Rozmowa z dr Wojciechem R. Wiewiórowskim, zastępcą Europejskiego Inspektora Ochrony Danych (EDPS).
- Co się stanie, jeśli polska ustawa o ochronie danych osobowych będzie w niektórych kwestiach sprzeczna z rozporządzeniem unijnym, RODO?
- Nie mam obaw co do wyraźnej sprzeczności ustawy z RODO. Prace nad polską ustawą toczą się z dużym zaangażowaniem i wiedzą. Sprzeczności z prawem europejskim nie będzie. Proszę pamiętać jednak, że rozporządzenie pozostawiło państwom członkowskim pewien margines w samodzielnym decydowaniu o niektórych sprawach. Niemcy nawet je policzyli i powiedzieli, że mogą zrobić 60 wyjątków krajowych.
- Jakie to wyjątki?
- Na przykład, regulacje związane z ochroną danych pracownika. Krajowe unormowania mogą być różne w różnych państwach i zapewne tak się stanie. Nawet tam, gdzie nie pozostawiono manewru, to w różnych państwach członkowskich interpretacja przepisów z danej branży może się różnić. Organy ochrony danych są zainteresowane, żeby harmonizacja postępowała i była jak najszersza. W maju 2018 r rozpocznie działanie Europejska Rada Ochrony Danych, następca Grupy artykułu 29, której zadaniem będzie doprowadzenie do tego, aby ten sam przepis był rozumiany tak samo w Irlandii, Estonii czy na Malcie. Mówiąc o różnicach w wykładni przepisów trzeba również pamiętać, że każda z decyzji organów może podlegać kontroli sądowej.
- Ma pan na myśli sąd krajowy czy europejski trybunał?
- Wszystkie z sądów. W Polsce Wojewódzki Sąd Administracyjny będzie oceniał zgodność wydanej decyzji z rozporządzeniem unijnym. Kolejnym wyzwaniem jest tym samym, aby sądy w Polsce, Portugalii i na Malcie rozumiały te przepisy tak samo w identycznych stanach faktycznych.
- Czy nastąpić powinno także ujednolicenie regulaminów, kodeksów postępowań w zakresie ochrony danych w różnych branżach, takich jak bankowość lub ubezpieczenia?
- Kodeksy tworzone w poszczególnych sektorach będą realizować dokładnie te same przepisy prawne dla bankowości w Hiszpanii i w Polsce. Poza ochroną danych osobowych istnieją jeszcze regulacje krajowe dotyczące prawa bankowe i różnice mogą się pojawić. Z punktu widzenia danych osobowych materialne prawo jest takie samo. Stąd też organy ochrony danych już dziś - niejako oczekując na powołanie Europejskiej Rada Ochrony Danych - przygotowują wytyczne, które mają pokazywać organom ochrony danych, w jaki sposób należy rozumieć poszczególne sformułowania. Od kilku miesięcy trwa dyskusja pomiędzy organami ochrony danych, oraz konsultacje z rynkiem prowadzące do powstania wytycznych, które mają umożliwić harmonijne wprowadzenie regulacji,.
- Czy szacowanie ryzyka przetwarzania danych dla praw i wolności, które będą przygotowywać przedsiębiorcy też musi być identyczne?
- Trzeba to robić według pewnej wspólnej metodologii. Mamy dwa etapy takiego procesu. Pierwszy to ocena, czy ryzyko utarty danych, ich nieprawidłowego przetwarzania lub innego naruszenia prawa w ogóle istnieje. A drugi etap, gdy występuje duże ryzyko (sytuacje wskazane w rozporządzeniu), trzeba przeprowadzić ocenę skutków przedsięwzięcia dla ochrony danych (Data Protection Impact Assessment).
- Jakie są to zagrożenia, np. wyciek danych?
- Tak, to jedno z ryzyk, które trzeba oszacować. Musimy ocenić, jakiego rodzaju dane posiadamy, jakie decyzje na ich podstawie będą podejmowane i jaki mogą te decyzje mieć wpływ na sytuację osoby, której dotyczą. Ważna też jest ocena, komu te dane będą przekazywane na zewnątrz. Ryzykiem jest więc nie tylko wyciek, ale przekazanie danych podmiotom, który z tymi danymi może zrobić więcej niż podmiot uprawniony. Mamy zestaw informacji, a przekazując lub sprzedając dane nawet legalnie, stwarzamy sytuację do tworzenia większego profilu. Jeśli tak jest, to dane np. zwykłe mogą się stać nawet danymi wrażliwymi.
- Kto powinien oceniać ryzyko?
- Administratorzy danych powinni przeprowadzać taką ocenę. Rzecznicy Ochrony Danych Osobowych zgromadzeni w Grupie artykułu 29 (a w przyszłości w Radzie) próbują podpowiedzieć, jak to zrobić. Dwa tygodnie temu przyjęto wytyczne rzeczników Data Protection Impact Assessment. Pod koniec października tego roku wytyczne mają być dostępne w wersji polskiej i GIODO umieści je zapewne na swojej stronie www.