Rozmowa z radcą prawnym dr. Dominikiem Lubaszem
Krzysztof Sobczak: Wśród firm i różnego typu instytucji, które w jakikolwiek sposób mają do czynienia z danymi osobowymi, narasta świadomość nowych zadań i obowiązków, które nałożą na nie nowe unijne przepisy, gdy 25 maja 2018 roku wejdą w życie. Czy któreś z tych firm lub instytucji, a może jakieś branże powinny na ten moment przygotowywać się szczególnie, albo obawiać się jego nadejścia?
Dominik Lubasz: Sądzę, że o obawach nie należy mówić, ponieważ Ogólne Rozporządzenie o Ochronie Danych to regulacja, która ma dobrze służyć nam wszystkim. I z tego punktu widzenia należy do niej podchodzić bez obaw.
Ale obowiązków wielu instytucjom przybywa. A jeśli ktoś ich nie wypełni, to kary też są przewidziane i to surowe.
To prawda, ale nie kary stanowią o istocie tej regulacji. Raczej to, że system ma być bardziej uporządkowany, bardziej elastyczny niż ten, który jest dotychczas, i przede wszystkim jednolity w całej Unii Europejskiej. To są zalety tego prawa, które zastępuje 20-letnią ustawę o ochronie danych osobowych.
Naszą krajową?
Tak naszą krajową.
I nie ma potrzeby już tworzenia nowej?
Nie ma, ponieważ jest to akt prawa unijnego obowiązujący bezpośrednio. On będzie taki sam w każdym z państw członkowskich, a więc zniknie to, co było słabością dotychczasowego systemu, że w każdym z państw mieliśmy odrębną regulację dotyczącą ochrony danych osobowych. Oznaczało to, że prowadzenie działalności gospodarczej, która związana była z przetwarzaniem danych osobowych, oznaczało konieczność potencjalnej weryfikacji tego systemu w każdym kraju. Teraz to już nie będzie konieczne.
Mówi pan, że już nie będą potrzebne krajowe regulacje, ale w Polsce trwają prace nad nową ustawą.
Potwierdzam, że to rozporządzenie nie wymaga ustaw wdrożeniowych, jak to jest w przypadku dyrektyw, aczkolwiek prawodawca krajowy upoważniony został w szeregu przepisów rozporządzenia do wprowadzenia regulacji uszczegóławiających. A w niektórych przypadkach został wręcz zobowiązany do tego, by taką regulację uchwalić, między innymi w sprawie organu nadzorczego, czyli podmiotu, który ma zastąpić Generalnego Inspektora Ochrony Danych Osobowych.
Ta regulacja musi powstać przed 25 maja?
Tak. To mają być dwie ustawy – ustawa o ochronie danych osobowych i przepisy wprowadzające tę ustawę. One oczywiście muszą zostać uchwalone przed wejściem RODO, bo one mają na celu zapewnienie stosowania rozporządzenia.
A gdyby nasz ustawodawca z jakiegoś powodu nie zdążył, to te przepisy i tak zaczną obowiązywać.
Zaczną, prawo unijne tak czy owak będzie obowiązywać, ale nie mielibyśmy wtedy prawidłowo powołanego organu do egzekwowania tych przepisów, spełniającego wymogi rozporządzenia. Nie mielibyśmy też szeregu innych regulacji, dotyczących choćby akredytacji czy certyfikacji. Brakowałoby przepisów wykonawczych dotyczących inspektora ochrony danych osobowych, który zastąpi dzisiejszego administratora bezpieczeństwa informacji. Przyszły organ nadzorczy ma prowadzić ewidencję zawiadomień dotyczących inspektorów. Brakowałoby jeszcze szeregu innych regulacji, co ograniczyłoby zakres i rzeczywistą możliwość stosowania rozporządzenia. Przede wszystkim jednak ograniczona będzie możliwość egzekwowania tego prawa, bo nie będzie organu krajowego. Trudno więc sobie wyobrazić, że ustawa nie powstanie na czas i na razie nie ma podstaw do takich podejrzeń.
Czy podmioty zobowiązane do przestrzegania i stosowania tej regulacji muszą z przygotowaniami do tego czekać na krajowe przepisy? Czy na podstawie unijnego rozporządzenia wszystko wiadomo, co trzeba zrobić?
Rzeczywiście z rozporządzenia wynika, co trzeba zrobić i jak się przygotować. Rozporządzenie zawiera bowiem regulację określającą obowiązki i prawa administratorów i podmiotów przetwarzających, czyli zobowiązanych do jakiejś aktywności w ramach rozporządzenia. W pewnych przypadkach przyznano jednak uprawnienie ustawodawcy krajowemu, do doregulowania niektórych związanych z tym aspektów. Ma on bowiem możliwość wyłączenia pewnych przepisów, albo modyfikacji niektórych obowiązków. Z przekazanych już do konsultacji projektów ministra cyfryzacji wynika, że wola skorzystania z tego uprawnienia jest. Na przykład w zakresie dotyczącym przetwarzania danych pracowników. Co do zasady jednak, jeśli chodzi o przygotowanie do stosowania rozporządzenia, to administratorzy mają już wszystko, by takie przygotowania rozpocząć.
Które z obowiązków podmiotów zobowiązanych są najważniejsze, które niosą największe zmiany?
Przede wszystkim ta nowa regulacja oparta jest na nieco innej koncepcji. Odmiennie niż to było dotychczas, to administrator będzie decydować, bazując na analizie ryzyka, jakiego rodzaju zabezpieczenia, jakie środki techniczne, organizacyjne i prawne będzie musiał wdrożyć, żeby prawidłowo przetwarzać dane osobowe. Czyli robić to zgodnie z rozporządzeniem i bezpiecznie. Jest to jakościowo bardzo istotna zmiana w stosunku do dotychczasowej regulacji, w której te obowiązki określone były w sposób sztywny. Na podstawie ustawy o ochronie danych osobowych wydane zostało bowiem w 2004 r. rozporządzenie wykonawcze, w którym uregulowane zostało dosyć precyzyjnie, jak poszczególne obowiązki wynikające z ustawy mają być wykonane. Jakiego rodzaju dokumentacja ma być prowadzona, jakie poziomy ryzyka mają być przyjmowane i co się z tymi poziomami ryzyka wiąże dla systemów teleinformatycznych. Ale też jak długie ma być hasło i jak często zmieniane. Jaka dokumentacja prowadzona. Rozporządzenie od tej logiki odchodzi. Nakładając na administratorów sankcje za nieprawidłowe wykonanie obowiązku, nakłada też na nich obowiązek samodzielnego podejmowania decyzji jak to zrobić.
Daje więcej swobody, ale też zapowiada, że to sprawdzi.
Dokładnie tak. To administrator musi podjąć prawidłową decyzję, a jeśli nie zrobi tego prawidłowo, to potencjalnie grożą mu za to sankcje. Ale co ważne, odpadają te znane obecnie obowiązki, które były charakterystyczne dla dotychczasowego systemu ochrony danych osobowych, czyli na przykład rejestracja zbiorów. Ona zostaje zastąpiona innymi obowiązkami notyfikacyjnymi, czyli obowiązkami zgłoszeniowymi. Ale to są obowiązki związane ze zgłaszaniem naruszeń. Jeśli dojdzie bowiem do naruszenia ochrony danych osobowych, to w pewnych okolicznościach wynikających z rozporządzenia administrator będzie zobowiązany do powiadomienia o tym organu nadzorczego.
Nie czekając, aż kontrola to wykryje?
Tak, musi to zrobić sam i ma na to mało czasu, bo tylko 72 godziny. Musi o tym poinformować organ nadzorczy, a w niektórych przypadkach także osoby, których naruszenie dotyczyło.
Czy prawa podmiotów uprawnionych też zmieniają się w tak istotnym stopniu?
Tak, uległy one pewnej modyfikacji i rozszerzeniu w stosunku do dotychczasowej regulacji. Pojawiają się bardzo ciekawe nowe uprawnienia, jak choćby prawo do przenoszenia danych, które upoważnia uprawnionych do żądania przez uprawnionych wydania przez administratora w określonym formacie ich danych osobowych po to, by mógł je przenieść do innego administratora. To może nastąpić na przykład pomiędzy kontami na portalach społecznościowych, ale również miedzy operatorami telekomunikacyjnymi. Rozporządzenie wskazuje, których administratorów to będzie dotyczyło i warunkując to prawo od tego na jakich przesłankach oparte jest przetwarzanie danych.
Ważną nowością jest to, że rozporządzenie wyraźnie ujmuje prawo do bycia zapomnianym. To bardzo nośne uprawnienie, które, choć istniało, to jednak w dotychczasowym stanie prawnym nie było wprost nazwane. Generalnie sprowadza się ono do naszego uprawnienia do tego, żeby zażądać od administratora usunięcia naszych danych osobowych, jeśli nie ma już podstawy prawnej do ich przetwarzania, albo nigdy takiej podstawy nie było.
Istotne jest także to, że rozporządzenie kładzie duży nacisk na transparentność, przejrzystość przetwarzania danych, co w konsekwencji ma prowadzić do naszej świadomości tego, dlaczego ktoś nasze dane posiada, co z nimi robi. Chodzi w tym o to, żebyśmy mogli zachować maksymalnie dużą kontrolę nad naszymi danymi. I stąd bardzo rozszerzane są obowiązki informacyjne w stosunku do obecnej regulacji z 1997 roku.
W podmiotach zobowiązanych pojawią się inspektorzy ochrony danych osobowych, którzy zastąpią dotychczasowych administratorów bezpieczeństwa informacji. Różnica tylko w nazwie, czy też w meritum?
W nazwie i w meritum. Przede wszystkim administrator bezpieczeństwa informacji jest według dzisiejszych przepisów instytucją dobrowolną, natomiast nowe rozporządzenie wskazuje przypadki, w których powołanie inspektora ochrony danych będzie obligatoryjne. Poza tym zakres aktywności i zobowiązań zmienia się w stosunku do ABI. O ile ABI był podmiotem wykonawczym co do utrzymania systemu ochrony danych osobowych w ramach struktury podmiotu, to inspektor będzie raczej podmiotem doradczo-konsultacyjno-nadzorczym.
Ale w ramach instytucji?
Nadal w ramach organizacji, chociaż według nowych przepisów jednego inspektora ochrony danych można powołać dla kilku administratorów, co dotychczas nie było dopuszczalne.
Czy powołanie inspektora ochrony danych osobowych zdejmuje odpowiedzialność z administratora?
Absolutnie nie. Powołanie inspektora nie zwalnia administratora z obowiązków dotyczących poprawności tworzenia systemu ochrony danych osobowych i z odpowiedzialności za to. Inspektor ochrony danych osobowych ma tylko wspierać i nadzorować funkcjonowanie tego system. Oczywiście nie wykonując należycie swoich zdań może ponieść za to odpowiedzialność, ale w pierwszym rzędzie za prawidłowość zabezpieczenia danych odpowiada administrator.
To powiedzmy jeszcze, że ta odpowiedzialność będzie surowsza niż dotychczas.
Przede wszystkim ta odpowiedzialność będzie inna. Dzisiaj mamy do czynienia z sankcjami karnymi za naruszenie przepisów ustawy o ochronie danych osobowych. W nowym rozporządzeniu odchodzi się od sankcji karnych a wprowadza się administracyjne kary pieniężne.
Dość wysokie.
To prawda, one mogą być dotkliwe, bo rozporządzenie wyznacza pułap tych sankcji na poziomie odpowiednio do 2 i 4 procent obrotu firmy. Przy dużych organizacjach to mogą być poważne kwoty. To oczywiście maksymalne pułapy i dopiero strategia działania przyszłego organu nadzorczego pokaże, jak to będzie w praktyce. W każdym razie wydaje się, że te możliwe sankcje mogą mieć wpływ na większą stosowalność tych przepisów.