Edyta Bielak-Jomaa, GIODO: Ochrona danych osobowych musi być spójna z założeniami unijnymi


Włodzimierz Kaleta - 23 sty 2018 6:00


- Przepisy nowej ustawy o ochronie danych osobowych mogą przyczynić się do rozluźnienia i obniżenia poziomu ochrony naszych danych osobowych. To bardzo niepokojąca tendencja, na którą GIODO zwracał wielokrotnie uwagę – wskazuje w rozmowie z PulsHR.pl dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO).

• Wprowadzenie przepisu stanowiącego, że firmy zatrudniające do 250 pracowników nie będą musiały stosować postanowień RODO to wyłączenie zbyt szerokie i może zostać ocenione przez Komisję Europejską jako brak właściwego wdrożenia unijnego rozporządzenia o ochronie danych – informuje Edyta Bielak-Jomaa.

• RODO dopuszcza wprowadzanie ograniczeń, jeśli spełnione są warunki wskazane w jego art. 23, jednak, co należy podkreślić, artykuł ten mówi o ograniczeniach, a nie o wyłączeniach – wyjaśnia.

****

Eksperci ostrzegają. Rząd wprowadził do projektu ustawy o ochronie danych osobowych poprawki, które mogą spowodować osłabienie tej ochrony. Jak GIODO ocenia te zmiany?

Edyta Bielak-Jomaa: - Przygotowane i zaprezentowane 13 września 2017 r. przez Ministerstwo Cyfryzacji projekty ustawy o ochronie danych osobowych oraz ustawy wprowadzającej ustawę o ochronie danych osobowych miały w zamierzeniu dostosować polski system prawny do wymogów ogólnego rozporządzenia o ochronie danych (w skrócie nazywanego RODO – przyp. red.)

Ten unijny akt prawny ustanawia bowiem jednolite w całej Unii Europejskiej zasady przetwarzania danych osobowych i dokonuje reformy systemu ich ochrony. Wprowadza nowe rozwiązania prawne gwarantujące większe bezpieczeństwo naszych danych w dobie wyzwań technologicznych XXI wieku. Jego istotą było też ustanowienie silnego organu stojącego na straży wzmocnionych praw obywateli.

Przepisy przygotowane przez Ministerstwo Cyfryzacji powinny jedynie doprecyzować postanowienia RODO oraz dostosować krajowy porządek prawny do zawartych w nim regulacji i zasad.

Czytaj też: Mieszkanie plus przegrywa z biurokracją

Tymczasem w mojej opinii przyjęcie w Polsce przepisów w kształcie proponowanym przez Ministerstwo Cyfryzacji może przyczynić się do rozluźnienia i obniżenia poziomu ochrony naszych danych osobowych. To bardzo niepokojąca tendencja, na którą GIODO zwracał wielokrotnie uwagę. Do wspomnianych projektów zgłosiliśmy ponad 140 stron uwag.

W ostatnim czasie projektodawca zaproponował, by z obowiązków informacyjnych zostały zwolnione przedsiębiorstwa, które zatrudniają do 250 pracowników, czyli przytłaczająca większość firm w Polsce. Czy to znaczy, że firmy te nie będą musiały stosować postanowień RODO?

Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych w przypadku pozyskiwania danych bezpośrednio od osoby, której one dotyczą, należy dopełnić tzw. obowiązku informacyjnego, czyli poinformować osobę, której dane są zbierane o tym, kto je gromadzi, w jakim celu i jak długo będzie je wykorzystywał, czy i komu będzie je udostępniał, a także jakie prawa jej przysługują.

Zaproponowane wyłączenie, polegające na odstąpieniu od wskazanego obowiązku informacyjnego, jest zbyt szerokie i nie spełnia wymogów ograniczenia obowiązków i praw przewidzianych w art. 23 rozporządzenia 2016/679 (RODO).

Zgodnie bowiem z tym artykułem państwo członkowskie może aktem prawnym ograniczyć zakres wskazanych wyżej praw i obowiązków, ale ograniczenie to nie może naruszać podstawowych praw i wolności oraz musi być w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ważnym, wskazanym w tym przepisie celom.

Jakim przykładowo?

Takim chociażby, jak bezpieczeństwo narodowe czy publiczne, zapobieganie przestępczości albo ściganie przestępstw. Jeśli już w prawie krajowym wprowadza się ograniczenie, to w odpowiednim przepisie trzeba określić cele przetwarzania, kategorie danych, zakres wprowadzonych ograniczeń, zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi bądź przekazywaniu, zasady przechowywania itd.

RODO dopuszcza wprowadzanie ograniczeń, jeśli spełnione są warunki wskazane w jego art. 23, jednak, co należy podkreślić, artykuł ten mówi o ograniczeniach, a nie o wyłączeniach.

Czyli kiedy 25 maja 2018 roku rozporządzenie, o którym mowa, wejdzie w życie w całej Unii, to w Polsce firmy zatrudniające mniej niż 250 osób, a jest ich w naszym kraju ponad 99 proc., nie będą musiały informować klientów, kto jest administratorem ich danych, w jaki sposób dane te będą wykorzystywane i jakie prawa przysługują klientom?

Przypuszczam, że projektodawcy owego wyłączenia mieli na względzie rozwiązania probiznesowe, ale nie ulega wątpliwości, że każde wyłączenie stosowania RODO powinno wskazywać wartość, która uzasadnia takie ograniczenie podstawowych praw obywateli, jakimi są prawo do prywatności i ochrony danych osobowych. Mamy chronić dane osobowe, a nie wyłączać tę ochronę.

Wydaje się, że RODO zapewnia właściwy balans pomiędzy prawami przedsiębiorców a prawami podmiotów danych. Tymczasem proponowane rozwiązania tę równowagę naruszają - i to na niekorzyść obywateli. Ponadto uważam, że wyłączenia ograniczające prawa każdego z nas w dłuższej perspektywie wcale nie ułatwią życia przedsiębiorcom, którzy poprzez te rozwiązania mogą stracić zaufanie swoich klientów.

Dlatego GIODO wskazuje, że proponowane ograniczenie powinno zostać przeanalizowane pod kątem tego, czy spełnia wymogi wskazane w art. 23 ust. 2 rozporządzenia 2016/679 i czy zawiera określone w nim szczegółowe postanowienia. Wyłączenie przepisów dotyczących realizacji praw osób, których dane dotyczą, jest ingerencją w podstawowe prawa i wolności.

Tak jest w tym konkretnym przypadku?

Ciężko zgodzić się z tym, że wyłączenie niektórych praw osób jest niezbędne i proporcjonalne dla ochrony ważnego interesu gospodarczego państwa, jakim jest rozwój przedsiębiorstw zatrudniających do 250 pracowników.

Zwłaszcza że autorzy propozycji nie przedstawili szczegółowych przepisów o celach przetwarzania lub kategorii przetwarzania, kategoriach danych osobowych, zakresie wprowadzonych ograniczeń, zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu danych, jak i wielu innych.

Projektodawca nie wykonał tym samym „zadań” określonych w art. 23 ust. 2 rozporządzenia 2016/679. Wskazał za to ograniczenia praw osób, których dane dotyczą.

Czy to znaczy, że zatrudnieni w małych zakładach nie będą mogli nawet kontaktować się z administratorem ani przenieść swoich danych do innego operatora? Nie będzie im wolno tego robić?

Wyłączenie obowiązku informacyjnego odnosiłoby się w projektowanej sytuacji do wszystkich osób, których dane osobowe dany przedsiębiorca przetwarza, będąc ich administratorem, a więc zarówno do pracowników, jak i klientów czy kontrahentów. Jednak obowiązku informacyjnego nie należy utożsamiać z możliwością kontaktowania się z administratorem.

Niemniej podkreślić należy, że przyjęcie projektowanego rozwiązania w praktyce oznaczałoby, że osoby, których dane dotyczą, nie będą miały dostępu do podstawowych informacji związanych z przetwarzaniem ich danych, co może negatywnie wpłynąć na późniejsze skorzystanie z przysługujących im praw.

Co na to kierowany przez panią urząd? Jakie jeszcze inne ewentualne konsekwencje mogą się łączyć z nowymi poprawkami? Co na takie rozwiązanie powie Bruksela?

Jeżeli Polska zdecyduje się na wprowadzenie omawianego rozwiązania, to może ono zostać ocenione przez Komisję Europejską jako brak właściwego wdrożenia lub naruszenie rozporządzenia o ochronie danych i spowodować wszczęcie przez Komisję przeciwko Polsce postępowania w trybie art. 258 Traktatu o funkcjonowaniu Unii Europejskiej.

Niezależnie od omawianej kwestii warto wskazać, że wątpliwości GIODO budzą również inne projektowane rozwiązania, co zostało podkreślone na etapie konsultacji międzyresortowych dotyczących zarówno projektu ustawy o ochronie, jak i ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych.

Czytaj też: Zygmunt Frankiewicz, prezes ZMP: Polskie miasta są silne, może nawet silniejsze niż miasta w innych krajach Europy

Jak już mówiłam, do obu tych regulacji Generalny Inspektor Ochrony Danych Osobowych zgłosił ponad 140 stron uwag, wskazując, że wiele z proponowanych rozwiązań obniża poziom ochrony danych osobowych obywateli, który – zgodnie z rozporządzeniem – miał ulec wzmocnieniu.

Na ile realne jest wprowadzenie tych „złych” zmian? Dotychczas większość sejmowa najczęściej uchwalała takie prawo, jakie chciała.

Próbując odpowiedzieć na tak postawione pytanie, należy mieć na uwadze, że to ustawodawca decyduje o ostatecznym kształcie przyjmowanych regulacji. Natomiast prace nad tym projektem jeszcze się toczą.

Generalny Inspektor Ochrony Danych Osobowych – jako niezależny i wyspecjalizowany organ nadzorczy ds. ochrony danych osobowych funkcjonujący w polskim systemie prawnym już 20 lat – podejmuje wszelkie możliwe działania zmierzające do zapewnienia spójności przyszłego systemu ochrony danych osobowych w Polsce z założeniami unijnej reformy ochrony danych.

Przeciwdziałamy też próbom obniżania poziomu ochrony danych osobowych w stosunku do dotychczasowych standardów. Dlatego na kolejnych etapach procesu legislacyjnego GIODO będzie zabiegał, by prawa i wolności osób, których dane są przetwarzane, były w polskim prawie odpowiednio zagwarantowane.

 

 



www.pulshr.pl | 26-05-2018 23:29:17