W poniedziałek 15 stycznia, przedstawiciele naszej Kancelarii brali udział w konferencji podsumowującej konsultacje społeczne w sprawie zmian przepisów o ochronie danych osobowych. Konferencja podsumowująca odbyła się w Sali Kolumnowej Sejmu RP a organizatorem wydarzenia było Ministerstwo Cyfryzacji, które odpowiada za przygotowanie projektu nowej ustawy o ochronie danych osobowych.
Podczas spotkania przedstawiciele Ministerstwa Cyfryzacji ustosunkowali się do złożonych ze strony m.in. przedstawicieli organizacji pracodawców, środowisk naukowych oraz eksperckich propozycji i uwag do projektu ustawy.
Najwięcej wątpliwości wywołała kwestia zgody dziecka na przetwarzanie danych osobowych a także problemy akredytacji i certyfikacji.
Ostatecznie zdecydowano się obniżyć wiek dziecka do 13 lat, uznając że w tym wieku dziecko może podejmować samodzielną zgodę na przetwarzanie danych osobowych. Dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji zwrócił uwagę, że inne kraje unijne już wprowadziły wiek 13 lat.
Jak podkreślał, rolą ustawodawcy nie jest ochrona dzieci przed społeczeństwem informacyjnym. Podkreślić również należy, że zgoda dziecka, o której mowa w RODO ograniczona jest do przypadków usług społeczeństwa informacyjnego dlatego dotyczyć ma takich kwestii jak zgoda na przesyłanie informacji marketingowych, wykorzystanie zdjęć przez serwis społecznościowy czy zapisanie się do usługi newsletter. Nie jest to zgoda na zawarcie umowy, która zmieniałaby w tym zakresie ogólne postanowienia znajdujące się
w kodeksie cywilnym.
Tematem, który wywołał nie mniejsze zainteresowanie był mechanizm certyfikacji. W wyniku przeprowadzonych konsultacji podjęto decyzję, że podmiotem akredytującym będzie nie tylko Polskie Centrum Akredytacji ale także podmioty z sektora prywatnego.
Przypominamy, że organ akredytujący będzie wydawać zaświadczenia, iż dany podmiot jest kompetentny do kontroli przetwarzania danych.
Uczestnicy wydarzenia zwrócili również uwagę na fakt, że opłata certyfikująca tj. 12.000,00 zł jest za wysoka, szczególnie dla małych przedsiębiorców. Nie uwzględniono jednak propozycji zmniejszenia tej opłaty certyfikacyjnej i wskazano, że stosunkowa duża jej cena ma stanowić dodatkowy bufor bezpieczeństwa i profesjonalizmu podmiotów posiadających odpowiedni certyfikat.
Dużym zainteresowaniem cieszyła się również kwestia sposobu obsadzania stanowiska Prezesa Urzędu Ochrony Danych Osobowych. Tematem dyskusji były bowiem wymagane na tym stanowisku kwalifikacje. W ostateczności, uwzględniono zgłoszone uwagi. Regulacje będą przewidywać, że PUODO nie będzie mógł podejmować innej pracy zawodowej za wyjątkiem zajęć dydaktycznych czy naukowych, a także usunięto zapis o konieczności posiadania tytułu naukowego doktora.
Nie zmieniono propozycji modelu jednoinstancyjności postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, które ma być prowadzone przed krajowym organem nadzoru.
Na koniec kwestia związana z określeniem przesłanek związanych z wyznaczeniem inspektora ochrony danych. Zauważono, że RODO odwołuje się do sformułowania „duża skala” przetwarzania jako jednej z przesłanek obowiązkowego wyznaczenia IOD. Żaden przepis nie wyjaśnia jednak, co należy przez rozumieć przez określenie „duża skala”. W wytycznych grupy roboczej art. 29, wskazano jedynie przykłady oczywiste (banki, ubezpieczyciele, szpitale).
Jak zapowiedzieli przedstawiciele Ministerstwa Cyfryzacji, przepisy wprowadzające ustawę zostaną dopracowane w kolejnych miesiącach. Projekt jednak ma być gotowy i przyjęty przez parlament do 25 maja.
Radca prawny- Kamila Kasprzyk oraz Jarosław Straś- prawnicy z itB Legal tworzący zespół ds. danych osobowych i wdrożenia RODO
