3 lutego 2017 r. w Ministerstwie Cyfryzacji odbyło się spotkanie z przedstawicielami przedsiębiorców dotyczące reformy prawa ochrony danych osobowych. Spotkanie prowadził dr Maciej Kawecki – koordynator prac nad projektem nowej ustawy „o ochronie danych osobowych”. Dzięki uczestnictwu w spotkaniu mogliśmy przeanalizować plany Ministerstwa Cyfryzacji w zakresie przygotowania nowej regulacji prawnej w przedmiocie ochrony danych osobowych.
Ustawa o ochronie danych osobowych
Podczas spotkania padła jednoznaczna deklaracja, że ustawa nie będzie posiadała tytułu „ustawy o ochronie danych osobowych” – pytanie czy weryfikowanie stanu prawnego dla specjalistów i praktyków prawa będzie na tyle trudne, aby uzasadniało to odchodzenie od znanej i pozostającej w świadomości ludzi nazwy? Nowości w aspekcie nazewnictwa będzie więcej! Generalny Inspektor Ochrony Danych Osobowych tytularnie przestanie istnieć. A raczej jak stwierdzono „kontynuator” GIODO będzie miał nową nazwę – tej również nie zdradzono bo „prace koncepcyjne nadal trwają” – nie dowiedzieliśmy się na jakiej zasadzie zostanie utworzony nowy organ jednak na gruncie analizy wszystkich komentarzy należy stwierdzić, że aktualny GIODO instytucjonalnie zostanie wygaszony i w jego miejsce powstanie całkowicie nowy organ, którego kompetencję z jednej strony będzie regulować RODO z drugiej zaś nowa ustawa. Co więcej organizacyjnie Ministerstwo chce rozbudować gabinet „nowego GIODO”. Obecnie GIODO nie ma zastępcy (przynajmniej od początku 2017 r.). Plany Ministerstwa zakładają natomiast powołanie kilku zastępców – gdzie każdy z nich będzie miał określony zakres kompetencji oraz zadań. Uzasadniono to tym, że płaszczyzn pracy organu nadzoru jest tak dużo (wskazano m.in. pole współpracy międzynarodowej, legislacji oraz edukacji społecznej – pewnie będzie ich więcej), że zasadne jest ich rozdzielenie pomiędzy kompetencję kilku osób. Niestety nie została poruszona kwestia finansowania nowego organu oraz potencjalnego zwiększenia jego zasobów – bardzo istotne w aspekcie skuteczności i efektywności podejmowanych działań.
Plan działań
Ministerstwo planuje kompleksowe przygotowanie reformy w formie jednolitego pakietu tj. jedna ustawa uchylająca UODO oraz zmieniająca inne ustawy w których znajdują się przepisy regulujące przetwarzanie danych bądź odesłania do UODO. Ukończenie prac planowane jest na „wiosnę br.”. Do końca kwietnia Ministerstwo planuje:
- Zgromadzić od wszystkich resortów przygotowane przeglądy przepisów sektorowych
- Przeprowadzić analizę propozycji resortowych
- Przygotować projekt
- Poddać projekt konsultacjom społecznym
Planowa data 28.02.2017 r. na zgromadzenie rozwiązań sektorowych wydaje się w naszej ocenie mało realna – niemniej życzymy Ministerstwu powodzenia (Ministerstwo Cyfryzacji planuje mobilizować i naciskać poszczególne resorty do podjęcia działań w odpowiednim zakresie). Projekt całej regulacji ma być gotowy do konsultacji do końca kwietnia, jednak już wcześniej (06.2016) Minister W. Kołodziejski zapowiadał, że projekt właściwej ustawy będzie gotowy do końca 2016 r. dlatego skuteczność deklaracji zweryfikujemy w kwietniu.
Rada ds. ochrony danych osobowych
Dr Maciej Kawecki wysunął idee powołania nowego organu doradczego w zakresie ochrony danych roboczo nazwany Radą ds. ochrony danych osobowych. Zabrakło jednak informacji co do kształtu Rady oraz jej kompetencji. Dowiedzieliśmy się, że osoby wchodzące w skład Rady miałyby właściwe kompetencje oraz, że działalność w Radzie nie byłaby działalnością społeczną.
Informacje o poszczególnych aspektach zmian
Podczas spotkania padło kilka ważnych komunikatów odnośnie kształtu przepisów przyszłej regulacji m.in.:
- zaznaczono, że postępowania przed nowym organem będą prowadzone według zasad procedury administracyjnej – tak, żeby nie przeciążać dodatkowo (już obciążonych) sądów cywilnych
- postępowania (na gruncie uprawnień cywilnych osoby, której dane dotyczą wynikających z RODO i tych podejmowanych przed organem nadzorczym) będą mogły się toczyć niezależnie przy zachowaniu zasady wzajemnej notyfikacji organów w zakresie prowadzonych działań
- pojawiła się koncepcja przyznania pracownikom nowego organu nadzorczego tajemnicy ustawowej
- wskazano, że brane jest pod uwagę wprowadzenie do przepisów możliwości zastrzeżenia w postępowaniach przed nowym organem tajemnicy przedsiębiorstwa
- prawdopodobnie obniżona zostanie granica wiekowa dziecka w stosunku do którego niezbędna będzie zgoda na przetwarzanie osoby sprawującej nad nim opiekę (z 16 do 13 lat)
- zarysowano model certyfikacji – organ nadzorczy jako jednostka akredytująca
Powyższe informacje są jednak „kroplą w morzu” i czas spotkania nie pozwolił na szersze i bardziej szczegółowe omówienie zagadnienia reformy. Ważne, że Ministerstwo transparentnie podchodzi do kwestii zmian – miejmy nadzieję, że przeanalizuje dogłębnie postulaty środowisk sektorowych (w tym przedsiębiorców) w zakresie planowanych rozwiązań.
Co jeszcze nie jest jasne?
Pierwsza niewiadoma to termin realizacji założeń projektowych. Miejmy nadzieję, że prace nad nowymi regulacjami ruszą wreszcie pełną parą. Zdając sobie sprawę ze specyfiki i stopnia skomplikowania przepisów prawa w zakresie ochrony danych osobowych nie będzie to proste zadanie. W naszej ocenie nie ma sensu też przyspieszać prac nad przygotowaniem projektu kosztem jakości przyszłych przepisów.
Następnie bardzo dużo kwestii jest jeszcze niejasnych (mając na uwadze kontekst treści wypowiedzi dr Macieja Kaweckiego można odnieść wrażenie, że prace na dobre jeszcze nie ruszyły) szczególnie w aspekcie nowelizacji przepisów sektorowych (szczególnie w ujęciu art. 6 ust. 1 lit. c RODO – „przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”).
Podsumowanie
Trzeba stanowczo podkreślić, że przeprowadzenie reformy w procesie legislacyjnym – właściwie pod kątem jakościowym, w terminie do 05.2018 r. będzie dużym sukcesem resortu cyfryzacji. Bez względu na jakość proponowanych w projekcie przepisów konsultacje społeczne też nie będą proste. Pracy zarówno koncepcyjnej oraz systemowej jest ogromna ilość, a zasoby Ministerstwa – prowadzącego bardzo dużo projektów, niestety są ograniczone. Mamy nadzieję, że projekt będzie uwzględniał w dyspozycjach przepisów praktyczny aspekt przetwarzania danych i we właściwym zakresie odpowie na potrzeby rynku cyfrowego – oczywiście w tych obszarach gdzie RODO daje państwu członkowskiemu taką możliwość. Będziemy monitorować proces i zdawać z niego relację na naszym blogu.