dr Maciej Kawecki – Ministerstwo Cyfryzacji

25 maja 2018 r. wejdą w życie nowe przepisy dotyczące ochrony danych osobowych, będące konsekwencją rozporządzenia Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Oznacza to, że we wszystkich 28 państwach członkowskich UE zmianie ulegną ustawy o ochronie danych osobowych, a także akty prawne z nimi powiązane. Jest to największa i najbardziej kompleksowa zmiana prawna w tym obszarze od ponad 20 lat. W Polsce za opracowanie nowego prawa ochrony danych osobowych, a także za przygotowanie nowelizacji przepisów sektorowych w ponad 130 innych ustawach, odpowiada Ministerstwo Cyfryzacji, które w połowie września przekazało projektowane przepisy do konsultacji społecznych.

Nowe regulacje obejmować będą wszystkie podmioty, które przetwarzają dane osobowe – od dużych przedsiębiorstw, poprzez instytucje państwowe i samorządowe, po jednoosobowe firmy. Podstawowe cele projektu dotyczącego zarówno ustawy o ochronie danych osobowych, jak i przepisów sektorowych, to podwyższenie poziomu ochrony prywatności obywateli przy jednoczesnym poszanowaniu interesów przedsiębiorców. Do najważniejszych zmian należy m.in. przyznanie obywatelom dodatkowego prawa dochodzenia roszczeń cywilnoprawnych czy możliwość otrzymania odszkodowania z tytułu naruszenia ich prawa do prywatności. Dotychczasowy urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zostanie zastąpiony przez Prezesa Urzędu Ochrony Danych Osobowych, powoływanego na wniosek Prezesa Rady Ministrów przez Sejm na 4-letnią kadencję. Urząd będzie pełnił rolę przede wszystkim doradczą i konsultacyjną. Będzie również wyposażony w więcej kompetencji, w tym w możliwość nakładania surowych kar finansowych, co da gwarancję lepszego poszanowania prawa do ochrony danych osobowych. Obecnie się nimi handluje i nie ponosi się za to żadnej odpowiedzialności zarówno finansowej jak i karnej.

Nowe przepisy mają również doprowadzić do uproszczenia i skrócenia prowadzonych przed GIODO postępowań. W tym cel zniesiona zostanie ich dwuinstancyjność, a postępowania kontrolne prowadzone przez nowy organ – Prezesa Urzędu będą mogły trwać maksymalnie 30 dni. Dla porównania – obecnie na uzyskanie prawomocnego orzeczenia w sprawie dotyczącej ochrony danych osobowych czeka się średnio 600 dni. Prezes Urzędu Ochrony Danych Osobowych będzie uprawniony również do wydawania rekomendacji w zakresie sposobów zabezpieczania danych osobowych, czego dzisiaj brakuje przedsiębiorcom. Zostaną uregulowane zasady korzystania z monitoringu w miejscu pracy, czego do tej pory nie było. Zmianie ulegną również zasady przetwarzania danych osobowych m.in. w sektorze prawa pracy, poprzez przyznanie pracodawcom wykorzystywania danych biometrycznych pracownika, czy możliwość sprawdzania w określonych przypadkach karalności pracownika. Projektowane przepisy po raz pierwszy określały będą zasady przetwarzania danych biometrycznych zarówno w obszarze zatrudnienia, jak i w sektorze bankowym oraz ubezpieczeniowym. Dane takie będą mogły zostać pozyskane przez bank oraz ubezpieczycieli celem weryfikacji tożsamości klientów. W przypadku sektora zatrudnienia, przetwarzanie przez pracodawcę danych biometrycznych obejmować ma tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej.

Istotną zmianą z punktu widzenia obywatela-użytkownika systemów i usług jest przewidziane w nowych przepisach prawo do bycia zapomnianym. Oznacza ono, że każda osoba, której dane dotyczą, może zażądać od administratora niezwłocznego ich usunięcia, w przypadkach określonych przez rozporządzenie Parlamentu i Rady, np. w sytuacji cofnięcia przez zainteresowanego zgody na dalsze przetwarzanie danych czy w sytuacjach przetwarzania danych niezgodnie z prawem. Konsekwencją prawa do bycia zapomnianym jest wymóg wdrożenia w organizacjach procedur umożliwiających szybkie i zupełne usuwanie danych bez względu na to, gdzie są one przechowywane (komputery, serwery, chmura).

Nowe regulacje wpłyną na usprawnienie funkcjonowania różnorodnych branż, nie zaniżając jednocześnie w żadnym zakresie poziomu ochrony prywatności obywateli. Jako przykład można wskazać sektor ubezpieczeniowy, w ramach którego przetwarzanie danych osobowych dotyczących stanu zdrowia uzależnione jest obecnie od uzyskania pisemnej zgody ubezpieczonego. Wymogi pisemności mają wpływ na ograniczenia w rozwoju cyfryzacji sektora ubezpieczeń, ograniczając obywatelom dostęp do usług dostępnych w innych krajach online. Poprzez zastąpienie wymogu pisemności wymogiem zgody wyraźnej, projekt otwiera sektorowi ubezpieczeniowemu drogę do jego digitalizacji, czyniąc go bardziej konkurencyjnym przy jednoczesnym poszanowaniu praw ubezpieczonych.

Część ekspertów podkreśla jednak, że ze względu na stosowane w wielu przedsiębiorstwach i instytucjach niedostateczne lub przestarzałe zabezpieczenia systemów IT, wprowadzenie nowych wymogów i regulacji może w wielu obszarach okazać się trudnym wyzwaniem. Barierę stanowi także niska w wielu organizacjach świadomość konsekwencji nowego prawa dla funkcjonowania przedsiębiorstw i instytucji.

 

KOMENTARZ

 Przygotowany przez Ministerstwo Cyfryzacji projekt nowej ustawy o ochronie danych osobowych zawiera 92 artykuły, a ustawa wprowadzająca przewiduje zmianę 133 ustaw sektorowych. Do projektu dołączone zostały również uzasadnienia podejmowanych zmian legislacyjnych obejmujące łącznie 200 stron. Już na etapie tworzenia przepisów prawnych, rozwiązania zawarte w projekcie ustawy o ochronie danych osobowych podlegały złożonym konsultacjom. W połowie września projekt został przekazany ponad 200 podmiotom (m. in. izby gospodarcze, organizacje pozarządowe), które przez 30 dni miały możliwość wyrażenia uwag i opinii. Ponadto każdy zainteresowany mógł uczestniczyć w tym procesie za pomocą strony https://www.gov.pl/cyfryzacja/konsultacje. Etap konsultacji społecznych zakończy się 13 października, a analiza zgłoszonych uwag stanowić będzie integralną część dalszych prac nad projektem ustawy.