- Wciąż mam nadzieję, że uda się zwolnić mikroprzedsiębiorców z niektórych obowiązków wynikających z RODO - mówi Marek Zagórski w rozmowie z DGP.
RODO, które od jutra zacznie być stosowane, już teraz przez niektórych przedsiębiorców zostało okrzyknięte jednym z najgorszych i najbardziej nieżyciowych aktów prawnych. A jak pan je ocenia?
Mam pewien problem z jednoznaczną oceną. Z jednej strony musimy dostrzegać postęp technologiczny i to, że dane są coraz cenniejszym towarem. Po ponad 20 latach obowiązywania w Polsce przepisów o ochronie danych osobowych nie mam wątpliwości, że czas już na ich zmianę, bo nie przystają do rzeczywistości. Poziom ochrony obywateli i konsumentów powinien być zwiększony. I tu dostrzegam wartość RODO.
Po drugiej stronie są przedsiębiorcy, którzy rozwijają swoje biznesy w oparciu o przetwarzanie danych. To, co jest dobrodziejstwem dla obywateli, dla nich stanowi obciążenie. I tu pojawia się pytanie, na ile balans między tymi dwiema wartościami został odpowiednio wyważony? Czy obowiązki nakładane na przedsiębiorców z Unii Europejskiej nie powodują obniżenia ich konkurencyjności względem firm z reszty świata?
A pan jak uważa?
Trudno dziś o jednoznaczną odpowiedź. Obiektywnie patrząc, ten, kto musi więcej, ma gorzej. Można jednak na to spojrzeć inaczej – na rynkach, na których konsumenci są bardziej świadomi, firmy gwarantujące większe bezpieczeństwo mogą zyskiwać w oczach klientów. Doświadczył tego ostatnio Facebook. Po głośnym wycieku danych dzisiaj sam deklaruje, że zasady wynikające z RODO będzie chciał stosować, niestety tylko na europejskim rynku. O ile jednak tego rodzaju korzyści można dopatrywać się przy największych firmach, o tyle otwarte pozostaje pytanie, czy w przypadku najmniejszych wymagania stawiane przez RODO nie są zbyt nadmierne?
Dlatego też, na pewnym etapie prac legislacyjnych, MC zaproponowało, by mniejsze firmy zwolnić z niektórych obowiązków. Ostatecznie jednak z tego zrezygnowano. Dlaczego?
Ze względu na zastrzeżenia zgłoszone przez Komisję Europejską, która twierdzi, że byłoby to niezgodne z RODO. Nasze propozycje spotkały się też z poważną krytyką w Polsce, zresztą wyrażaną również na łamach DGP. Dlatego na tym etapie postanowiliśmy się z tego wycofać.
Podkreślam jednak – na tym etapie. Nie wykluczam, że powrócimy do naszego pomysłu. Podejście do tego, jak rozumieć RODO, zmienia się, co widać także w ostatnich tygodniach. Nawet jeśli nie dotyczy to samej Komisji Europejskiej, to ewolucje wyraźnie można wyczuć chociażby w słowach prominentnych polityków niemieckich, którzy otwarcie dziś mówią o konieczności ponownego przyjrzenia się przepisom RODO.
Rozumiem, że liczy pan na zmianę klimatu wokół RODO, co pozwoliłoby na powrót do pomysłu zwolnienia mniejszych firm z niektórych obowiązków?
Tak, nie wykluczam, że podejście do RODO będzie się zmieniać. Poza tym nasz proces dyskusji z Komisją Europejską wciąż nie został zakończony. Dlatego też wciąż mam nadzieję, że uda nam się wypracować interpretację uznającą nasz pomysł za akceptowalny. Choćby tylko w zakresie zwolnień dla mikroprzedsiębiorców, którzy nie przekazują dalej danych osobowych swych klientów. Zwolnień, i to chciałbym podkreślić, tylko z niektórych przepisów, np. obowiązków informacyjnych. Rozmawiamy zresztą o różnych rozwiązaniach, być może część informacji firmy mogłyby przekazywać w sposób alternatywny.
Polska ustawa o ochronie danych osobowych jest, siłą rzeczy, jedynie swego rodzaju nakładką na RODO. Pewne jego reguły jednak modyfikuje. Jakie krajowe przepisy uważa pan za najistotniejsze?
Właśnie te wychodzące naprzeciw przedsiębiorcom. Choć nie udało nam się przeforsować wspomnianych zwolnień, to jednak zawarliśmy w ustawie ułatwienia, które powinny pomóc biznesowi. Choćby to, że czynności kontrolne prowadzone przez prezesa Urzędu Ochrony Danych Osobowych muszą zakończyć się w ciągu 30 dni. Ważna jest kwestia certyfikacji. Przedsiębiorcy będą mogli uzyskiwać certyfikaty, które nie dadzą im oczywiście gwarancji uniknięcia kar, ale jednak w pewien sposób, zarówno w kontaktach z UODO, jak i relacjach z klientami, potwierdzą przestrzeganie reguł RODO. Niedocenianą, a bardzo istotną kwestią jest możliwość wdrażania kodeksów postępowań w danej branży. Prezes UODO będzie również zobowiązany do wydawania rekomendacji określających sposoby zabezpieczeń danych w konkretnych sektorach, adresowane wprost do przedsiębiorców. Z kolei dla administracji publicznej ważne są ułatwienia w realizacji obowiązku poinformowania o przetwarzaniu danych, gdy zmienił się cel takiego przetwarzania. Bez tego administracja mogłaby zostać sparaliżowana. Z perspektywy pewnego poślizgu w uchwaleniu przepisów wprowadzających konieczne też było wpisanie do ustawy zasad stosowania monitoringu wizyjnego.
Skoro już jesteśmy przy przepisach wprowadzających – kiedy realnie można spodziewać się ich uchwalenia?
Zgodnie ze wstępnymi ustaleniami Stały Komitet Rady Ministrów ma się nim zająć 4 czerwca więc mamy nadzieję, że zostaną przyjęte przez Sejm i Senat przed wakacjami parlamentarnymi, czyli w lipcu. Jedno można powiedzieć na pewno – jeśli chodzi o wdrażanie RODO, Polska jest jednym z liderów.
Prace nad ustawą główną w parlamencie przebiegały w ekspresowym tempie i bez udziału ekspertów, ale prowadziliście szerokie konsultacje społeczne na wcześniejszym etapie. Co one, z pana perspektywy, dały?
Przede wszystkim pewną ogólną wrażliwość. Prowadziliśmy konsultacje zarówno z organizacjami pozarządowymi, które walczyły o to, by ochrona danych była jak najbardziej szczelna, jak i przedsiębiorcami, którzy pilnowali interesu drugiej strony. Dzięki temu mam wrażenie, że w jakiejś mierze udało nam się osiągnąć balans pomiędzy tymi, często sprzecznymi, interesami. Dodatkowym plusem jest chyba większe zrozumienie tych przepisów przez wszystkich. Konsultacje były wyjątkowo długie, z dzisiejszej perspektywy można powiedzieć, że nawet za długie, ale dzięki temu uniknęliśmy frontowego zderzenia, polegającego na tym, że z jednej strony jest rząd, z drugiej cała reszta i obie strony okopują się na swych stanowiskach.
Podczas tych konsultacji mocno zmienił się status Urzędu Ochrony Danych Osobowych i jego niezależność. Nie zgodziliście się natomiast, co było jeszcze krytykowane podczas prac w Sejmie, na utrzymanie nazwy generalnego inspektora ochrony danych osobowych. Dlaczego tak mocno upieraliście się przy tej zmianie?
Nie wiem, czy można tu mówić o uporze. Gdy decyzja co do zmiany zapadła, bodajże na Stałym Komitecie Rady Ministrów, po prostu już się jej trzymaliśmy i tyle. Naszym zdaniem nowa nazwa podkreśla zmianę charakteru urzędu, który przechodzi z pozycji inspekcyjnej na pozycję bardziej zbliżoną do Urzędu Ochrony Konkurencji i Konsumentów. Wzmacnia też na poziomie mentalnym samo znaczenie urzędu. W powszechnym odczuciu inspekcja znaczy mniej niż urząd. Nie bez znaczenia jest też kwestia związana z funkcjonariuszami UODO. Gdybyśmy pozostawili starą nazwę, zwyczajnie mogłaby się mylić z inspektorami ochrony danych.
Jedną z zasadniczych zmian, do jakich doszło podczas legislacji, było podwyższenie z 13 do 16 lat granicy wieku, do której wymagana jest zgoda rodziców. Trudno odnaleźć ślad, jak do tego doszło.
Poprawki te zgłoszono w trakcie uzgodnień międzyresortowych. Kilku ministrów podniosło potrzebę zwiększenia ochrony dzieci. Przy czym podniesienie wieku ochronnego do 16 lat nie jest aż tak istotne, jak mogłoby się wydawać. Gdy popatrzymy na aktywność dzieci w internecie, to spora jej część odbywa się w serwisach społecznościowych, gdzie przetwarzanie danych osobowych odbywa się na podstawie akceptacji regulaminu, a więc nie wymaga osobnej zgody.
Problemem w mojej ocenie nie jest zresztą sam wiek, tylko weryfikacja, kto tak naprawdę udziela zgody – dziecko czy rodzic. Jak popatrzymy na regulacje RODO, są one lekko dziurawe. Być może w Polsce uda się ten problem rozwiązać dzięki usługom zaufania, nad którymi pracuje już Sejm. Jeśli środki identyfikacji zyskają akceptację społeczną i będą powszechnie stosowane także w relacjach z przedsiębiorcami, to da szansę na rzeczywistą weryfikację wieku osoby wyrażającej zgodę.