W ramach naszej serii, poświęconej doświadczeniom organów nadzorczych w rozumieniu Rozporządzenia 679/2016/UE zebranych w ciągu pierwszego roku jego stosowania, chcielibyśmy Państwu przedstawić obszerny wywiad z Panią Dimą Hristovą, głównym ekspertem w Departamencie Spraw Prawnych oraz Działań Międzynarodowych Komisji ds. Ochrony Danych Osobowych Bułgarii (w tekście nazywana również Komisją lub CPDP).
Zawiera on wiele cennych i unikalnych informacji, związanych m. in. charakterem spraw wpływających do Komisji, najważniejszymi wyzwaniami w obszarze ochrony danych czy trudnościami w jego interpretacji.
Poniżej przedstawiono tłumaczenie odpowiedzi przesłanych przez organ.
1. Jakie zmiany prawne/ organizacyjne przyjął Państwa organ w związku z wdrożeniem RODO?
Wraz z wdrożeniem RODO nastąpiły zmiany w pierwotnym oraz wtórnym prawie krajowym, prowadzące do nowej Ustawy o ochronie danych osobowych, która wdraża zarówno przepisy dotyczące organów ochrony danych, które zgodnie z RODO miały być przyjęte przez państwa członkowskie, jak i transponuje Dyrektywę 2016/680/UE w sprawie ochrony danych osobowych przez policję oraz organy sądowe.
Zmiany w prawie krajowym spowodowały zmiany w strukturze CPDP jak również przyjęcie nowego regulaminu, określającego sposób działania działów administracyjnych Komisji.
Ustawę o ochronie danych osobowych w języku angielskim mogą Państwo znaleźć tutaj: https://www.cpdp.bg/en/index.php?p=element&aid=1194
- Jaki był najtrudniejszy element Państwa przygotowań do RODO?
Najtrudniejszym elementem w przygotowaniu CPDP była reorganizacja jej struktury oraz zadań pracowników w celu podołania wszystkim nowym wyzwaniom wprowadzonym przez nowe prawo Europejskie, jak np. nowy mechanizm współpracy i spójności, wprowadzenie większej ilości narzędzi do międzynarodowego przekazywania danych, IOD, etc.
- Czy doświadczyli Państwo dużych zmian w odniesieniu do ilości zapytań, które otrzymują? Czy zmienił się charakter spraw?
Tak, doświadczyliśmy dużych zmian odnośnie ilości zapytań, które niesamowicie wzrosły, a charakter zapytań oraz spraw dotyczył głównie nowych przepisów, zawartych w RODO, które albo nie były szczegółowo wyjaśnione w poprzedniej dyrektywie 95/46/WE albo zostały wprowadzone po raz pierwszy przez Rozporządzenie, takich jak:
- Zgodność z prawem przetwarzania – art. 6 RODO;
- Warunki wyrażenia zgody – art. 7 RODO;
- Wymóg posiadania rejestru przetwarzania danych dla administratorów/ podmiotów przetwarzających we własnych siedzibach oraz nie zgłaszania go organom ochrony danych – na mocy poprzedniej ustawy w Bułgarii istniał system zgłaszania przez administratorów danych osobowych;
- Prawo do bycia poinformowanym o przetwarzaniu danych osobowych – art. 12-14 RODO;
- Prawo do bycia zapomnianym (prawo do usunięcia) – art. 17 RODO
- Prawo do przenoszenia danych – art. 20 RODO;
- Definicja administratora danych oraz podmiotu przetwarzającego dane, ich relacje oraz obowiązki;
- Zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego – art. 33 RODO;
- Ocena skutków dla ochrony danych – art. 35 RODO;
- IOD – Art. 37-39 RODO;
- Kodeksy Postępowań oraz Certyfikacja – art. 40 oraz 42 RODO;
- Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych – Rozdział V RODO;
- Nakładanie kar oraz rozpatrywanie skarg przez CPDP.
- Jaki był Państwa największy sukces?
CPDP była w stanie zorganizować swoje działania zgodnie z zadaniami oraz obowiązkami organów nadzorczych ds. ochrony danych zgodnie z RODO. Dokładamy również wszelkich starań w celu prowadzenia konsultacji ze wszystkimi stronami, zainteresowanymi obszarami ochrony danych oraz prywatności oraz ciągle organizujemy szkolenia dotyczące różnych kwestii, związanych z ochroną danych, w zależności od grupy osób.
Wraz z EIOD byliśmy również gospodarzami 40 Międzynarodowej Konferencji Rzeczników ds. Prywatności oraz Ochrony Danych, zorganizowanej w dniach 22-26 października równocześnie w Sofii oraz Brukseli, która przyczyniła się do rozwoju dyskusji na temat etycznego wymiaru ochrony danych osobowych w erze cyfrowej. Tematem Konferencji było: „Debata na temat etyki: godność oraz szacunek w świecie napędzanym przez dane”.
Po raz pierwszy w historii, konferencja została zorganizowana wspólnie przez instytucję europejską oraz krajowy organ ochrony danych. Rok 2018 stanowił okazję dla Bułgarskiej Komisji ds. Ochrony Danych Osobowych oraz Europejskiego Inspektora Ochrony Danych do podkreślenia wiodącej roli Unii Europejskiej w kształtowaniu polityk oraz środków ochrony danych osobowych oraz dostępu do informacji na świecie.
- Co uważają Państwo za największą porażkę/ kwestię wymagającą dalszej pracy?
Uważamy, że wiele przepisów RODO oraz dyrektywy policyjnej ciągle wymaga szczegółowego wyjaśnienia opinii publicznej, pomimo wszystkich materiałów informacyjnych, kampanii oraz wydarzeń, które zostały przygotowane oraz przeprowadzone przez CPDP, a proces pełnego zrozumienia praw oraz obowiązków wszystkich stron będzie wymagał więcej czasu.
- Co Państwa najbardziej zaskoczyło po wejściu w życie RODO?
Największą niespodzianką po wejściu w życie RODO była początkowa reakcja mediów oraz opinii publicznej, jak również interpretacja RODO jako bardziej restrykcyjnego, a nie przyjaznego administratorom oraz podmiotom przetwarzającym, również w odniesieniu do swobody wypowiedzi, wykonywania praw osób, których dane dotyczą i rzekomo surowszych obowiązków administratorów danych/ podmiotów przetwarzających.
- Którą ze swoich decyzji uważają Państwo za najbardziej interesującą?
Po wejściu w życie RODO zostaliśmy zalani prośbami o informacje, pytaniami, skargami etc. CPDP wydaje decyzje w kwestii otrzymanych skarg od osób, dotyczących możliwych naruszeń ich praw do ochrony ich danych osobowych.
Skargi, których wpływało do CPDP najwięcej, dotyczyły następujących obszarów:
- Skargi dotyczyły przekazywania danych w związku z roszczeniami wynikającymi z zawartych umów dotyczących komunikacji elektronicznej. W takich sprawach dane osobowe są przekazywane na podstawie postępowania w sprawie odbierania należności za roszczenia lub na skutek umowy cesji. Jedna kwestia budzi poważne wątpliwości: osoby składają skargi zawierające oskarżenia dotyczące nieuprawnionej rejestracji kart SIM, które są następnie wykorzystywane do popełniania przestępstw – oszustw telefonicznych.
- Wideo nadzór. W odniesieniu do tematu skarg do CPDP, zawierających oskarżenia o niezgodne z prawem przetwarzanie danych osobowych osób za pomocą wideo nadzoru, można wyróżnić dwa następujące stany faktyczne: wideo nadzór stosowany w mieszkaniach własnościowych oraz wideo nadzór, stosowany przez osoby w ramach działalności o czysto osobistym lub domowym charakterze.
- Banki oraz instytucje kredytowe. CPDP otrzymywała skargi na banki oraz spółki oferujące pożyczki. Skargi w tej kategorii, dodatkowo o oskarżeń o nieuprawnione udostępnienie danych osobowych w ramach dochodzenia roszczeń od osób fizycznych, obejmowały również oskarżenia dotyczące wykorzystania danych osobowych do udzielania pożyczek bez wniosku o taką pożyczkę.
- Media elektroniczne. Skargi były przesyłane przez osoby, które twierdziły, że ich dane osobowe są przekazywane przez media. Informowanie społeczeństwa o ważnych oraz znaczących wydarzeniach oraz kwestiach odbywa się również za pomocą mediów elektronicznych, które z uwagi na swoją dostępność, docierają do bardzo szerokiej grupy użytkowników. Pomaga to zwiększyć wrażliwość osób na informacje, rozpowszechniane przez media elektroniczne, a w szczególności na ich dane osobowe. Należy podkreślić, że przetwarzane dane osobowe muszą być odpowiednie, proporcjonalne do celów, dla których są przetwarzane oraz nie wykraczać poza ich zakres. Doświadczenie CPDP pokazuje, że dane osobowe są przekazywane za pomocą publikacji kopii dokumentów.
- CPDP zawsze szczególnie monitorowała ten obszar, ponieważ administratorzy danych przetwarzają głównie dane osobowe dzieci. Większość skarg jest przesyłana po wprowadzeniu przez instytucje edukacyjne tzw. „oświadczeń o zgodzie” na przetwarzanie danych osobowych. Występuje również odwrotna sytuacja: dochodzi do otwierania kont bankowych związanych ze stypendiami lub innymi płatności na rzecz dzieci, bez zgody rodzica lub innej osoby reprezentującej dziecko.
Należy podkreślić, że większość kar za ustalone naruszenia zostało nałożonych na podmioty
w sektorze telekomunikacyjnym jak również na administratorów dostarczających media oraz banki.
Większość naruszeń przepisów dotyczy przetwarzania danych osobowych bez podstawy prawnej do takiego przetwarzania (np. umowy lub zgody).
- Które obszary będą wymagały Państwa działań w najbliższej przyszłości?
Strategiczne cele CPDP na lata 2017 – 2022 obejmują:
- Wdrożenie systemu w celu zapobiegania oraz zatrzymywania niezgodnych z prawem form przetwarzania danych osobowych oraz naruszania praw osób fizycznych;
- Skuteczne stosowanie systemu nadzoru;
- Wdrożenie całościowego systemu szkoleń z ochrony danych osobowych, inicjatywy oraz wydarzenia zwiększające świadomość społeczną;
- Dostarczanie zrównoważonych usług administracyjnych obywatelom oraz administratorom danych;
- Proaktywne podejście w obszarze współpracy międzynarodowej;
- Wprowadzenie systemu zachęt do zwiększania kwalifikacji zawodowych CPDP oraz jego administracji;
- Zaawansowane procesy otwartości oraz przejrzystości.
- Czy rozważają Państwo jakieś zmiany organizacyjne w świetle doświadczeń zebranych w trakcie pierwszego roku stosowania RODO?
Na chwilę obecną nie rozważamy dodatkowych zmian organizacyjnych, ponieważ dokonaliśmy już takich zmian.
- Jaką przyszłość widzą Państwo przed ochroną danych osobowych w następnym roku? Jaki będzie kierunek dalszych zmian w tym obszarze?
CPDP bierze bardzo aktywny udział w pracy z organami ochrony danych z innych państw członkowskich UE w ramach EROD oraz grup eksperckich, wspierających jej działania. Główne kwestie dotyczące ochrony danych oraz prywatności, które wymagają dalszych prac, to w naszej ocenie:
- Współpraca pomiędzy organami ochrony danych z państw członkowskich UE w ramach mechanizmu współpracy oraz spójności. Jest to najważniejszy aspekt stosowania prawa ochrony danych UE, z uwagi na charakter oraz szeroki zakres przetwarzania danych osobowych;
- Współpraca z innymi zainteresowanymi stronami na całym świecie za pomocą konkretnych aktów prawnych, systemów oraz sieci;
- Akredytacja oraz certyfikacja w obszarze ochrony danych osobowych, obejmująca przygotowanie standardów oraz innych narzędzi certyfikacyjnych;
- Ramy prawne oraz wymogi techniczne prywatności elektronicznej oraz zarządzania elektronicznego;
- Międzynarodowe przekazywanie danych osobowych a w szczególności nowe możliwości oraz procedury wdrożone przez RODO, takie jak WRK oraz współpraca pomiędzy organami ochrony danych państw członkowskich, etc.
Mamy nadzieje, że podane informacje będą użyteczne w Państwa publikacji.
Zapraszamy do przeczytania także:
Doświadczenia Łotewskiego Organu Nadzorczego po wdrożeniu RODO
Wywiad z przedstawicielem Organu Nadzorczego z Estonii