1000 uwag do zmian w ochronie danych osobowych

Ponad 1000 uwag zgłoszono w trakcie konsultacji publicznych do projektu ustawy o ochronie danych osobowych - poinformował we wtorek resort cyfryzacji. Jak powiedziała minister cyfryzacji Anna Streżyńska, trzeba wyważyć miedzy interesem przedsiębiorców, a "ochroną interesu ludzi w sieci".

Resort cyfryzacji przedstawił podsumowanie uwag zgłoszonych do projektu ustawy o ochronie danych osobowych. Związany jest on z przyjętym w maju 2016 r. przez Unię Europejską ogólnym rozporządzenie o ochronie danych osobowych (RODO). Kraje członkowskie muszą zastosować przepisy rozporządzenia do 25 maja 2018 r.

"To, co robimy reformując system ochrony danych osobowych, to jest pozytywna rewolucja. Reforma ochrony danych osobowych to jest coś, co dotyka całego naszego życia. Bo przeciętny użytkownik cyfrowego świata nie zdaje sobie sprawy z tego, w jaki sposób jego dane, informacje, jego prywatność są na zapleczu tych wielkich systemów, serwerów usługowych, są wykorzystywane i mielone" - powiedziała Streżyńska.

Dodała, że w sprawie przepisów o ochronie danych osobowych bardzo ważne jest wyważenie "pomiędzy interesem przedsiębiorców, pomiędzy wolnością biznesową przedsiębiorców, swobodą gospodarczą, kreatywnością, a ochroną interesów ludzi w sieci i ochroną ich danych".

Dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji i koordynator reformy ochrony danych osobowych dr Maciej Kawecki poinformował, że od 13 września do 13 października br. w ramach konsultacji publicznych dotyczących projektu ustawy wpłynęło ponad 1000 uwag. Jak mówił, najwięcej uwag zostało przekazanych przez przedsiębiorców, izb gospodarczych i organizacji społecznych.

Zobacz: RODO 2018

Wśród nich najwięcej dotyczyło m.in. rozwiązania, iż urząd ochrony danych osobowych byłby uprawniony do wydawania przedsiębiorcom certyfikatów poświadczających standardy ochrony danych osobowych. Kawecki wskazał, że przedsiębiorcy zwracali uwagę, iż kompetencje te powinny być przeniesione do innego urzędu, bo urząd ochrony danych osobowych z jednej strony będzie prowadził postępowanie ws. naruszenia przepisów ustawy i będzie miał możliwość przyznawania kar finansowych a z drugiej - będzie wydał certyfikaty w sprawie spełniania standardów dot. ochrony danych osobowych.

Zgodnie z propozycją resortu przedsiębiorca, aby uzyskać certyfikacji musi złożyć wniosek o certyfikacji do urzędu i przedstawić, w jaki sposób zabezpiecza dane osobowe. W trakcie procedury sprawdzania może się okazać, że naruszył przepisy o ochronie danych i wtedy organ z urzędu jest uprawniony do wszczęcia postępowania.

Jak wskazał Kawecki przedsiębiorcy wskazywali w uwagach, że może tutaj zachodzić konflikt interesów. "Organ, który jest uprawniony do karania, jednocześnie jest uprawniony do certyfikowania, co powoduje, że przedsiębiorcy będą się bali korzystać z certyfikacji" - powiedział. Poinformował, że w resorcie w ramach koncepcyjnych rozważa się przyznanie uprawnień certyfikacji innemu urzędowi.

W projekcie ustawy resort skorzystał także z uprawnień przysługujących państwom członkowskim przy dostosowaniu przepisów krajowych do rozporządzenia i obniżył z 16 do 13 lat wiek dziecka, do którego konieczne będzie uzyskanie zgody rodzica na przetwarzanie jego danych w internecie. W tej sprawie także do resortu trafiło wiele uwag. Projektowane przepisy przewidują dwa rozwiązania, albo zgodę wyraża rodzic albo dziecko i rodzic to potwierdza.

"To budzi ogromne zainteresowanie" - dodał. Jak tłumaczył Kawecki, decyzja o obniżeniu wieku wynika z dwóch powodów. Po pierwsze "prawie wszystkie inne kraje UE tak robią", drugi z powodów wynika z tego, że zgodnie z kodeksem cywilnym ograniczoną zdolność do czynności prawnych posiada dziecko od 13 lat.

Wiele uwag dotyczyło również obniżenia maksymalnej kary finansowej dla administracji publicznej za złamanie przepisów o ochronie danych osobowych do 100 tys. zł. Na przedsiębiorców Urząd Ochrony Danych Osobowych będzie mógł nałożyć kary finansowe do maksymalnie 20 mln euro albo do 4 proc. obrotu.

Kawecki tłumaczył, że w zamian za obniżenie kary wprowadzono przepis, w myśl którego każdy podmiot administracji publicznej będzie miał obowiązek poinformowania, w jaki sposób dostosował się do decyzji urzędu ochrony danych osobowych, jeśli prowadzone było wobec niego postępowanie. Jak podkreślił, "do administracji zdecydowanie bardziej trafia kara w postaci opinii, reputacji, niż kara finansowa".

W konsultacjach pojawiło się także wiele uwag dotyczących postanowienia tymczasowego. Chodzi o to, że w trakcie postępowania o naruszenie przepisów o ochronie danych osobowych urząd ochrony danych osobowych będzie mógł wydać postanowienie tymczasowe, które nakazuje zaprzestania przetwarzania danych osobowych przez przedsiębiorcę. Czyli np. w sytuacji, kiedy dojdzie do dużego wycieku danych, to zanim urząd podejmie decyzje, może zażądać zaprzestania przetwarzania danych osobowych do zakończenia postępowania.

Kawecki przyznał, że są takie obszary, w których wydanie takiego postanowienia może zmusić przedsiębiorcę do zaprzestania prowadzenia działalności. "Przykładem mogą być różnego rodzaju firmy świadczące usługi lojalnościowe, których istotą jest przetwarzanie danych osobowych, sklepy internetowe, przecież nie da się sprzedać produktu bez imienia, nazwiska, adresu" - dodał. Zaznaczył, że wymóg wprowadzenie postanowień tymczasowych wynika z prawa unijnego.

W związku z wysokimi karami, jakie mogą być nakładane przez urząd pojawiły się także uwagi dotyczące, jak powiedział Kawecki, tzw. "fake organizacji”, których celem może stać się wymuszanie, wyłudzanie z firm pieniędzy w zamian za np. rezygnację składania skargi do urzędu ochrony danych osobowych.

"W tym zakresie będziemy się starali wypracować jakieś rozwiązania, które znajdą złoty środek. Tu trzeba wyraźnie powiedzieć, że zaprojektowanie takich przepisów, które w 100 proc. wyeliminują takie działanie nie jest możliwe, natomiast jest możliwe efektywniejsze funkcjonowanie organu nadzorczego" - dodał.

Wiceminister Marek Zagórski poinformował, że resort chce, aby projekt ustawy trafił do parlamentu najpóźniej pod koniec lutego. "Tak żebyśmy mogli w okolicach marca-kwietnia pokazać projekt, jeśli jeszcze niepodpisany przez prezydenta, to przyjęty przez Sejm, czyli w takim kształcie, jakim będzie obowiązywał, żeby wszyscy się mogli do tego przygotować" - dodał Zagórski.(PAP)

autor: Krzysztof Markowski

edytor: Anna Małecka