Maciej Kawecki: Dane osobowe są walutą [WYWIAD]

Od wielu lat dane osobowe podlegają ochronie prawnej. Kiedyś jednak tak nie było. Może regulacje i ograniczenia tej sfery życia wcale nie są potrzebne?

Nie można porównywać okresu sprzed ćwierć wieku do teraźniejszości. 20 lat temu Internetu w zasadzie nie było. A jeśli był, to w bardzo ograniczonym zakresie. Dane osobowe miały wartość dużo niższą.

Dzisiaj mówi się, że są walutą, taryfą przetargową. Mają coraz wyższą wartość ekonomiczną. Mówimy o stałym wzroście nowych technologii. One zawsze powodują jakąś ingerencję w sferę prywatności.

Wraz ze wzrostem wartości danych osobowych i rozwojem nowych technologii konieczny jest wzrost wymogów prawnych związanych z ochroną tych danych. Inaczej procedery, które traktujemy obecnie w kategoriach wyjątkowych, czyli jakieś wycieki, nielegalne wykorzystywanie danych osobowych – byłyby codziennością. Nie ma wątpliwości, że ten standard powinien być coraz wyższy, proporcjonalny do zainteresowania danymi osobowymi.

Obecne przepisy są złe? Zmienione mają być w całej Unii Europejskiej. Dlaczego konieczna jest zmiana regulacji?

W każdym z państw członkowskich mieliśmy do czynienia z odmiennym systemem prawnym ochrony prywatności czy ochrony danych osobowych. Mówimy o swobodnym przepływie towarów, osób, kapitału na terenie Unii Europejskiej i z tym nierozerwalnie związanym jednolitym rynku cyfrowym.

Z tymi wszystkimi obszarami związany jest również tranzyt danych osobowych, swoboda jego przepływu. Jakiekolwiek różnice między porządkami prawnymi państw stanowiły kolejne bariery. Podstawowe znaczenie miał tu zatem czynnik ekonomiczny, czyli unifikacja systemu, uznanie, że znaczna część regulacji ma być ta sama (identyczna) we wszystkich państwach członkowskich.

Drugim filarem zmian był rozwój nowych technologii. Przepisy, które wskazywały, jak chronić dane osobowe, żeby były one należycie zabezpieczone, stały się archaiczne. Kryptograficzne środki zabezpieczania danych, zmiany haseł co 30 dni, długość tych haseł – to są wszystko środki, które obecnie są uznane za absolutnie niewystarczające.

W związku z tym podjęto decyzję o stworzeniu aktu inteligentnego, czyli takiego, który nie będzie musiał być zmieniany wraz z rozwojem nowych technologii, bo sam nie stanowi, jak technicznie zabezpieczać dane osobowe. Jest neutralny technologicznie, czyli ciężar podjęcia decyzji o tym, jak zabezpieczać, ciąży każdorazowo na tych, którzy je przetwarzają.

Jakie są najważniejsze kierunki zmian? Co nowego wprowadzić ma unijne rozporządzenie o ochronie danych osobowych (RODO), które zacznie obowiązywać od 24 maja przyszłego roku? Czy nasz system prawny już został do RODO dostosowany?

W odniesieniu do przepisów unijnych oczywistym celem jest zdecydowane wzmocnienie ochrony, przyznanie obywatelom większej liczby uprawnień do dochodzenia roszczeń, dodatkowych podstaw do ich dochodzenia, stworzenie organu bardziej konsultacyjnego, doradczego. Nasza reforma wdraża to rozporządzenie, natomiast jest aktem znacznie bardziej probiznesowym. Dotyczy to głównie przepisów sektorowych, które zmieniamy. Chcemy znaleźć złoty środek między interesem przedsiębiorców i interesem obywateli.

Dotychczasowy Generalny Inspektor Ochrony Danych Osobowych ma zostać zastąpiony nową instytucją. Czy zmiana dotyczyć ma tylko nazwy?

To nie jest zmiana szyldu. To jest tworzenie nowego organu państwowego, który, oczywiście, również będzie niezależny. Pod tym względem nic się nie zmieni: ma to być organ kadencyjny, nieodwołalny, powoływany przez Sejm, z immunitetem itd.

Zmieniamy natomiast liczbę zastępców oraz tworzymy Radę Ochrony Danych Osobowych przy organie, któremu ma ona doradzać. Z prawnego punktu widzenia jest to jednak nowa instytucja. Uchylamy wcześniejszą ustawę, która jest podstawą działania GIODO, i przyjmujemy nową, z nowym organem. Ma mieć inną pozycję i inny cel.

Dziś Generalny Inspektor jest bardziej organem rzecznikowskim. Nie nakłada kar finansowych, kieruje wystąpienia do organów administracji publicznej, prowadzi, oczywiście, postępowania, ale skargi przyjmuje również Rzecznik Praw Obywatelskich.

Nowy organ staje się bardziej nowym regulatorem, podobnie jak prezes Urzędu Komunikacji Elektronicznej czy Urzędu Regulacji Energetyki. Oprócz zatem tych kompetencji miękkich, poza prowadzeniem postępowań, może on nakładać kary – i to w ogromnych wymiarach. Tego dzisiaj nie ma. W projekcie położyliśmy duży nacisk na rolę konsultacyjną i doradczą organu. Nałożyliśmy na niego obowiązek wydawania rekomendacji.

Ścieżka powinna być taka: jestem przedsiębiorcą – w pierwszej kolejności zapoznaję się z rekomendacjami organu. Następnie, już w fazie bardziej wykonawczej, gdy projekt ma wpływ na ochronę prywatności, mam prawo zwrócić się o opinię na temat mojego projektu, potem podejmuję samodzielnie decyzję, czy działam zgodnie z tą opinią, czy nie.

W tym drugim przypadku narażam się na ryzyko odpowiedzialności. Prawo unijne i przepisy krajowe przewidują tutaj jeszcze jeden krok, czyli tzw. upomnienia i ostrzeżenia. Dopiero kolejnym krokiem jest nałożenie kary administracyjnej, która może być rzeczywiście ogromna.

Właśnie te kary budzą wiele emocji i chyba trochę zafałszowują istotę reformy. Jakie widzi Pan największe zagrożenia w takich instytucjach jak jednostki samorządu terytorialne czy przedsiębiorstwa branży komunalnej?

Najważniejsze jest to, w jakim stopniu obecnie przestrzega się przepisów o ochronie danych. Jeśli ktoś odbiera zgody na przetwarzanie danych osobowych, jeżeli skutecznie realizuje obowiązki informacyjne, szkoli, ma wyodrębnione piony bezpieczeństwa, ma powołanego administratora bezpieczeństwa informacji, nie powinien aż tak się obawiać.

Zmiana będzie, ale o wiele łatwiej będzie dostosować się do niej. Jeśli natomiast jakiś podmiot musi w ciągu pół roku „dobiec” do poziomu ustawy z 1997 r., a potem jeszcze do wymogów RODO, to ma bardzo trudne zadanie. Dotyczy to szczególnie dużych podmiotów, w stosunku do których RODO może wymusić zmianę systemu informatycznego. Trzeba pamiętać, że w projekcie przepisów Ministra Cyfryzacji administracja publiczna nie będzie jednak adresatem tych najwyższych kar. W projekcie obniżamy maksymalny poziom nakładanych kar na sektor publiczny do stu tysięcy złotych.

I tu pojawia się podstawowe pytanie. W jaki sposób dostosować się do nowych realiów – to zadanie bardziej dla prawników czy dla informatyków?

To jest jedna z najważniejszych zmian! W mojej ocenie w dużej organizacji RODO jest trudno wdrożyć rękami tylko prawnika czy tylko informatyka. Jest tu potrzeba tworzenia zespołów takich osób, które współpracują ze sobą. Mało tego, w największych podmiotach dodałbym jeszcze analityków.

Krytycy wskazują, że rozporządzenie jest bardzo ogólne. Brak w nim konkretnych wytycznych. Czy rozwiązaniem ma tu być tzw. samoregulacja? Na czym miałaby ona polegać?

Damy przedsiębiorcom swoisty punkt odniesienia, jakim staną się rekomendacje wydawane przez prezesa Urzędu Ochrony Danych Osobowych (UODO), do czego zostanie on zobowiązany ustawą o ochronie danych osobowych. Określane w nich będą techniczne i organizacyjne standardy zabezpieczenia danych. Mają one być wypracowywane z przedsiębiorcami i izbami gospodarczymi. Dodatkowo duży nacisk kładziemy na konsultacyjny wymiar organu.

Samoregulacja przewidziana w RODO ma natomiast inny wymiar. Ma to być przyjmowanie przez przedsiębiorców tzw. kodeksów postępowania, które najlepiej nazywać kodeksami branżowymi. Mają być one zatwierdzane przez prezesa UODO, ale monitorowanie ich przestrzegania nie będzie już należało do administracji publicznej, tylko do sektora prywatnego. Organ będzie akredytował przedsiębiorców, którzy będą zajmowali się monitorowaniem przestrzegania kodeksów branżowych przez innych przedsiębiorców. Takiego rozwiązania jeszcze nigdzie nie ma, że jeden przedsiębiorca będzie oceniał przestrzeganie kodeksu przez innego – i odwrotnie. Dzięki temu zaczną powstawać mechanizmy samokontrolne.

Samorządy zbierają tzw. deklaracje śmieciowe od mieszkańców, tym samym gromadząc ich dane osobowe. Muszą one jednak przekazać te dane instytucji, która będzie realizować zadania związane z odbieraniem odpadów. Czy w takich przypadkach można traktować, że w grę wchodzi tu tzw. zgoda dorozumiana?

Możliwość przekazania danych podwykonawcy, czyli zlecenia realizacji zadań w imieniu administratora, istnieje zawsze. Nie ma potrzeby udzielania na to zgody osoby, której dane dotyczą. Jeżeli zatem gmina chce zlecić innemu podmiotowi wykonanie jakichkolwiek zadań i w związku z tym przekazuje mu dane osobowe, to może to zrobić. Ale ten podmiot może przetwarzać je tylko w zakresie i celu wskazanym przez gminę.

Warunkiem przekazania takich danych jest to, co i dzisiaj obowiązuje, od 20 lat – czyli tzw. umowa powierzenia danych osobowych, która musi być zawarta na piśmie. Z tym, że rozporządzenie unijne zmienia w tym zakresie bardzo dużo, ponieważ doprecyzowuje treść takiej umowy powierzenia.

Dzisiaj taka umowa musi zawierać, co do zasady, tylko cel i zakres przekazania danych. Przepisy rozporządzenia są dużo bardziej restrykcyjne. Ta umowa, która będzie zawierana między gminą a podwykonawcą, musi być bardziej rozbudowana –m.in. przewidywać, jakie są środki zabezpieczające dane osobowe. Po wygaśnięciu umowy dane należy usunąć (gdy gmina je multiplikuje) lub zwrócić je gminie. To też umowa powinna przewidywać. Bardziej zatem w grę wchodzi tu relacja kontraktowa niż zgoda osoby, której dane osobowe dotyczą.

Całość rozmowy z Maciejem Kaweckim publikujemy w październikowym wydaniu “Przeglądu Komunalnego”.