Ministerstwo Cyfryzacji na przełomie lipca i sierpnia planuje ogłosić projekt reformy przepisów sektorowych dotyczących ochrony danych osobowych. Spotkaliśmy się więc z dr. Maciejem Kaweckim, zastępcą dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, który koordynuje prace nad projektem dostosowania przepisów RODO do prawa krajowego, aby porozmawiać o wyzwaniach, jakie stawia przed ustawodawcą tak duża reforma.

Redakcja: r.pr. Tomasz Osiej, red. naczelny Maciej Chodorowski: Jak to jest tworzyć tak ogromny system prawny, jak nowe, kompleksowe, krajowe przepisy o ochronie danych osobowych?

Dr Maciej Kawecki (M.K.): Po pierwsze ja ich nie tworzę, a co najwyżej współtworzę i koordynuję cały proces. Twórcami jest też grupa świetnych legislatorów z resortu cyfryzacji. Oni są twórcami. Proces wymaga natomiast ponadprzeciętnego zaangażowania ze strony nas wszystkich, bo jest ogromny i multisektorowy. Ale jest to dla mnie zaszczyt móc wspierać Ministra Cyfryzacji w tym zakresie i wszystko koordynować.

reklama

Skąd pojawiło się u Pana zainteresowanie „danymi osobowymi”? Jak trafił Pan do tego sektora? Czy był to przypadek czy celowy wybór drogi zawodowej?

M.K.: To było mniej więcej dziesięć lat temu. Na Uniwersytecie Jagiellońskim organizowane były warsztaty, niestety teraz już ich nie ma, które nazywały się  – „IP student”. Przez rok uczestniczyło się w spotkaniach poświęconych własności intelektualnej. Kancelarie prowadzące warsztaty wyławiały wśród ich uczestników prawników, których zapraszały później na praktyki. Trafiłem do kancelarii, która zajmowała się ochroną danych osobowych. Do dziś pamiętam, że pierwszy kazus, który rozpatrywałem z punktu widzenia ochrony danych osobowych, dotyczył znanego portalu społecznościowego, a pierwszą rzeczą jaką robiłem, była ocena regulaminu świadczenia usług drogą elektroniczną z punktu widzenia ochrony danych osobowych. I tak to się zaczęło. Następnie napisałem pracę magisterską na temat danych osobowych, a potem pracę doktorską. Od czasu kiedy pracuję w Ministerstwie Cyfryzacji zacząłem jednak patrzeć na zagadnienie ochrony danych osobowych inaczej, szerzej, z punktu widzenia cyfryzacji, informatyzacji, digitalizacji, innowacyjnej gospodarki. Konstruując dobre prawo musimy patrzeć na całą przestrzeń działania państwa. Teraz jest też ten czas, kiedy tak naprawdę, wbrew pozorom, od danych osobowych odchodzę najbardziej, zajmując się też innymi działami. Chcąc wprowadzać zmiany sektorowe, musimy dany sektor zrozumieć. Tak jak na przykład, kiedy zmieniamy przepisy ubezpieczeniowe, to kilka dni spędzamy jedynie nad prawem ubezpieczeniowym, z którym wcześniej nie miałem prawie w ogóle do czynienia. W związku z tym, na sprawę nowelizacji przepisów o ochronie danych osobowych muszę spojrzeć ze znacznie szerszej perspektywy.

Co, w Pana ocenie, RODO zmieni w działalności przedsiębiorcy?

M.K.: Na pewno przedsiębiorców czekają spore zmiany, jedne ułatwią prowadzenie działalności, a inne wprowadzą dodatkowe obowiązki.

reklama

W jakim zakresie ułatwi?

