Projekt nowej ustawy o ochronie danych osobowych budzi wątpliwości GIODO. Konsultacje potrwają do połowy października

Zmiana przepisów ma stworzyć grunt pod unijne rozporządzenie RODO, które w Polsce zacznie obowiązywać w maju 2018 roku. Jego założeniem jest ujednoliceniem przepisów dotyczących ochrony danych we wszystkich 28 państwach członkowskich UE. Konsultacje dotyczące projektu potrwają do połowy października. Część propozycji Ministerstwa Cyfryzacji budzi jednak wątpliwości Generalnego Inspektora Ochrony Danych Osobowych.

– Rozporządzenie europejskie, które weszło w życie w ubiegłym roku, zacznie obowiązywać w polskim porządku prawnym od 25 maja 2018 roku. Zatem nowa ustawa o ochronie danych osobowych powinna wejść w życie odpowiednio wcześniej. Teraz projekt jest na etapie konsultacji, na które mamy 30 dni. Zachęcam do konsultowania tego projektu w jak największym stopniu – mówi agencji informacyjnej Newseria Biznes Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych.

Unijne rozporządzenie RODO – przyjęte w maju ubiegłego roku – ma ujednolicić przepisy dotyczące ochrony danych we wszystkich 28 państwach członkowskich UE. Regulacja nałoży szereg nowych obowiązków na organizacje i firmy, które gromadzą i przetwarzają informacje o swoich klientach. Będą one musiały m.in. każdorazowo uzyskiwać zgodę swoich klientów na przetwarzanie ich danych osobowych, raportować każdy wyciek danych oraz wdrożyć cały szereg rozwiązań technicznych i organizacyjnych, które zagwarantują wysoki poziom bezpieczeństwa danych osobowych.

Podmiotom, które nie dostosują się do nowych przepisów, grożą wysokie kary finansowe, sięgające 20 mln euro albo 4 proc. rocznych obrotów przedsiębiorstwa. Dla podmiotów administracji publicznej (np. ZUS-u) kary będą niższe – do 100 tys. zł. O ich wysokości będzie decydował organ nadzorujący.

Dostosowanie się do unijnych wymogów wymaga gruntownych zmian w prawie krajowym. Dlatego w tym miesiącu Ministerstwo Cyfryzacji przedstawiło projekt nowej ustawy o ochronie danych osobowych. Dokument jest w tej chwili na etapie konsultacji społecznych, które potrwają do połowy października.

– Jeśli chodzi o moją pierwszą refleksję po lekturze tych propozycji, to niestety jestem zaniepokojona pewnymi propozycjami. Według mnie zaproponowano obniżenie wysokiego standardu w zakresie niezależności organu ochrony danych osobowych – mówi Edyta Bielak-Jomaa.

Według nowelizowanych przepisów GIODO ma zastąpić nowy organ – Urząd Ochrony Danych Osobowych. W jego kompetencji będzie nadzór i nakładanie kar finansowych na podmioty, które nie przestrzegają przepisów w tym zakresie. UODO będzie sam nadawać sobie statut (dotychczas robił to prezydent).

Zgodnie z projektem nowej ustawy prezes UODO ma być powoływany przez Sejm na wniosek premiera na czteroletnią kadencję. Odwołanie go będzie możliwe tylko w szczególnych przypadkach, jak na przykład prawomocny wyrok sądu za umyślne przestępstwo (prezes UODO będzie chroniony immunitetem).

W obecnym modelu GIODO jest powoływany przez Sejm na wniosek marszałka lub grupy 35 posłów. Generalny Inspektor Ochrony Danych Osobowych ocenia, że nowy tryb powoływania UODO stwarza ryzyko upolitycznienia tego urzędu.

– Zgodnie z projektem dwóch zastępców prezesa urzędu ma powoływać premier na wniosek ministra cyfryzacji. To rodzi naturalne pytanie o to, czy zanadto nie dokonujemy upolitycznienia tego urzędu, stąd moje obawy – wyjaśnia Edyta Bielak-Jomaa.

Zauważa również, że propozycje zawarte w nowej ustawie są probiznesowe, nakierowane na przedsiębiorców i ułatwienie działalności administracji publicznej, jednak budzą obawy z perspektywy ochrony interesów obywateli.

– Część tych przepisów wzbudza mój niepokój również w kontekście ich zgodności z ogólnym rozporządzeniem o ochronie danych osobowych (RODO) – podkreśla Edyta Bielak-Jomaa.

Jak dodaje, część przepisów obniża poziom ochrony danych poprzez różnego rodzaju wyłączenia przepisów rozporządzenia z określonych sektorów.

– Chociażby w prawie pracy proponuje się zmianę, która polegałaby na tym, aby za zgodą pracownika dopuszczalna była biometria w stosunkach pracy. Generalny Inspektor od lat stoi na stanowisku, potwierdzonym zresztą przez NSA kilka lat temu, że w stosunkach pracy o zgodzie jako przesłance przetwarzania danych osobowych trudno mówić, ponieważ zgoda musi być dobrowolna. Trudno mówić o całkowicie dobrowolnej zgodzie w stosunkach pracy – oczywiście co do zasady, bo dopuszczamy możliwość stosowania biometrii również w stosunkach pracy, ale na określonych zasadach – podkreśla Edyta Bielak-Jomaa.

Rządowy harmonogram zakłada, że projekt nowej ustawy o ochronie danych osobowych ma trafić do Sejmu jeszcze w tym roku. Generalny Inspektor Ochrony Danych Osobowych przypomina, że firmy i przedsiębiorcy muszą jak najszybciej zacząć przygotować się na nowe przepisy.

– W pierwszej kolejności wszyscy przedsiębiorcy powinni dokonać oceny stanu ochrony danych osobowych w podmiotach, którymi kierują pod kątem wymogów rozporządzenia. Następnie ocenić ryzyka, które występują w związku z przetwarzaniem danych i zacząć wdrażać instrumenty przewidziane w rozporządzeniu – podkreśla Edyta Bielak-Jomaa.