branży Internetowej IAB Polska, który podkreślił, że wykorzystanie danych jest paliwem dla gospodarki cyfrowej co realnie przekłada się na kondycję gospodarki krajowej. W jego ocenie wobec takiej korelacji prace krajowe powinny być skupione na właściwym podejściu do uregulowania procesu wykorzystywania danych przez przedsiębiorców np. na gruncie profilowania. Krytycznie wyraził się o prawie dostępu do danych zawartym w RODO – potencjalnie mogącym generować gigantyczne koszty dla przedsiębiorców. Na koniec postulował większe zaangażowanie władz w działalność informacyjną w przedmiocie zmian w prawie ochrony danych osobowych.
W toku dalszej dyskusji omawiane były już konkretne rozwiązania zastosowane w RODO w oparciu o jego przepisy m.in.
Opisanie szczegółowo powyższych elementów dyskusji istotnie wykraczałoby poza formułę niniejszego bloga, choć nie wątpię, że w przyszłości poruszymy każdy z nich w osobnych wpisach. W tym miejscu zaznaczę jedynie dość ciekawą kwestię na którą zwrócił uwagę dr Arwid Mednis tj. dostosowanie w ujęciu RODO przepisów sektorowych (tu konkretnie na przykładzie profilowania w aspekcie działalności banków i podmiotów sektora ubezpieczeń). Jest to o tyle ważne, że RODO pozostawia pole do regulacji na gruncie krajowym, dlatego warto już teraz zastanawiać się nad właściwymi modelami rozwiązań.
Podsumowując posiedzenie było bardzo ważnym wydarzeniem wskazującym jednoznacznie ogromną skalę wyzwań na gruncie odpowiedniej implementacji przepisów RODO oraz konieczności dostosowania procesów przetwarzania do zasad wynikających wprost z treści rozporządzenia. Bez wątpienia do 25 maja 2018 r. władza wykonawcza oraz organy nadzorujące przetwarzanie danych osobowych wszystkich państw członkowskich UE będą miały mnóstwo pracy, aby racjonalnie w drodze dialogu z sektorem prywatnym dostosować prawo krajowe do przepisów RODO, bez istotnego wpływu na pozytywne aspekty postępu technologicznego – mającego kolosalny wpływ na gospodarkę.
