piątek, 19 listopada 2010

IX Forum Administratorów Danych Osobowych/Administratorów Bezpieczeństwa Informacji - Nowelizacja 2010 Ustawy o ochronie danych osobowych (1)

PAN.

Nie chcąc łamać praw autorskich, udostępniając prezentacje, jakimi prelegenci posługiwali się na forum, zamieszczam zwięzłe streszczenia poszczególnych wystąpień (w częściach, bo sporo tego), bazując na swoich notatkach. 

Celowo pomijam dwa ostatnie referaty, tj. Prawnokarna ochrona inspektora ochrony danych osobowych - przestępstwo udaremnienia lub utrudnienia kontroli przestrzegania przepisów o ochronie danych osobowych dr. Anny Błachnio-Parzych (INP PAN) oraz Kontrola przestrzegania przepisów o ochronie danych osobowych po wprowadzeniu w ustawie o ochronie danych osobowych elementów treści protokołu r. pr. Bogusławy Pilc (dyrektora Departamentu Inspekcji Biura GIODO) - uznając je, subiektywnie oczywiście, za najmniej wnoszące i dotykające kwestii marginalnych. 

Dzisiaj - pierwsza część - rozpoczynające forum wystąpienie obecnego GIODO. 

skróty:
ADO - administrator danych osobowych
ABI - administrator bezpieczeństwa informacji
GIODO - Generalny Inspektor Ochrony Danych Osobowych
UoODO - Ustawa o ochronie danych osobowych

Konsekwencje nowelizacji ustawy o ochronie danych osobowych oraz kierunki dalszych prac nad zmianami w publicznoprawnej ochronie danych osobowych - dr Wojciech Wiewiórowski (obecny GIODO, WPiA UG)

Wprowadził w obecnych w tematykę forum, wskazując, iż niedawno uchwalone zmiany, które dopiero wejdą w życie, stanowią odzwierciedlenie potrzeb i wyzwań, jakie stały przez prawnymi regulacjami ochrony danych osobowych w latach 2007-2008, kiedy projekt zmian powstał. Czemu prace trwały tak długo? Ponieważ projekt nowelizacji został uznany za z gruntu zły, i de facto końcowa wersja ustawy zmieniającej okazała się kompletnie inna niż jej pierwotna wersja. 

Mówił, iż nowe przepisy pozwalają mu jako GIODO powoływać na terenie kraju delegatury tego urzędu, jednakże nie zamierza w najbliższej przyszłości tego czynić - z uwagi na koszty z tym związane, kwestie budżetu. Samą możliwość tworzenia delegatur określił jako dobrą, jednakże bez możliwości realizacji na dzień dzisiejszy. Jako rozwiązanie pośrednie postuluje wprowadzenie, we współpracy Biura GIODO z RPO, dyżurów specjalistów z zakresu ochrony danych osobowych. 

Zwrócił uwagę także na problematykę sankcji, jakimi GIODO miałby się posługiwać - odnosząc się do funkcjonujących w wielu krajach sankcji karnych jako reakcji na łamanie prawa w zakresie ochrony danych osobowych; stanął na stanowisku, iż w Polsce kary takie nie mają racji bytu i uzasadnienia prawnego, jako że GIODO nie znajduje swojego miejsca w jakiejkolwiek z trzech władz, zatem brak mu podstaw konstytucyjnych do nakładania kar. Zaś ewentualne rozważenie ich celowości - co sprawdza się za granicą - musiało by wiązać się z dyskusją nad kwestią tego, kto sprawuje w państwie kontrolę nad GIODO (należy się zgodzić - sytuacja jest dziwna, gdy GIODO jest w randzie ministra... a podlega Sejmowi).

Osobne miejsce poświęcił regulacji statusów ADO/ABI w systemie prawa polskiego - jako że status ten obecnie za uregulowany trudno uznać. Jednoznacznie zajął jednak stanowisko przeciwko sprowadzenia ADO/ABI do roli zawodu korporacyjnego, regulowanego - przywołując analogię do korporacji prawniczych (adwokaci, radcowie prawni, notariusze) - wskazując, iż prace nad regulacją statusu ABI/ADO na poziomie UoODO muszą być właściwie ukierunkowane, jako że błędy w tym zakresie właśnie do korporacyjności administratorów mogą doprowadzić. 

