Nie widzimy zagrożeń – dr Maciej Kawecki o wątpliwościach co do nowego projektu UODO

Artykuł
21.02.2018
13 min. czytania
Tekst
Image
RODO

Tydzień temu Ministerstwo Cyfryzacji opublikowało nową wersję ustawy o ochronie danych osobowych, wdrażającej RODO. Niektóre z zaproponowanych zmian, tak jak tryb wyboru PUODO gwarantujący większą niezależność tego organu, przyjęliśmy z radością. Inne – szczególnie szerokie wyłączenia obowiązków informacyjnych dla małych i średnich przedsiębiorstw – z nieukrywaną konsternacją. Czy nie da się zrealizować tego samego celu, nie wylewając RODO z kąpielą? Poprosiliśmy dra Macieja Kaweckiego, ‎dyrektora Departamentu Zarządzania Danymi i koordynatora reformy ochrony danych osobowych w Ministerstwie Cyfryzacji, aby w wywiadzie dla Fundacji Panoptykon odniósł się do części naszych wątpliwości, które podziela również GIODO.

Katarzyna Szymielewicz: W nowej wersji ustawy znalazł się zapis o obowiązkowych publicznych konsultacjach kodeksów postępowań, czyli wypracowywanych przez poszczególne branże standardów, które będą miały bezpośredni wpływ na to, w jaki sposób przepisy RODO są stosowane i interpretowane. Czy wiadomo już, w jaki sposób obywatele i organizacje społeczne będą informowani o konsultacjach? Czy w tym zakresie można liczyć na doprecyzowanie przepisu w toku dalszych prac albo wytyczne PUODO? Czy nie byłoby najprościej, gdyby takie informacje zbierał i publikował PUODO?

Maciej Kawecki: Przede wszystkim należy wskazać, że konsultacje mają dotyczyć nie tylko obywateli i organizacji społecznych, ale i szeroko rozumianych interesariuszy. Mogą być nimi również przedsiębiorcy. Przepisy nie doprecyzowują i w ocenie projektodawcy nie powinny doprecyzowywać formy konsultacji, a o sposobie ich przeprowadzania decydował będzie podmiot tworzący kodeks. Należy przyjąć, że zakres konsultacji będzie determinowany zakresem kodeksu. Jeżeli będzie on szeroki, informacja o konsultacjach może zostać zamieszczona na stronie internetowej danego podmiotu, a jeżeli wąski – dokument może być przesyłany do zaopiniowania wprost do interesariuszy. Ostatnim etapem powinien być raport z konsultacji, który powinien wraz z kodeksem zostać doręczony prezesowi Urzędu.

Projekt UODO precyzuje i porządkuje zasady udziału organizacji społecznych w postępowaniu przed PUODO. Niestety, możliwość reprezentowania osoby, której prawa zostały naruszone, kończy się na postępowaniu administracyjnym. A przecież w praktyce sprawy precedensowe często są kontynuowane w sądzie (odwołanie od decyzji PUODO). Czy nie byłoby logiczne pozwolić organizacjom także na reprezentację przed sądem? Dlaczego takie postanowienie nie znalazło się w ustawie?

Zgodnie z art. 9 prawa o postępowaniu przed sądami administracyjnymi organizacja społeczna, w zakresie swojej działalności statutowej, może brać udział w postępowaniu w przypadkach określonych w niniejszej ustawie. Z kolei zgodnie z art. 33 § 2 p.p.s.a. udział w charakterze uczestnika może zgłosić również organizacja społeczna, o której mowa w art. 25 § 4, w sprawach innych osób, jeżeli sprawa dotyczy zakresu jej statutowej działalności. Art. 25 § 4 wprost przesądza, że zdolność sądową mają ponadto organizacje społeczne, choćby nie posiadały osobowości prawnej, w zakresie ich statutowej działalności w sprawach dotyczących interesów prawnych innych osób. W ocenie Ministerstwa Cyfryzacji udział organizacji społecznych w postępowaniu sądowoadministracyjnym zapewniają obowiązujące przepisy.

Głównym zarzutem kierowanym pod adresem nowego projektu są ograniczenia obowiązków, jakie na gruncie RODO mają realizować małe i średnie przedsiębiorstwa (zatrudniające do 250 pracowników). W uzasadnieniu wyłączeń powraca jeden argument: obiektywna trudność przekazania wymaganych informacji, kiedy dane są pozyskiwane przez telefon. To prawda. Ale kategoria MŚP obejmuje większość firm przetwarzających dane osobowe w Polsce, w tym całą rzeszę sklepów internetowych i firm z branży marketingu bezpośredniego. W tym sektorze nie jest normą zawieranie umów przez telefon – o wiele częściej tym kanałem jest Internet, co pozwala zrealizować obowiązki informacyjne w stosunkowo tani i prosty sposób. Z kolei problem firm, które pozyskują dane przez telefon, można by rozwiązać poprzez węższe wyłączenie, zarezerwowane tylko dla takich sytuacji (ustawa mogłaby dopuszczać np. niezwłoczne przesłanie wymaganych informacji w formie elektronicznej). Czy MC rozważało takie rozwiązanie? Jeśli nie, jakie jest uzasadnienie tak szerokiego wyłączenia? O jakich kosztach, realnie, rozmawiamy?

Uzasadnienie wskazuje wyłącznie przykładowe sytuacje, w których zrealizowanie obowiązku informacyjnego jest niemożliwe albo bardzo trudne. W praktyce jest ich jednak dużo więcej i nie dotyczą tylko kanałów telefonicznych. Można tutaj podać przykład chociażby aplikacji mobilnych, których liczba w Polsce stale rośnie. Istotą aplikacji mobilnych, które przecież ułatwiają korzystanie z usług, stymulując w ten sposób gospodarkę, jest ich prostota. Technicznie wręcz niemożliwym jest zrealizowanie za ich pośrednictwem pełnej treści obowiązku, o którym mowa w art. 13 RODO. Można powiedzieć nawet więcej: zdecydowana większość użytkowników sklepów internetowych korzysta ze sklepów z wykorzystaniem telefonów. W jaki sposób sklep internetowy w wersji mobilnej, ograniczonej małym ekranem telefonu, ma zrealizować pełną treść obowiązku informacyjnego, nie narażając się na rezygnację przez użytkowników z jego usług? Nie możemy zapomnieć, że RODO nakłada bardzo restrykcyjne wymogi w zakresie języka i formy realizacji obowiązku informacyjnego. Motyw 39 RODO wskazuje, że „zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem”. W ocenie projektodawcy wprowadzenie ograniczenia dedykowanego wyłącznie pozyskiwaniu danych podczas rozmowy telefonicznej nie rozwiązałoby więc problemu. Dlatego projektodawca zdecydował się ograniczyć zakres obowiązków, o których mowa w art. 13. Ale trzeba powiedzieć sobie wyraźnie: większość z treści przewidzianych w art. 13 będzie musiała być realizowana zawsze.

Zgodnie z postulowanymi w projekcie wyłączeniami MŚP nie będą musiały w aktywny sposób informować swoich klientów o ich prawie do żądania dostępu do danych osobowych, do sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych, wniesienia skargi do organu nadzorczego… Te informacje pełnią ważną funkcję uświadamiającą: żeby móc skorzystać ze swojego prawa, najpierw trzeba się o nim dowiedzieć. Oczywiście, tę rolę mogą przejąć kampanie prowadzone przez PUODO. Jednak podstawową wiedzę mogą łatwiej i taniej przekazać firmy, które tak czy inaczej kontaktują się ze swoimi klientami i przetwarzają ich dane. Skąd decyzja o całkowitej rezygnacji z tego obowiązku? Dlaczego nie można go po prostu odroczyć i pozwolić na jego realizację w wygodny dla MŚP sposób (np. w ramach polityki prywatności)?

Możliwych sposobów ograniczenia stosowania art. 13 jest dużo, pod warunkiem że spełniają one kryteria przewidziane w art. 23 ust. 2, co oceni Komisja Europejska – do czego ma pełne prawo. Projektodawca wybrał rozwiązanie ograniczenia przekazywanych treści, nie odnosząc się do formy ich przekazania – wyszedł z założenia, że obowiązek informacyjny w pewnym zakresie musi być jednak realizowany zawsze bezpośrednio przy zbieraniu danych. Znaczna część użytkowników bowiem zwyczajnie nie czyta polityk prywatności. Nic nie stoi jednak na przeszkodzie, by pełen obowiązek informacyjny znalazł się również tam.

A co z faktem, że MŚP nie będą musiały poinformować swoich klientów o tym, że ich dane wyciekły, mimo że wiąże się to z wysokim ryzykiem naruszenia ich praw i wolności (tylko w takich okolicznościach wymaga tego RODO)? Łatwo sobie wyobrazić niebezpieczny wyciek haseł, o którym klienci dowiedzą się (o ile w ogóle) dopiero z prasy, bez szans na szybką reakcję i zabezpieczenie swojego konta przed włamaniem. Czy MC analizowało to ryzyko? Jak się na nie zapatrujecie?

Dla projektodawcy kluczowa w tym przypadku jest szybka i sprawna reakcja organu nadzorczego, który po powzięciu informacji o naruszeniu powinien niezwłocznie podjąć środki prawne zapewniające przywrócenie stanu zgodnego z prawem. Temu służy art. 33 RODO nakładający obowiązek poinformowania organu nadzorczego o naruszeniu. Zastosowanie tego przepisu nie będzie ograniczone. Przede wszystkim należy zwrócić uwagę na samą treść art. 34 RODO. Przepis zawiera klauzule ograniczające jego zastosowanie: gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych, czy gdy realizacja obowiązku wymagałaby niewspółmiernie dużego wysiłku. Oczywiście możliwych form ograniczenia zastosowania art. 34 RODO jest kilka. Można przykładowo po prostu ograniczyć jego zastosowanie w pewnych przypadkach bądź zmodyfikować formę realizacji wymogu notyfikacji. Projektodawca zdecydował się na pierwsze rozwiązanie, gdyż nie chciał powtarzać przepisów RODO. Norma, w świetle której wymóg notyfikacji miał następować w formie komunikatu dostępnego na stronie internetowej, stanowiłby zasadniczo powtórzenie art. 34 ust. 3 lit. c RODO. A przepisy krajowe nie mogą powtarzać prawa unijnego. Nie mogą również pełnić roli wyłącznie informacyjnej. Co do uzasadnienia: proszę pamiętać, że strona, której dane zostały naruszone, i tak się o tym dowie, gdyż przedsiębiorca będzie zobowiązany poinformować o tym prezesa Urzędu Ochrony Danych Osobowych (art. 33 RODO). W przypadku wszczęcia postępowania z urzędu stroną postępowania stanie się osoba, której dane zostały naruszone, i przedsiębiorca, który naruszenia się dopuścił.

Uzupełnienie: 23 lutego wysłaliśmy do Ministerstwa Cyfryzacji nasze uwagi dotyczące najnowszej wersji projektu ustawy o ochronie danych osobowych. Znajdziecie je tutaj

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1% swojego podatku (KRS: 0000327613).

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.