Spotkanie odbyło się 15 stycznia br. w Sejmie, gdzie do projektu nowej ustawy o ochronie danych osobowych zgłoszono 700 stron uwag. Jak zapowiadają przedstawiciele Ministerstwa Cyfryzacji, przyszły tydzień będzie poświęcony opracowywaniu ostatecznej wersji projektu ustawy. W marcu projekt powinien wpłynąć do Sejmu, tak aby pozostawić miesięczne vacatio legis.

Jednak, jak zapowiadają przedstawiciele Ministerstwa Cyfryzacji, przepisy wprowadzające ustawę zostaną dopracowane w kolejnych miesiącach. Autorzy projektu obiecują, że będzie on gotowy i przyjęty przez parlament do 25 maja br., gdy zacznie obowiązywać ogólne rozporządzenie unijne o ochronie danych. 

Dobrowolność w stosowaniu wytycznych

W celu lepszego przygotowania się do nowych regulacji, polski organ ochrony danych wspólnie z innymi europejskimi rzecznikami skupionymi w Grupie Roboczej Art. 29 ds. Ochrony Danych, pracuje nad zestawem wytycznych dotyczących konkretnych rozwiązań i instrumentów ogólnego rozporządzenia.
Z sali padło pytanie: Czy organ, prezes urzędu będzie uprawniony do wydawania obligatoryjnych wytycznych? Dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, twierdzi, że rekomendacje nie będą wiążące. Artykuł 43 projektu ustawy o ochronie danych osobowych przewiduje, że rekomendacje są stworzone z myślą o przedsiębiorcach, czyli dotyczą sektora prywatnego. Natomiast, jeśli idzie o instytucje publiczne – tych rekomendacje nie obejmują.

Zgoda dziecka 13-letniego

Jednym z najważniejszych tematów była zgoda dziecka na przetwarzanie danych osobowych. Autorzy zdecydowali się na obniżenie wieku dziecka do 13 lat. Pojawiły się dwa rodzaje uwag: przedsiębiorcy wskazywali, że brakuje regulacji odbierania zgody, zaś osoby prywatne i organizacje chciały podwyższenia wieku.
MC uważa, że wiek 13 lat jest zgodny z kodeksem cywilnym (obejmuje drobne czynności życia codziennego). – Obniżamy wymóg udzielenia samodzielnej zgody do 13 lat – i to rozwiązanie jest probiznesowe. Nie możemy określić sposobu odbierania zgody, gdyż według Komisji byłoby to przekroczenie przepisów unijnych. Dostosowano te przepisy do ustawy o usługach świadczonych drogą elektroniczną – wyjaśniał dr Kawecki.

MC nie zmieni swego stanowiska w tej kwestii, zwłaszcza, że inne kraje unijne wiek 13 lat już wprowadziły.

Weryfikacja wieku

Konfederacja Lewiatan pytałała o możliwość weryfikacji wieku dziecka, wskazując, że terytorium kraju jest ważne. Ochroną obejmuje się dzieci mieszkające i przebywające w Polsce, nawet jeśli serwer usługodawcy znajduje się we Francji, czy we Włoszech.
– Nie jesteśmy chętni do podwyższania wieku dzieci zdolnych do wyrażania zgody na pozyskiwanie danych osobowych, gdyż rozwój społeczeństwa informacyjnego spowodował, że świadomość 13-latków jest wyższa, niż 10 lat temu. Zresztą Związek Nauczycielstwa Polskiego nie wniósł uwag do naszej regulacji – dodał ekspert z MC. – Dziecko powyżej 13 roku życia samo będzie udzielało zgody, ale wcześniej rodzic musi zaakceptować transakcję online – dodał. Jak podkreślał, rolą ustawodawcy nie jest ochrona dzieci przed społeczeństwem informacyjnym (zwłaszcza – przed uzależnieniem od gier komputerowych).

Intencją jest ochrona danych

Przedstawiciele Ministerstwa Cyfryzacji twierdzą, że weryfikacja wieku dziecka nie będzie dopuszczalna w postaci przesłania skanu dowodu osobistego. Jak podkreślali, w tym wypadku trzeba zaufać oświadczeniom woli. Zgoda będzie potrzebna przy wykorzystaniu danych osobowych do wysyłania reklam i ofert, albo, gdy gry komputerowe przewidują robienie zdjęć uczestnikom. Np. zgoda dziecka nie będzie potrzebna przy zakupie książek w internecie.