Mówił również o zagadnieniu sankcji za naruszenie przepisów dot. ochrony danych osobowych czy samego GIODO - czy powinny one ograniczać się do grzywien, czy też zakładać nawet możliwość pozbawienia wolności naruszającego prawo. Opowiada się za stosowaniem w najgorszym wypadku grzywien - wskazując na celowość ingerencji GIODO na zasadzie ostateczności, w sytuacji ewidentnego naruszania prawa przez ADO/ABI, nie zaś w każdej sytuacji, gdy użytkownik nie potrafi czegoś załatwić. Zasugerował tutaj położenie akcentu na tzw. dobre praktyki, sprawdzające się na świecie, gdzie pracownicy tamtejszych odpowiedników GIODO w większości, w wypadku skarg użytkowników, przede wszystkim pomagają im samodzielnie rozwiązać problem (usunąć dane z poziomu danego serwisu, zwrócić się o to do administratora w poprawnej formie) - skupiając się na pokazaniu możliwości działania, sięgając po środki przymusu dopiero w ostateczności. 

W swoim wystąpieniu poruszył także kwestię wyrażenia zgody użytkownika na przetwarzanie danych osobowych - wskazując na częste sytuacje traktowania przez podmiot ADO/ABI jako zgodę działań użytkownika, które takową zgodą nie są i nie były, podczas gdy zgoda jednoznacznie musi być niewymuszona i dobrowolna (przykład - głośna swego czasu historia, gdy przedszkola w toku rekrutacji dzieci do swoich placówek wymagały od rodziców m.in. składania dokumentów PIT - co nijak nie było usprawiedliwione). 

Zwrócił uwagę również na problematykę danych sensytywnych (wrażliwych) - co do których nadal jest dość burzliwa dyskusja w doktrynie, a obecne poglądy są kontrowersyjne, choćby w kwestii tego, co należy za takiego rodzaju dane uznać (np. czy są nimi dane genetyczne?). 

Odnosząc się do poprzednika na stanowisku GIODO, stwierdził zaniedbanie przez niego zagadnienia nowych technologii informacyjnych, na które reagowano reakcyjnie, podczas gdy skuteczniejsza i bardziej wskazana była by profilaktyka poprzez próby przewidywania problemów i zagrożeń, jako że także GIODO nie jest w stanie zmierzyć się z nowym problemem w ciągu kilku dni, i konieczna jest dokłada analiza każdego zagadnienia. Najlepszym przykładem - problem serwisów społecznościowych, z których z nazwy wymienił n-k.pl, chwaląc za dokonane zmiany w zakresie polityki bezpieczeństwa i zgód użytkowników, zwracając uwagę na problem braku możliwości narzucenia takiego obowiązku na serwisy (np. Facebook) spoza Polski.

Odniósł się również do problemu regulacji biometrii - uzasadnionej z przyczyn zrozumiałych w sytuacji zabezpieczania tajemnic prawem chronionych, przemysłowych, know how, czy dostępu do materiałów niebezpiecznych, jednakże niedopuszczalnej do stosowania w celu np. kontroli czasu pracy pracowników przez pracodawcę. 

Kończąc swoje wystąpienie , GIODO zwrócił uwagę, iż ze względu na ograniczenia czasowe, praktycznie nie jest realne wprowadzenie jakichkolwiek następnych zmian w UoODO w obecnej kadencji sejmu - nie ma szansy na przygotowanie i uchwalenie w tej kadencji. Rok 2011 to czas wyborów samorządowych, polskiej prezydencji w UE, formowania rządu - więc realnie prace legislacyjne nie będą miały w nim miejsce, zatem wskazał na celowość spożytkowania go jako okresu społecznych konsultacji celem ustalenia projektu zmian UoODO, mającego społeczne poparcie. Wskazał także, iż właściwym było by, aby - w braku inicjatywy ustawodawczej, która GIODO nie przysługuje - projekt nie został zgłoszony jako partyjny (co spowodowało by spory często bez jakiegokolwiek merytorycznego uzasadnienia). Zaakcentował także, iż prace nie mogą ograniczyć się jedynie do zmian samej UoODO - ale szeregu innych aktów prawnych, które zawierają regulacje z zakresu ochrony danych osobowych. 

Powołując się na przykład świeżo uchwalonej nowelizacji - tworzonej 3 lata - wskazał, iż konieczne jest w dyskusjach i pracach nad dalszymi zmianami wzięcie pod uwagę postulatów i problemów nie tylko dzisiaj zaistniałych dotyczących ochrony danych osobowych, ale koniecznie także tych, które już dzisiaj rysują się na horyzoncie.

0 komentarze:

Prześlij komentarz