GIODO: Włączenia proponowane przez Ministerstwo Cyfryzacji są zbyt szerokie

dr Edyta Bielak-Jomaa: Jestem zaniepokojona tymi wyłączeniami. Szkoda, że nie zostały z nami skonsultowane i przedyskutowane. Mamy świadomość, że małe i średnie przedsiębiorstwa mogą mieć poczucie, że spełnianie wszystkich obowiązków wynikających z RODO jest uciążliwe. Jednak takie szerokie wyłączenie, w mojej opinii, jest niezgodne z rozporządzeniem. Co więcej, w wielu przypadkach obniża standardy ochrony danych osobowych, które do tej pory mieliśmy, a które wynikały z obowiązującej obecnie ustawy o ochronie danych osobowych. Projektowane wyłączenia spowodują, że ten aktualny standard będzie obniżony. Niepokojące jest przede wszystkim to, że pozbawia się obywateli istotnych informacji, które są podstawą wykonywania przez nich ich praw.

Wyobraźmy sobie sytuację, że administrator zatrudniający do 250 osób przetwarza dane osobowe, w tym np. numery kart kredytowych, i dochodzi do wycieku tych danych. Jeśli projektowane przepisy zostaną uchwalone w niezmienionym kształcie, taki administrator nie będzie miał obowiązku poinformowania klienta o tym, że doszło do wycieku jego danych i klient nie będzie nawet wiedział, że powinien zastrzec swoją kartę. Z perspektywy zagrożeń współczesności, chociażby kradzieży tożsamości, to może być bardzo duże niebezpieczeństwo.

Zwracam uwagę, że samo rozporządzenie przewiduje pewne mechanizmy, które mają ułatwić życie małym i średnim przedsiębiorstwom. Jeśli dla takiego podmiotu powiadomienie o naruszeniu każdego klienta czy kontrahenta indywidualnie byłoby zbyt obciążające, to obowiązek ten może być spełniony w inny sposób, np. poprzez zamieszczenie komunikatu na stronie internetowej.

Moim zdaniem, te wyłączenia idą zbyt daleko. Co więcej, one nie dotyczą tylko małych i średnich przedsiębiorstw. W związku z zawartym w projektowanym przepisie odwołaniem do art. 9 ustawy o finansach publicznych będą dotyczyły także szkół publicznych, stowarzyszeń, fundacji, a więc nie są to tylko podmioty, które rozumiemy jako małe i średnie przedsiębiorstwa, co było sztandarowym wytłumaczeniem Ministerstwa Cyfryzacji na wprowadzenie tych wyłączeń. 

dr Edyta Bielak-Jomaa: Rozumiem argument, który się pojawia, że zrównanie kar dla wszystkich powodowałoby, że w przypadku podmiotów publicznych byłoby to przesuwanie pieniędzy publicznych z jednego miejsca w drugie. Natomiast 400-krotne obniżenie kar dla sektora publicznego rodzi pytanie o równość podmiotów wobec prawa. Takim skrajnym przykładem tej nierówności jest np. sytuacja uczelni publicznej i prywatnej.

Uczelnia prywatna za to samo naruszenie może otrzymać karę do 20 mln euro, a uczelnia publiczna do 100 tys. zł. Podobnie w przypadku szpitali publicznych i prywatnych, które często nawet znajdują się w tych samych budynkach. Z punktu widzenia osoby, której prywatność została naruszona, i ma to dla niej materialne lub niematerialne skutki, nie jest zrozumiałe, dlaczego szpitalowi publicznemu, który dopuścił się naruszenia, grozi mniejsza kara niż placówce prywatnej.

Nie dziwi mnie więc brak akceptacji tego rozwiązania przez podmioty prywatne, bo z ich perspektywy jest to zupełnie niezasadne. My również mamy wątpliwości co do takiego różnicowania wysokości tych kar.

dr Edyta Bielak-Jomaa: Cieszy mnie, że zrezygnowano z pomysłu, który pojawił się w pierwotnej wersji przepisów, dotyczącego powoływania Prezesa Urzędu Ochrony Danych Osobowych. Jednak nadal mój niepokój budzą przepisy dotyczące powoływania i odwoływania zastępców Prezesa Urzędu. Ustawodawca zachował rozwiązanie, zgodnie z którym Prezes Urzędu będzie mógł powołać swoich zastępców, ale dwóch na wniosek ministra cyfryzacji i jednego na wniosek ministra spraw wewnętrznych. W mojej ocenie, jest to niezgodne z przepisami RODO.

Jak stanowi art. 52 ust. 5 RODO, każde państwo członkowskie zapewnia, aby każdy organ nadzorczy wybierał i posiadał własny personel, działający pod wyłącznym kierownictwem członka lub członków danego organu nadzorczego. „Wybierał” – to znaczy, że organ ma sam decydować o wyborze swojego personelu. Propozycja Ministerstwa Cyfryzacji oznacza zaś, że Prezes Urzędu będzie miał bardzo ograniczoną możliwość wyboru, bo będzie wybierał tylko spośród tych osób, które wskażą politycy. Organ ma być absolutnie niezależny, co jest szczególnie istotne zwłaszcza dla przedsiębiorców. Nie sądzę, by chcieliby, żeby kary nakładał na nich albo oceniał ich działalność organ, który jest w jakiś sposób zależny od polityki.

Przypominam jednocześnie, że te przepisy trzeba będzie notyfikować Komisji Europejskiej. Nie wiem, jaka będzie jej opinia, ale w mojej ocenie, pojawia się groźba naruszenia gwarancji niezależności organu.