Mechanizm certyfikacji i opłaty

W tej kwestii padło wiele uwag, dotyczących m.in. obciążenia prezesa nowego urzędu, który by mógł certyfikować podmioty. Argumentacja trafiła do autorów projektu. Podmiotem akredytującym, czyli wydającym zaświadczenia, że dany podmiot jest kompetentny do kontroli przetwarzania danych, będzie Polskie Centrum Certyfikacji, a także prywatne instytucje badawcze, na zasadzie konkurencyjności.
Nowy urząd będzie także podmiotem certyfikującym z mocy prawa, ale jako jedyny – nie będzie sprawdzany pod kątem przestrzegania ochrony danych osobowych.
Obecnie certyfikacja nie jest obowiązkowa i projekt nie przewiduje obligatoryjności.

Czytaj też: Nowy przewodnik po RODO dotyczący szacowania ryzyka>>

Ile wart jest certyfikat?

Co do opłat certyfikacyjnych – określonych na 12 tys. zł, to opłata jest zbyt wysoka – zdaniem organizacji pozarządowych i biznesu. MC twierdzi, że to jest opłata adekwatna, gdyż ważny jest profesionalizm podmiotów certyfikujących. – Pobieramy opłaty od wniosku, a nie od uzyskanych certyfikacji, aby nie zaniżać jakości usługi – wyjaśnił dr Kawecki. – To jest trzykrotność przeciętnego miesięcznego wynagrodzenia w Polsce – mówili autorzy projektu.

Elżbieta Andruszkiewicz z Instytutu Łączności poparła przepis, który określałby podmioty certyfikujące i zakres certyfikacji. – Jeśli mamy certyfikować, to zakres certyfikacji powinien dotyczyć systemów przetwarzania danych, czyli produktów  – uważa Adam Danieluk z ISSA Polska.
– Kwota należna za certyfikację powinna odpowiadać zakresowi certyfikacji, inaczej będzie to dyskryminujące dla słabszych firm – zgłosił uwagę jeden z przedsiębiorców.
Kwestią do uwzględnienia – według ekspertów z ministerstwa – jest sprawa konfliktu interesów, np. gdy podmiot certyfikujący korzysta z usług firmy, którą certyfikuje.

Kryteria certyfikacji

Pojawiało się wiele zastrzeżeń w kwestii certyfikacji. – Kryteria dla branż będą ogłaszane w BIP przez urząd. To jest swoboda prezesa urzędu ochrony danych, i nie ma potrzeby wydawania zarządzeń albo rozporządzeń, chodzi o elastyczną formułę – dodaje autor projektu.

Kryteria certyfikacji mają charakter branżowy i będą się one zmieniać wraz z rozwojem technologicznym. Kodeksy postępowań mogą być wdrożone przez każdy podmiot, który nawet nie uczestniczył w jego tworzeniu. Ale posiadanie kodeksu obniża poziom maksymalnej kary, która mogłaby być nałożona za nieprzestrzeganie przepisów – zapewniał dr Kawecki.
Certyfikacja jednego podmiotu powinna trwać nie dłużej niż 30 godzin. Odmowa przyznania certyfikacji nie będzie decyzją administracyjną i nie będzie ona zaskarżalna.
Ustalono w projekcie, że Polskie Centrum Akredytacji będzie określać własne kryteria.

Czynności sprawdzające

Są one następstwem udzielenia certyfikatu, który jest przyznawany czasowo na 3 lata. Chodzi o sprawdzenie, czy podmiot nadal przestrzega norm. W momencie wygaśnięcia certyfikacji, albo jeszcze przed wygaśnięciem przedsiębiorca składa wniosek o następną certyfikację.  
Damian Wyżnikowski ze Związku Banków Polskich uważa, że forma czynności sprawdzających powinna być określona w ustawie precyzyjniej.
Kwestia, co się dzieje, gdy podmiot upadł, a certyfikat nadal obowiązuje, będzie przedmiotem dalszych prac legislacyjnych – zapewnił Sylwester Szczepaniak z departamentu prawnego MC.

Każdy przedsiębiorca będzie mógł się zgłosić do urzędu, aby uzyskać pozwolenie (akredytację) na monitorowanie kodeksów postępowania. Warunkiem jest posiadanie wysokich kwalifikacji, procedur i kryteriów oceny, a także – unikanie konfliktu interesów.

Kodeksy postępowania dla prywatnych firm

Kodeksy postępowania są przeznaczone wyłącznie dla sektora prywatnego.  Pojawi się więc problem definicji sektora publicznego i prywatnego. Zdaniem dr. Kaweckiego, stosowanie kodeksów do sektora publicznego byłoby pożyteczne. Komisja Europejska jest jednak temu przeciwna, twierdząc, że są one dedykowane sektorowi prywatnemu.
Katarzyna Szumielewicz, prezes Fundacji Panoptykon, pytała, czy do postępowań w sprawie kodeksów i akredytacji odnoszą się przepisy kodeksu postępowania administrcayjnego. Dr Kawecki odpowiedział, że do czynności sprawdzających i przyznawania certyfikatu nie przewiduje się stosowania kodeksu.

Kim ma być prezes urzędu ochrony danych

Kwalifikacje osoby do pełnienia urzędu prezesa to nie tylko wyższe wykształcenie. Projekt nie ogranicza kwalifikacji do posiadania wykształcenia prawniczego i osiągnięcia stopnia doktora. To, co jest nowością, to dodane kryterium posiadania nieposzlakowanej opinii moralnej.
Dopuszczono w projekcie aktywność naukową prezesa, co wzbudziło wiele kontrowersji. Przepis będzie dopracowany, w tym sensie, że prezes nie może zajmować innego stanowiska i podejmować pracy zarobkowej, innej niż zajęcia dydaktyczne, czy naukowe. 
Prezes urzędu nie będzie mógł zajmować stanowiska dłużej niż dwie kadencje.

Powoływanie zastępców prezesa

Zastępcy prezesa urzędu ochrony danych osobowych podejmą działania z zakresu dyrektywy policyjnej i ochrony danych osobowych, co wymaga specyficznej wiedzy. Będą oni powoływani przez prezesa RM, przy konsultacji z ministrem spraw wewnętrznych i administracji, i ministrem cyfryzacji.
– To jest normalny system funkcjonowania państwa – wyjaśnia. Prezes urzędu będzie określał zakres obowiązków zastępców w statucie – mówił dr Kawecki. – Nikt nie narzuci wiceprezesów, prezesowi urzędu ochrony danych – zaznaczył.

Wojciech Klicki z Fundacji Panoptykon zwrócił uwagę, że administracja rządowa będzie miała istotny wpływ na wybór wiceprezesów, co jest sprzeczne z RODO. Prezes urzędu nie będzie decydował, kto go zastępuje. Co więcej – radca prawny Marek Suchan podkreślił, że prezes może być zablokowany przez swoich zastępców.

Przedstawiciel GIODO zwrócił uwagę, że zastępca prezesa nie jest organem, lecz pracownikiem. W jego opinii rozwiązanie nie będzie zgodne z RODO, gdyż możemy znaleźć się w procedurze zgodności i mogą z tego wyniknąć dla Polski negatywne konsekwencje. Dodał, że sprawy karne w zakresie danych osobowych i system Schengen leżał do tej pory w gestii Generalnego Inspektora Ochrony Danych (a jego kompetencje przejmie prezes nowego urzędu).

Definicja przetwarzania danych

Przetwarzanie danych jest zawarte w art. 4 RODO. I taką definicję przyjmuje projekt. Oznacza to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Jedna instancja

Najwięcej uwag zgłoszono do braku drugiej instancji postępowania. Jednak nowy kodeks postępowania administracyjnego uprawnia stronę do wyboru, czy chce pominąć II instancję, czy zdecydować się od razu na kontrolę sądową. Druga instancja w wypadku organów bez wyższego stopnia, sprowadza się do tego, że ten sam urzędnik wydaje decyzję kontrolną.
Ze statystyk WSA i NSA wynika, że zdecydowana większość decyzji, ponad 80 proc. wszystkich skarg trafiających do sądów, była utrzymywana w II instancji bez zmian. Ale bez drugiej instancji sprawy będą szybciej rozpatrywane.

Udział organizacji społecznych

W konsultacjach społecznych pojawił się postulat przyznania organizacjom prawa do uczestnictwa w postępowaniu. Jednak część osób zgłaszało problem fałszywych organizacji przystępujących do obrony konsumentów, często wbrew wiedzy i bez zgody stron.
Dlatego poluzowano kryteria pełnomocnictwa, ale potrzebna będzie zgoda strony. Prezes urzędu ochrony danych osobowych oceni, czy udział organizacji społecznej jest wskazany i czy nie jest ona tworem sztucznym.

Dostęp do tajemnicy przedsiębiorstwa

Przewiduje się dostęp prezesa urzędu do tajemnicy biznesowej, gdy prowadzone jest postępowanie. To jednak przedsiębiorca musi zadbać o ochronę tajemnicy. – Chcemy zapewnić prawo strony do akt, ale musi być zastrzeżenie tego podmiotu, że są tam tajne informacje. Przedsiębiorca dostarczy wtedy innym stronom dokument pozbawiony danych objętych tajemnicą – tłumaczył Sylwester Szczepaniak.
Zastrzegł przy tym, że projekt przewiduje nagrywanie przebiegu kontroli z zachowaniem tajemnicy przedsiębiorcy.