Panoptykon: w projekcie zmian w ustawie o ochronie danych osobowych problematyczny wybór prezesa nowego urzędu
Ministerstwo Cyfryzacji przedstawiło projekt nowej ustawy o ochronie danych osobowych, która ma dostosować polskie przepisy do norm unijnych. W rozmowie z serwisem Wirtualnemedia.pl Facebook i Grupa WP zapewniają swą gotowość na nowe regulacje, a fundacja Panoptykon na gorąco wskazuje zalety i wady planowanej ustawy. - Pozytywne elementy to uprawnienia organizacji w zakresie postępowań o naruszenie ochrony danych czy powołanie Funduszu Ochrony Danych Osobowych. Zastrzeżenia może za to budzić sposób wyboru prezesa nowego urzędu regulacyjnego w zakresie ochrony danych obywateli - ocenia dla nas Katarzyna Szymielewicz, prezes Panoptykon.
Projekt nowej ustawy o ochronie danych osobowych autorstwa Ministerstwa Cyfryzacji został opublikowany i skierowany do konsultacji społecznych w piątek. Nowe prawo ma przystosować Polskę do wymagań Unii Europejskiej w zakresie ochrony danych osobowych (RODO), które zaczną obowiązywać w 2018 r.
Projekt pod względem liczby zmienianych aktów prawnych jest jednym z największych w ciągu ostatnich lat. Obejmuje również zmiany przepisów sektorowych w ponad 130 ustawach.
Wśród proponowanych zapisów znalazły się m.in. takie, które nakładają na firmy dodatkowe obowiązki i ograniczenia związane ze zbieraniem, przetwarzaniem i przechowywaniem danych o użytkownikach.
Projekt zakłada np. że pracodawcy mogą przetwarzać jedynie takie informacje biometryczne o pracownikach które dotyczą stosunku pracy, a sam zatrudniony musi wyrazić na to zgodę.
Projekt przewiduje też ścisłe procedury postępowania z danymi użytkowników w wypadku firm z poszczególnych sektorów gospodarki. Oznacza to, że informacje na temat klientów firm będą mogły być wykorzystywane tylko w wąskim zakresie związanym bezpośrednio z działalnością firmy. Np. banki i firmy ubezpieczeniowe będą mogły tworzyć na podstawie dostępnych danych profile osobowe klientów, ale tylko na własny użytek i nie w celach komercyjnych.
Według planów w nowych przepisach dodatkowe uprawnienia będą przysługiwały obywatelom mogącym wystąpić z sądowymi roszczeniami wobec podmiotów które nie dochowają należytej staranności w postępowaniu z wrażliwymi danymi użytkowników.
Za złamanie przepisów o ochronie danych osobowych w projekcie przewidziano kary które mogą sięgać nawet 20 mln euro. Dotkliwe konsekwencje mają spotykać firmy, które na skutek własnych zaniedbań w systemach informatycznych doprowadzą do wycieku wrażliwych danych klientów do sieci.
Szczegóły dotyczące obowiązywania ustawy o ochronie danych osobowych w konkretnych sektorach gospodarki mają regulować odrębne przepisy wykonawcze.
W projekcie przewidziano także powołanie nowego organu państwowego - prezesa Urzędu Ochrony Danych Osobowych „zaopatrzonego w instrumenty zapewniające jego otwartość na wszelkie konsultacje z przedsiębiorcami oraz obywatelami”.
Udział organizacji i fundusz na plus, wybór prezesa z zastrzeżeniami
O wstępną ocenę przepisów zaproponowanych przez MC w ustawie o ochronie danych osobowych serwis Wirtualnemedia.pl poprosił fundację Panoptykon zajmującą się szeroko rozumianą ochroną prywatności Polaków.
Katarzyna Szymielewicz, prezes Panoptykon zaznacza, że na razie może zwrócić uwagę jedynie na kilka wątków w projekcie, bowiem jego pełna analiza będzie musiała potrwać i trzeba na nią zaczekać.
- Uważamy, że przepis uprawniający organizacje do wszczynania lub włączania się do postępowań w sprawie naruszenia przepisów ochrony danych jest bardzo dobry - ocenia Katarzyna Szymielewicz. - Pewnym wentylem zapewniającym, że nie będzie on nadużywany jest fakt, że organizacja będzie mogła podjąć działania jedynie wówczas, gdy dojdzie do naruszenia prawa konkretnej osoby. Niepokoi nas natomiast brak jednoznacznego wskazania, że organizacje mogą brać udział w postępowaniach akredytacyjnych i certyfikacyjnych, które będą miały ogromne znaczenie dla praktyki stosowania nowych przepisów.
Panoptykon za bardzo dobrą uważa też propozycję powołania Funduszu Ochrony Danych Osobowych i przeznaczania części pieniędzy z kar nakładanych przez prezesa Urzędu Ochrony Danych Osobowych na edukację w zakresie ochrony danych osobowych.
- Bardziej problematyczna w praktyce może się okazać procedura wyboru szefa nowego urzędu - przewiduje Szymielewicz. - Kluczowym problemem na gruncie tego projektu nie jest brak niezależności prezesa urzędu - bo odpowiednie gwarancje chroniące go przed naciskami politycznymi w projekcie ustawy się znalazły (można się tylko czepiać możliwości powołania tej samej osoby na drugą kadencję) - ale ryzyko upolitycznienia tej instytucji już na etapie wybierania prezesa.
Według naszej rozmówczyni w zaproponowanej konstrukcji to premier de facto decyduje o tym, kto może zostać prezesem UODO. - Kluczowy jest przecież etap zgłaszania kandydatur i ich jakość. Jeśli na tym etapie pojawia się tyko jeden, „polityczny" kandydat to dalsza część procedury z udziałem Sejmu, a nawet silne gwarancje niezależności na wiele się nie zdadzą – ocenia szefowa Panoptykon. - Dla porównania, Panoptykon w konsultacjach z Ministerstwem Cyfryzacji proponował inne rozwiązanie. Na poziomie proceduralnym dwa alternatywne scenariusze:
Otwarty konkurs
Jasne wymagania konkursowe. Kandydaci zgłaszają się do konkursu prezentując strategię urzędu. Prezesa wybiera komisja składająca z przedstawicieli różnych środowisk. Elementem konkursu jest publiczna rozmowa konkursowa komisji konkursowej z kandydatem. Komisja przedstawia kandydata, który później jest nominowany np. przez Prezesa Rady Ministrów.
Procedura wyboru z silną pozycją parlamentu
Wybór lub rekomendacja udzielona przez Sejm i Senat. Kluczowe w tym wyborze jest zabezpieczenie możliwości zgłaszania kandydatów bez poparcia politycznego. Ważny jest otwarty przebieg tego procesu i wysoki poziom merytoryczny. Dlatego kandydatów na prezesa UODO powinny móc zgłaszać różne środowiska i instytucje (grupy posłów, marszałek Sejmu, organizacje społeczne, środowisko akademickie…). Kandydaci powinni być następnie przesłuchiwani przez specjalnie do tego powołaną podkomisję sejmową. Takie przesłuchiwania miałyby charakter otwarty dla publiczności. W trakcie jednego posiedzenia przesłuchiwany mógłby być tylko jeden kandydat. Chodzi o stworzenie takiego krajobrazu proceduralnego by uniknąć automatyzmu w przedstawianiu kandydatur.
Dalej Szymielewicz wskazuje, że w każdym z przedstawionych scenariuszy elementem procedury wyboru powinien być formularz w którym kandydaci powinni zrobić samoocenę ewentualnych konfliktów interesów.
- W formularzu kandydaci powinny deklarować czy w związku z poprzednim zatrudnieniem, zasiadaniem w konkretnych gremiach, radach nadzorczych itp. dostrzegają konflikty interesów, które mogą wpływać na działalność jako prezesa urzędu - przewiduje prezes Panoptykon. - Formularz powinien być podany do informacji publicznej wraz z ogłoszeniem kandydatury. To dobra, ukształtowana na przestrzeni ostatnich kilkunastu lat praktyka zwiększająca społeczny udział w procesie wyboru kandydatów na najważniejsze stanowiska państwowe. Ponadto kandydat powinien prezentować publicznie swoją strategię/wizję w związku z funkcją prezesa UODO. Nic z tego w ustawie się nie znalazło, i to jest problem - ocenia Szymielewicz.
Nowa ustawa to ewolucja, jesteśmy gotowi
Proponowane przez MC nowe przepisy po konsultacjach i wejściu w życie będą obowiązywały w Polsce większość podmiotów gospodarczych, w tym także te działające w internecie. Jednak np. Facebook i Grupa WP nie widzą większych problemów w realizacji nowych wymagań i zapewniają, że są na nie gotowe.
W komunikacie przesłanym do redakcji Wirtualnemedia.pl Facebook nie ocenia bezpośrednio proponowanych w Polsce przepisów ani samego RODO. Zapewnia natomiast, że będzie przygotowany do wprowadzanych regulacji.
- Facebook przestrzega wszystkich obowiązujących w Europie regulacji prawnych dotyczących ochrony danych oraz wspiera w tym zakresie jednolity system europejski - podkreśla komunikat. - RODO stwarza organizacjom, organom regulacyjnym oraz decydentom okazję do wspólnej pracy na rzecz systemu, który na pierwszym miejscu stawia potrzeby ludzi. Istotną częścią trwającego procesu przygotowań do wprowadzenia „Rozporządzenia o Ochronie Danych Osobowych” (RODO), które wejdzie w życie w przyszłym roku, jest rekrutacja na wymagane przez nowe przepisy stanowisko „Data Protection Officer”. Osoba na tym stanowisku będzie dodatkowym kontaktem zarówno dla organów regulacyjnych, jak również osób korzystających z Facebooka, tak aby nadal mogli bez przeszkód kontrolować co dzieje się z ich danymi.
Facebook zapewnia, że od dawna działa w zgodzie z europejskimi regulacjami dotyczącymi ochrony danych dzięki siedzibie firmy w Irlandii. Obecnie Facebook jest regulowany i kontrolowany przez irlandzki urząd ochrony danych (The Office of the Data Protection Commissioner).
W podobnym duchu sprawę ocenia w rozmowie z nami Jerzy Dąbrówka, VP communication product Grupy WP. - Rozporządzenie RODO powtarza część obowiązków przewidzianych w dotychczasowych przepisach o ochronie danych osobowych ale również wprowadza nowe - podkreśla Jerzy Dąbrówka. - Naszym podstawowym obowiązkiem w tej chwili jest zapewnienie aby najpóźniej do 25 maja 2018 r. wszystkie obowiązki przewidziane w RODO oraz powiązanych z RODO polskich przepisach, zarówno tych już uchwalonych, jak i tych, które zostaną uchwalone w najbliższym czasie, były spełniane.
Nasz rozmówca zaznacza, że WP traktuje regulacje RODO raczej jako ewolucję, a nie rewolucję systemu ochrony danych osobowych i dlatego nie przewiduje aby doprowadziły one np. do utraty użytkowników.
- W ramach IAB pracujemy też nad kodeksem dobrych praktyk branży internetowej w zakresie ochrony danych osobowych - przyznaje Dąbrówka. - Kodeks ten będziemy konsultować z organami zajmującymi się ochroną danych osobowych i liczymy, że zapewni on ujednolicenie zasad ochrony danych naszych użytkowników.
Dołącz do dyskusji: Panoptykon: w projekcie zmian w ustawie o ochronie danych osobowych problematyczny wybór prezesa nowego urzędu