Rz: W ostatnich dniach dużo się mówi o ochronie danych osobowych. Czym jest spowodowane to zainteresowanie mediów i opinii publicznej?
dr Maciej Kawecki: Na pewno można wskazać na dwa wydarzenia o charakterze rocznicowym. Kilka dni temu obchodziliśmy Europejski Dzień Ochrony Danych Osobowych. Dzień ustanowiony w rocznicę przyjęcia Konwencji 108 Rady Europy – najstarszego aktu prawnego o zasięgu międzynarodowym, kompleksowo regulującego zagadnienia związane z ochroną danych osobowych. Drugą okazję tworzy 20 – lecie polskiej ustawy o ochronie danych osobowych. Wydarzenia te są pewną formą przypominania, celebrowania dat bez wątpienia ważnych z uwagi na ochronę danych osobowych obywateli. Ich obchodzenie jest istotne o tyle, że stanowi okazję do przypomnienia, czym tak naprawdę jest ochrona danych osobowych, co samo w sobie podnosi świadomość na temat potrzeby ich ochrony. W praktyce nie ma to jednak żadnego wpływu na sytuację prawną obywateli w zakresie ochrony ich prywatności.
To nie ze względu na te wydarzenia warto – w mojej ocenie szczególnie – zaakcentować wyjątkowość okresu, w którym się w chwili obecnej znajdujemy. Ważnym do podkreślenia jest natomiast, że żyjemy w czasie bez wątpienia niezwykle doniosłych unijnych, a w konsekwencji krajowych, przemian w prawie ochrony danych osobowych. Przemian, które wywrą ogromny wpływ na ochronę naszych danych osobowych, a nawet szerzej, na ochronę naszej prywatności.
Ma Pan na myśli przyjęcie ogólnego rozporządzenia o ochronie danych osobowych?
Tak. I proszę pamiętać, że wraz z tym przyjęciem, unijny ustawodawca powierzył państwom członkowskim – w tym Polsce – wyzwanie wdrożenia go do krajowych porządków prawnych. Oba akty prawne – krajowy oraz unijny – zaczną być stosowane w Polsce od 25 maja 2018 r. W tym właśnie zakresie zaakcentować należy szczególną rolę ministra cyfryzacji, jako odpowiadającego w Polsce za podjęcie wskazanych działań legislacyjnych. Już dziś można powiedzieć, że nowe polskie przepisy wdrażające ogólne rozporządzenie unijne o ochronie danych zastąpią obowiązującą obecnie ustawę o ochronie danych osobowych. Wraz z rozporządzeniem unijnym stanowić będą więc nową podstawę prawną przetwarzania danych osobowych, tworząc zupełnie nowy system prawny ich ochrony.
Mówimy jednak o rozporządzeniu, a nie o nowej dyrektywie unijnej. Zwykło się przyjmować, że ten pierwszy akt ujednolica, a drugi harmonizuje prawo unijne. Czy w związku z tym polski ustawodawca ma w ogóle jakieś pole manewru?
Rzeczywiście zakres swobody w przyjęciu regulacji krajowych zawierających nowe zasady ochrony danych osobowych jest dość wąski. Zdecydowana większość regulacji w tym zakresie uregulowana została już bowiem w rozporządzeniu unijnym. Jednak polska ustawa bez wątpienia zawierać będzie przepisy określające pozycję ustrojową przyszłego organu ochrony danych, postępowanie w sprawach ochrony danych oraz szczegółowe kwestie, jak chociażby certyfikacja w obszarze ochrony danych osobowych, czy zagadnienie zgody rodziców na wykorzystywanie danych dzieci w środowisku społeczeństwa informacyjnego.
Zakres uprawnień takiego organu, jego kompetencje w zakresie prowadzenia postępowań i orzekania będą miały niebagatelne znaczenie dla praktycznego stosowania przepisów. Z jednej strony musi on pogodzić interesy obywateli i prawa do prywatności, a z drugiej pamiętać o potrzebach przedsiębiorców. Czy w ogóle da się to pogodzić?
W tym zakresie, największą trudnością stojącą przed naszym resortem wydaje się przyjęcie takich regulacji krajowych, które odpowiadać będą zasadzie tzw. złotego środka – pozostając oczywiście w pełni zgodnymi z prawem Unii Europejskiej. Zresztą już w obszarze prawa unijnego mamy dwa równoważne prawa podstawowe. Jednym z nich jest wyrażona w Karcie Praw Podstawowych UE ochrona danych osobowych, a nawet szerzej ochrona prywatności, drugim wyrażona w tym samym akcie wolność prowadzenia działalności gospodarczej, swoboda przedsiębiorczości, a co z tym związane zapewnienie rozwoju gospodarczego. Istotna rola obu z wskazanych praw podstawowych wyrażana była zresztą również w wielu wyrokach Trybunału Sprawiedliwości UE. Sama Konstytucja RP wskazuje, że ograniczenie wolności działalności gospodarczej jest dopuszczalne tylko w drodze ustawy i tylko ze względu na ważny interes publiczny, przesądzając jednocześnie o konieczności poszanowania prywatności obywateli.
Projektowane regulacje prawne bez wątpienia muszą mieć to na uwadze. Na naszym resorcie ciąży więc bez wątpienia obowiązek przyjęcia regulacji, które zapewniając pełną ochronę danych osobowych, nie ograniczają możliwego rozwoju przedsiębiorczości. Wpływ na to może mieć bez wątpienia kształt przyszłego organu, czy takie zasady jego postępowania, które zapewnią możliwość szybkiego i skutecznego reagowania na incydenty naruszenia zasad ochrony danych. Regulacje prawne zapewniające ochronę tak ważnych praw podstawowych, jakimi jest ochrona danych osobowych a nawet szerzej ochrona prywatności, nie mogą być martwe. Powinny poprzez ich odformalizowanie umożliwiać szybkie reagowanie na incydenty naruszenia danych osobowych, stanowiąc samą w sobie gwarancję ochrony takich praw.
Jakie zatem zapisy, podkreślając że mówimy tylko o wstępnych założeniach, mogłyby się znaleźć w przyszłej ustawie?
Przykładowo, obowiązująca obecnie ustawa o ochronie danych osobowych nie nakłada na pracowników organu tajemnicy ustawowej – warto to zmienić. W trakcie przeprowadzanych kontroli, organ może uzyskać bowiem dostęp nie tylko do danych osobowych, ale do treści objętych tajemnicą przedsiębiorstwa, jak know – how, czy kody źródłowe. Bardzo ciekawe rozwiązanie legislacyjne wprowadzone zostało w tym zakresie do polskiego prawa telekomunikacyjnego. Przedsiębiorca telekomunikacyjny może zastrzec informacje bądź dokumenty zawierające tajemnicę przedsiębiorstwa, dostarczane na żądanie prezesa UKE lub na podstawie przepisów ustawy. Zastrzeżenie uwzględnia się przy ogłaszaniu informacji lub dokumentów oraz zapewnianiu dostępu do informacji publicznej. Bez wątpienia wartym rozważenia jest wprowadzenie podobnej regulacji również do przyszłej ustawy zapewniającej ochronę danych osobowych.
Możliwe jest również przyznanie organowi ochrony danych uprawnienia do wydawania niewiążących instrumentów prawnych (wytyczne, zalecenia, komunikaty), których tworzenie miałoby być poprzedzone współpracą zawiązaną z organizacjami społecznymi, w tym izbami gospodarczymi.
Nie oznacza to, że wszystkie ze wskazanych rozwiązań znajdą się w wydanym przez ministra cyfryzacji projekcie przyszłej „ustawy o ochronie danych osobowych". Będą one podlegały jeszcze zgłębionej analizie tak, by ustawa zaspokajała w pełni interesy osób, których dane osobowe są pozyskiwane, przy uwzględnieniu jednak, że obrót informacjami jest niezbędnym ogniwem rozwoju gospodarczego kraju.
Kiedy można spodziewać się publikacji projektu ustawy?
Dochowamy najwyższej staranności, by projekt ustawy został udostępniony na wiosnę tego roku.