Miesięcznik informatyków i menedżerów IT sektora publicznego

Prawo nigdy nie nadąży za technologią

Postulowaliśmy wprowadzenie jasnych regulacji w tych obszarach, w których trudno jest jednoznacznie przesądzić, kto ma formalnie decydować o celach przetwarzania danych. Teraz nie będzie już wątpliwości – będzie to administrator danych. Rozmowa z dr. Maciejem Kaweckim, zastępcą dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji

Przepisy wprowadzające ustawę o ochronie danych osobowych to akt, który chyba w najszerszy dotychczas sposób dotyczy przetwarzania danych w różnych sektorach. Dlaczego zdecydowano się wyróżnić pewne podmioty czy branże poprzez zaproponowane w projekcie rozwiązania, np. wskazanie wprost, kto jest administratorem danych?

Obecnie obowiązująca uodo jest z 1997 r. W tym roku obchodziliśmy jej dwudziestolecie. Nowe, zarówno krajowe, jak i unijne prawo ochrony danych osobowych, biorąc pod uwagę szybki postęp technologiczny, ma być dostosowane do współczesnych realiów przetwarzania danych, czyli przede wszystkim elastyczne i ponadczasowe. Wynika to z tego, że prawo nigdy nie nadąży za szybko rozwijającą się technologią. Nie można jednak zapomnieć, że wprowadzane w Polsce nowe przepisy krajowe stanowią wdrażanie do naszego porządku prawnego prawa UE. Już w 2016 r. państwa członkowskie wspólnie zdecydowały o aktualizacji przepisów danych osobowych, przyjmując ogólne rozporządzenie o ochronie danych osobowych, czyli rodo. Wszystkie podmioty, które zajmują się przetwarzaniem danych osobowych, otrzymały sygnał dotyczący konieczności wprowadzania zmian. Wskazane rozporządzenie będzie egzekwowane od 25 maja 2018 r., należało się więc do tego przygotować poprzez wprowadzenie zmian w całym krajowym systemie prawnym. W tym zakresie jesteśmy w czołówce UE, ponieważ jako pierwsze państwo członkowskie publikujemy pakiet zmian sektorowych. Przesądzanie wprost w niektórych z nowelizowanych przepisów roli danego podmiotu jako administratora służy wzmocnieniu zasady pewności prawa. Postulowaliśmy wprowadzenie jasnych regulacji w tych obszarach, w których trudno jest jednoznacznie przesądzić, kto ma formalnie decydować o celach przetwarzania danych. Teraz nie będzie już wątpliwości – będzie to administrator danych.

Co spowodowało ograniczenie wysokości kary pieniężnej w sektorze publicznym do 100 tys. złotych i dlaczego zdecydowano się w ogóle odstąpić od karania państwowych i samorządowych instytucji kultury, a nie np. miejskich ośrodków pomocy społecznej?

Wysokie kary dla administracji publicznej naruszałyby tryb jej pracy, a wręcz mogłyby doprowadzić do jej paraliżu. Żaden urząd nie może sobie pozwolić na zawieszenie funkcjonowania czy odmowę przyjmowania interesantów. Dodatkowym argumentem przemawiającym za rezygnacją z wysokich kar dla administracji publicznej jest to, że za popełniane przez jej urzędników błędy płaciliby de facto obywatele. Środki publiczne pochodzą bowiem w znacznej części z kieszeni obywateli. Poza tym w sektorze publicznym zdecydowanie bardziej oddziałuje odpowiedzialność urzędnicza, w tym wizerunkowa, za przekroczenie uprawnień lub niedopełnienie obowiązków. Dlatego do przepisów wprowadzony został obowiązek sprawozdawczy. W świetle projektu organ powinien niezwłocznie udostępnić informację o sposobie wykonania decyzji Prezesa Urzędu Ochrony Danych Osobowych. Jeśli zaś chodzi o instytucje kultury, takie jak np. muzea, biblioteki, kina czy teatry, to będą one wyłączone z kar. W tym sektorze dobrowolność w przekazaniu danych akcentowana jest chyba najbardziej. Nikt nie jest zmuszany do korzystania z dóbr kultury – jest to wyłącznie uprawnienie, a nie obowiązek obywateli. Poza tym zasadniczo nie gromadzi się tam danych wrażliwych.

Czy należy spodziewać się dużego zainteresowania tworzeniem kodeksów postępowań? W jakich branżach należałoby spodziewać się takich regulacji?

Kodeksy postępowań już teraz działają w niektórych branżach. Wiem, że przygotowuje je branża telekomunikacyjna, farmaceutyczna, bankowa, ubezpieczeniowa czy badań klinicznych. Generalny Inspektor nie ma jeszcze uprawnień do ich zatwierdzania, może więc podejmować w tym zakresie działania konsultacyjne. Podejmuje je również mój departament. Wszyscy mamy na celu podwyższanie poziomu ochrony prywatności w sektorze prywatnym. Kodeksów postępowań z pewnością oczekuje też biznes, wyznaczą one bowiem pewien kierunek działania i będą pomagać w budowaniu świadomości. Wynika to z przyjętej w ogólnym rozporządzeniu zasady risk based aproach, zgodnie z którą nowe przepisy nie określają sztywnych technicznych wymogów, np. w zakresie bezpieczeństwa. To na administratorze danych spoczywał będzie obowiązek identyfikowania zagrożeń, a także wdrażania odpowiednich środków technicznych i organizacyjnych. Bardzo ważny jest również mechanizm monitorowania przestrzegania takich kodeksów branżowych, co należało będzie wyłącznie do sektora prywatnego. Przedsiębiorcy będą monitorowali przestrzeganie takich kodeksów przez innych przedsiębiorców, co będzie stymulowało konkurencyjność na rynku.

Jak szerokie może być zainteresowanie certyfikacją i jakie będzie jej znaczenie?

Certyfikacja to wartość dodana od rodo dla biznesu. Firma mająca certyfikację będzie gwarancją dla klientów, że działa zgodnie z prawem i że przestrzega zasad ochrony danych osobowych. Dlatego zdecydowano się przyznać uprawnienia w zakresie certyfikacji Prezesowi Urzędu. Ciężko jest teraz przewidzieć samo zainteresowanie tym rozwiązaniem.

[...]

Rozmawiali Jacek Orłowski, dr Marlena Sakowska-Baryła

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej