Reforma ochrony danych osobowych: jest dobrze, ale nie do końca...

Artykuł

W maju 2018 roku w życie wejdzie ogólne rozporządzenie o ochronie danych osobowych (RODO). Nowe unijne prawo obowiązuje bezpośrednio, jednak w niektórych obszarach zostawia państwom pole do stworzenia własnych przepisów, m.in. o sposobie wybierania i budżecie organu ochrony danych osobowych (do tej pory tę funkcje pełnił GIODO); możliwościach działania organizacji pozarządowych na rzecz ochrony danych osobowych; czy zasadach przetwarzania danych w różnych sektorach (przez banki, firmy ubezpieczeniowe, pracodawców). Ministerstwo Cyfryzacji dobrze poradziło sobie z tym zadaniem. Jednak obok pochwał musimy zgłosić kilka poważnych zastrzeżeń.

Dobra baza

Ministerstwo Cyfryzacji przedstawiło dwa projekty ustaw – ustawy o ochronie danych osobowych oraz projektu ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. Na pozytywną ocenę zasługują propozycje związane z możliwością nakładania kar finansowych także na organy publiczne; propozycje zwiększenia budżetu nowego urzędu odpowiedzialnego za egzekwowanie RODO i sensownie zaprojektowana (obiecująca większą sprawność) procedura obsługi skarg. Fundacja Panoptykon przedstawiła swoje uwagi do obu projektów, dostrzegając kilka poważnych wyłomów w skądinąd dobrej bazie. Poniżej omawiamy najważniejsze zastrzeżenia. Całość opinii można znaleźć na naszej stronie internetowej.

Ryzyko upolitycznienia

Projekt ustawy MC zakłada likwidację dotychczasowego organu – Generalnego Inspektora Ochrony Danych Osobowych (GIODO) i stworzenie nowego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Dodatkowo powoływana będzie również organ doradczy – Rada ds. Ochrony Danych Osobowych.

Sam PUODO będzie powołany przez Sejm za zgodą Senatu na wniosek premiera. Propozycje MC zapewniają PUODO niezależność w zakresie nadawania statutu i ustalania stosunków, ale mogą zagrażać niezależności organu.

Dominująca pozycja premiera w tym procesie sprowadza rolę parlamentu do „kontrasygnaty” (decyzja tak/nie). Brak w nim miejsca na demokratyczną debatę nad różnymi kandydaturami czy różnymi wizjami sprawowania urzędu. Co więcej, taki tryb wyboru znacząco osłabia pozycję PUODO względem administracji rządowej, na którą, przypomnijmy, będzie mógł nakładać kary finansowe. Projekt MC zakłada również, że to premier powołuje zastępców PUODO na wniosek odpowiednich ministrów (informatyzacji i spraw wewnętrznych). To istotna zmiana, skutkująca obniżeniem standardu niezależności. Obecnie zastępców GIODO powołuje Marszałek Sejmu na wiosek samego GIODO. Ta propozycja może być również sprzeczna z unijną regulacją, która mówi, że organ ochrony danych sam powinien dobierać swój personel.

Wymiana kadr? To możliwy scenariusz. Projekt MC nie przesądza, czy obecna GIODO – dr Edyta Bielak-Jomaa – będzie kontynuowała pełnienie swoich obowiązków jako PUODO. Naszym zdaniem powinna. Zmiana byłaby niekorzystna ze względu na przerwanie ciągłości pracy urzędu, a także uprawomocniałaby niebezpieczny precedens przerywania kadencji urzędników ze względu na zmiany dotyczące piastowanych przez nich stanowisk.

Rola organizacji społecznych

Zgodnie z unijnymi przepisami organizacje społeczne mogą reprezentować obywateli przed organem ochrony danych i sądami. Tego prawa polski ustawodawca nie może im odebrać. Jednak to od jego decyzji zależy, czy organizacje społeczne będą również mogły wnosić skargi (np. na nieuczciwe klauzule serwisów) w zbiorowym interesie konsumentów, a więc bez konieczności angażowania konkretnego pokrzywdzonego. Niestety, MC nie zdecydowało się na wprowadzenie takiej konstrukcji. Projekt ustawy przewiduje tylko możliwość wnoszenia skarg w interesie konkretnego poszkodowanego. To, czy taki interes występuje i czy skarga jest uzasadniona, każdorazowo ma oceniać PUODO. Silna rola organu w tym procesie pozwoli na wyeliminowanie bezzasadnych skarg, nie służących interesowi publicznemu, tylko mających na celu nękanie firm i zmuszanie ich do pozasądowych ugód (takich praktyk obawiają się niektóre środowiska biznesowe i prawnicze). Z drugiej strony na takim ukształtowaniu procedury skargowej mogą stracić konsumenci: uczciwie działające organizacje społeczne nie będą w stanie występować w obronie ich interesów, dopóki nie pojawi się konkretny pokrzywdzony.

Zaproponowane przepisy nie dają też organizacjom społecznym prawa do uczestniczenia w procesie zatwierdzania przez PUODO sektorowych reguł przetwarzania danych (tzw. kodeksów postępowań), które będą proponowane przez przedstawicieli konkretnych branż (ochrony zdrowia, bankowości czy marketingu bezpośredniego). Branżowe kodeksy mogą regulować bardzo ważne kwestie, np. sposób pozyskiwania zgody na przetwarzanie danych, zakres przekazywanych informacji czy praktyczną interpretację tzw. uzasadnionego interesu administratora. Wykluczenie organizacji społecznych z procesu zatwierdzania kodeksów postępowań jest trudne do zrozumienia, ponieważ będzie on miał duży wpływ na ostateczny poziom ochrony danych w Polsce. Dlatego, naszym zdaniem, ustawodawca powinien przynajmniej wprowadzić obowiązek 30-dniowych konsultacji publicznych i publikowania przez PUODO zgłaszanych mu projektów kodeksów postępowań.

Pracownicy pod większą kontrolą

W projekcie MC znajdziemy propozycję stworzenia katalogu danych, których gromadzenie będzie – co do zasady – zakazane. Nie znalazły się w nim jednak dane związane z pochodzeniem etnicznym, wyznaniem czy przynależnością związkową (w przypadku kandydatów do pracy). Pracodawcom przyznaje się za to możliwość zbierania i przetwarzania danych biometrycznych, o karalności czy zadłużeniu. Podstawą do przetwarzania dodatkowych kategorii danych ma być zgoda pracownika. Naszym zdaniem taka zgoda często będzie wadliwa ze względu na nierówność wpisaną w relację pracodawca–pracownik. Samo zaś pozyskiwanie informacji o zadłużeniu pracowników niesie ze sobą realne ryzyko społeczne i może ograniczać wielu osobom dostęp do rynku pracy.

Niedosyt pozostawiają regulacje dotyczące monitoringu w miejscu pracy. Nie obejmują tak ważnych kwestii jak monitoring maili, przeglądanych stron czy rejestrowanie dźwięku. Dlatego, naszym zdaniem, nie będą one miały zasadniczego wpływu na poprawę obecnej sytuacji.

Stanowisko Fundacji Panoptykon w sprawie ustawy o ochronie dany osobowych [PDF]

Uważasz, że nasza praca jest ważna i potrzebna? Wspieraj nasze działania, przekazując darowizny i 1% swojego podatku.

Komentarze

"Pracodawcom przyznaje się za to możliwość zbierania i przetwarzania danych biometrycznych, o karalności czy zadłużeniu. Podstawą do przetwarzania dodatkowych kategorii danych ma być zgoda pracownika. Naszym zdaniem taka zgoda często będzie wadliwa ze względu na nierówność wpisaną w relację pracodawca–pracownik"

MASAKRA! Walczcie, aby bezwzględnie zakazane było zbieranie WSZELKIEJ biometrii, z wizerunkiem twarzy włącznie. Jeżeli na to się zezwoli, to należy ogłosić śmierć prywatności w Polsce.

Szanowni Państwo, RODO nie "wejdzie w życie" w maju 2018 roku, tylko jego przepisy znajdą zastosowanie po upływie 2-letniego okresu przejściowego. Generalnie RODO obowiązuje i weszło już w życie. :-)

Co się stanie ze sprawami, które są zaległe nawet 3 lata w GIODO? Czy nowy urząd będzie tak samo wydolny, bo nie będzie odpowiedniej ilości oddziałów na kraj?

Brak zmian na stanowisku GIODO/PUODO?? To chyba żart:) Obecny rząd miałby pozostawić na, jak by nie patrzeć, dość wpływowym z racji na możliwość nakładania kar stanowisku kogoś z poza jedynego słusznego obozu władzy?? Nie takie rzeczy już widzieliśmy, a tu nawet nie trzeba będzie łamać żadnego prawa ani specjalnie się starać, a jak wiemy państwo rządzący nie mają problemu ze zmianami ustaw tylko po to, by np. wysłać określone osoby na emeryturę.
Wg mnie jeśli chodzi o funkcję PUODO, może ona być dla władzy istotna, jako że może on chociażby nakładać kary finansowe na wybrane, zasugerowane jednostki gospodarcze (firmy zagraniczne? Niemieckie? Francuskie? Albo na kogoś, kto akurat podpadł), albo przynajmniej skontrolować je w pierwszej kolejności - wybitnie rzetelnie i szczegółowo.
Nie ma mowy - nie pozostawią nic poza swoją pełną kontrolą. Już wystarczy, że RPO im spędza sen z powiek.

Dodaj komentarz