Hasło RODO jest już znane wielu polskim przedsiębiorcom, jednak znajomość wymagań tego aktu prawnego jest niewielka. W dniu 13 września 2017 roku Ministerstwo Cyfryzacji opublikowało nowy projekt ustawy o ochronie danych osobowych. Pojawia się pytanie, czy podmioty przetwarzające dane osobowe, po zapoznaniu się z jego treścią będą wiedziały jakie wymagania są im stawiane oraz czy będą wystarczająco zmotywowane do ich przestrzegania? W świetle części regulacji zawartych we wspomnianym projekcie wydaje się to niepewne.

Mając na uwadze drastycznie rosnącą liczbę incydentów bezpieczeństwa w systemach informatycznych i licznych wycieków danych, nie tylko osobowych, kluczowym zagadnieniem w nowej ustawie powinno być prawidłowe zabezpieczenie danych w systemach informatycznych. Obecnie obowiązująca ustawa o ochronie danych osobowych nakłada wymóg stosowania środków technicznych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

W nowym opublikowanym projekcie ustawy brak analogicznej normy prawnej. Prawdopodobnie uzasadnieniem takiego stanu rzeczy jest fakt, że RODO, stosowane bezpośrednio w polskim porządku prawnym, zawiera regulację w tym zakresie.

Zgodnie z art. 32 RODO „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku pseudonimizację i szyfrowanie danych osobowych”.
Z powyżej przytoczonego postanowienia Rozporządzenia nie wynika co prawda obowiązek stosowania konkretnych środków bezpieczeństwa w celu realizacji obowiązku zabezpieczenia danych osobowych. Ustawodawca unijny wskazał jednak przykładowe sposoby zabezpieczania danych, które uznaje za odpowiednie, to jest pseudonimizację i szyfrowanie danych. Metody te, w szczególności druga z wymienionych, zapewniają odpowiedni poziom ochrony, ponieważ praktycznie uniemożliwiają dostęp do danych osobowych przetwarzanych w systemach informatycznych osobom nieuprawnionym. Dotyczy to również sytuacji wycieku lub kradzieży danych, ponieważ w przypadku ich zaszyfrowania, dane uzyskane przez podmioty nieuprawnione są nieczytelne i nie prowadzą do zidentyfikowania osoby fizycznej.

W projekcie z dnia 13 września 2017 r. nie ma o ani słowa o środkach zabezpieczania danych, a całe to zagadnienie sprowadza się do stwierdzenia o wprowadzaniu rekomendacji środków technicznych i procedur przez przyszły Urząd Ochrony Danych Osobowych ( UODO ).

Pomimo faktu istnienia wspomnianego postanowienia w RODO, uzasadnione wydaje się postulowanie wprowadzenia do projektu ustawy o ochronie danych osobowych regulacji dotyczących systemów informatycznych. Przemawia za tym fakt, że ustawy są aktami prawnymi co do zasady bliższymi statystycznym podmiotom działającym na terenie Polski, przez co należy rozumieć, że świadomość regulacji wprowadzonych na poziomie krajowym jest znacznie większa. Wprowadzenie stosownej regulacji, zbliżonej lub bardziej rozbudowanej niż w RODO, na poziom ustawowy, z pewnością przyczyniłoby ułatwiłoby nieprofesjonalistom ustalenie obowiązujących ich regulacji. Przy okazji takiego zabiegu ustawodawca mógłby pokusić się o wprowadzenie poziomów ochrony danych osobowych w systemach informatycznych. W szczególności chodzi tu o zapewnienie odpowiedniego poziomu ochrony tzw. „danych wrażliwych” dotyczących zdrowia, stanu majątkowego itp., na przykład poprzez wprowadzenie obowiązku ich szyfrowania na poziomie ustawowym.

W każdym przypadku, należy postulować wprowadzenie do ustawy o ochronie danych osobowych regulacji dotyczących wymogów w zakresie ich zabezpieczania w systemach informatycznych, co najmniej poprzez pseudonimizację i szyfrowanie.

Równie ważne jak wprowadzenie odpowiednich norm tworzących prawa i obowiązki w zakresie ochrony danych osobowych jest wprowadzenie norm zapewniających ich stosowanie. W aktualnie obowiązującej ustawie o ochronie danych osobowych z 1997 roku istnieją stosunkowo obszerne przepisy penalizujące naruszenia w omawianym zakresie.

Na przykład zgodnie z art. 49 ust. 1 Ustawy, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Zgodnie zaś z art. 51 karze ograniczenia wolności albo pozbawienia wolności do lat 2 podlega ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym.

Ustawa penalizuje również naruszenie obowiązku zabezpieczenia danych osobowych. W myśl art. 52 kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Również niezgłoszenie zbioru danych do rejestracji przez podmiot do tego obowiązany wiąże się z możliwością nałożenia na niego kary grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

W myśl art. 54 penalizowane jest również zachowanie podmiotu administrującego zbiorem danych, który nie poinformował o prawach osoby, której dane dotyczą o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w Ustawie. Taki podmiot podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. W ostatnim z przepisów części karnej, tj. art. 54a Ustawodawca przewiduje karę grzywny, ograniczenia wolności albo jej pozbawienia do lat 2 za udaremnianie lub utrudnianie wykonywania czynności kontrolowanej.
Jak wynika z powyżej przytoczonych przepisów Ustawy, za niewłaściwe postępowanie z danymi podmiot nimi administrujący naraża się na odpowiedzialność karną. Uzasadnione jest twierdzenie, że regulacje te aktualnie pełnią w dużej mierze funkcję prewencyjną, to jest powstrzymują przetwarzających dane od naruszeń w tym zakresie. Dzieje się tak nawet pomimo faktu, że są one stosunkowo rzadko używane w praktyce.

Zgodnie z omawianym projektem ustawy, czyny dotychczas penalizowane, nie będą już podlegały sankcjom prawa karnego. Oznacza to całkowitą eliminację funkcji prewencyjnej jaką pełniły. Taką decyzję ustawodawcy należy ocenić jednoznacznie negatywnie. Zwłaszcza mając na uwadze rosnącą liczbę incydentów bezpieczeństwa w sieci internet.

Cyberprzestępczością są zagrożone również organy administracji publicznej oraz jednostki samorządu terytorialnego. Dostęp do ich danych może spowodować wręcz katastrofalne skutki na poziomie ogólnopaństwowym, stąd też przepisy karne ustawy o ochronie danych osobowych winne pozostać w mocy.

Konkludując, uzasadnione jest twierdzenie, że w znowelizowanej Ustawie o ochronie danych osobowych przepisy karne powinny być uwzględnione w niezmienionym albo w bardziej rygorystycznym kształcie.
A jak wygląda to w projekcie zmian z dnia 13.09.2017.

Nowe przepisy o ochronie danych osobowych, pomimo, iż mają na celu zapewnienie skutecznego stosowania w polskim porządku prawnym przepisów prawa Unijnego, w szczególności rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, mogą doznać znacznych utrudnień w toku ich realizacji, co związane jest z planowaną eliminacją przepisów karnych z ustawy krajowej, a tym samym cele zakładane przez Ustawodawcę nie będą miały szans na powodzenie.

Obecnie aż nadto widoczny jest dynamiczny wzrost incydentów bezpieczeństwa w systemach informatycznych, stąd też zasadnym jest pozostawienie, ewentualnie wprowadzenie bardziej restrykcyjnych przepisów dotyczących odpowiedzialności karnej, nie zaś odejście od ich stosowania.

Ustawodawca argumentuje eliminację przepisów karnych z Ustawy o ochronie danych osobowych tym, iż nie były one dotychczas stosowane, jednakże tak zaprezentowanego sposobu rozumowania w żaden sposobów nie można zaaprobować.
Mając na względzie coraz częstsze cyberataki w toku których uzyskiwane są nie tylko dane osób fizycznych, co, nota bene, stanowi naruszenie jednego z zasadniczych praw człowieka, o których mowa w Karcie Praw Podstawowych Unii Europejskiej, ale również informacje objęte tajemnicą prawnie chronioną, w tym również tajemnicą przedsiębiorstwa mającą, co do zasady, dużą wartość rynkową, jej ujawnienie mogłoby spowodować niepowetowaną szkodę dla takiego podmiotu.

Ponadto, cyberprzestępczością są zagrożone również organy administracji publicznej, jednostki samorządu terytorialnego, dostęp do których może spowodować wręcz katastrofalne skutki na poziomie ogólnopaństwowym, stąd też przepisy karne Ustawy o ochronie danych osobowych winne pozostać w mocy.

Nowy projekt ustawy o ochronie danych osobowych przewiduje odpowiedzialność administracyjną za popełnienie czynów naruszających jej postanowienia oraz odpowiedzialność cywilną, o czym mowa w dalszej części. Godnym uwagi pozostaje fakt, iż karami administracyjnymi obciążane są podmioty zbiorowe, np. spółki i inne jednostki organizacyjne. Przepisy karne w pierwszej kolejności penalizują zachowania na osób fizycznych, np. członków zarządów.
Dlatego, pozostawienie w nowej Ustawie przepisów karnych, byłoby istotnym czynnikiem oddziałującym na świadomość potencjalnego sprawcy, mogącym wpłynąć na zaniechanie popełnienia przez niego czynu zabronionego.

Rozporządzenie unijne surowe kary pieniężne za naruszenie zasad przetwarzania danych osobowych, w tym za ich niewłaściwe zabezpieczenie. Zgodnie z postanowieniami Rozporządzenia Administrator danych może być zobowiązany do uiszczenia kary pieniężnej w wysokości do 10. 000. 000 euro, w tym za brak zastosowania odpowiednich do ryzyk i zagrożeń środków organizacyjnych i technicznych zabezpieczających przetwarzanie danych. W sytuacjach przewidzianych postanowieniami Rozporządzenia możliwe jest nałożenie również kar wyższych, w tym nawet 20.000.000 euro.

We wspomnianym projekcie ustawy o ochronie danych osobowych znacznie zmniejszono maksymalne kwoty pieniężnych kar administracyjnych, które można zastosować wobec określonych podmiotów sektora publicznego. Powstaje pytanie o uzasadnienie i słuszność takiego zabiegu.

Artykuł 50 ust. 1 projektu ustawy wskazuje, które podmioty sektora publicznego mogą zostać obciążone karą w wysokości do 100.000 zł. W myśl powyższego przepisu są nimi podmioty publiczne, o których mowa w art. 9 pkt 8 - 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, tj.: Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego; Narodowy Fundusz Zdrowia; samodzielne publiczne zakłady opieki zdrowotnej; uczelnie publiczne; Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne; państwowe i samorządowe instytucje kultury; inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Ustawodawca argumentuje, iż wymierzanie kary nie powinno skutkować zaprzestaniem a nawet ograniczeniem należytego wykonywania przez te podmioty powierzonych im zadań publicznych, co - zdaniem Ustawodawcy - w sposób oczywisty naruszałoby interes publiczny, jednakże z ww. założeniem trudno się zgodzić.

Aby zapewnić skuteczną ochronę danych, wzorując się na ustawodawstwie unijnym, uzasadnionym byłoby wprowadzenie surowszych kar pieniężnych na podmioty sektora publicznego wymienione powyżej. Należy pamiętać, że wszelkie dane, którymi dysponują owe podmioty mają bardzo różnoraki charakter, często dotyczą również danych wrażliwych (np. stan zdrowia) dlatego też ich niewłaściwe zabezpieczenie może przynieść nieodwracalne skutki. Stąd też należy postulować rezygnację z ograniczania kar administracyjnych w stosunku do wspomnianych jednostek sektora finansów publicznych.
Skutkiem zmniejszenia potencjalnego zagrożenia karą administracyjną będzie tylko i wyłącznie zmniejszenie uwagi z jaką objęte nim podmioty będą traktowały zagadnienie ochrony danych osobowych. Obok eliminacji przepisów karnych stanowi to istotne zagrożenie dla skutecznego wprowadzenia w życie obowiązków wskazanych w RODO.

Istnieje poważna obawa, że przy tak pobłażliwych postanowieniach jej skuteczność będzie bardzo ograniczona, zaś realna implementacja będzie trwała latami. Doświadczenie uczy bowiem, że przepisy niepoparte nieuchronnymi i poważnymi sankcjami są traktowane mniej poważnie przez ich adresatów, niż te które posiadają takie „wsparcie”. Z całą pewnością nie o taki był zamysł ustawodawcy.