Reforma ochrony danych osobowych: jest dobrze, ale nie do końca...

Artykuł
18.10.2017
7 min. czytania
Tekst
Image

W maju 2018 roku w życie wejdzie ogólne rozporządzenie o ochronie danych osobowych (RODO). Nowe unijne prawo obowiązuje bezpośrednio, jednak w niektórych obszarach zostawia państwom pole do stworzenia własnych przepisów, m.in. o sposobie wybierania i budżecie organu ochrony danych osobowych (do tej pory tę funkcje pełnił GIODO); możliwościach działania organizacji pozarządowych na rzecz ochrony danych osobowych; czy zasadach przetwarzania danych w różnych sektorach (przez banki, firmy ubezpieczeniowe, pracodawców). Ministerstwo Cyfryzacji dobrze poradziło sobie z tym zadaniem. Jednak obok pochwał musimy zgłosić kilka poważnych zastrzeżeń.

Dobra baza

Ministerstwo Cyfryzacji przedstawiło dwa projekty ustaw – ustawy o ochronie danych osobowych oraz projektu ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. Na pozytywną ocenę zasługują propozycje związane z możliwością nakładania kar finansowych także na organy publiczne; propozycje zwiększenia budżetu nowego urzędu odpowiedzialnego za egzekwowanie RODO i sensownie zaprojektowana (obiecująca większą sprawność) procedura obsługi skarg. Fundacja Panoptykon przedstawiła swoje uwagi do obu projektów, dostrzegając kilka poważnych wyłomów w skądinąd dobrej bazie. Poniżej omawiamy najważniejsze zastrzeżenia. Całość opinii można znaleźć na naszej stronie internetowej.

Ryzyko upolitycznienia

Projekt ustawy MC zakłada likwidację dotychczasowego organu – Generalnego Inspektora Ochrony Danych Osobowych (GIODO) i stworzenie nowego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Dodatkowo powoływana będzie również organ doradczy – Rada ds. Ochrony Danych Osobowych.

Sam PUODO będzie powołany przez Sejm za zgodą Senatu na wniosek premiera. Propozycje MC zapewniają PUODO niezależność w zakresie nadawania statutu i ustalania stosunków, ale mogą zagrażać niezależności organu.

Dominująca pozycja premiera w tym procesie sprowadza rolę parlamentu do „kontrasygnaty” (decyzja tak/nie). Brak w nim miejsca na demokratyczną debatę nad różnymi kandydaturami czy różnymi wizjami sprawowania urzędu. Co więcej, taki tryb wyboru znacząco osłabia pozycję PUODO względem administracji rządowej, na którą, przypomnijmy, będzie mógł nakładać kary finansowe. Projekt MC zakłada również, że to premier powołuje zastępców PUODO na wniosek odpowiednich ministrów (informatyzacji i spraw wewnętrznych). To istotna zmiana, skutkująca obniżeniem standardu niezależności. Obecnie zastępców GIODO powołuje Marszałek Sejmu na wiosek samego GIODO. Ta propozycja może być również sprzeczna z unijną regulacją, która mówi, że organ ochrony danych sam powinien dobierać swój personel.

Wymiana kadr? To możliwy scenariusz. Projekt MC nie przesądza, czy obecna GIODO – dr Edyta Bielak-Jomaa – będzie kontynuowała pełnienie swoich obowiązków jako PUODO. Naszym zdaniem powinna. Zmiana byłaby niekorzystna ze względu na przerwanie ciągłości pracy urzędu, a także uprawomocniałaby niebezpieczny precedens przerywania kadencji urzędników ze względu na zmiany dotyczące piastowanych przez nich stanowisk.

Rola organizacji społecznych

Zgodnie z unijnymi przepisami organizacje społeczne mogą reprezentować obywateli przed organem ochrony danych i sądami. Tego prawa polski ustawodawca nie może im odebrać. Jednak to od jego decyzji zależy, czy organizacje społeczne będą również mogły wnosić skargi (np. na nieuczciwe klauzule serwisów) w zbiorowym interesie konsumentów, a więc bez konieczności angażowania konkretnego pokrzywdzonego. Niestety, MC nie zdecydowało się na wprowadzenie takiej konstrukcji. Projekt ustawy przewiduje tylko możliwość wnoszenia skarg w interesie konkretnego poszkodowanego. To, czy taki interes występuje i czy skarga jest uzasadniona, każdorazowo ma oceniać PUODO. Silna rola organu w tym procesie pozwoli na wyeliminowanie bezzasadnych skarg, nie służących interesowi publicznemu, tylko mających na celu nękanie firm i zmuszanie ich do pozasądowych ugód (takich praktyk obawiają się niektóre środowiska biznesowe i prawnicze). Z drugiej strony na takim ukształtowaniu procedury skargowej mogą stracić konsumenci: uczciwie działające organizacje społeczne nie będą w stanie występować w obronie ich interesów, dopóki nie pojawi się konkretny pokrzywdzony.

Zaproponowane przepisy nie dają też organizacjom społecznym prawa do uczestniczenia w procesie zatwierdzania przez PUODO sektorowych reguł przetwarzania danych (tzw. kodeksów postępowań), które będą proponowane przez przedstawicieli konkretnych branż (ochrony zdrowia, bankowości czy marketingu bezpośredniego). Branżowe kodeksy mogą regulować bardzo ważne kwestie, np. sposób pozyskiwania zgody na przetwarzanie danych, zakres przekazywanych informacji czy praktyczną interpretację tzw. uzasadnionego interesu administratora. Wykluczenie organizacji społecznych z procesu zatwierdzania kodeksów postępowań jest trudne do zrozumienia, ponieważ będzie on miał duży wpływ na ostateczny poziom ochrony danych w Polsce. Dlatego, naszym zdaniem, ustawodawca powinien przynajmniej wprowadzić obowiązek 30-dniowych konsultacji publicznych i publikowania przez PUODO zgłaszanych mu projektów kodeksów postępowań.

Pracownicy pod większą kontrolą

W projekcie MC znajdziemy propozycję stworzenia katalogu danych, których gromadzenie będzie – co do zasady – zakazane. Nie znalazły się w nim jednak dane związane z pochodzeniem etnicznym, wyznaniem czy przynależnością związkową (w przypadku kandydatów do pracy). Pracodawcom przyznaje się za to możliwość zbierania i przetwarzania danych biometrycznych, o karalności czy zadłużeniu. Podstawą do przetwarzania dodatkowych kategorii danych ma być zgoda pracownika. Naszym zdaniem taka zgoda często będzie wadliwa ze względu na nierówność wpisaną w relację pracodawca–pracownik. Samo zaś pozyskiwanie informacji o zadłużeniu pracowników niesie ze sobą realne ryzyko społeczne i może ograniczać wielu osobom dostęp do rynku pracy.

Niedosyt pozostawiają regulacje dotyczące monitoringu w miejscu pracy. Nie obejmują tak ważnych kwestii jak monitoring maili, przeglądanych stron czy rejestrowanie dźwięku. Dlatego, naszym zdaniem, nie będą one miały zasadniczego wpływu na poprawę obecnej sytuacji.

Stanowisko Fundacji Panoptykon w sprawie ustawy o ochronie dany osobowych [PDF]

Uważasz, że nasza praca jest ważna i potrzebna? Wspieraj nasze działania, przekazując darowizny i 1% swojego podatku.

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.