Nie widzimy zagrożeń – dr Maciej Kawecki o wątpliwościach co do nowego projektu UODO

Artykuł
RODO

Tydzień temu Ministerstwo Cyfryzacji opublikowało nową wersję ustawy o ochronie danych osobowych, wdrażającej RODO. Niektóre z zaproponowanych zmian, tak jak tryb wyboru PUODO gwarantujący większą niezależność tego organu, przyjęliśmy z radością. Inne – szczególnie szerokie wyłączenia obowiązków informacyjnych dla małych i średnich przedsiębiorstw – z nieukrywaną konsternacją. Czy nie da się zrealizować tego samego celu, nie wylewając RODO z kąpielą? Poprosiliśmy dra Macieja Kaweckiego, ‎dyrektora Departamentu Zarządzania Danymi i koordynatora reformy ochrony danych osobowych w Ministerstwie Cyfryzacji, aby w wywiadzie dla Fundacji Panoptykon odniósł się do części naszych wątpliwości, które podziela również GIODO

Katarzyna Szymielewicz: W nowej wersji ustawy znalazł się zapis o obowiązkowych publicznych konsultacjach kodeksów postępowań, czyli wypracowywanych przez poszczególne branże standardów, które będą miały bezpośredni wpływ na to, w jaki sposób przepisy RODO są stosowane i interpretowane. Czy wiadomo już, w jaki sposób obywatele i organizacje społeczne będą informowani o konsultacjach? Czy w tym zakresie można liczyć na doprecyzowanie przepisu w toku dalszych prac albo wytyczne PUODO? Czy nie byłoby najprościej, gdyby takie informacje zbierał i publikował PUODO?

Maciej Kawecki: Przede wszystkim należy wskazać, że konsultacje mają dotyczyć nie tylko obywateli i organizacji społecznych, ale i szeroko rozumianych interesariuszy. Mogą być nimi również przedsiębiorcy. Przepisy nie doprecyzowują i w ocenie projektodawcy nie powinny doprecyzowywać formy konsultacji, a o sposobie ich przeprowadzania decydował będzie podmiot tworzący kodeks. Należy przyjąć, że zakres konsultacji będzie determinowany zakresem kodeksu. Jeżeli będzie on szeroki, informacja o konsultacjach może zostać zamieszczona na stronie internetowej danego podmiotu, a jeżeli wąski – dokument może być przesyłany do zaopiniowania wprost do interesariuszy. Ostatnim etapem powinien być raport z konsultacji, który powinien wraz z kodeksem zostać doręczony prezesowi Urzędu.

Projekt UODO precyzuje i porządkuje zasady udziału organizacji społecznych w postępowaniu przed PUODO. Niestety, możliwość reprezentowania osoby, której prawa zostały naruszone, kończy się na postępowaniu administracyjnym. A przecież w praktyce sprawy precedensowe często są kontynuowane w sądzie (odwołanie od decyzji PUODO). Czy nie byłoby logiczne pozwolić organizacjom także na reprezentację przed sądem? Dlaczego takie postanowienie nie znalazło się w ustawie?

Zgodnie z art. 9 prawa o postępowaniu przed sądami administracyjnymi organizacja społeczna, w zakresie swojej działalności statutowej, może brać udział w postępowaniu w przypadkach określonych w niniejszej ustawie. Z kolei zgodnie z art. 33 § 2 p.p.s.a. udział w charakterze uczestnika może zgłosić również organizacja społeczna, o której mowa w art. 25 § 4, w sprawach innych osób, jeżeli sprawa dotyczy zakresu jej statutowej działalności. Art. 25 § 4 wprost przesądza, że zdolność sądową mają ponadto organizacje społeczne, choćby nie posiadały osobowości prawnej, w zakresie ich statutowej działalności w sprawach dotyczących interesów prawnych innych osób. W ocenie Ministerstwa Cyfryzacji udział organizacji społecznych w postępowaniu sądowoadministracjnym zapewniają obowiązujące przepisy.

Głównym zarzutem kierowanym pod adresem nowego projektu są ograniczenia obowiązków, jakie na gruncie RODO mają realizować małe i średnie przedsiębiorstwa (zatrudniające do 250 pracowników). W uzasadnieniu wyłączeń powraca jeden argument: obiektywna trudność przekazania wymaganych informacji, kiedy dane są pozyskiwane przez telefon. To prawda. Ale kategoria MŚP obejmuje większość firm przetwarzających dane osobowe w Polsce, w tym całą rzeszę sklepów internetowych i firm z branży marketingu bezpośredniego. W tym sektorze nie jest normą zawieranie umów przez telefon – o wiele częściej tym kanałem jest Internet, co pozwala zrealizować obowiązki informacyjne w stosunkowo tani i prosty sposób. Z kolei problem firm, które pozyskują dane przez telefon, można by rozwiązać poprzez węższe wyłączenie, zarezerwowane tylko dla takich sytuacji (ustawa mogłaby dopuszczać np. niezwłoczne przesłanie wymaganych informacji w formie elektronicznej). Czy MC rozważało takie rozwiązanie? Jeśli nie, jakie jest uzasadnienie tak szerokiego wyłączenia? O jakich kosztach, realnie, rozmawiamy?

Uzasadnienie wskazuje wyłącznie przykładowe sytuacje, w których zrealizowanie obowiązku informacyjnego jest niemożliwe albo bardzo trudne. W praktyce jest ich jednak dużo więcej i nie dotyczą tylko kanałów telefonicznych. Można tutaj podać przykład chociażby aplikacji mobilnych, których liczba w Polsce stale rośnie. Istotą aplikacji mobilnych, które przecież ułatwiają korzystanie z usług, stymulując w ten sposób gospodarkę, jest ich prostota. Technicznie wręcz niemożliwym jest zrealizowanie za ich pośrednictwem pełnej treści obowiązku, o którym mowa w art. 13 RODO. Można powiedzieć nawet więcej: zdecydowana większość użytkowników sklepów internetowych korzysta ze sklepów z wykorzystaniem telefonów. W jaki sposób sklep internetowy w wersji mobilnej, ograniczonej małym ekranem telefonu, ma zrealizować pełną treść obowiązku informacyjnego, nie narażając się na rezygnację przez użytkowników z jego usług? Nie możemy zapomnieć, że RODO nakłada bardzo restrykcyjne wymogi w zakresie języka i formy realizacji obowiązku informacyjnego. Motyw 39 RODO wskazuje, że „zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem”. W ocenie projektodawcy wprowadzenie ograniczenia dedykowanego wyłącznie pozyskiwaniu danych podczas rozmowy telefonicznej nie rozwiązałoby więc problemu. Dlatego projektodawca zdecydował się ograniczyć zakres obowiązków, o których mowa w art. 13. Ale trzeba powiedzieć sobie wyraźnie: większość z treści przewidzianych w art. 13 będzie musiała być realizowana zawsze.

Zgodnie z postulowanymi w projekcie wyłączeniami MŚP nie będą musiały w aktywny sposób informować swoich klientów o ich prawie do żądania dostępu do danych osobowych, do sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych, wniesienia skargi do organu nadzorczego… Te informacje pełnią ważną funkcję uświadamiającą: żeby móc skorzystać ze swojego prawa, najpierw trzeba się o nim dowiedzieć. Oczywiście, tę rolę mogą przejąć kampanie prowadzone przez PUODO. Jednak podstawową wiedzę mogą łatwiej i taniej przekazać firmy, które tak czy inaczej kontaktują się ze swoimi klientami i przetwarzają ich dane. Skąd decyzja o całkowitej rezygnacji z tego obowiązku? Dlaczego nie można go po prostu odroczyć i pozwolić na jego realizację w wygodny dla MŚP sposób (np. w ramach polityki prywatności)?

Możliwych sposobów ograniczenia stosowania art. 13 jest dużo, pod warunkiem że spełniają one kryteria przewidziane w art. 23 ust. 2, co oceni Komisja Europejska – do czego ma pełne prawo. Projektodawca wybrał rozwiązanie ograniczenia przekazywanych treści, nie odnosząc się do formy ich przekazania – wyszedł z założenia, że obowiązek informacyjny w pewnym zakresie musi być jednak realizowany zawsze bezpośrednio przy zbieraniu danych. Znaczna część użytkowników bowiem zwyczajnie nie czyta polityk prywatności. Nic nie stoi jednak na przeszkodzie, by pełen obowiązek informacyjny znalazł się również tam.

A co z faktem, że MŚP nie będą musiały poinformować swoich klientów o tym, że ich dane wyciekły, mimo że wiąże się to z wysokim ryzykiem naruszenia ich praw i wolności (tylko w takich okolicznościach wymaga tego RODO)? Łatwo sobie wyobrazić niebezpieczny wyciek haseł, o którym klienci dowiedzą się (o ile w ogóle) dopiero z prasy, bez szans na szybką reakcję i zabezpieczenie swojego konta przed włamaniem. Czy MC analizowało to ryzyko? Jak się na nie zapatrujecie?

Dla projektodawcy kluczowa w tym przypadku jest szybka i sprawna reakcja organu nadzorczego, który po powzięciu informacji o naruszeniu powinien niezwłocznie podjąć środki prawne zapewniające przywrócenie stanu zgodnego z prawem. Temu służy art. 33 RODO nakładający obowiązek poinformowania organu nadzorczego o naruszeniu. Zastosowanie tego przepisu nie będzie ograniczone. Przede wszystkim należy zwrócić uwagę na samą treść art. 34 RODO. Przepis zawiera klauzule ograniczające jego zastosowanie: gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych, czy gdy realizacja obowiązku wymagałaby niewspółmiernie dużego wysiłku. Oczywiście możliwych form ograniczenia zastosowania art. 34 RODO jest kilka. Można przykładowo po prostu ograniczyć jego zastosowanie w pewnych przypadkach bądź zmodyfikować formę realizacji wymogu notyfikacji. Projektodawca zdecydował się na pierwsze rozwiązanie, gdyż nie chciał powtarzać przepisów RODO. Norma, w świetle której wymóg notyfikacji miał następować w formie komunikatu dostępnego na stronie internetowej, stanowiłby zasadniczo powtórzenie art. 34 ust. 3 lit. c RODO. A przepisy krajowe nie mogą powtarzać prawa unijnego. Nie mogą również pełnić roli wyłącznie informacyjnej. Co do uzasadnienia: proszę pamiętać, że strona, której dane zostały naruszone, i tak się o tym dowie, gdyż przedsiębiorca będzie zobowiązany poinformować o tym prezesa Urzędu Ochrony Danych Osobowych (art. 33 RODO). W przypadku wszczęcia postępowania z urzędu stroną postępowania stanie się osoba, której dane zostały naruszone, i przedsiębiorca, który naruszenia się dopuścił.

Uzupełnienie: 23 lutego wysłaliśmy do Ministerstwa Cyfryzacji nasze uwagi dotyczące najnowszej wersji projektu ustawy o ochronie danych osobowych. Znajdziecie je tutaj

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1% swojego podatku (KRS: 0000327613).

Komentarze

Jestem w stanie zrozumieć, że zniesiony będzie obowiązek informacyjny. Ale bez obowiązku informowania zainteresowanych, że ich dane wyciekły, RODO nic nie da i nadal firmy będą miały prywatność swoich klientów w głębokim poważaniu. Gdyby musiały informować o swojej niekompetencji (to ona jest najczęstszą przyczyną wycieków), raz-dwa zaczęłyby do ochrony danych podchodzić poważnie.

Bez obowiązku informacyjnego (że istnieje ta ustawa, że mam prawo do żądania odpisu danych) przeżyję. Tu faktycznie będą po prostu potrzebne kampanie. Ale informacja do jakiego celu przedsiębiorstwo zbiera informacje, jak długo będą przetwarzane i czy dla danej usługi celowe jest podanie danej i czy można odmówić nie ponosząc konsekwencji - bez tego nie wyobrażam sobie życia. Bez informowania o wyciekach też nie poczuję się bezpieczna.

Swoją drogą po korespondencji z MC - sama też pisałam i dostałam tak absurdalne odpowiedzi - jak - nie należy karać należy edukować (chyba przestępców, bo ponad połowa przedsiębiorców jest na bakier z prawem w tej dziedzinie i potrafi nawet sprzeciwiać się nakazom GIODO zgodnym z UoODO to mogę jedynie stwierdzić:

I want to die();

Jeżeli ma tak wyglądać ustawa o ochronie danych osobowych to ministrom odpowiedzialnym za to mogę stwierdzić, że powinna wejść w życie druga ustawa, która nakazuje, by wszelkie serwisy rozpoczynały się frazą "die();" lub "exit();" lub ekwiwalentem w danym języku programowania.

PS. Dlaczego literaci, artyści, dziennikarze mają być też wyłączeni z przestrzegania ustawy (są wyłączeni m.in. z art 5 i 7 GDPR (2016/679)?
Dlaczego średnie przedsiębiorstwa mają nie wypełniać obowiązku z art 15 ust. 3 i 4? Jak skierować to do TSUE, gdy odmówią? Dla Waszej wiedzy art 5 GDPR mówi, że dane osobowe mają być przetwarzane zgodnie z prawem. Z tego wyłącza się literatów, dziennikarzy i artystów w ramach ich wypowiedzi - które przecież mogą być pisemne (w internecie) i publiczne.

Dla wiedzy internautów - na część swoich maili - konkretnych uderzających w art 2 nowej zgniłej UODO (tak z nim też się zapoznajcie) oraz art. 3 nie dostałam żadnej odpowiedzi od ministerstwa cyfryzacji.

I życzyć ministrom za to odpowiedzialnym jak ta zgniła ustawa wejdzie w jej obecnym kształcie - WSZYSTKIEGO NAJGORSZEGO - by ta ustawa odbiła się na ich życiu prywatnym i życiu ich rodzin i dzieci.

Jeżeli macie Państwo możliwość kontynuowania wywiadu z dr Kaweckiem, to chciałbym zgłosić następujące pytania do założeń, na których oparto bieżący projekt ustawy i do uzasadnień przedstawionych przez dr Kaweckiego w wywiadzie.

1) Co do niemożności lub trudności spełnienia obowiązku informacyjnego w przypadku świadczenia usług za pośrednictwem aplikacji mobilnych. Te same aplikacje mobilne, które jakoby nie mogą spełnić obowiązku informacyjnego zamieszczają jednak informacje typu regulamin sklepu, zasady dostawy, zasady zwrotów i reklamacji, często również zasady dot. ochrony prywatności, a więc wszelkie informacje potrzebne aby uznać, że transakcja zawarta przez użytkownika tej aplikacji była ważna, zgodna z prawem, a często nawet, żeby potwierdzić, że dany podmiot dba o dobro i komfort swoich klientów. Jeżeli da się takie rzeczy zrobić w aplikacji mobilnej, to dlaczego uznajemy, że spełnienie obowiązku informacyjnego dot. ochrony danych osobowych jest za trudne lub całkowicie niemożliwe i się z tego obowiązku całkowicie wycofujemy?

2) Dlaczego w przypadku kiedy wypełnienie obowiązku informacyjnego jest trudne do spełnienia technicznie (rozmowa przez telefon, aplikacja mobilna, czy cokolwiek innego) nie wprowadzono obowiązku przekazywania wymaganych przez RODO informacji inną drogą (mail/zwykła poczta) lub chociaż przez wskazanie miejsca gdzie osoba, której dany dotyczą może zapoznać się z tymi informacjami (np. podanie adresu strony internetowej)?

3) Skoro zniesiono obowiązek informowania osób o incydentach, to w jaki sposób "strona, której dane zostały naruszone, i tak się o tym dowie, gdyż przedsiębiorca będzie zobowiązany poinformować o tym prezesa Urzędu Ochrony Danych Osobowych". Obowiązek informowania osób, których dane dotyczyły spocznie na nowym urzędzie? Czyli za poinformowanie o incydencie zapłaci nie podmiot odpowiedzialny za przetwarzania i prawidłowe zabezpieczenie danych, ale społeczeństwo?

@Marek P. - Twoje pytania, to raczej argumenty pokazujące niesłuszność argumentów podnoszonych przez dra Kaweckiego, które legły u podstaw zaproponowanych rozwiązań. Postaramy się Twoje przemyślenia wykorzystać na dalszych etapach prac legislacyjnych. I dodam, że głęboko zgadzam się z Twoim punktem widzenia.

Co do punktu 2 Pana Marka P. pragnę zauważyć, że w dzisiejszej dobie gdzie nie zadzwonimy słyszymy informację o nagrywaniu rozmów do celów zapewnienie ICH BEZPIECZEŃSTWA (bo z autopsji wiem, że nie mojego nawet w jednym gigancie pakietów medycznych).

Nie da się więc tego bełkotu o bezpieczeństwie zastąpić formułką o przetwarzaniu danych osobowych - podać niezbędne minimum i dodać - więcej Państwo znajdą na stronie XYZ.INFO po kliknięciu w zakładkę "Polityka Prywatności"?

Co to za bełkot z ust tego całego ministra wychodzi? Przecież to się kupy nie trzyma.

I tak jeszcze na boku - skoro wyłudzają zgody na nagrywanie niby dla mojego bezpieczeństwa, czy po wejściu RODO bedzie można na przykład umówić wizytę u lekarza przez telefon bez zgody na nagrywanie (pozyskiwanie próbki głosu - dane biometryczne?

Czy w końcu się skończy eldorado pod tytułem oddasz nam swoje dane biometryczne albo nie skorzystasz z umówienia wizyty?

W świetle definicji nie są to dane biometryczne - jeśli nie będą używane w systemie (w dodatku automatycznie) do rozpoznania Pana to mogą je sobie przetwarzać jako dane zwykłe ;p ...

Zwracam się do Państwa z prośbą o używanie wobec Prezesa Urzędu Ochrony Danych Osobowych skrótu "Prezes UODO". Nawiązuje to do nazw innych organów (np. Prezes UOKiK), a nadto nie wywołuje niestosownych skojarzeń (proszę przeczytać głośno skrót PUODO).

A odnośnie samego wywiadu i uwag pana Marka P.:
- jestem ciekaw jak ustawa ma funkcjonować w odniesieniu do usług transgranicznych (polski przedsiębiorca kierując usługi np. do Czechów będzie jednak "jakoś" te wymogi spełniał?);
- czy pan dr Kawecki uważa, że reprezentowanie osoby, której prawa zostały naruszone i prawo organizacji społecznej do brania udziału w postępowaniach sądowych to jest jedno i to samo?

Wysłaliśmy dziś do Ministerstwa Cyfryzacji nasze uwagi dotyczące najnowszej wersji projektu ustawy o ochronie danych osobowych. Znajdziecie je tutaj. Polemizujemy w nich z argumentami przedstawionymi w wywiadzie przez dra Kaweckiego, np. zwracając uwagę na różnicę pomiędzy reprezentowaniem osoby, a możliwością udziału organizacji społecznej w postępowaniu sądowoadministracyjnym na prawach strony (słusznie zwrócił/a na to uwagę @znpvrx).

Problem w tym, że oni właśnie PUODO wylewają z kąpielą w tym ministerstwie, więc nawet dobrze, że się tak kojarzy. Podobnie kojarzy się słowo RODO - rodzi się amerykanka (wolna).

> W świetle definicji nie są to dane biometryczne - jeśli nie będą używane w systemie (w dodatku automatycznie) do rozpoznania Pana to mogą je sobie przetwarzać jako dane zwykłe ;p ...

Panie k.w., na jakiej podstawie prawnej? To może też zacznijmy fotografować ludziom palce (a jakże - obecne aparaty potrafią uwiecznić odcisk palca z odległości ponad metra). Wizerunek twarzy to też nie dana biometryczna - może poczytaj aktualne opinie?

Poza tym skąd wiesz, czy w którymś banku nie pozostawiłam próbki głosu, a takie nagranie może być potem użyte do wyciągnięcia kasy z mojego rachunku.

Gdyby głos nie był daną biometryczną (albo w ogóle dana osobową), to bym nie była nagabywana na każdym kroku by dać się nagrać. Moim zdaniem powinni tego zabronić firmom na zasadzie - bez wyrażenia zgody nie mogą przetwarzać, ale z drugiej strony nie mogą też wymuszać tej zgody ukrywając za wymuszeniem usługę. Do umówienia wizyty nie jest potrzebne żadne nagrywanie.

@znpvrx, jeszcze odnośnie Twojego apelu dotyczącego nazewnictwa organu: myślę, że masz rację i powinniśmy posługiwać się sformułowaniem Prezes UODO, zamiast PUODO. Postaramy się być w tym konsekwentni w przyszłości :)

Proszę Was, naciskajcie szczególnie w sprawie biometrii. Nagrywanie głosu, robienie zdjęć, wykorzystywanie odcisków palców do kontroli dostępu - to wszystko jest pobieraniem i przetwarzaniem danych biometrycznych.
MUSI być wybór, czy chcę te moje dane oddawać. MUSI być możliwość korzystania z usług także bez oddawania tych danych.
MUSI być wreszcie możliwość usunięcia tych danych na żądanie.

Dodaj komentarz