Opublikowany przez resort cyfryzacji wstępny projekt ustawy o ochronie danych osobowych ma pewne braki – ocenia Maciej Kaczmarski, prezes ODO24. Nie uwzględnia np. sposobu powołania nowego organu ochrony danych osobowych. Projekt różnicuje wysokość kar za naruszenie danych – są one znacznie niższe w przypadku instytucji publicznych niż firm. To budzi kontrowersje wśród ekspertów. Resort chce obniżyć do 13 lat wiek dzieci, które będą mogły samodzielnie wyrażać zgodę na przetwarzanie danych osobowych, np. w serwisach społecznościowych.
28 marca Ministerstwo Cyfryzacji opublikowało projekt ustawy o ochronie danych osobowych, który ma dostosować polskie regulacje do unijnego rozporządzenia o ochronie danych RODO. Nowa regulacja ma ujednolicić przepisy we wszystkich 28 państwach członkowskich Unii Europejskiej i wejdzie w życie 25 maja 2018 roku.
– Ministerstwo Cyfryzacji odpowiedzialne za wdrożenie rozporządzenia o ochronie danych osobowych w polskim systemie prawnym przedstawiło roboczy, tzn. niekompletny projekt polskiej ustawy o ochronie danych osobowych. Wyrazy uznania dla resortu, że dotrzymało terminu i na rok przed początkiem obowiązywania przepisów mamy projekt. Niestety, ma on jednak dużo braków – podkreśla w rozmowie z agencją informacyjną Newseria Biznes Maciej Kaczmarski, prezes ODO24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji.
Jak wskazuje, projekt zawiera też kilka kontrowersyjnych przepisów. Wątpliwości może budzić zastąpienie Generalnego Inspektora Ochrony Danych Osobowych przez prezesa Urzędu Ochrony Danych Osobowych (UODO). Wiąże się to z zapisem w unijnej dyrektywie, że inspektor ochrony danych ma być osobą fizyczną wyznaczaną przez administratora lub podmiot przetwarzający i zobowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów RODO.
– Niestety, nie jest wskazane, kto tego prezesa będzie wybierał. To niepokojący element, czy urząd wciąż będzie niezależny – zaznacza prezes ODO24.–Urząd zawsze w pewnym sensie był upolityczniony, do tej pory GIODO wybierał parlament. Teraz zmienia się nazwa, ale nie wiemy, kto będzie wybierał prezesa UODO. Trudno jednoznacznie wskazać, czy będzie to urząd bardziej upolityczniony niż dotychczas – mówi.
Nowością w przepisach unijnych jest możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Polska chce skorzystać jednak z uprawnienia, jakie przysługiwało ustawodawcy krajowemu, i obniżyć tę barierę do 13 lat. Zgodnie z Kodeksem cywilnym osoba, która ukończyła 13 lat, ma ograniczoną zdolność do czynności prawnych, może więc wyrazić zgodę na przetwarzanie danych, zwłaszcza że zawsze będzie można ją cofnąć.
Parlament Europejski do decyzji państw członkowskich zostawił też kwestię kar administracyjnych nakładanych na instytucje publiczne. Zgodnie z rozporządzeniem może sięgnąć 20 mln euro lub 4 proc. ubiegłorocznego globalnego przychodu.
– W projekcie polskiej ustawy o ochronie danych osobowych pojawiła się informacja, że instytucje publiczne będą mogły zostać ukarane karą pieniężną do wysokości 100 tys. zł, znacznie niższą niż przedsiębiorstwa państwowe. Zgodnie z przytaczaną argumentacją niższa kara ma służyć temu, żeby urząd przypadkiem nie został doprowadzony do sytuacji, kiedy nie może wypełniać swoich statutowych obowiązków, co byłoby ze szkodą dla społeczeństwa – mówi Maciej Kaczmarski.
Jego zdaniem projekt ustawy jest fragmentaryczny. Część istotnych kwestii pomija, np. kwestii nowelizacji innych ustaw, a jak przypomina ekspert, rozporządzenie wymusza zmianę nawet 200 przepisów w ustawach.
– Rozporządzenie wprowadza naprawdę dużo zmian. Skoro zmienia od kilkudziesięciu do setek polskich ustaw, to uzgodnienie takich szczegółowych kwestii, wypracowanie wspólnego stanowiska, później zapisania go w takiej formie, żeby prawo było jednoznaczne, na pewno nie będzie proste – zaznacza prezes ODO24.
Jak podkreśla, istotne jednak, że taki projekt w ogóle się pojawił.
– Pracodawcy odbierają nową regulację jako groźną dla siebie nie tylko z uwagi na wysokie kary, lecz także z uwagi na pojawiający się obowiązek autodonosu, czyli konieczności poinformowania UODO o wycieku danych osobowych, który u nas wystąpił. Jeśli pracodawca poinformuje organ, to będzie miał u siebie kontrolę i wcale go to nie zwolni z odpowiedzialności. Jeśli zaś tego nie zrobi, jest zagrożony karą do 10 mln euro. Jak na polskie warunki są to sumy astronomiczne, więc to ogniskuje bardzo uwagę przedsiębiorców na szczegółowych regulacjach dotyczących rozporządzenia – tłumaczy Maciej Kaczmarski.
Jak informuje resort, projekt ustawy o ochronie danych osobowych może trafić do Sejmu na jesieni tego roku, aby proces legislacyjny zakończył się na początku 2018 roku. Zostanie wówczas kilka miesięcy na przygotowanie się do wejścia w życie nowych przepisów.

Zobacz również: