Artykuł 18.10.2017 6 min. czytania Tekst Image W maju 2018 roku w życie wejdzie ogólne rozporządzenie o ochronie danych osobowych (RODO). Nowe unijne prawo obowiązuje bezpośrednio, jednak w niektórych obszarach zostawia państwom pole do stworzenia własnych przepisów, m.in. o sposobie wybierania i budżecie organu ochrony danych osobowych (do tej pory tę funkcje pełnił GIODO); możliwościach działania organizacji pozarządowych na rzecz ochrony danych osobowych; czy zasadach przetwarzania danych w różnych sektorach (przez banki, firmy ubezpieczeniowe, pracodawców). Ministerstwo Cyfryzacji dobrze poradziło sobie z tym zadaniem. Jednak obok pochwał musimy zgłosić kilka poważnych zastrzeżeń.Dobra bazaMinisterstwo Cyfryzacji przedstawiło dwa projekty ustaw – ustawy o ochronie danych osobowych oraz projektu ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. Na pozytywną ocenę zasługują propozycje związane z możliwością nakładania kar finansowych także na organy publiczne; propozycje zwiększenia budżetu nowego urzędu odpowiedzialnego za egzekwowanie RODO i sensownie zaprojektowana (obiecująca większą sprawność) procedura obsługi skarg. Fundacja Panoptykon przedstawiła swoje uwagi do obu projektów, dostrzegając kilka poważnych wyłomów w skądinąd dobrej bazie. Poniżej omawiamy najważniejsze zastrzeżenia. Całość opinii można znaleźć na naszej stronie internetowej.Ryzyko upolitycznieniaProjekt ustawy MC zakłada likwidację dotychczasowego organu – Generalnego Inspektora Ochrony Danych Osobowych (GIODO) i stworzenie nowego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Dodatkowo powoływana będzie również organ doradczy – Rada ds. Ochrony Danych Osobowych.Sam PUODO będzie powołany przez Sejm za zgodą Senatu na wniosek premiera. Propozycje MC zapewniają PUODO niezależność w zakresie nadawania statutu i ustalania stosunków, ale mogą zagrażać niezależności organu.Dominująca pozycja premiera w tym procesie sprowadza rolę parlamentu do „kontrasygnaty” (decyzja tak/nie). Brak w nim miejsca na demokratyczną debatę nad różnymi kandydaturami czy różnymi wizjami sprawowania urzędu. Co więcej, taki tryb wyboru znacząco osłabia pozycję PUODO względem administracji rządowej, na którą, przypomnijmy, będzie mógł nakładać kary finansowe. Projekt MC zakłada również, że to premier powołuje zastępców PUODO na wniosek odpowiednich ministrów (informatyzacji i spraw wewnętrznych). To istotna zmiana, skutkująca obniżeniem standardu niezależności. Obecnie zastępców GIODO powołuje Marszałek Sejmu na wiosek samego GIODO. Ta propozycja może być również sprzeczna z unijną regulacją, która mówi, że organ ochrony danych sam powinien dobierać swój personel.Wymiana kadr? To możliwy scenariusz. Projekt MC nie przesądza, czy obecna GIODO – dr Edyta Bielak-Jomaa – będzie kontynuowała pełnienie swoich obowiązków jako PUODO. Naszym zdaniem powinna. Zmiana byłaby niekorzystna ze względu na przerwanie ciągłości pracy urzędu, a także uprawomocniałaby niebezpieczny precedens przerywania kadencji urzędników ze względu na zmiany dotyczące piastowanych przez nich stanowisk.Rola organizacji społecznychZgodnie z unijnymi przepisami organizacje społeczne mogą reprezentować obywateli przed organem ochrony danych i sądami. Tego prawa polski ustawodawca nie może im odebrać. Jednak to od jego decyzji zależy, czy organizacje społeczne będą również mogły wnosić skargi (np. na nieuczciwe klauzule serwisów) w zbiorowym interesie konsumentów, a więc bez konieczności angażowania konkretnego pokrzywdzonego. Niestety, MC nie zdecydowało się na wprowadzenie takiej konstrukcji. Projekt ustawy przewiduje tylko możliwość wnoszenia skarg w interesie konkretnego poszkodowanego. To, czy taki interes występuje i czy skarga jest