Przeprowadzanie oceny skutków przepisów dla ochrony danych na etapie ich projektowania jest rzadkością. Takie podejście często sprawia, że informacje o obywatelach są przetwarzane na podstawie przyjętych bez głębszej analizy regulacji

W zaledwie kilku z 747 projektów aktów prawnych zaopiniowanych w 2020 r. przez Urząd Ochrony Danych Osobowych (UODO) i ok. 400 w 2021 r. prawodawca przeprowadził ocenę skutków dla ochrony prywatności - wynika z informacji, które DGP otrzymał od UODO.
To procedura opisana w art. 35 RODO, która powinna być przeprowadzana, jeżeli rodzaj przetwarzania danych - ze względu na ich charakter, zakres, kontekst i cele - z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zdaniem organu nadzorczego najlepiej, aby takie badanie było przeprowadzane już w ramach oceny skutków regulacji projektowanego aktu prawnego.
- Pozwala to projektodawcy zminimalizować potencjalne zagrożenia związane z przetwarzaniem danych, zapobiec im przez stworzenie odpowiednich regulacji prawnych zapewniających stosowanie przepisów RODO, niektóre zaś zupełnie wyeliminować - podkreśla Ewelina Janczylik-Foryś, zastępca rzecznika prasowego UODO.
Dodaje, że przeprowadzanie oceny skutków dla ochrony danych jest przedmiotem szczególnego zainteresowania prezesa urzędu.
- Standard, którym jest brak przeprowadzania oceny skutków dla ochrony danych przez prawodawcę, jest trudny do zaakceptowania i może negatywnie wpływać na obywateli, których dane osobowe będą przetwarzane na podstawie przyjętych bez głębszej analizy przepisów - ocenia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Dodaje, że godzi to także w interesy administratorów danych osobowych - firm oraz instytucji publicznych. Gdyby bowiem ocena dokonywana była na etapie projektowania prawa, podmioty te nie musiałyby jej przeprowadzać samodzielnie. Co ważne - o ile prawodawca nie ponosi żadnych konsekwencji za brak dokonania oceny w przypadkach, o których stanowi art. 35 RODO, o tyle administratorzy już tak. Za niespełnienie obowiązku grozi im kara nawet do 10 mln euro lub 2 proc. całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku (art. 83 ust. 4 lit. a RODO).
Brakuje kadr
Damian Klimas, partner w kancelarii dotlaw, który był autorem oceny skutków dla ochrony danych przy okazji wprowadzania aplikacji ProteGO Safe (później znanej jako STOP COVID), mówi DGP, że polski ustawodawca praktycznie nie bierze pod uwagę tego aspektu.
- Tymczasem taka ocena powinna być fundamentem prawotwórstwa. Nie tylko w demokratycznym państwie prawa, ale też takim, które chce przepisów skutecznych, efektywnych i po prostu działających - przekonuje.
Jego zdaniem podejście projektodawcy skutkuje brakiem jednolitej interpretacji przepisów dotyczących ochrony danych osobowych. Nie buduje to też świadomości obywateli, że prywatność jest poważnym zagadnieniem, które dotyka dziś każdej sfery ich życia.
Damian Klimas przekonuje, że w części resortów można znaleźć pracowników wykazujących inicjatywę przeprowadzenia oceny skutków dla ochrony danych i potrafiących pokierować takim procesem.
- Rzecz w tym, że decydenci wolą powierzyć takim pracownikom istotniejsze - ich zdaniem - zadania. Ocenę skutków dla ochrony danych spycha się na jednostki biznesowe, które nie mają kompetencji w obszarze ochrony danych, albo na inspektora ochrony danych - opowiada prawnik.
Papier wszystko przyjmie
Niedobór wykwalifikowanej w zakresie danych osobowych kadry w instytucjach publicznych sprawia, że część prawników wręcz cieszy się, że ustawodawca rzadko przeprowadza ocenę skutków dla ochrony danych.
- Dla osób, których dane są przetwarzane, bezpieczniej jest, gdy takiej oceny dokonują wyspecjalizowane w tym zakresie podmioty lub specjaliści, a nie ustawodawca - mówi Piotr Liwszic, prawnik i autor serwisu Judykatura.pl.
Dodaje, że ma większe zaufanie do administratorów danych, którzy w wyniku braku przeprowadzenia oceny na etapie tworzenia prawa będą zobowiązani do przeprowadzenia jej samodzielnie zgodnie z art. 35 RODO. - Takie działanie przyniesie zdecydowanie więcej pożytku dla osób, których dane osobowe będą przetwarzane, a na tym powinno zależeć nam wszystkim - twierdzi Liwszic.
Sceptycznie do takiej argumentacji podchodzi dr Paweł Litwiński. Jego zdaniem istotna część administratorów nie przeprowadza bowiem oceny skutków dla ochrony danych w sposób rzetelny. - Nie było w Polsce ani jednego przypadku, w którym administratorzy zgłosiliby się do prezesa UODO w celu skonsultowania szczególnie ryzykownych operacji przetwarzania (zgodnie z art. 36 RODO). Może to oznaczać, iż firmy opierają się na starej zasadzie, że papier wszystko przyjmie, a treść ocen skutków dla ochrony danych często ma charakter życzeniowy - uważa dr Litwiński.
Chlubny wyjątek
Przedstawiciele UODO uważają, że tworzenie rozwiązań prawnych dotyczących innowacyjnych technologii informatycznych, a także tych związanych z przetwarzaniem danych szczególnej kategorii (np. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, dane biometryczne) zawsze powinno być poprzedzone oceną skutków regulacji. W szczególności dotyczy to aplikacji mobilnych, których administratorami danych są podmioty publiczne, nowych rozwiązań z zakresu e-zdrowia, rozwoju podpisu elektronicznego i cyfrowego obiegu dokumentów z wykorzystaniem numeru PESEL, wideoweryfikacji, obligatoryjnego monitoringu wizyjnego czy profilowania przeprowadzanego przez podmioty publiczne.
Czy warto? UODO jako pozytywny przykład wskazuje projekty procedowane przez Ministerstwo Edukacji Narodowej (obecnie Ministerstwo Edukacji i Nauki), które np. przy nowelizacji ustawy - Karta nauczyciela przedstawiło organowi nadzorczemu ocenę skutków dla Zintegrowanej Platformy Edukacyjnej.
- Dokument ten w znacznej mierze przyczynił się do dość szybkiego uzgodnienia projektu z organem nadzorczym oraz wyeliminowania z planowanych rozwiązań tych niezgodnych z RODO - podkreśla Ewelina Janczylik-Foryś.
Zapytaliśmy Kancelarię Prezesa Rady Ministrów, ile razy od czasu rozpoczęcia stosowania RODO rodzimi projektodawcy przeprowadzili ocenę skutków dla ochrony danych. Nie doczekaliśmy się jednak odpowiedzi.©℗
ikona lupy />
Przykłady ryzykownych operacji na danych osobowych / Dziennik Gazeta Prawna - wydanie cyfrowe