W swoim przemówieniu Wicemarszałek zadał pytanie, czy nowe techniki informatyczne nie wyprzedzą poczucia odpowiedzialności ludzi, aby traktowali prawo do prywatności jako dobro osobiste, a nie prawa, na których „można zarobić”. Dodał, iż w związku z postępującym procesem w dziedzinie nowych technologii ochrona dóbr osobistych może łatwo wymknąć się spod kontroli, wobec czego państwo ze swoim ustawodawstwem musi wystąpić w obronie obywateli.

I. Pierwsza sesja dotyczyła skuteczności ochrony danych osobowych w świetle dotychczasowych doświadczeń.

Dr Ewa Kulesza, Generalny Inspektor Ochrony Danych Osobowych I oraz II kadencji, wskazywała na trudności, które były związane z uruchomieniem pierwszego biura GIODO i wdrażaniem ustawy o ochronie danych osobowych z 1997 r., a także nieocenioną pomoc, udzieloną przez organy niemieckie, francuskie oraz austriackie. Zdaniem dr Kuleszy zagadnienie skuteczności regulacji ochrony danych osobowych jest trudne do przedstawienia w sposób jednoznaczny, bowiem nie sposób wskazać na taki akt normatywny, który byłby w pełni efektywny. Należy je rozpatrywać w dwóch płaszczyznach: znaczenia i roli ustawodawstwa w zakresie ochrony danych osobowych oraz stosowania odpowiednich instrumentów przez administratorów danych. Przed wprowadzeniem ustawy o ochronie danych osobowych ochrona do prywatności była mocno akcentowana w orzecznictwie Sądu Najwyższego i Trybunału Konstytucyjnego, jako dobro osobiste definiowane głównie przepisami prawa cywilnego. Zatem nowa ustawa objęła te obszary, które już wcześniej zostały w pewnym sensie zagospodarowane przez inną dziedzinę prawa. Dodatkowo należy pamiętać o szeregu tajemnic zawodowych takich jak lekarska, prawnicza, ubezpieczeniowa czy socjalna. Wobec tego ustawa mogła zostać potraktowana jako element uzupełniający instrumentów, które już funkcjonowały, choć na ich podstawie dochodzenie praw jednostek nie było łatwe z uwagi na koszty i czas trwania samego postępowania cywilnego. Nadto ściganie przestępstw związanych z naruszeniem prywatności nie należało do priorytetowych w praktyce organów ścigania. Rodząca się możliwość wykorzystania drogi administracyjnej została pozytywnie przyjęta przez osoby zainteresowane ochroną ich danych.

Wartością dodaną było określenie roli danych osobowych, które przestały być jedynie zapisem art. 51 Konstytucji RP. Ustawa nadała ścisłe uprawnienia osobom, których dane dotyczą i nałożyła obowiązki na podmioty, które wykorzystywały dane osobowe. Polski ustawodawca uprawnienia osób, których dane dotyczą potraktował w sposób wyjątkowy, stawiając  administratorom danych szczególne warunki daleko wykraczające poza dotychczas obowiązujące przepisy. Ustawa nałożyła na w/w podmioty obowiązek zachowania – wyprzedzającej - szczególnej staranności dbania o to, aby przetwarzanie było zgodne z prawem, dodając obowiązek podjęcia odpowiednich środków organizacyjnych i technicznych, żeby dane były bezpieczne. Wdrożone regulacje, zdaniem dr Kuleszy zostały skonstruowane korzystnie dla administratorów, z uwagi na silne  doprecyzowanie obowiązków, a przepisy wykonawcze pomagały w ich realizacji. Administrator danych osobowych nie został pozostawiony sam sobie. Wiedział dokładnie jakich czynności dokonać, aby dane były bezpieczne.

Według dr Kuleszy w pierwszym etapie funkcjonowania ustawy, w tzw. etapie „uczenia się” istotna była rejestracja zbiorów danych osobowych. Kontrola wniosków rejestracyjnych stanowiła dobrą praktykę dla GIODO, określając jak powinna wyglądać procedura i jaki jest zakres ochrony danych, szczególnie w kontekście adekwatności ich przetwarzania. Wdrażanie ustawy napotykało opór administratorów, a zwłaszcza dlatego że posługiwała się nieznaną dotychczas terminologią, która trudno przebijała się do świadomości społecznej. Proces wdrażania ochrony danych osobowych trwa do tej pory. Przez okres minionych 20 lat doszło do akceptacji, a następnie rozpoczęcia wykorzystywania przez osoby, których dane dotyczą przysługujących im instrumentów, takich jak m.in.: prawo do informacji oraz do kontroli prawidłowości przetwarzania danych, a także dochodzenia praw na drodze postępowania administracyjnego. Wyrazem tego była liczba skarg do GIODO nawet już na etapie organizacji Biura (ok. 670). Stale rosnąca liczba skarg wskazuje, że ludzie nauczyli się korzystać ze swoich uprawnień. Aktualnie prawo do ochrony danych nie jest traktowane marginalne, tak jak dawniej. Zmiana jest zauważalna także w zakresie podejmowania postępowań przez organy ścigania.

Konkludując, dr Kulesza odniosła się krytycznie do charakteru prewencyjnego kar, poddając w wątpliwość ich praktyczną skuteczność. W jej ocenie żaden przepis karny nie spowoduje przestrzegania ochrony danych osobowych. W tym kontekście była GIODO zwróciła uwagę na szczególną rolę edukacji w zakresie budowy dobrze funkcjonującego systemu ochrony danych osobowych.

Dr Wojciech R. Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych IV i V kadencji, aktualnie Zastępca Europejskiego Inspektora Ochrony Danych wskazał, że w każdym państwie unijnym działają niezależne organy ochrony danych osobowych, zaś prawo do ochrony danych osobowych jest jednym z podstawowych praw człowieka. Jednocześnie podkreślił, iż w niektórych aspektach polskie ustawodawstwo już dawno wyprzedziło regulacje wspólnotowe, m.in. w zakresie uznania danych genetycznych za dane osobowe.

Prelegent wskazał także 6 przesłanek, które określił mianem wyzwań dla efektywności wdrożenia RODO:

1) całościowość regulacji, celem objęcia przez regulację europejską wszystkich obszarów funkcjonowania sektora publicznego i prywatnego, tj. aby istniał spójny system który będzie gromadził wszystkie zagadnienia prawne stosownie do podstawowych zasad ochrony wyrażonych w RODO.

Powyższe dotyczy przede wszystkim, objęcia w prawidłowy sposób tych obszarów które podlegały dotychczas wyłączeniu, np. Policji, służb specjalnych, a także kościołów i związków wyznaniowych, które w Polsce co do zasady były wyłączone spod stosowania ustawy. Przestrzeganie przepisów ma zostać wzmocnione i wspierane poprzez zasadę rozliczalności.

2) procedury – które mają zostać ustalone i wdrożone w każdym państwie członkowskim.

3) wyzwania techniczne i technologiczne – czy będzie możliwe przestrzeganie RODO w obliczu rozwoju technologicznego, w związku z rozwojem Internetu przedmiotów, chmury obliczeniowej, sztucznej inteligencji oraz baz danych typu block chain.

4) wiedza – odpowiednia znajomość zagadnień zarówno po stronie graczy rynkowych i administracji publicznej, bowiem przepisy RODO starają się odwoływać do doświadczeń wszystkich 28 krajów Unii. Każdy podmiot może mieć inne spojrzenie na ochronę danych osobowych, w zależności od tego jaką pełni funkcję w systemie. Nieco innymi regułami będą kierować się organy władzy publicznej, innymi sądy, a jeszcze innymi świat biznesu. Praktycznym rozwiązaniem będzie dobra współpraca z DPO`s, którzy w poszczególnych organizacjach odpowiadają za kwestie związane z ochroną danych, a nadto nie są jej przedstawicielami, zaś wewnętrznym organem, który powinien upowszechniać wiedzę w tym zakresie.

5) sądy – istotne będzie podejście do ochrony danych osobowych nie tylko przez Europejski Trybunał Sprawiedliwości, ale również przez krajowe sądy i trybunały.

W razie sporu jako pierwsze zawsze są właściwe odpowiednie organy ochrony danych osobowych. Natomiast RODO nie może odnosić się do tego jak mają procedować, a tym bardziej w tym przedmiocie orzekać sądy. Wszystkie sądy są zobowiązane zdawać sobie sprawę jaka była podstawa rozumowania europejskiego ustawodawcy przy uchwalaniu systemu ochrony danych osobowych, bowiem kontrola sądowa będzie jednym z podstawowych elementów całego systemu.

6) jednolita międzynarodowa współpraca europejska – bowiem edukacja i etyka to kwestie, których nie da się rozstrzygnąć przez przepisy prawa. Organy ochrony danych nie powinny zapominać, że są przede wszystkim regulatorami.

Odnosząc się do wątpliwości w sprawie sankcji, a także krytyki wygłoszonej przez swoją przedmówczynię dr Kuleszę, dr Wiewiórowski przyznał, iż kiedy rozpoczynał pracę jako GIODO był przekonany, że sankcje administracyjne nie powinny być stosowane w Polsce. Niemniej jednak analiza odpowiedzialności podmiotów za naruszenie danych osobowych na gruncie różnych gałęzi prawa, skłoniła go ku refleksji, że możliwość nakładania sankcji jest niezwykle istotna także w ramach prewencji indywidualnej, a nie tylko ogólnej. Zastępca Europejskiego Inspektora Ochrony Danych podkreślił, że taka praktyka jest szeroko stosowana w innych państwach Unii, między innymi w Hiszpanii. Natomiast, oczywistym jest, że każda sankcja administracyjna podlega następczo kontroli sądowej.

Dr Attila Péterfalvi, Przewodniczący Krajowego Organu Ochrony Danych i Wolności Informacji na Węgrzech opisał sposób, w jaki doświadczenia historyczne jego kraju wpłynęły na kształtowanie się systemu ochrony danych osobowych, wskazując na 3 następujące modele:

1) „Data protection and Freedom od Information as „two parts od the coin” : Ochrona danych i wolność informacji - obowiązujący po przekształceniach ustrojowych, w związku z chyleniem się ku upadkowi Związku Radzieckiego.

2) „Transition from an ombudsman- model to a strong authority.” – przejście o modelu rzecznika praw obywatelskich do silnej władzy centralnej, tzw. model łączony.

