Wielki krok na drodze do RODO
Wprawdzie RODO stanowi przepis obowiązujący we wszystkich krajach członkowskich bez konieczności jego bezpośredniej implementacji, jednak zakres zmian, niezbędnych do wprowadzenia w polskim systemie prawnym trudno określić inaczej aniżeli rewolucją. Obok zupełnie nowej ustawy o ochronie danych większe lub mniejsze korekty dotkną również około 130 ustaw sektorowych, poczynając od przepisów regulujących funkcjonowanie administracji publicznej a kończąc na ustawach dla poszczególnych segmentów gospodarki, jak np. Prawo bankowe, Prawo ubezpieczeniowe czy ustawa o notariacie. Bezprecedensowy charakter miało również współdziałanie pomiędzy resortem a interesariuszami w toku tworzenia nowych rozwiązań regulacyjnych.
Dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, przypomniał, iż podczas trwających równo miesiąc konsultacji społecznych do resortu wpłynęło ponad tysiąc uwag i propozycji. Najczęściej głos zabierali przedsiębiorcy i ich organizacje, w tym również Związek Banków Polskich. Sporo uwag napłynęło także od organizacji pozarządowych, w szczególności zajmujących się obszarem ochrony prywatności i funkcjonowania jednostki w świecie wirtualnym.
Jakie obszary obejmie największa rewolucja? Jednym z istotniejszych celów tworzonego prawa będzie kompleksowe uregulowanie kwestii monitoringu pracowników na terenie zakładów pracy. Utrwalanie obrazu i dźwięku w takich miejscach, łącznie z wizerunkiem zatrudnionych tam osób, jest dziś powszechną praktyką, dotychczas jednak działania te nie doczekały się spójnego i kompleksowego objęcia normami prawnymi. Nowe prawo wprowadzi również jednoznaczne zasady w zakresie przetwarzania danych osobowych przez sektor e-commerce oraz e-usług, w tym również przez potężne sieci społecznościowe.
Minister Anna Strężyńska jednoznacznie wskazała, iż celem wprowadzanych w tym obszarze przepisów jest chęć ograniczenia asymetrii pomiędzy podmiotami nierzadko o globalnym zasięgu a ich klientami. Wiele emocji wzbudziła również kwestia nadzoru i jego kompetencji, w szczególności w zakresie nakładania sankcji na krnąbrne podmioty. Zgodnie z projektem, organy administracji publicznej będą karane łagodniej, maksymalna stawka sankcji nakładanej przez Urząd Ochrony Danych Osobowych wyniesie w ich przypadku 100 tys. zł. Dla porównania, przedsiębiorcy będą musieli zapłacić nawet do 20 mln euro, nie więcej jednak niż 4% rocznych obrotów. Równocześnie jednak urzędy będą musiały upublicznić informację odnośnie zarzutów postawionych przez UODO i przyjętego sposobu usunięcia naruszeń.
Jeśli chodzi o prerogatywy prezesa UODO, uczestniczące w konsultacjach podmioty zwróciły uwagę na ryzyko zawarte w obecnych propozycjach. Ponieważ urząd miałby wydawać zainteresowanym firmom certyfikaty spełniania wymogów RODO, a równocześnie mógłby nakładać na nie kary, pojawiła się obawa czy zgłoszenie wniosku o certyfikat przez przedsiębiorcę nie byłoby niekiedy równoznaczne z jego samodenuncjacją. Dr Kawecki wspomniał, iż kwestia ta najpewniej zostanie rozwiązana w ten sposób, że prawo do wydawania certyfikatów powierzone zostanie innej instytucji. To zaledwie niektóre z obszarów, na które zwrócili uwagę uczestnicy konsultacji, jednak czasu na ich rozpatrzenie i ewentualne wdrożenie pozostało niewiele. – Naszą ambicją jest, żeby najpóźniej do końca lutego ten pakiet trafił do Sejmu i byśmy w okolicach marca – kwietnia mogli pokazać ustawę, co najmniej w postaci ostatecznie zatwierdzonej przez parlament – podkreślił Marek Zagórski, wiceszef resortu cyfryzacji.
Karol Jerzy Mórawski