uzasadniona, każdorazowo ma oceniać PUODO. Silna rola organu w tym procesie pozwoli na wyeliminowanie bezzasadnych skarg, nie służących interesowi publicznemu, tylko mających na celu nękanie firm i zmuszanie ich do pozasądowych ugód (takich praktyk obawiają się niektóre środowiska biznesowe i prawnicze). Z drugiej strony na takim ukształtowaniu procedury skargowej mogą stracić konsumenci: uczciwie działające organizacje społeczne nie będą w stanie występować w obronie ich interesów, dopóki nie pojawi się konkretny pokrzywdzony.Zaproponowane przepisy nie dają też organizacjom społecznym prawa do uczestniczenia w procesie zatwierdzania przez PUODO sektorowych reguł przetwarzania danych (tzw. kodeksów postępowań), które będą proponowane przez przedstawicieli konkretnych branż (ochrony zdrowia, bankowości czy marketingu bezpośredniego). Branżowe kodeksy mogą regulować bardzo ważne kwestie, np. sposób pozyskiwania zgody na przetwarzanie danych, zakres przekazywanych informacji czy praktyczną interpretację tzw. uzasadnionego interesu administratora. Wykluczenie organizacji społecznych z procesu zatwierdzania kodeksów postępowań jest trudne do zrozumienia, ponieważ będzie on miał duży wpływ na ostateczny poziom ochrony danych w Polsce. Dlatego, naszym zdaniem, ustawodawca powinien przynajmniej wprowadzić obowiązek 30-dniowych konsultacji publicznych i publikowania przez PUODO zgłaszanych mu projektów kodeksów postępowań.Pracownicy pod większą kontroląW projekcie MC znajdziemy propozycję stworzenia katalogu danych, których gromadzenie będzie – co do zasady – zakazane. Nie znalazły się w nim jednak dane związane z pochodzeniem etnicznym, wyznaniem czy przynależnością związkową (w przypadku kandydatów do pracy). Pracodawcom przyznaje się za to możliwość zbierania i przetwarzania danych biometrycznych, o karalności czy zadłużeniu. Podstawą do przetwarzania dodatkowych kategorii danych ma być zgoda pracownika. Naszym zdaniem taka zgoda często będzie wadliwa ze względu na nierówność wpisaną w relację pracodawca–pracownik. Samo zaś pozyskiwanie informacji o zadłużeniu pracowników niesie ze sobą realne ryzyko społeczne i może ograniczać wielu osobom dostęp do rynku pracy.Niedosyt pozostawiają regulacje dotyczące monitoringu w miejscu pracy. Nie obejmują tak ważnych kwestii jak monitoring maili, przeglądanych stron czy rejestrowanie dźwięku. Dlatego, naszym zdaniem, nie będą one miały zasadniczego wpływu na poprawę obecnej sytuacji.Stanowisko Fundacji Panoptykon w sprawie ustawy o ochronie dany osobowych [PDF]Uważasz, że nasza praca jest ważna i potrzebna? Wspieraj nasze działania, przekazując darowizny i 1,5% swojego podatku. Fundacja Panoptykon Autor Temat reforma ochrony danych dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Rok prywatności? Jubileuszowe wydanie GDPR Today Mieliśmy nadzieję, że unijne rozporządzenie o ochronie danych osobowych (RODO) będzie prawdziwie transgraniczną regulacją. Nie tylko jednym tekstem prawnym, stosowanym na całym kontynencie, ale przede wszystkim spójną doktryną i jednolitym systemem egzekwowania tego, co na papierze. Widząc, jakie… 11.06.2019 Tekst Poradnik Zgoda wyinterpretowana z niejednoznacznego działania (np. używania serwisu) Na czym polega ta praktyka? Portale i sklepy internetowe, które uznały, że mimo wszystko* muszą zbierać zgodę na przetwarzanie danych, szukają takich rozwiązań, które sprawią, że zgód będzie jak najwięcej. 07.06.2018 Tekst Artykuł Big tech kontra RODO. Jak od 6 lat internetowe korporacje obchodzą to prawo „Zgoda” na śledzącą i profilującą reklamę – czasem zaszyta w regulaminie usługi, innym razem wymuszona na poziomie interfejsu. Możesz też jej nie wyrazić za słoną opłatą. Z okazji 6. 26.04.2024 Tekst