M.K.: Ułatwi dlatego, że dostajemy instrument, który zapewnia identyczne regulacje we wszystkich państwach Unii Europejskiej. Przedsiębiorca nie będzie musiał mierzyć się z zupełnie odrębnymi, krajowymi porządkami prawnymi. Do tej pory zgoda na gromadzenie danych biometrycznych czy danych wrażliwych w jednym państwie miała formę pisemną, a w innym takiej formy nie było. Albo katalog danych wrażliwych – w jednym państwie obejmuje skazania, a w innym nie są one uważane za dane wrażliwe. Te wszystkie kwestie zostaną zunifikowane. I to jest zdecydowany plus. Wymóg powołania inspektów ochrony danych przez każdy organ administracji publicznej i znaczną część przedsiębiorców zaktywizuje rynek pracy. Duża liczba miejsc pracy powstanie również w podmiotach, które będą zajmowały się certyfikacją. Sama certyfikacja jest instrumentem stymulującym rozwój konkurencji, tworzenie klasy przedsiębiorców, dla których ochrona prywatności jest zagadnieniem ważnym i stanowiącym punkt odniesienia dla pozostałych. Ale obok tego przepisy czynią system ochrony danych bardziej restrykcyjnym – rygory związane z karami finansowymi, zasadą przenoszalności danych, prawem do bycia zapomnianym. Rolą Ministra Cyfryzacji natomiast, i to trzeba powiedzieć jasno, jest znalezienie rozwiązania, by tam gdzie ustawodawca unijny daje nam swobodę w podjęciu określonych działań legislacyjnych, dać przedsiębiorcom instrumenty do działania przy jednoczesnym pogodzeniu tego z ochroną prywatności. Obszarem, w którym zmiany będą na pewno odczuwalne, będą banki czy sektor ubezpieczeniowy. Sektor ubezpieczeniowy, który jest wyjątkowym sektorem w Polsce z punktu widzenia digitalizacji, trochę raczkuje w porównaniu na przykład z poziomem rozwoju tego sektora w Wielkiej Brytanii. W tym przypadku zniesienie wymogu pisemności na udostępnienie danych osobowych wrażliwych i zastąpienie zwrotu „pisemny”, zwrotem „wyraźna zgoda”, czyli wprowadzenie rozluźnienia rygorów pozyskiwania zgody na przetwarzanie danych, jest rewolucją. Ubezpieczyciele obecnie mogą prowadzić digitalizację polis ubezpieczeniowych, jest to jednak utrudnione, bo teraz i tak na którymś z kolejnych etapów konieczne jest skupienie się na kartce papieru i odebranie zgody ubezpieczonego.

Z czym kojarzy się Panu słowo RODO, czy GDPR, gdyby miał Pan odpowiedzieć w trzech słowach?

reklama

M.K.: Z inteligencją, nowością, innowacyjnością. Jednak na pierwszym miejscu z inteligencją.

Dlaczego akurat „inteligencja”?

M.K.: Jeden z pracowników Biura Generalnego Inspektora Ochrony Danych Osobowych na konferencji nazwał RODO „inteligentnym aktem prawnym”. I ja się z tym zgadzam. Przepisy inteligentne to takie, które dostosowują się do rzeczywistości, które są zaprojektowane w taki sposób, żeby nie wymagały zmiany. RODO została nadana taka forma, która pozwala dostosować go do zmieniającej się rzeczywistości – na tym polega jego inteligencja. Trudno jest sobie wyobrazić, żeby ten akt się zdezaktualizował, niezależnie od tego, w którym kierunku będzie podążał rozwój technologii. Chyba, że wymyślimy zupełnie nowe pojęcia w prawie ochrony danych. Spotkałem się ostatnio z fascynującą koncepcją nowego statusu podmiotów pozyskujących dane osobowe tzw. operatorów bądź data stewardów. To termin obcy RODO. Wyobraźmy sobie jednak sytuację, że za 15 lat aurę człowieka, czyli jego pole elektromagnetyczne uznajemy za daną biometryczną. Dzisiaj nie jest za taką uważana, nie jesteśmy w stanie jej oceniać. To byłaby rewolucja, ale nie dezaktualizowałaby w żadnym zakresie RODO, bo dane biometryczne są tam zdefiniowane w taki sposób, że wskazują jedynie na to, co „w szczególności” do nich zaliczamy. I takich przykładów mamy bardzo dużo. Zatem na pierwszym miejscu – inteligencja.

Ciekawi jesteśmy jakie trzy największe ryzyka i zalety dostrzega Pan, jeżeli chodzi o GDPR? Jedną z zalet, jak już ustaliliśmy, jest elastyczność.

M.K.: Zaletą jest elastyczność. Zaletą jest unifikacja. A trzecią z zalet jest zwiększenie instrumentów ochrony, czyli uczynienie tej ochrony bardziej restrykcyjną, ułatwienie jej egzekwowania. Znów wrócę do bardziej gospodarczego punktu widzenia. Dzisiaj obywatele mają często poczucie, że ich dane osobowe nie są wystarczająco chronione, ograniczając przekazywanie przedsiębiorcom swoich danych. Na ich podstawie możliwe jest jednak świadczenie usług jeszcze bardziej innowacyjnych i wygodnych dla obywateli. Ale taki obywatel musi mieć absolutną gwarancję, że jego dane będą wykorzystane tylko w celu, w którym zostały przekazane. Jeżeli tak będzie – a mam nadzieję, zapewni to RODO, obywatele będą przekazywali swoje dane bez większych obaw, a to z kolei może mieć wpływ na rozwój innowacyjnej gospodarki. Jednym z ryzyk jest natomiast podejście Unii Europejskiej do ochrony danych osobowych na zasadzie analizy ryzyka. Obawiam się, że może ono okazać się nietrafione z punktu widzenia przedsiębiorców, to znaczy, że może spowodować odwrotny skutek do zamierzonego. Gigantyczny wymiar kar może zadziałać odstraszająco. To jest drugie ryzyko. Jeżeli kary są horrendalnie wysokie, to u małych przedsiębiorców pojawia się odruch obronny: „to jest żenujące, to jest śmieszne, nikt nigdy nie nałoży na mnie kary w postaci 20 mln euro”. Mam jednak nadzieję, że tak nie będzie. Trzecim z ryzyk jest pozostawienie państwom członkowskim swobody w zbyt wielu obszarach. Mam obawy, czy w efekcie nie powstanie przypadkiem rozwiązanie, z którym mamy dzisiaj do czynienia, czyli państwa członkowskie będą modyfikowały RODO projektując krajowe systemy znacznie odmiennymi od siebie. Zatem to są te trzy największe ryzyka. Dodałbym jeszcze czwarte. W RODO są takie rozwiązania technologiczne, których stosowanie będzie wymagało szczegółowej analizy i przygotowania. Przykładem jest usuwanie danych osobowych z kopii zapasowej, co przy prawie do bycia zapomnianym będzie trudne do pogodzenia ze stosowanymi technologiami tworzenia kopii. To jest duże pole do popisu dla działalności „soft law-wykładniczej”. I to jest piąte ryzyko, związane z tym, że bardzo duży nacisk będzie się kładło na coś takiego jak „soft law”, czyli rekomendacje, opinie, wytyczne, którymi będzie się na siłę nadawało rangę aktów prawnych. Ogromne znaczenie będzie się przywiązywało do „soft law”, do którego w polskiej tradycji prawnej nie jesteśmy przyzwyczajeni. To jest ta najistotniejsza piątka.

O największych ryzykach GDPR Pan powiedział, a czy mógłby Pan powiedzieć o największym wyzwaniu dla przedsiębiorców, jakie niesie ze sobą GDPR?

M.K. Największym wyzwaniem jest zrozumienie, że RODO naprawdę może stymulować rozwój gospodarczy przedsiębiorstw, a nie go ograniczyć. Jeżeli zmodyfikujemy możliwość wykorzystywania danych biometrycznych przez dany sektor, to jest to działanie probiznesowe. Patrząc jedynie na GDPR, należy wskazać kilka takich instytucji, na przykład certyfikację, która potrafi zbudować wizerunek przedsiębiorcy. Dzięki certyfikacji, której dzisiaj nie ma, powstanie wskazana już konkurencja na rynku. Podmiot, który uzyskuje certyfikat, jest lepszy od pozostałych. Drugi obszar to taki, że zaczną obowiązywać te same ramy prawne w całej UE. To też jest rozwiązanie probiznesowe. To, że kary są zunifikowane, też można postrzegać jako zaletę. Przedsiębiorcom z Grecji będzie łatwiej przekonać do danych rozwiązań spółkę matkę z Francji, ponieważ obowiązują ich te same kary i to samo „rozumienie problemu”. Mówiąc jednym zdaniem, największą sztuką jest przełożenie RODO na rozwój gospodarczy, uznanie go za akt probiznesowy, a nie antybiznesowy.

W swojej karierze zawodowej, stosował Pan prawo ochrony danych osobowych w praktyce, teraz Pan je tworzy. Czy mógłby Pan powiedzieć, jak doświadczenie praktycznego stosowania przepisów wpływa na tworzenia prawa „przyjaznego przedsiębiorcom”?

M.K.: Rzeczywiście, ponad 3 lata przed rozpoczęciem pracy w administracji publicznej byłem zatrudniony w kancelarii prawnej zajmując się tam ochroną danych osobowych, potem 2 lata w spółkach zajmujących się pośrednictwem w sprzedaży usług turystycznych, rekrutacjami oraz konsultingiem w ochronie danych osobowych. Wydaje mi się, że bardzo trudno byłoby podejmować działania wdrażające rozporządzenie bez znajomości sektora biznesowego. W Ministerstwie Cyfryzacji jesteśmy zwolennikami i hołdujemy modelowi usługowemu administracji publicznej, który jest bardzo bliski sektorowi prywatnemu. Ale jednak cały czas, w znaczeniu legislacyjnym, jesteśmy w administracji publicznej, która nakłada pewne rygory. Natomiast wyrazem naszej postawy jest zrozumienie przedsiębiorców i ich potrzeb, ponieważ my ich po prostu słuchamy. Spotykamy się z przedsiębiorcami, z izbami gospodarczymi. W każdym tygodniu osobiście odbywam co najmniej kilka takich spotkań. Poza tym, staram się, z jednej strony patrzeć na to z punktu widzenia mojego doświadczenia i doświadczenia wspaniałego zespołu, z którym w Ministerstwie współpracuję oraz z punktu widzenia doświadczenia izb, które reprezentują interesy szeroko pojętego przedsiębiorcy. Staramy się wysłuchać głosu wszystkich stron. Przy czym „słuchać”, nie znaczy zawsze „uwzględniać”. „Słuchać” oznacza przyjmowanie przekazanych nam informacji i rozważenie czy wprowadzenie ich jest rzeczywiście zasadne, czy są możliwe do przełożenia na język prawny i prawniczy.

Kiedy możemy się spodziewać projektu nowej ustawy?

M.K.: Projekt całościowy, wraz z pakietem zmieniającym przepisy sektorowe, będzie opublikowany najprawdopodobniej w sierpniu, tak abyśmy mogli rozpocząć konsultacje społeczne. Natomiast, trzeba wziąć pod uwagę, że konieczne będzie ocenienie skutków regulacji oraz uzasadnienie wydawanych przepisów. Możliwe są odchylenia od tych ram czasowych, jednak mamy nadzieję, że uda się przeanalizować ten projekt w okresie najbliższych wakacji. Bardzo ważna będzie też wykładnia „soft law” przez nowy organ – Prezesa Urzędu Ochrony Danych Osobowych. Czasem będą to stwierdzenia jednozdaniowe, dobre praktyki lub „dobre słowa” dla przedsiębiorców. Ministerstwo już kilkukrotnie i konsekwentnie wypowiadało się na ten temat, stwierdzając, że rolą nowego urzędu będzie spełnianie przede wszystkim funkcji doradczej. Słowem, które dogłębnie podkreśla wizję nowego urzędu jest też szeroko rozumiana „otwartość”.

Nie tylko nakładanie kar od pierwszego dnia?

M.K.: Otwartość w bardzo szeroko rozumianym tego słowa znaczeniu, ma się realizować w kwestiach konsultacyjnych, doradczych. Otwartość to też pokazywanie obywatelom tego co robimy – udostępnianie obywatelom tego, co robi urząd, dokumenty, które są procedowane czy terminarzy spotkań. Zakładamy pełną transparentność działań urzędu. Uważam przykładowo, że wszystkie moje spotkania w urzędzie są informacją publiczną, zatem jeżeli ktoś jest nimi zainteresowany, to powinny ujrzeć światło dzienne. Minister Streżyńska, jako pierwsza, udostępniła wykaz umów zawieranych przez resort. To również jest wyrazem pełnej otwartości. Drugim jej wymiarem jest dbałość o to, aby urząd nie był twierdzą, który tylko karze, ale również, aby wziął na siebie odpowiedzialność w zakresie budowania szeroko rozumianej świadomości. Krótko mówiąc, przedsiębiorca musi mieć wybór: czy zwraca się do organu, z którym może skonsultować jak postępować, by działać zgodnie z prawem czy nie korzysta z pomocy organu i świadomie narusza przepisy, alternatywnie konsultuje, ale nie dostosowuje się do udzielonej wskazówki. Ale wtedy ryzykuje i jest to jego sprawa. W ślad za takimi zadaniami powinien iść jednak odpowiednio wysoki budżet organu.

W obecnej chwili można usłyszeć bardzo wiele głosów na rynku, mówiących, że realizacją zasady podejścia na zasadzie ryzyka będzie norma ISO270001. Jak by Pan się do tego odniósł?

M.K.: Absolutnie nie można stawiać znaku równości pomiędzy RODO, a normą ISO. Z jednej strony mamy bowiem rozporządzenie unijne, a norma ISO nie ma rangi ani dyrektywy, ani rozporządzenia, czyli nie jest aktem pierwotnym Unii Europejskiej. ISO jest normą, standardem, który ma na celu zapewnienie bezpieczeństwa. Wydaje mi się, że można znaleźć takie obszary, w których występować będzie pełna zgodność z normą ISO, a nie będzie zgodności z RODO. Ostatnio, na jednym ze spotkań usłyszałem argument, że umieszczenie kamery z tyłu, za pracownikiem, pokazującej jak pracuje, bo dającej pełen wgląd w jego czynności, z punktu widzenia bezpieczeństwa informacji, jest czymś bardzo dobrym, ponieważ zapewnia pełną kontrolę. Natomiast z punktu widzenia ochrony prywatności czy nawet ochrony danych osobowych, już niekoniecznie. W związku z tym, w pewnych obszarach może powstać sprzeczność. Nie stawiałbym natomiast znaku równości pomiędzy jednym, a drugim.

Wspomniał Pan o monitoringu wizyjnym. W jednym z ostatnich wywiadów, powiedział Pan, że również przepisy kodeksu pracy będą zawierały regulacje dotyczące tego zagadnienia. Czy wie Pan czy nowe przepisy będą inspirowane tymi, które zostały odrzucone w Sejmie?

M.K.: Absolutnie nie. Miały one regulować zupełnie inny obszar monitoringu. To była ustawa ogólna o monitoringu wizyjnym, dotycząca monitorowania przestrzeni publicznej. My natomiast w kodeksie pracy regulujemy kwestie monitoringu pracowniczego. Nie chciałbym zatem utożsamiać ze sobą tych dwóch kwestii.

Czy monitoring ogólny będzie uregulowany w ustawie?

M.K.: Resort cyfryzacji nie przewiduje na chwilę obecną podejmowania takich działań legislacyjnych.

Potrzeba jest, i to duża.

M.K.: Jest potrzeba uregulowania wielu kwestii, w tym tych, związanych z dronami i wykorzystywaniem gromadzonych przy ich użyciu danych. Potrzebę widzimy w bardzo wielu obszarach i po kolei będziemy się nimi zajmować. Od początku działań legislacyjnych podstawowym kluczem i priorytetem było i jest skuteczne wdrożenie RODO oraz wprowadzenie związanych z tym koniecznych zmian.

W rozporządzeniu dosyć ogólnie uregulowane zostały zadania inspektora ochrony danych. Czy planujecie Państwo ich uszczegółowienie, czy pozostawicie ich realizację każdemu z administratorów danych?

M.K.: Nie spodziewałbym się w ustawie żadnych szczegółowych regulacji. Zapraszam w sierpniu i we wrześniu, kiedy będziemy już mieli gotowy projekt, do dyskusji na temat poszczególnych rozwiązań.

Czy miałby Pan  jakieś wskazówki dla przedsiębiorców, którzy chcą wdrożyć GDPR u siebie? Od czego powinni zacząć?

M.K.: Po pierwsze, powinni zacząć swoje działania od postawienia tezy, że nie można kupić jednego produktu, który zapewni pełną zgodność organizacji z RODO. Po drugie, mapowanie całej organizacji, aby zlokalizować, gdzie są przetwarzane dane osobowe. Czy je przetwarzamy, w jakim zakresie? Ze świadomością, że w jakimś zakresie przetwarzamy je zawsze, albo prawie zawsze. Dopiero po tym, kolejnym krokiem jest zestawienie obowiązków ze stanem faktycznym.

To też są duże słowa.

M.K.: Nie bójmy się dużych słów.

Maciej Kawecki – Doktor nauk prawnych. Doradca Ministra Cyfryzacji. W latach 2015–2016 zatrudniony w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Absolwent Wydziału Prawa i Administracji UJ w Krakowie, na którym obronił pracę doktorską nt. unijnej reformy ochrony danych osobowych. Studiował również na Uniwersytecie w Sztokholmie oraz Uniwersytecie J.W. Goethego we Frankfurcie nad Menem. Autor kilkudziesięciu publikacji z zakresu ochrony danych osobowych oraz uczestnik wielu krajowych oraz międzynarodowych konferencji naukowych z zakresu prawa nowych technologii.

Przeczytaj również: