Ministerstwo Cyfryzacji wydało w środę, powołując się na Konstytucję Biznesu, objaśnienia przepisów RODO dotyczące rekrutacji pracowników. Tymczasem dzień wcześniej Urząd Ochrony Danych Osobowych apelował, by resort nie wkraczał w jego kompetencje dotyczące interpretacji przepisów ochrony danych osobowych.
Resort cyfryzacji wydał swoje objaśnienia, powołując się na art. 33. Prawa przedsiębiorców (tzw. Konstytucja Biznesu). To pierwszy taki przypadek od wprowadzenia nowych przepisów.
"Wiele problemów"
Jak mówił podczas środowej konferencji prezentującej nowe objaśnienia minister cyfryzacji Marek Zagórski, przepisy RODO, które weszły w życie w maju zeszłego roku, budzą wiele problemów interpretacyjnych dla przedsiębiorstw, dlatego na wniosek rzecznika Małych i Średnich Przedsiębiorców Adama Abramowicza resort postanowił wydać objaśnienia, "które dotyczą bardzo konkretnej kwestii - co robić z dokumentami złożonymi przez osoby w trakcie rekrutacji do pracy". - Chcemy dać gwarancje i poczucie bezpieczeństwa przedsiębiorców w tym konkretnym aspekcie - podkreślił Zagórski, wyrażając nadzieję, że pomogą one przedsiębiorcom.
- Te wyjaśnienia wydajemy po to, żeby przedsiębiorcy mieli pewność, że interpretacja, którą wydajemy, chroni ich przed ewentualnymi działaniami organów kontrolnych - dodał.
Spór o kompetencje
Wątpliwości, co do objaśnień wydawanych przez Ministerstwo Cyfryzacji, zgłosił Urząd Ochrony Danych Osobowych.
"Urząd Ochrony Danych Osobowych ze zdziwieniem przyjął zapowiedź Ministerstwa Cyfryzacji dotyczącą jutrzejszej (środowej - red.) konferencji prasowej, na której mają być zaprezentowane formalne objaśnienia prawne dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych zgodnie z art. 33 Prawa przedsiębiorców" - napisano w komunikacie, który pojawił się we wtorek na stronie UODO.
Prezes instytucji Edyta Bielak–Jomaa zaapelowała do resortu cyfryzacji o niewkraczanie w jej kompetencje, stwierdzając, że tylko prezes Urzędu Ochrony Danych Osobowych ma umocowanie prawne do wydawania wytycznych i interpretowania przepisów dotyczących danych osobowych.
"Dokonywanie oficjalnej interpretacji prawa w tym zakresie leży po stronie Prezesa UODO. Zgodnie z RODO jest to wyłączną kompetencją organów nadzorczych oraz Europejskiej Rady Ochrony Danych. Tym samym UODO jest jedynym organem umocowanym prawnie do wydawania wytycznych i interpretowania w tym zakresie przepisów prawa" - podkreślono w oświadczeniu zamieszczonym na stronie internetowej. "Dlatego apelujemy o niepodejmowanie działań, które mogą narazić polskich przedsiębiorców na negatywne konsekwencje i w dłuższej perspektywie utrudnić im działalność, a w konsekwencji rodzić pytanie o możliwą odpowiedzialność Skarbu Państwa za takie szkody" - przestrzegł urząd.
Odpowiedź resortu
Pytany o te kwestie przez dziennikarzy minister Zagórski stwierdził, że "te wyjaśnienia nie są dla UODO, te wyjaśnienia są dla przedsiębiorców". - UODO może się z tymi objaśnieniami nie zgadzać - ocenił. Dopytywany, jaki sens mają gwarancje wydanych przez MC objaśnień, skoro to właśnie UODO przeprowadza kontrole dotyczące ochrony danych osobowych, powiedział, że w przypadku kontroli UODO gwarancje obowiązują do czasu ewentualnego zaskarżenia tych objaśnień przez UODO w sądzie". - Jeżeli wyrok sądu będzie sprzeczny z naszymi objaśnieniami i sąd podzieli stanowisko UODO, to wtedy od dnia tego wyroku będą musiały obowiązywać zasady zgodne z interpretacją UODO, ale w tym okresie od dziś do wyroku sądu przedsiębiorca nie powinien się obawiać żadnych konsekwencji z tytułu stosowania tych objaśnień - dodał szef MC.
Oś sporu
Jak mówili przedstawiciele MC, impulsem do prośby o objaśnienia było stanowisko UODO, z którym przedsiębiorcy się nie zgadzali.
Według poradnika wydanego jesienią zeszłego roku przez UODO pracodawcy nie mogą przetrzymywać CV kandydatów po zakończonej rekrutacji, nawet jeśli obawiają się roszczeń z tytułu np. domniemanej dyskryminacji. Tymczasem objaśnienie MC idzie w odwrotnym kierunku. - Gdyby to stanowisko urzędu miało charakter pewny, przesądzający, a nie było poradnikiem, to może inaczej byśmy do tego podchodzili. Natomiast w związku z tym, że mamy dwa różne stanowiska, postanowiliśmy skorzystać z tej możliwości. To jest instrument, który ma chronić przedsiębiorców w sytuacji, kiedy pojawiają się rozbieżności. On nie jest wymierzony przeciw jakiemukolwiek urzędowi - podkreślił Marek Zagórski. Jak dodał Maciej Kawecki z MC, UODO nie konsultował z resortem poradnika dotyczącego zatrudnienia. Z kolei, jak zauważył Kawecki, "tekst objaśnień prawnych to jest wykładnia podjęta przez ministra cyfryzacji, czyli przez tego, który tworzył przepisy Kodeksu pracy wdrażające RODO". - One powstały w tych murach - podkreślał.
Lepsza ochrona
W środę Edyta Bielak–Jomaa oceniła, że "obywatele coraz bardziej dbają o ochronę swoich danych osobowych". - Myślę, że wśród zwykłych obywateli świadomość swoich praw jest zdecydowanie większa niż świadomość obowiązków administratorów danych. To naturalne, że łatwiej pamiętamy, jakie mamy prawa, a trudniej, jakie obowiązki - powiedziała prezes w rozmowie z PAP. Jej zdaniem o rosnącej świadomości świadczy wzrost liczby skarg, które trafiają do urzędu. Od 25 maja 2018 r., czyli od wejścia w życie RODO i powstania UODO, do Urzędu trafiło ponad 3 tys. skarg. Jak zwróciła uwagę Edyta Bielak–Jomaa, to więcej niż przez cały 2017 r. trafiło do poprzednika UODO - Głównego Inspektora Ochrony Danych Osobowych. - Nikt nie ma wątpliwości, że dla różnych celów dane muszą być przetwarzane, ale ludziom coraz częściej się nie podoba, w jaki sposób się to odbywa. Obywatele mają coraz większą świadomość, że ich prywatność może być naruszana przez nieprawidłowe przetwarzanie danych osobowych. Chcą, żeby były chronione - powiedziała prezes. Zwróciła uwagę, że w grę wchodzą duże pieniądze, bo wartość danych osobowych wszystkich mieszkańców UE ocenia się na bilion euro. Jednym z rozwiązań rozwiniętych przez RODO jest tzw. obowiązek informacyjny. - Mamy prawo wiedzieć, do jakiego celu i w jaki sposób ktoś przetwarza dane. Mamy na przykład prawo wiedzieć, po co jest monitoring, kto zarządza nagraniami, jak długo będą przechowywane itd. - tłumaczyła prezes UODO. I ten obowiązek - jak podkreśliła - bardzo często jest niewłaściwie spełniany, również dlatego, że po stronie tego, który gromadzi dane, nie ma poczucia obowiązku udzielania takich informacji. - Niestety, bywa, że popadamy w skrajności - podkreśliła prezes Bielak-Jomaa. - Zdarza się, że obowiązek jest spełniany przesadnie, na zasadzie, że na wszelki wypadek lepiej zrobić więcej niż za mało. To właśnie z powodu takiego podejścia dostajemy do podpisania plik formularzy. W wielu przypadkach przedzieranie się przez mnóstwo zgód jest absolutnie zbędne -zaznaczyła.
Jej zdaniem znalezienie zrównoważonego podejścia w zgodzie z przepisami jest absolutnie możliwe, ale trzeba mieć odpowiednią wiedzę, jak zarządzać tymi danymi. - By z jednej strony nie narazić się na zarzut, że robimy coś w sposób niewłaściwy, a z drugiej normalnie funkcjonować - wyjaśniła. Dlatego, zdaniem prezes, największym wyzwaniem, jakie przyniosło RODO, jest konieczność zmiany świadomości, myślenia o ochronie danych. - Do 25 maja ochrona danych kojarzyła się raczej z tym, że na wypadek kontroli GIODO trzeba mieć odpowiednią dokumentację, politykę bezpieczeństwa, upoważnienia do dostępu do danych itd. Mało się orientował, co te papiery znaczą, ale ważne, że były - wskazała Edyta Bielak-Jomaa. Ale po 25 maja UODO zaczął podchodzić do kontroli inaczej. - Mniej interesują nas papiery, bardziej sposób, w jaki stosowane są przepisy - wyjaśniła. Jak zaznaczyła, RODO jednoznacznie wskazuje, że odpowiedzialność za sposób przetwarzania danych spoczywa na administratorze, przedsiębiorcy, szkole itp. To te podmioty ponoszą odpowiedzialność za stosowanie takich, a nie innych środków. - Z drugiej strony rozporządzenie nie narzuca drogi osiągnięcia skutecznej ochrony, każe jednak zastanowić się nad stosowanymi rozwiązaniami i pozwala wybrać konieczne środki - dodała.
- Najtrudniejsza do wdrożenia jest właśnie odpowiedzialność - oceniła, dodając, że najlepszym rozwiązaniem wydaje się dobry inspektor ochrony, który sprawdzi i wskaże, gdzie jest potencjalny problem, co i jak rozwiązać. - Podnoszenie świadomości i przekazywanie wiedzy na różnych poziomach i różnym adresatom to olbrzymia część naszej pracy. To m.in. szkolenia dla inspektorów ochrony danych osobowych, dla samorządów i administracji publicznej, szkolenia sektorowe, szkoły i nauczyciele. Mamy specjalny program, który co roku obejmuje ponad 300 szkół - podkreśliła Edyta Bielak-Jomaa.
Surowe kary
Rozporządzenie o ochronie danych osobowych (RODO) zaczęło obowiązywać w całej Unii Europejskiej 25 maja 2018 r. Stanowi, że przetwarzanie danych będzie możliwe m.in. za zgodą tego, kogo dotyczą, a także przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. obrotu firmy.
Unijne przepisy dotyczą wszystkich podmiotów prywatnych i publicznych, które przetwarzają dane osobowe. W RODO zdefiniowano je jako dane, które pozwalają zidentyfikować osobę fizyczną - imię, nazwisko, numer PESEL, płeć, adres e-mail, numer IP komputera, dane lokalizacyjne, kod genetyczny, poglądy polityczne, historię zakupów. RODO przewiduje też prawo do usunięcia, również z internetu, informacji na swój temat.
Autor: tol//dap / Źródło: PAP
Źródło zdjęcia głównego: Shutterstock