photo-1415226161018-3ec581fa733d

Podsumowanie XXII FORUM ADO

23 maja 2017 r. odbyło się XXII Forum ADO/ABI zorganizowane przez Centrum Promocji Informatyki. Patronem medialnym tego wydarzenia był m.in. Portal ODO.

Tematem przewodnim Forum było pytanie: Jak przygotować się do stosowania przepisów unijnego Rozporządzenia o ochronie danych osobowych? Eksperci w dziedzinie ochrony danych osobowych omówili kluczowe zagadnienia związane ze stosowaniem nowych przepisów.

Nowe polskie przepisy dotyczące ochrony danych osobowych

Na otwarcie Forum dr Maciej Kawecki – Doradca w Gabinecie Politycznym Ministra Cyfryzacji, odpowiedzialny za koordynowanie krajowej reformy ochrony danych osobowych, przedstawił informacje o aktualnym stanie prac nad projektem ustawy o ochronie danych osobowych oraz podejmowanych działaniach przygotowawczych w zakresie wdrażania nowych przepisów w Polsce. Podczas swojego wystąpienia dużo uwagi poświęcił regulacjom projektowanej ustawy o ochronie danych osobowych, które wzbudziły dotychczas największe kontrowersje.

Wyjaśnił przyczyny wprowadzenia do projektu odmiennych zasad nakładania kar finansowych na podmioty administracji publicznej, wskazując jednocześnie, że na skutek zgłoszonych uwag do projektu Ministerstwo rozważa korektę zaproponowanych zapisów w zakresie wysokości projektowanej kary finansowej, ewentualnie w zakresie rozszerzenia katalogu podmiotów, na które kara ta może zostać nałożona.

Dr Maciej Kawecki przedstawił również przyczyny wprowadzenia do projektu ustawy modelu jednoinstancyjnego postępowania w sprawach dotyczących naruszenia przepisów o ochronie danych osobowych. Podkreślił, że proponując takie rozwiązanie oparto się na statystykach związanych z czasem trwania postępowań prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych, które pokazują, że czas konieczny do uzyskania decyzji ostatecznej jest w chwili obecnej zbyt długi. W ocenie Ministerstwa Cyfryzacji zniesienie dwuinstancyjności ma zapewnić możliwość szybszego uzyskania sądowej ochrony swoich praw. Dr Maciej Kawecki zaznaczył przy tym, że Prezes Urzędu będzie nadal mógł zmienić wydaną przez siebie decyzję w trybie autokontroli tj. przed przekazaniem skargi na wydaną przez niego decyzję do sądu administracyjnego.

Prelegent odniósł się również do uwag zgłoszonych do projektu ustawy dotyczących natychmiastowej wykonalności decyzji Prezesa Urzędu Ochrony danych osobowych. Wskazał, iż w jego ocenie krytycy przyjętego rozwiązania błędnie zrozumieli intencję projektowanych zapisów, a instytucja nadania rygoru natychmiastowej wykonalności dla decyzji ostatecznych funkcjonuje również w KPA.

Dr Maciej Kawecki omówił również przyczyny wprowadzenia do projektu ustawy środka tymczasowego, jakim jest niezaskarżalne postanowienie zobowiązujące podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych.

Na zakończenie dr Maciej Kawecki zdementował prasowe doniesienia o rezygnacji Ministerstwa Cyfryzacji z zamieszczenia w nowej ustawie przepisów karnych penalizujących naruszenie zasad ochrony danych osobowych. Wskazał, że prace nad przepisami nowej ustawy nadal trwają i zapowiedział jednocześnie, że kompleksowy projekt ustawy o ochronie danych osobowych zostanie przez Ministerstwo Cyfryzacji ogłoszony w lipcu 2017 r.

Odpowiadając na pytania uczestników wskazał, że Ministerstwo nie planuje przygotowania rozporządzania, które określałoby warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zaznaczył, że regulacje szczegółowe zobowiązujące administratorów danych osobowych do zachowania określonego poziomu bezpieczeństwa planowane są dla regulacji sektorowych np. sektora bankowego oraz częściowo dla podmiotów przetwarzających dane biometryczne.

Nowe podstawy prawne przetwarzania danych osobowych

Jako następny głos zabrał adwokat dr Paweł Litwiński (Kancelaria Barta, Litwiński Kancelaria Radców prawych i Adwokatów), który opisał uczestnikom zmiany jakie wprowadzi RODO w zakresie podstaw prawnych przetwarzania danych osobowych.

