W Sejmie odbyła się konferencja dotycząca projektu ustawy o ochronie danych osobowych. Przedstawiciele Ministerstwa Cyfryzacji odnieśli się do wielu zasugerowanych w trybie konsultacji społecznych poprawek, jednocześnie rozwiewając wątpliwości dotyczących kształtu nowej ustawy. Dodatkowo na spotkaniu padła ważna informacja dotycząca terminu skierowania ustawy do Sejmu – ma być ona gotowa w przeciągu dwóch miesięcy.

Inspektor Ochrony Danych

Główne wątpliwości w prezentowanym projekcie ustawy budziła kwestia powołania inspektora ochrony danych. Zdaniem wielu osób zgromadzonych na sali ograniczenie formy powołania IOD’a jedynie do formy elektronicznego wniosku jest zbyt wąska i poniekąd dyskryminuje osoby niepełnosprawne nie mogące skorzystać z komputera.

Ministerstwo Cyfryzacji w odpowiedzi stwierdziło, iż nowa forma pozwoli lepiej zarządzać zgłoszeniami, zwłaszcza, że można ich dokonać również za pomocą darmowego profilu zaufanego. W planach Ministerstwa Cyfryzacji jest także wprowadzenie dodatkowego systemu pozwalającego zarejestrować IOD’a. Ponadto w ustawie ma zostać dodany przepis, który wprost wskaże możliwość zgłoszenia IOD’a za pomocą pełnomocnika, co będzie dużym ułatwieniem dla osób niepełnosprawnych.

Warto również wspomnieć, iż do zawiadomienia nie mają zastosowania przepisy kpa, gdyż nie zapada w tym procesie żadna decyzja administracyjna.

Sprawy związane z postepowaniem przed Urzędem Ochrony Danych Osobowych (UODO)

Bardzo istotną zmianą jest zrezygnowanie z nadawania decyzjom Prezesa UODO rygoru natychmiastowej wykonalności, samo postępowanie ma zostać jednak w dalszym ciągu jednoinstancyjne. Ma ono mieć kształt audytu. Wiele wątpliwości budził brak wyznaczonych ram czasowych w jakich kontrolerzy mogą przeprowadzać swoje czynności w siedzibie administratora danych osobowych, niemniej mają one zostać ustalone i uregulowane w ustawie.

Bez zmian pozostaje wysokość kar dla administracji publicznej. Zdaniem Ministerstwa Cyfryzacji w sektorze państwowym kara pochodzi ze środków publicznych stąd też zmiana jej wysokości byłaby zabiegiem pozornym. Warto jednak wspomnieć, że na organy administracji nałożony zostanie obowiązek sprawozdawczy z wykonywania decyzji Prezesa UODO.

Z projektu ustawy usunięto art. 76 nadający Prezesowi UODO możliwość wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem, przeciwko osobom winnym uchybień związanych z ochroną danych osobowych. Prawodawca również zrezygnował z możliwości samowolnego decydowania przez Prezesa UODO o tym czy dana informacja pozyskana w trakcie postepowania jest tajemnicą przedsiębiorstwa.

Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego.

Zgodnie z założeniami projektu wiek dziecka w przypadku oferowaniu mu usług społeczeństwa informacyjnego, bez potrzeby wyrażania zgody jego opiekuna prawnego pozostaje dalej ustanowiony na  13 lat.  Ministerstwo Cyfryzacji uzasadnia powyższe rozwiązanie faktem, iż większość państw członkowskich Unii Europejskiej przyjęło podobną klasyfikacje wiekową. Dodatkowo za powyższym rozwiązaniem przemawia też  zapewnienie spójności z przepisami kodeksu cywilnego.

Warto zauważyć, że problematyczne staje się, w tym wypadku odebranie zgody od opiekuna dziecka. Podczas konferencji dr Maciej Kawecki zaproponował następujące sposoby odebrania takiej zgody:

  1. a) zastrzeżenie na danym portalu internetowym wskazujące, że zgodę może wyrazić tylko osoba dorosła;
  2. b) uwierzytelnianie konta dziecka za pomocą konta osoby dorosłej, zastosowanie mechanizmu kont połączonych;
  3. c) uwierzytelnianie konta za pomocą przelewów internetowych opiewających na symboliczne sumy (np. w wysokości 1 gr) z konta opiekuna dziecka;
  4. d) kontakt z rodzicem np. za pomocą rozmowy telefonicznej.

Powyższy przepis ma wyłącznie zastosowanie w przypadkach gdy podstawą przetwarzania danych osobowych dziecka jest zgoda. Przykładowo rejestracja na portalu z grami internetowymi, zakup gry wideo czy utworzenia konta na stronie świadczącej usługi VOD odbywa się na podstawie umowy, w związku z czym dane rozwiązania nie mają tu zastosowania. Omawiany przepis ma przeciwdziałać głównie kwestią związanym z kierowaniem treści marketingowych do najmłodszych, gdyż są oni na nie najbardziej podatni, oraz uregulować przetwarzanie danych dzieci przez portale społecznościowe.

Certyfikacja i podmiot akredytujący 

Podmiotem certyfikującym nie będzie już tylko UODO. Ministerstwo Cyfryzacji dopuszcza możliwość dopuszczenia do wydawania certyfikatów również  podmiotom z sektora prywatnego. W związku z powyższym ma powstać odpowiednia procedura. Co więcej, podmiotem akredytującym będzie Polskie Centrum Akredytacji. Opłata za certyfikację pozostaje niezmienna tj. ma stanowić trzykrotność średniego wynagrodzenia – ok. 12 tys. złotych. Powyższa opłata ma być pobierana przy składaniu wniosku.

Podsumowanie

Powyższe przykłady wskazują, że Ministerstwo Cyfryzacji stara się w dużym stopniu uwzględniać poprawki nanoszone w trybie konsultacji społecznych, co zapewnia dużą transparentność „nowej” ustawy o ochronie danych osobowych, co zapewni ułatwienia w zakresie interpretacji jej przepisów kiedy wejdzie ona już do obrotu prawnego.

 

Komentarz: Maciej Kaczmarski, Prezes zarządu, ODO 24.