Nasze dane, Unii sprawa

Nasze dane, Unii sprawa

Dodano: 
Maciej Kawecki
Maciej Kawecki
W Polsce od 20 lat dane osobowe chroni ta sama ustawa, choć skala przetwarzania najważniejszych informacji o nas wzrosła gigantycznie. Ministerstwo Cyfryzacji przygotowało projekt nowej ustawy o ochronie danych osobowych, która wdraża rozporządzenie unijne. Czy nowe prawo ma szansę sprawdzić się w dobie mediów społecznościowych i zakupów online? – Tylko pod warunkiem, że będzie ono neutralne technologicznie – mówi dr Maciej Kawecki, koordynator krajowej reformy ochrony danych w Ministerstwie Cyfryzacji.

Rozmawia Alicja Jasińska, DoRzeczy.pl

A.J.: Nie ulega wątpliwości, że stara ustawa z 1997 roku się zdezaktualizowała. Dziś nasze dane osobowe przekazujemy podczas każdych zakupów online czy logując się do skrzynki pocztowej. Co zmieni nowa ustawa?

M.K.: Trzeba było stworzyć prawo, które jest neutralne technologicznie. Takie, które się nie zdezaktualizuje wraz z rozwojem nowych technologii, tylko podąża razem z nimi. Da się to zrobić tylko w jeden sposób: nie konstruując generalnych przepisów, jak zabezpieczać technicznie dane osobowe, tylko nakazywać, by zawsze spełniać najwyższy standard ich ochrony. Stosując dla mnie trzy najczytelniejsze kryteria: powszechna dostępność środków zabezpieczających, ich uznana skuteczność oraz stabilność technologiczna.

A.J.: Myślałam, że – jak zawsze – nowa ustawa zaostrzy kary.

M.K.: Ustawa wdraża rozporządzenie unijne, które samo w sobie przyznaje możliwość nakładania kar finansowych, czego obecne przepisy nie przewidują. Dla przedsiębiorców – nawet do 20 mln. euro lub 4% rocznego światowego obrotu. Jeśli zaś chodzi o dla administracji publicznej, to rozporządzenie daje krajom członkowskim swobodę w określaniu ich wysokości. I właśnie w tym przypadku obniżyliśmy wymiar kary do stu tysięcy złotych.

A.J.: Łatwo sobie wyobrazić skrajne przypadki naruszenia danych osobowych, ale np. zalewanie naszej skrzynki pocztowej „spamem” jest takim naruszeniem?

M.K.: Oczywiście. Spam to - w języku prawniczym - doręczanie niezamówionej informacji handlowej drogą elektroniczną. Wykorzystywanie naszego adresu e-mail, który bardzo często wchodzi w skład naszych danych osobowych do celów, których my nie chcemy, jest naruszeniem danych osobowych.

Kolejny przykład - załóżmy, że jakaś firma zmienia siedzibę i chce poinformować o tym swoich klientów. Wysyła więc w w tym celu maila, bez zamieszczenia w kopii ukrytej poszczególnych adresów, ujawniając tym samym każdemu klientowi listę wszystkich pozostałych. To też często naruszenie zasad ochrony danych osobowych, nie mówiąc już o naruszeniu innych tajemnic prawnie chronionych.

A.J.: Przedsiębiorca, który ma pięciu klientów powie, że przecież nikomu nie zaszkodził.

M.K.: Ilość klientów nie ma znaczenia co do faktu samego naruszenia, ale już wysokość kary może zależeć od skali naruszeń. Im ich zakres jest większy, tym kara powinna być wyższa. Jednak nie zakładamy, jak już mówiłem, że organ będzie nastawiony przede wszystkim na karanie przedsiębiorców, ale na pomoc poprzez możliwość przeprowadzenia z nimi konsultacji i uzyskania wskazówek gwarantujących postępowanie zgodne z przepisami.

A.J.: Jak zmieni się postępowanie w przypadku naruszenia danych osobowych?

M.K.: Wcześniej postępowanie przed Generalnym Inspektorem Ochrony Danych Osobowych było dwuinstancyjne, postępowanie przed tym nowym organem, który tworzymy, a więc Prezesem Urzędu Danych Osobowych, będzie jednoinstancyjne. Przyśpieszy to z pewnością postępowanie, o co zabiegają wszyscy ci, których prawo do ochrony danych zostało naruszone, a na jego wyegzekwowanie czekają obecnie – bardzo długo i za długo. Jednoinstancyjność jest więc odpowiedzią na społeczne oczekiwania i to zarówno osób fizycznych, jak i przedsiębiorców.

A.J.: To co teraz będzie z Generalnym Inspektorem Danych Osobowych?

M.K.: Zastąpi go właśnie Prezes Urzędu Danych Osobowych, który będzie jego następcą – prawnym z wszystkimi tego konsekwencjami, w tym również pod względem ciągłości zatrudnienia osób pracujących dzisiaj w Biurze GIODO. Tak przynajmniej będzie zakładał projekt Ministra Cyfryzacji. Na pewno zapewnimy ciągłość zatrudnienia osób.

A.J.: Czym się ten nowy Prezes będzie zajmował?

M.K.: Wchodzimy w nową erę danych osobowych. To musi być organ otwarty, doradzający, wspierający i konsultujący. Powtarzam to jak mantrę i będę powtarzał. Bo taki jest nasz cel i taki był cel ustawodawcy unijnego. Chcielibyśmy, żeby w pierwszej kolejności był krajowym konsultantem, a dopiero w drugiej kolejności egzekutorem zasad ochrony danych osobowych. Ma najpierw konsultować, a potem karać, żeby przedsiębiorca miał możliwość uzyskania konkretnej informacji i podjęcia decyzji: czy postępuje zgodnie z przepisami i nie naraża się na karę, czy też nie, i na jaką karę się naraża.

A.J.: Dlaczego organ będzie sam o sobie decydował, o swoim składzie, swojej strukturze?

M.K.: Ta niezależność, do której zobowiązuje unijne rozporządzenie, jest dla nas bardzo ważna, więc wprowadzamy jej gwarancje. I dlatego przewidujemy m. in. możliwość samodzielnego decydowania o wewnętrznej strukturze organizacyjnej. Dzisiaj, o tym jak wewnętrznie wygląda biuro GIODO, decyduje prezydent, bo to on w drodze wydawanego rozporządzenia nadaje statut organowi. W tym zakresie to się na pewno zmieni. Specjalistą od tego jak ma wyglądać organ wewnątrz, jest sam organ

A.J.: Dlaczego nowe prawo obniży wiek osób, które wyrażają zgodę na przetwarzanie danych osobowych z 16 do 13 lat?

M.K.: Chodzi o to, żeby przepisy były kompatybilne z kodeksem cywilnym. Skoro taka osoba może kupić książkę, to dlaczego nie ma mieć prawa przekazać danych osobowych, żeby – przykładowo otrzymywać informacje o promocjach wydawniczych. Należy też wskazać, że przepis rozporządzenia jest szczególnie trudny, bo nie wskazuje, jak weryfikować zgodę rodziców, jak weryfikować ich tożsamość, jaki stworzyć mechanizm, żeby wiedzieć, że zgody udzielił rodzic, a nie dziecko. Stąd też obniżenie granicy wieku.

A.J.: Kiedy nowe przepisy wejdą w życie?

M.K.: Bardzo chcielibyśmy udostępnić je na początku sierpnia. Konsultacje społeczne będą trwały około miesiąca. Projekt ustawy będzie dostępny na stronie internetowej, każdy będzie mógł wysłać uwagi. Znajdą się one później w tabeli uwag.

A.J.: Minister Anna Streżyńska zapowiada dowody osobiste na smartfony. Już nimi płacimy. Sama drżę ze strachu, kiedy odłożę gdzieś telefon i przez chwilę wydaje mi się, że go zgubiłam. Mając tam dowód osobisty, będę bać się jeszcze bardziej. Jak kwestie bezpieczeństwa będą się miały do nowej ustawy?

M.K.: Staramy się podejść do tego racjonalnie. Są pewne rozwiązania technologiczne, co do których już dorośliśmy. To jest na pewno zagadnienie cyfryzacji dokumentów czy chociażby biometrii, profilowania. Jeżeli chodzi o dowody osobiste, to wszystkie usługi projektowane przez ministra cyfryzacji uwzględniają i dzisiejszy stan prawny, i ogólne rozporządzenie, więc to absolutnie nie blokuje misji cyfryzacji. Z kolei co do biometrii naszą trochę misją jest budowanie pozytywnej narracji wokół danych biometrycznych.

A.J.: Na czym taka pozytywna narracja co do biometrii ma polegać?

M.K.: Na biometrię można patrzeć szerzej w kontekście nowych technologii. Jeżeli logujemy się do telefonu komórkowego przez odcisk palca – to są dane biometryczne, nasz głos – to też dane biometryczne, charakter pisma przechowywany w postaci wzoru podpisu przez banki czy kurierów również. My nie możemy budować prawa, które od samego początku nie będzie podążało za duchem technologii.

Będziemy się na ten temat w prawie na pewno wypowiadali. Bez wątpienia potrzebne są jednak regulacje, które nakładają na przedsiębiorców obowiązki techniczne, jak zabezpieczać dane biometryczne, żeby one były wprowadzone np. w postaci kodu cyfrowego, a nie surowych danych.

Autor: Alicja Jasińska
Źródło: DoRzeczy.pl
Czytaj także