Prelegent szczególną uwagę poświęcił przesłance zgody na przetwarzanie danych udzielonej przez podmiot danych. Wskazał, że choć wyrażenie zgody musi być dobrowolne, konkretne, świadome i jednoznaczne, to nie będzie ograniczone jedynie do formy oświadczenia woli, ale będzie mogło zostać dokonane również w formie wyraźnego działania potwierdzającego. Zaprezentował również analizę przepisów RODO szukając odpowiedzi na pytanie o możliwość uznania za skuteczne posiadanych przez administratorów zgód na przetwarzanie danych, zebranych na podstawie dotychczasowych przepisów. Podkreślił, że nie ma jednoznacznej odpowiedzi na powyższe pytanie, a przygotowując się do wdrożenia RODO należy przeanalizować posiadane zgody pod kątem ich dalszej skuteczności po dniu 25 maja 2018 r.

Nowe zasady relacji ADO z podmiotami przetwarzającymi dane

Trzecie wystąpienie poświęcone zostało tematyce umowy powierzenia oraz relacji pomiędzy administratorem danych oraz podmiotami przetwarzającymi dane. Adwokat Anna Kobylańska (PWC Legal) w swoim wystąpieniu podkreślała przede wszystkim konieczność weryfikacji podmiotów, które są lub mają zostać naszymi procesorami, a także praktyczne problemy, z jakimi spotkają się wkrótce pomioty przetwarzające dane, szczególnie w przypadku konieczności subpowierzenia danych. Omówiła również treść umowy powierzenia danych, która będzie zgodna z RODO i zachęciła do podjęcia działań w kierunku dostosowania posiadanych już umów powierzenia do nowych wymogów.

Nowe prawa osób, których dane dotyczą

W swoim wystąpieniu radca prawny Marcin Lewoszewski (CMS) przybliżył najważniejsze nowe prawa osób, których dane dotyczą. Prelegent szczególną uwagę poświęcił zasadzie przejrzystości przetwarzania danych i odpowiadającemu jej obowiązkowi informacyjnemu spoczywającemu na administratorze danych. Przedstawił porównanie zakresu obowiązku informacyjnego wynikającego z UODO w odniesieniu do norm RODO ustanawiających ten obowiązek w znacznie szerszym zakresie. Dodatkowo umówione zostały: prawo do usunięcia danych osobowych, prawo do przenoszenia danych oraz uprawnienia podmiotu danych podlegającego profilowaniu oraz prawo do odszkodowania za nieprawidłowe przetwarzanie danych.

Ocena skutków zamiast rejestracji zbiorów

Adwokat Sławomir Kowalski (Kancelaria Maruta Wachta sp. j.) omówił zagadnienie oceny skutków operacji przetwarzania dla ochrony danych osobowych oraz rolę inspektora ochrony danych w przeprowadzeniu prawidłowej oceny. Przedstawił przesłanki przeprowadzenia oceny oraz wskazał, że nie każde przetwarzanie danych wymaga przeprowadzenia takiego procesu. Jednocześnie przedstawił sytuacje, w których istnieje wysokie ryzyko dla ochrony danych osobowych (np. przetwarzanie na dużą skalę, przetwarzanie danych wrażliwych, systematyczne monitorowanie czy pozycjonowanie) oraz zaprezentował czynności jakie powinny zostać dokonane w poszczególnych etapach prowadzenia oceny skutków operacji przetwarzania.

Dokumentacja ochrony danych

Ostatnie wystąpienie poświęcone zostało przygotowaniu wymaganej przez RODO dokumentacji ochrony danych. Piotr Kawczyński (Forsafe sp. o.o.) dużo uwagi poświęcił sposobom i zasadom prowadzenia rejestru czynności przetwarzania danych osobowych. Omówił również relację między obecną polityką bezpieczeństwa, a rejestrem czynności. Wskazał zakres informacji podlegających ujawnieniu w rejestrze i zasady dostępu do rejestru.

Po każdym wystąpieniu nie brakowało pytań od uczestników Forum. Ciekawe rozmowy odbywały się również w kuluarach. Spotkanie było dobrą okazją do wymiany wątpliwości, poglądów i obaw przed trudnościami związanymi z wdrożeniem nowych zasad ochrony danych osobowych.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

marta-kwiatkowska

Marta Kwiatkowska-Cylke
Adwokat
marta.kwiatkowska@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej