Rozważamy różne warianty wybierania szefa nowego organu ochrony danych osobowych, ale w każdym z nich zostanie mu zapewniona pełna niezależność - tłumaczy dr Maciej Kawecki, doradca ministra cyfryzacji, który tworzy nowe przepisy o ochronie danych osobowych.
W tej chwili ani tego nie potwierdzę, ani temu nie zaprzeczę. Z prostego powodu – jest kilka punktów w projektowanej ustawie, które wymagają jeszcze podjęcia decyzji przez projektodawcę, a więc ministra cyfryzacji, a prace legislacyjne rozpoczęliśmy od zupełnie innych przepisów. Tych, które zostały udostępnione. Mogę natomiast potwierdzić, że rozważamy różne warianty zgodne z unijnym rozporządzeniem o ochronie danych osobowych. A ono dopuszcza wybór prezesa UODO przez rząd, parlament bądź inny organ. Sam ustawodawca unijny uznał więc, że organ może być powoływany zarówno przez władzę ustawodawczą, jak i wykonawczą. Ostateczne decyzje na etapie rządowym podejmie Rada Ministrów i pani premier, a potem – parlament. Na obecnym etapie projekt to koncept ministra cyfryzacji.
Powtórzę – decyzja o sposobie wyboru nie zapadła, ale jakakolwiek by ona była, to towarzyszyć jej będą wszystkie gwarancje niezależności organu. Po pierwsze – kadencyjność, prawdopodobnie tak jak dzisiaj, czteroletnia. Po drugie – większa niż obecnie liczba zastępców. Po trzecie – uprawnienie do nadawania samemu sobie statutu, a nie, jak to jest dzisiaj, przez prezydenta. Po czwarte – przesłanki odwołania organu, które wynikają wprost z unijnego rozporządzenia i na pewno nie zostaną w jakikolwiek sposób zmienione. Mało tego, chcemy powołać ciało doradcze w postaci Rady Ochrony Danych Osobowych. Te przepisy wciąż są na etapie koncepcyjnym i dlatego nie zostały ujęte w zaprezentowanym projekcie, ale zapewniam, że prezes nowego UODO będzie miał zagwarantowaną pełną niezależność, a jego pozycja będzie mocniejsza, niż ma dzisiaj GIODO, bo i zadania w dzisiejszych czasach są bardzo poważne. I w pierwszej kolejności należy się skupić na tych kwestiach, bo one będą miały wpływ na podejmowanie przez UODO działań.
Oczywiście zdajemy sobie sprawę, że dzisiejszy krajowy system ochrony danych osobowych wymaga gruntownej przebudowy. Postępowania w sprawach takich jak naruszenie praw podstawowych obywateli nie mogą się ciągnąć latami, a nawet miesiącami i powodować, że organ staje się podsądnym za swoją bezczynność, jak teraz się zdarza. Jest to bez wątpienia wyzwanie legislacyjne dla projektodawcy. Zmiana przepisów to jednak początek, a w ślad za nią powinno iść przeznaczenie odpowiednich środków finansowych na przeprowadzenie reformy i zatrudnienie dodatkowych pracowników.
Środki muszą być wyższe niż dotychczas, bo inaczej urząd nie sprosta stawianym przed nim nowym wyzwaniom. I zapewniam, że resort cyfryzacji zdaje sobie z tego sprawę.
W Ministerstwie Cyfryzacji powstaje główny projekt, czyli ustawa o ochronie danych osobowych, ale także propozycje zmian w ustawach, które podlegają resortowi cyfryzacji, czyli chociażby ustawie o świadczeniu usług drogą elektroniczną, ustawie o informatyzacji podmiotów publicznych oraz prawie telekomunikacyjnym. Jednocześnie wszystkie inne ministerstwa dokonują przeglądu ustawodawstwa, które im podlega, i kierują do nas swoje propozycje zmian. Jest to najczęstszy wykorzystywany model. My je następnie oceniamy z jednej strony pod kątem zgodności z unijnym rozporządzeniem o ochronie danych osobowych, a z drugiej pod kątem zgodności z założeniami przyjętymi przez ministra cyfryzacji.
Realnie patrząc – latem. Dołożymy starań, by nastąpiło to na przełomie czerwca i lipca. Pracy jest jednak ogrom, i nie chciałbym wskazywać konkretnych terminów, by nie wprowadzać w błąd. Przy czym mówię już o finalnym projekcie, który zostanie przedstawiony do uzgodnień międzyresortowych i konsultacji społecznych. Będzie on zawierał kompletną ustawę o ochronie danych osobowych oraz pakiet przepisów sektorowych wprowadzających zmiany w wielu innych ustawach. Będą to zmiany dwojakiego rodzaju. Pierwsze, stosunkowo prostsze sprowadzają się do zmiany nazw w ustawach, np. GIODO zostanie zastąpione przez UODO. Drugie, trudniejsze, to zmiany merytoryczne. Część przepisów jest niezgodna z unijnym rozporządzeniem, część warto zmienić, wykorzystując i tak dokonywany przegląd prawa.
Artykuł 221 kodeksu pracy, czyli przepis mówiący o tym, jakie dane można pozyskiwać w trakcie rekrutacji. Unijne rozporządzenie daje tu pełną swobodę państwom członkowskim. Wraz z Ministerstwem Rodziny, Pracy i Polityki Społecznej analizujemy możliwe do wprowadzenia zmiany, tak aby rzeczony przepis bardziej przystawał do rzeczywistości. Pracodawcy nie mają chociażby możliwości przetwarzania wizerunku kandydata, a powszechnie to robią chociażby dostając od niego wizytówkę ze zdjęciem.
Nie chcemy przepisywać unijnych regulacji do polskiej ustawy, tak jak to zrobiły inne państwa. Dlatego też w polskiej ustawie część regulacji w ogóle się nie pojawi. Przykładowo wszystkie zasady dotyczące transferu danych do państw trzecich będą wynikały wprost z unijnego rozporządzenia. Każdy podmiot zobowiązany do stosowania nowego prawa będzie więc musiał znać zarówno przepisy polskiej ustawy, jak i unijnego rozporządzenia. Dopiero nałożenie na siebie tych dwóch aktów da obraz całości.
Nie mogliśmy jednak przepisywać regulacji z rozporządzenia do naszej krajowej ustawy. Zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej jest to niezgodne z prawem unijnym. Państwa, które to zrobią, muszą się liczyć z tym, że pewnego dnia zapuka do nich Komisja Europejska i zażąda wyjaśnień. My nie chcemy mieć takich problemów.
Wierzę w skuteczność kar i w konkurencję na rynku. Wszyscy już chyba słyszeli, że nowe przepisy przewidują drakońskie sankcje finansowe do wysokości 20 mln euro. Jeśli zaś chodzi o konkurencję, to mam nadzieję, że przedsiębiorcy zaczną brać pod uwagę, że łamanie przepisów z zakresu ochrony danych osobowych może dla nich oznaczać wizerunkową klęskę, która zostanie wykorzystana przez konkurentów. Dlatego sądzę, że nowe przepisy wymuszą na firmach większą dbałość o to, co robią z naszymi danymi. Wierzę też, że nowy organ będzie krajowym konsultantem ochrony danych. Jako organ otwarty będzie nie tylko egzekwował, ale również doradzał, edukował i wspierał. Dysponentem własnych danych zawsze jest człowiek, a współczesny świat nie będzie dobrze funkcjonował bez umożliwienia mu udzielenia świadomej zgody co do ich wykorzystania z jednej strony, i mocnego nadzoru z drugiej. Nadzór musi jednak dbać o to, żeby egzekwowaniu ochrony danych osobowych stale towarzyszyło budowanie świadomości co do potrzeby ochrony danych osobowych oraz sposobów takich działań.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu