Żaden przedsiębiorca nie przeprowadził dotąd w Polsce obowiązkowych konsultacji przed wdrożeniem produktów czy usług, które mogą zagrażać ochronie danych.
Obowiązek przeprowadzania uprzednich konsultacji został wprowadzony przez RODO. Są one powiązane z oceną skutków dla ochrony danych osobowych (ang. Data Protection Impact Assessment; dalej: DPIA). Ta musi być przeprowadzana wszędzie tam, gdzie pojawia się ryzyko naruszenia praw lub wolności osób (np. wyciek danych). Chodzi nie tylko o duże korporacje wprowadzające na rynek nowe narzędzia informatyczne czy produkty. Nawet mały start-up mający pomysł na innowacyjną usługę internetową może być zmuszony do przeprowadzenia DPIA. Jeśli ocena ta pokaże wysokie ryzyko wycieku, a administrator nie jest pewien czy zastosowane środki w sposób wystarczający minimalizują to ryzyko, to powinien przeprowadzić konsultacje uprzednie z organem nadzorczym. Polski organ, czyli Urząd Ochrony Danych Osobowych dotychczas nie przeprowadził ani jednych takich konsultacji.
– Wpływają do nas nieliczne pisma zatytułowane jako „wniosek o uprzednie konsultacje”, jednak po ich analizie okazuje się, że dotyczą one wątpliwości związanych z przetwarzaniem danych osobowych w konkretnych opisanych sytuacjach. Prezes UODO informuje wówczas takie podmioty, że procedura uprzednich konsultacji została ustanowiona w innym celu i ma zastosowanie wówczas, jeżeli planowana operacja przetwarzania danych (np. wprowadzenie w organizacji nowej technologii, wprowadzenie nowej usługi) budzi wątpliwości administratora co do wysokiego ryzyka naruszenia praw i wolności osób fizycznych – mówi Adam Sanocki, rzecznik prasowy UODO.
Różne przyczyny
Portal GDPR.pl zapytał europejskie organy ochrony danych o uprzednie konsultacje. Choć nie uzyskał odpowiedzi od wszystkich, to już te, które zebrał, pokazują olbrzymie dysproporcje pomiędzy poszczególnymi państwami (patrz: infografika). Dysproporcje, które trudno wytłumaczyć. Bo jak wyjaśnić, że w mającej 5,5 mln mieszkańców Finlandii złożono 90 wniosków o uprzednie konsultacje, a w 60-milionowej Wielkiej Brytanii już tylko 10? W Chorwacji było 35 takich wniosków, w Szwecji 30, Norwegii i Słowacji po siedem, a na Łotwie i Islandii po pięć.
Oczywiście dane te nie do końca muszą być miarodajne, bo liczba wniosków nie zawsze przekłada się na rzeczywiste konsultacje. Podobnie jak to jest w Polsce, sam tytuł może być mylący. W Finlandii na 90 wniosków tylko 20 zakończyło się zaleceniami urzędu, pozostałe wycofano lub odrzucono. Niemniej jednak, nawet biorąc poprawkę na te różnice, gołym okiem widać, że zainteresowanie konsultacjami jest różne.
Czym to tłumaczyć? Przyczyn może być wiele.
– Pierwszy i chyba najważniejszy to kultura prawna połączona z wysokim zaufaniem do organu nadzoru. Jeśli ten ostatni jest traktowany jak rzeczywisty parter w procesie właściwej oceny ryzyka, to administratorzy bez obaw zwracają się z wnioskami. Oczywiście wymaga to zbudowania takiego zaufania przez urząd – uważa radca prawny Tomasz Osiej, prezes firmy doradczej Omni Modo.
– Kolejny istotny czynnik to świadomość administratorów danych i ich profesjonalizm. Jeszcze inny to czysto techniczne ułatwienia. Niektóre urzędy zdecydowały się na specjalne formularze ułatwiające składanie omawianych wniosków – dodaje.
Część administratorów może zwyczajnie bać się uprzednich konsultacji, wychodząc z założenia, że zgłaszając się do organu, sami proszą się o ewentualną kontrolę. Powodów może być jednak dużo więcej. Choćby innowacyjność firm w poszczególnych krajach. Sprzedaż już istniejących, a więc przetestowanych produktów i usług zazwyczaj nie wymaga dodatkowych analiz pod kątem ich wpływu na ochronę danych. Nawet jeśli są rozwijane.
Brak uprzednich konsultacji może też świadczyć o tym, że firmy po prostu nie przeprowadzają oceny skutków (DPIA).
– Warunkiem koniecznym do wystąpienia z wnioskiem o uprzednie konsultacje jest wcześniejsze dokonanie przez administratora oceny skutków dla ochrony danych w celu oszacowania ryzyka naruszenia praw i wolności osób fizycznych. Jeśli ocena ta wykaże wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator uzna, że ryzyka tego nie da się zminimalizować dostępnymi dla niego środkami z punktu widzenia technologii i kosztów wdrożenia – wówczas ma obowiązek skonsultować się z prezesem UODO. Chodzi więc o wyjątkową sytuację, w której administrator lub współadministratorzy nie będą mogli znaleźć właściwego optymalnego rozwiązania dla bezpiecznego przetwarzania danych osobowych – zwraca uwagę Adam Sanocki.
Także w legislacji
Uprzednie konsultacje i poprzedzająca je ocena ryzyka (DPIA) są zwłaszcza wskazane przy produktach i usługach, których wcześniej nie było na rynku. Może chodzić o zabawkę, która dostosowuje się do zachowań dziecka, a więc de facto zbiera o nim informacje. Może chodzić o usługę informatyczną związaną z profilowaniem klienta czy o rozwiązania pozwalające na poprawę efektywności pracy, co coraz częściej wiąże się po prostu ze śledzeniem tego, co robią pracownicy.
Ze specyficzną formą takich konsultacji mamy do czynienia przy legislacji. Zgodnie z art. 36 ust. 4 RODO państwo musi konsultować z organem nadzorczym wszystkie ustawy i rozporządzenia, które w jakikolwiek sposób dotyczą przetwarzania danych.
– Przepis ten nie stanowi może rewolucji dla polskiego porządku prawnego, gdyż dotychczas prezes UODO uczestniczył w procesie legislacyjnym, na podstawie powszechnie obowiązujących norm prawa krajowego. Różniącą jest natomiast to, że prezes UODO stał się z chwilą wejścia w życie RODO jedynym centralnym organem administracji publicznej, któremu gwarancje udziału w procesie legislacyjnym przyznane zostały tak wyraźnie prawem UE. Sposób przestrzegania tych wymogów przez państwo podlega więc ocenie Trybunału Sprawiedliwości Unii Europejskiej – podkreśla dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej w Warszawie, który wcześniej w Ministerstwie Cyfryzacji pracował nad projektem ustawy o ochronie danych osobowych.