3) „Supervision of the state security agencies and control od classified data”:  Nadzór nad agencjami bezpieczeństwa państwa i kontrola danych niejawnych, po akcesji Węgier do Unii Europejskiej.

Na Węgrzech obowiązywał szereg tzw. ustaw informacyjnych skierowanych do obywateli. Jeśli chodzi o rolę rzecznika praw obywatelskich w ochronie danych osobowych to miał on jednocześnie gwarantować ochronę praw człowieka, w postaci przejrzystości danych osobowych obywateli oraz przejrzystości działań państwa w tym zakresie. Życie prywatne każdego obywatela powinno miało być utajnione. Aktualnie te zasady straciły nieco na ważności, choć nadal odgrywają ogromną role w ochronie prawa człowieka.

W ocenie dr Attila Péterfalvi, należy zbalansować ochronę danych osobowych z ochroną przed zagrożeniami terrorystycznymi, szczególnie w zakresie kontroli informacji niejawnych, do której prawo Węgry uzyskały po 2015 r.  

Konkludując, prelegent życzył wielu sukcesów w stosowaniu nowej regulacji Unii Europejskiej.

II. Aktualne wyzwania ochrony danych osobowych

Po krótkiej przerwie głos zabrała Tamar Kaldani, Inspektor Ochrony Danych Osobowych w Gruzji, na wstępie gratulując XX-tej rocznicy ochrony danych osobowych w Polsce i dziękując za wsparcie i dzielenie się doświadczeniem z gruzińską instytucją ochrony danych osobowych.

Utworzona w Gruzji  inspekcja ochrony danych osobowych ma swoje aspiracje i reformy do wdrożenia, przy jednoczesnym uwzględnieniu perspektywy globalnej.

Technologie polepszają jakość życia, lecz stwarzają obawę naruszenia prywatności. Pozostaje pytanie czy w erze cyfryzacji można skutecznie chronić dane osobowe. Nowe urzędy ds. danych osobowych mają trudne zadanie do spełnienia, bo wszystkie państwa muszą myśleć o udoskonalaniu zabezpieczeń. Coraz więcej krajów dołącza do Konwencji w sprawie ochrony danych osobowych. Najważniejsze jest, żeby wzmacniać fundamentalne prawa obywateli w tym zakresie. Proces wdrożenia Rozporządzenia jest ściśle obserwowany przez kraje nie należące do UE takie jak Gruzja, która chce zharmonizować swoje prawo z unijnym. Jedną z szans w tym zakresie jest wzmocnienie gruzińskiej inspekcji ochrony danych osobowych, poprzez nadanie jej nowych uprawnień, nawet takich, które przekraczają granice państwowe.

Obywatele muszą wiedzieć jakie gwarancje będą zapewnione przez nowe regulacje i jeśli chodzi o wzmocnienie ich praw ma to kolosalne znaczenie. Niedawno w Gruzji był przeprowadzony sondaż, gdzie 80% ankietowanych uznało ochronę danych za bardzo ważny temat. Opinię obywateli potwierdza także rosnąca liczba skarg. Gruzja musi zaangażować się w dialog z firmami i administratorami danych – korzystać z kompetencji nadzoru oraz przekazywać im wytyczne. Administratorzy muszą być świadomi, że ustawa nie jest tylko obowiązującym prawem, ale daje wymierne korzyści we współpracy na szczeblu krajowym i międzynarodowym. W 2013 r. w Gruzji przeprowadzono znaczące reformy, które mogłyby być nie skuteczne gdyby różne instytucje, w tym np. biznesowe nie podjęły ze sobą współpracy.

Tamar Kaldani, przez wzgląd na efektywność pracy zespołowej, podkreśliła rolę polskich organów w inicjatywie, która łączy inne instytucje w Europie Środkowo-Wschodniej, w ślad za gruzińskim powiedzeniem: „jesteśmy silniejsi razem”.

Dr Karolina Mojzesowicz, reprezentująca Komisję Europejską podniosła, że Komisja wraz z Grupą Roboczą Art. 29, administratorami i processorami pracuje, aby wszyscy byli gotowi na dzień 25 maja 2018 r. Na arenie międzynarodowej Komisja chce wspomóc konwergencje. Reforma ma na celu osiągnięcie wysokiego stopnia ochrony danych osobowych, ale ma także ułatwienia ochrony przepływu danych między krajami. Rozporządzenie promuje przetwarzanie i ochronę danych osobowych w UE. Poprzez możliwość doprecyzowania RODO na gruncie ustawodawstwa krajowego można dokonać harmonizacji całego systemu. Komisja współpracuje z państwami członkowskimi, aby pomóc w osiągnięciu celów, które stawia przed nimi nowe rozporządzenie. Każde państwo ma swój osobny punkt widzenia, który musi zostać w pewnym stopniu zunifikowany na poziomie krajowym.

Wyzwanie stanowi sposób, w jaki RODO będzie egzekwowane i stosowane. Na Państwach Członkowskich spoczywa odpowiedzialność dostosowania obowiązków i oszacowania ryzyka, które będzie stanowiło przetwarzanie, tak aby stosowanie RODO przez państwa było harmonijne i spójne.

              W powyższym zakresie Komisarz podkreśliła rolę Grupy Roboczej Art. 29, której zadaniem jest m.in. wskazywanie uwag oraz sposobu interpretacji obowiązków, a także prowadzenie konsultacji.

Innym wyzwaniem Komisji jest praca indywidualna  z różnymi grupami interesariuszy (multi-stakeholder groups), celem zwrócenia ich uwagi w stronę różnych zagadnień,  zanim Komisja zacznie podejmować działania w zakresie stosowania aktów delegowanych i wykonawczych. Z drugiej zaś strony Komisja zamierza podjąć akty w ramach certyfikacji, które mają pozwolić na prawidłowe stosowanie prawa i pomagać przy wykazywaniu rozliczalności. Niemniej jednak przepisy krajowe nie mogą przeciwstawiać się harmonizacji prawa wynikającego z RODO.

Konwergencja, wyłaniająca się także dzięki Konwencji nr 108 Rady Europy pozwala wyłonić 3 podstawowe zasady harmonizacji:

1)element uznania, iż ochrona danych jest prawem podstawowym,

2)pełna legislacja, dająca podmiotom prawa, które można wyegzekwować przed sądami i organami,

3)niezależne urzędy ochrony danych, wyłonione między innymi w ramach wytycznych wskazanych w orzeczeniach Trybunału Sprawiedliwości UE w sprawach w sporze obywateli odpowiednio z Węgrami, Niemcami i Austrią,

Zdaniem dr Mojzesowicz, RODO stanowi ewolucję dla praw osób, których dane dotyczą, zaś rewolucją można nazwać sposób egzekwowania obowiązków w postaci przejścia z autoryzacji przetwarzania danych na pełną rozliczalność. Kontynuując, wskazała, iż wytyczne Trybunału Sprawiedliwości UE ze sprawy Schrems zostały wprowadzone do RODO. Decyzja podjęta w stosunku do Stanów Zjednoczonych wyłoniła nowy standard w obszarze Privacy Shield. Podkreśla się także stałą, ścisłą współpracę z Koreą Południową oraz Japonią.

Ventsislav Karadjov, Przewodniczący Komisji Ochrony Danych Osobowych Bułgarii oraz Wiceprzewodniczący Grupy Roboczej Art. 29 odniósł się do wyzwań dla Europy w zakresie ochrony danych osobowych, nakreślonych uprzednio przez dr Kuleszę i dr Wiewiórowskiego.

 Przewodniczący, wskazał na konieczność przyjęcia odpowiedniego prawodawstwa w Bułgarii, celem harmonizacji systemu z GDPR (RODO). Podobnie jest z innymi Państwami Członkowskimi, które także są zobowiązane to uczynić, zaś organy UE mają za zadanie niesienie pomocy w tej kwestii. Nowe prawodawstwo krajowe musi być w pełni możliwe do wdrożenia dla inspektorów.

Innym z wyzwań jest nowy sposób prowadzenia współpracy międzynarodowej. Bułgarzy są zadowoleni z działań Grupy Roboczej Art. 29, która opracowuje wytyczne dotyczące wdrożenia GDPR, bowiem będą one nie tylko wiążące, ale i pomocne dla wszystkich organów stosujących nowe rozporządzenie, a także dla inspektorów na szczeblu lokalnym. Wytyczne mogą jednak nie być do końca zgodne z tym, w jaki sposób organizacje będą zamierzały prowadzić biznes.

Zgodnie z dyrektywą dotyczącą spójności, procedura ochrony danych będzie także możliwa do aktywowania na podstawie skargi na szczeblu lokalnym. Organy będą mogły samodzielnie zadecydować o różnych przypadkach łamania przepisów ochrony danych osobowych, które mogą nie stanowić w innym przypadku przedmiotu skargi. Ostatecznie główny organ ochrony danych osobowych będzie miał wiążącą opinię. Jeśli skarga będzie pochodzić z organu lokalnego, np. filii bułgarskiej organizacji w Polsce, organy bułgarskie będą zobowiązane przekazać skargę organom polskim z zagwarantowanym prawem do złożenia propozycji co do sankcji, gdyby okazała się zbyt wygórowana.

Innym wyzwaniem jest konieczność edukacji świata biznesu, szkolenia ich przedstawicieli, a także sądów. Te ostatnie nie są bowiem zobowiązane do uwzględniania decyzji organów ochrony danych. Sądy muszą rozumieć normy GDPR, aby starać się unikać rozbieżnych z organami administracji stanowisk.

Celem właściwego stosowania GDPR potrzeba zasobów ludzkich oraz finansowych. Niestety większość europejskich urzędów ochrony danych osobowych jest zobowiązania radzić sobie na podstawie dotychczasowych środków, co może w przyszłości prowadzić do komplikacji. 

Wyzwania, które pojawiają się na gruncie GDPR, trzeba rozwiązywać zarówno na płaszczyźnie ustawodawczej i wykonawczej. Jednocześnie należy sobie zdawać sprawę, że czynnik ustawodawczy będzie podlegał swego rodzaju naciskowi lobbystycznemu. W odczuciu Ventsislav`a Karadjov`a stosowanie GDPR będzie wymagało wielu działań, w tym przede wszystkim pogodzenia interesów władzy ustawodawczej i wykonawczej.

Dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych, zwróciła uwagę na swoisty dualizm, w którym znalazło się polskie prawodawstwo. Z jednej bowiem strony Polska znajduje się w przededniu wejścia w życie RODO, a z drugiej strony pracuje się nad projektem nowej ustawy, która ma ułatwić stosowanie regulacji wspólnotowej.

Należy zastanowić się, czy RODO stanowi ewolucję czy też rewolucję, bowiem następuje zmiana podejścia do ochrony przetwarzanych informacji. Zatem dla tych, którzy nie zdążyli okrzepnąć w dawnej regulacji będzie to rewolucja, zaś dla wszystkich pozostałych podmiotów będzie to ewolucja. W RODO zauważa się potencjał do podwyższania roli ochrony danych osobowych. Niemniej jednak ciężar odpowiedzialności został przeniesiony na administratorów danych, którzy mają obawy przed swoją odpowiedzialności za bezpośrednie stosowanie RODO, które dotyczą przede wszystkim podejścia do ochrony danych osobowych opartego na ryzyku. Jednocześnie w RODO próżno szukać informacji o specyfikacji zabezpieczeń technicznych.

Zamiast tego podkreśla się podejście oparte na ryzyku. Na stronie internetowej GIODO wkrótce znajdzie się opracowanie, które umożliwi zrozumienie metod szacowania ryzyka. W ramach swojej aktywności GIODO zamierza się wskazywać administratorom co to znaczy rozliczalność.

RODO zapewnia neutralność technologiczną, choć z drugiej strony będzie wymagało się wdrożenia przez administratorów odpowiednich środków ochrony zgodnie z wymogami rozporządzenia. W RODO można dostrzec rozwiązania, które ułatwią administratorom stosowanie przepisów zgodnie z zasadami rozliczalności, np. ocena skutków dla ochrony danych, certyfikacje i kodeksy postępowania. Kodeksy, należy rozumieć jako dokumenty które doprecyzowują i doregulowują branże gdzie ochrona danych będzie stosowana np. wskazując modelowe przykłady rozwiązań. GIODO prowadzi rozmowy między innymi z branżą marketingu, bankowości, lekarską, a nawet producentami zabawek, aby wspierać administratorów w pracy nad kodeksami.

Obowiązkiem administratorów będą także szkolenia pracowników i ich odpowiednie przygotowanie, aby mogli właściwie pracować z danymi, które przetwarzają w różnych procesach i stosować odpowiednie rozwiązania na poziomie technologicznym takie jak m.in.: privacy by design, czyli konieczność „wszywania” polityki prywatności od początku pracy nad systemem czy aplikacją.

GIODO dostrzega także potencjał współpracy z DPO, w szczególności w ramach obowiązku rozliczalności.

Wśród nowych zadań DPO pojawił się obowiązek współpracy z organem nadzorczym. Z tą współpracą wiąże się ogromne nadzieje i dostrzega potencjał w zakresie zadań, które RODO nałożyło na administratorów. Z pewnością rola inspektora w organizacji wzrośnie, a co za tym idzie będzie miał duży wpływ na przetwarzanie w niej danych osobowych. GIODO nie zamierza zostawić inspektorów samych sobie, lecz chce pozostawać z nimi w stałym kontakcie, który pozwoli na powiększenie wiedzy organu w zakresie potrzeb organizacji, zagrożeń i niebezpieczeństw z perspektywy wdrażania RODO. GIODO stara się w miarę możliwości edukować inspektorów – jak do tej pory udało się przeszkolić ok. 1000 z różnych sektorów gospodarki.  

Pojawiły się projekty dwóch ustaw, które mają pomóc stosować RODO. Niemniej jednak, aby system ochrony w danym państwie był odpowiedni – organ nadzorczy powinien być silny i niezależny, nie tylko w zakresie swoich kompetencji i zadań, ale także wyposażenia w odpowiednie zasoby kadrowe, organizacyjne oraz finansowe. Bez zwiększenia środków na funkcjonowanie organu nie będzie można zrealizować wszystkich zadań, wyznaczonych przez RODO.

GIODO finalizuje prace nad nową strukturą organizacyjną Biura, która zapewni lepszą skuteczność i efektywność wykonywania zadań stojących przed Urzędem. Realizacja nowych zadań wymaga wglądu nie tylko w procesy, które w Biurze są podejmowane, ale także nie może się obejść bez przebudowy obowiązujących systemów, stworzenia dodatkowych systemów informatycznych i procedur. Powyższe pociąga za sobą konieczność pozyskania większej ilości środków finansowych. Tegoroczny projekt budżetu GIODO przedłożony do Ministerstwa Finansów opiewa na 49 mln złotych, tj. prawie dwa razy tyle, co w zeszłym roku.

Z drugiej strony istotnym zagadnieniem są reformy w przepisach prawa sektorowego. Jak do tej pory Ministerstwo przedstawiło projekt blisko 130 zmian normatywnych. 

GIODO wyraża stanowisko, iż RODO stanowi przykład przepisów które pozwolą chronić prywatność na innym poziomie. Prognozuje się duże wyzwania dla organów nadzorczych i administratorów danych.  

              Następnie, prelegenci ustosunkowali się do następujących pytań:

A. Jakie są ryzyka w procesie wdrażania GDPR?

Dr Attila Péterfalvi: na Węgrzech jeszcze przed wyborami ustawodawczymi planuje się wdrożyć duży akt legislacyjny w zakresie ochrony danych osobowych. Prawdopodobnie niezwykle trudno będzie osiągnąć w tym okresie większość parlamentarną.

Tamar Kaldani – Gruzja nie ma bezpośredniego obowiązku modernizacji swojego ustawodawstwa, lecz ma silną wolę konsolidacji  z regulacjami UE. Aktualnie występuje dużą zgodność ustawodawstwa, szczególnie w procesach dotyczących przepływu transgranicznego danych z UE. W gruzińskim organie ochrony danych osobowych pracuje łącznie 43 członków, posiadających specjalne kompetencje, jeśli chodzi o egzekwowanie przestrzeganie prawa. W organach publicznych i prywatnych działa wielu DPO. Gruzińskie organy starają się działać prewencyjnie, a nie reaktywnie. GDPR to duże wyzwanie, ale i jednocześnie szansa dla państw, które zamierzają wzmacniać ochronę praw podstawowych i praw obywateli. Nadto, działania oparte na współpracy z biznesem i edukacji będą bardzo ważne.

Dr Karolina Mojzesowicz – utrzymanie niezależności organu nadzorczego od administracji państwowej zgodnie z art. 52 RODO, a także harmonizacja jego zadań i uprawnień będzie niezwykle ważnym wyzwaniem. Organizacja urzędu z pewnością musi ewoluować, celem zmiany sposobu stosowania prawa z ex ante na ex post, choćby z uwagi na konieczność wykazywania rozliczalności przez administratorów. Ważne jest, aby organy państwa w harmonijny, efektywny i proporcjonalny sposób stosowały uprawnienia naprawcze, które zostały im przyznane w rozporządzeniu. Nadto w ocenie dr Mojzesowicz stosowanie kar pieniężnych jest zawsze efektywne.

Dr Edyta Bielak-Jomaa – ważne jest, żeby przed 25 maja 2018 r. przepisy prawa były znane i już obowiązywały, aby przejść do stosowania RODO w sposób niezaburzony. Wszyscy muszą mieć  pewność przysługujących praw, obowiązków, a także konsekwencji związanych z przetwarzaniem danych. Dr Bielak-Jomaa wyraziła przekonanie, że sporo będzie także zależało od samego GIODO, który cały czas się szkoli, aby być absolutnie gotowym na stosowanie RODO.

Ventsislav Karadjov – duże ryzyko może stanowić praktyczne zastosowanie zasady rozliczalności. Do tej pory obowiązywała procedura zgłoszeniowa, kończąca się wydaniem zarejestrowanego certyfikatu administratora danych. GDPR nie przewiduje rejestracji, co powoduje, że każda skarga obywatela będzie wiązała się z koniecznością udania się na miejsce, gdzie potencjalne naruszenie mogło wystąpić, co spowoduje zwiększenie liczby inspekcji.

Rozliczalność sama w sobie spowoduje ryzyko, ponieważ firmy będą musiały na bieżąco dostosowywać swoje obowiązujące procedury, reguły i kodeksy postępowania. Nie da się tego wykonać raz na zawsze. Samo posiadanie dokumentów nie będzie chroniło organizacji w razie kontroli. Nadto organ nadzorczy będzie zobowiązany udowodnić społeczeństwu i poszczególnym obywatelom, że jest w stanie poradzić sobie z dużą liczbą skarg – w przeciwnym wypadku straci swoją wiarygodność.

B. Który mechanizm rozporządzenia będzie w praktyce najbardziej znaczący dla instytucji?

Tamar Kaldani – sama koncepcja GDPR jest bardzo ważna, tak samo jak koncepcja rozliczalności nie tylko przed samym organem nadzoru, ale i społeczeństwem.

Dr Karolina Mojzesowicz – powinny być stosowane wszystkie mechanizmy razem wzięte.  

Ventsislav Karadjov – oczywiście wszystko zależy od konkretnego przypadku, ale najważniejszy nie jest sam mechanizm, tylko to jak organy nadzoru będą wykorzystywać poszczególne mechanizmy do przestrzegania GDPR, ponieważ czasami nie chodzi wyłącznie o nałożenie sankcji, ale o doradzanie w zakresie jak poprawić konkretną procedurę. Jeśli dana organizacja nie ma wdrożonych mechanizmów i nie wie jak je stosować – trzeba im o tym powiedzieć, niezależnie od nałożenia sankcji. W większości przypadków konkretne naruszenie może nie być intencjonalne, lecz wynikać z faktu, że organizacja nie ma wiedzy jak coś wykonać. Niezależne organy nadzoru są zobowiązane przyjrzeć się indywidualnie każdej sprawie i wykorzystać złożoność mechanizmów stosowania prawa, aby wymagać jego przestrzegania.

III. Wdrażanie przepisów o ochronie danych osobowych: mechanizmy, narzędzia, dobre praktyki.

Marek Michalak, Rzecznik Praw Dziecka, zaznaczył istotną rolę współpracy i podejmowania wspólnych działań z GIODO, na rzecz tych osób, które same się nie obronią. Prawa człowieka zaczynają się od praw dziecka, uregulowanych choćby w Konwencji o prawach dziecka oraz Konstytucji Rzeczypospolitej Polskiej. 

W badaniach dotyczących opinii dzieci w zakresie dóbr osobistych, dzieci wskazują jako jedno z najważniejszych dóbr prawo do prywatności.  Należy wskazać, że dziecko nie upomni się samo o ochronę jego prywatności – trzeba mu ją zapewnić. Powyższe dotyczy przede wszystkim nauczycieli, pedagogów, rodziców, ale także i innych osób, które mają się stosować do praw dziecka. Obowiązująca dyrektywa unijna nie odnosiła się bezpośrednio do ochrony danych osobowych dzieci tak samo polska ustawa. Kluczowym elementem edukacji cyfrowej jest zrozumienie praw i obowiązków, podnoszenie świadomości na temat zagrożeń, a także pomoc uczniom w poruszaniu się w środowisku cyfrowym, a także poszanowaniu praw innych osób. Znaczącą rolę powinni pełnić w tym zakresie nauczyciele i pedagodzy. Dzieci muszą zrozumieć pojęcie przetwarzania danych osobowych oraz wiedzieć, że zbieranie danych może w wielu przypadkach wiązać się z ich wykorzystaniem do innych celów niż wcześniej zaplanowane. Ma to istotne znaczenie dla nieukształtowanej jeszcze osobowości dzieci. Konstytucja gwarantuje każdemu prawo m.in. do usunięcia, czy poprawienia swoich danych. Należy przestrzegać zasady partycypacji dziecka, tj. jego prawa, żeby mogło się wypowiedzieć w określonej sprawie na dany temat. Dziecko nie zrozumie wielostronicowych ustaw.

Sytuacja w ochronie danych osobowych dzieci znacząco zmieni się w 2018 r., gdy wejdzie w życie RODO. Przy usługach społeczeństwa informacyjnego należy zapewnić ochronę najmłodszych. Jako dobitny przykład tego typu działania, można podać wykorzystanie danych dzieci do celów marketingowych oraz profili społecznościowych. RODO kładzie duży nacisk na komunikaty kierowane do dzieci. Powinny być sformułowane jasnym i czytelnym językiem, w przekładzie zrozumiałym dla najmłodszych w zależności od fazy rozwoju i stopnia dojrzałości. Dane osobowe stały się dziś pewnego rodzaju środkiem płatniczym, którym uiszcza się opłatę za dostęp do aplikacji i stron internetowych. Należy propagować wśród dzieci wiedzę o programach antywirusowych antywłamaniowych, o potrzebach szyfrowania danych i prawie do żądania usunięcia danych z sieci przez administratora danych.

Internet poza kontrolą opiekunów może powodować różne zagrożenia, np. ułatwiać dostęp treści zabronionych, czy zwiększać ryzyko stania się przez dziecko ofiarą przestępstw. Brak nadzoru może implikować problemy prawne związane z nieświadomym łamaniem praw autorskich. Rzecznik wspólnie z NASK zlecił badania zachowań nastolatków w Internecie na grupie 1535 uczniów z całego kraju, podzielonych na dwie grupy, odpowiednio uczniów klas II gimnazjum i II klas szkół ponadgimnazjalnych. Badanie wykazało średni dzienny czas korzystania przez dziecko z Internetu na 3 h 40 min. Niecałe 20 lat temu przeprowadzono tożsame badania dotyczące spędzania czasu nastolatków przed telewizorem, które także wykazało średni dzienny czas na poziomie 3 h 40 min – a zatem zmienił się komunikator, ale niebezpieczeństwa wzrosły.

Rzecznik zauważa postępujący proces komercjalizacji dzieciństwa, a co za tym idzie sposoby kreowania zachowań dziecka w wielu przypadkach naruszają godność ludzką. Dziecko nie jest podmiotem prawa drugiej kategorii, choć nie dysponuje pełną zdolnością do czynności prawnych.

Niestety, ustawodawca nie zauważa konieczności wprowadzenia szczególnych regulacji ochrony praw dziecka w mediach. GIODO będzie miał za zadanie pełnić rolę gwaranta ochrony danych osobowych dzieci w przestrzeni publicznej i medialnej.

Ks. prof. Stanisław Dziekoński, Rektor Uniwersytetu Kardynała Stefana Wyszyńskiego, położył nacisk na podejmowane wspólne z GIODO inicjatywy, poprzez działania wspierające edukację specjalistów w zakresie ochrony danych osobowych. Od wielu lat na Uniwersytecie Kardynała Stefana Wyszyńskiego odbywają się studia podyplomowe z zakresu ochrony danych osobowych, które cieszą się niesłabnącą popularnością.

Planuje się otwarcie kierunku studiów w zakresie ochrony danych osobowych pacjentów. Prowadzi się szereg szkoleń skierowanych do innych grup zawodowych i społecznych. Równolegle urzeczywistnia się prace nad ochroną danych osobowych przetwarzanych przez kościół katolicki. Rola UKSW polega także na organizowaniu konferencji i seminariów z zakresu ochrony danych osobowych, m.in. w zakresie działalności kościołów i służb specjalnych, czy też prawa do prywatności dziecka oraz konferencji dotyczących kradzieży tożsamości.

UKSW dostrzega znaczenie danych osobowych. Zamierza wspólnie z uniwersytetem oxfordzkim zbudować Akademickie Centrum Kompetencji w zakresie cyberbezpieczeństwa. Został już podpisany list intencyjny w tej sprawie.

Kształcenie obywateli jest kluczowe dla rozwoju Polski i innowacyjności gospodarki.

Bojana Bellamy, Przewodnicząca Centre for Information Policy Leadership, platformy która umożliwia dyskusje między światem biznesu a organami ochrony danych osobowych.

Rola organizacyjnej rozliczalności w zapewnieniu ochrony danych osobowych. W czasie rewolucji technologicznej nie wystarczy samo prawo, aby chronić obywateli. Filar musi stanowić odpowiedzialność korporacyjna i prywatna. GIODO jest regulatorem, który jest ogromnie ważnym graczem na szczeblu krajowym i międzynarodowym, toteż powinien dysponować odpowiednimi zasobami ludzkimi i środkami finansowymi. Z jednej strony ma zachęcać do przestrzegania prawa, a z drugiej nakładać sankcje (zasada kija i marchewki). Istotne jest zaangażowanie samych organizacji, które mają włączać się w dialog z regulatorem, co wcześniej nie miało miejsca.  

              GDPR to rewolucja. Organizacje muszą pomyśleć w jaki sposób realizować prawo a jednocześnie cechować się systematycznym podejściem do ochrony danych. Przepisy i inspekcja nie są jedynie po to, aby śledzić stosowanie przepisów, ale mają także konsultować z organizacjami rozwiązania.

Aktualnie dane osobowe to największy zasób każdej organizacji, która nie może pozwolić sobie na  ich utratę, choć z drugiej strony musi je dobrze wykorzystywać. GIODO ma pomóc je wykorzystywać dla dobrych celów, które wynikają z digitalizacji. Należy  zrozumieć ryzyko i jego wpływ na osoby fizyczne, tj. jaki wpływ na prywatność ludzi może nieść za sobą niestosowanie przepisów. Należy spoglądać na kwestię ochrony danych w sposób systematyczny, umieć sobie odpowiedzieć na pytanie: jakie ryzyko istnieje dla organizacji, jeśli się nie zastosuje się do przepisów, a jakie ryzyko istnieje dla zwykłych ludzi.

Inżynierowie do spraw ochrony danych osobowych są potrzebni w momencie, gdy opracowuje się nowe oprogramowanie. Mają za zadanie rozważyć jego wpływ na ochronę danych osobowych. Nadto, podmioty przetwarzające dane osobowe musza być świadome, że będą z tego rozliczane. Kodeksy postepowania i etyki mają pomagać w tym złożonym procesie. Każde złamanie przepisów dotyczących ochrony danych osobowych powinno być w szczególny sposób egzekwowane i analizowane. Dużo lepiej koncentrować się na zapobieganiu niż leczeniu.

W ocenie Bojany Bellamy, pojawi się więcej osób, które zaczną korzystać ze swoich praw, w związku z czym należy sprawić by organizacje najpierw były rozliczalne, a dopiero potem kierować skargi do GIODO.

W październiku zeszłego roku organizacja Bojany Bellamy  wydała sprawozdanie dotyczące gotowości do wdrożenia GDPR, które zamieszczono na stronie internetowej. Zaistnieje potrzeba nowego programu dotyczącego zgodności z GDPR.

Bardzo ważne jest, żeby wykonywać ocenę ryzyka naruszenia praw osób fizycznych i w jaki sposób ona jest zredagowana. Wszyscy w danej organizacji powinni rozumieć, czym jest ochrona danych: dział HR, marketingu, czy dział IT powinni rozumieć ich znaczenie na bazie wypracowanych reguł. Istotne będzie stosowanie odpowiednich wzorców umów, procedur oraz przejrzystość. Nowe ustawodawstwo skupia się na tym, żeby nie ujawniać danych zbyt pochopnie.

Zaistnieje potrzeba przeprowadzania szkoleń, w celu wdrażania rozporządzenia, co musi oprzeć się na poziomie danej organizacji. Raz do roku najlepsze światowe firmy organizują szkolenia ad hoc, podczas których pracownicy mają między innymi do rozwiązania quizy, czy sprawdziany.  

Nie chodzi o to żeby DPO po prostu był obecny w swoim gabinecie. Wszystkie procedury należy co pewien czas weryfikować, a co za tym idzie tworzyć wewnętrzny system ochrony danych osobowych, bowiem ochrona danych bierze swój początek właśnie z tego źródła.

Należy ustalić plan postępowania, gdy przykładowo pracownik specjalnie zignoruje zasady ochrony danych i wiedzieć jak zwracać się do GIODO, gdy coś się zepsuje. To samo dotyczy skarg. Przy takim kształcie GDPR nie da się wdrożyć raz na zawsze określonego rozwiązania.  

Wiele organizacji mówi o zakorzenianiu ochrony danych w swoje DNA. Sektor publiczny powinien dołączyć w tym zakresie do sektora prywatnego. W firmach z Honkongu dyrektor każdej organizacji jest zobowiązany podpisać oświadczenie, że będzie się stosował do polityki wskazanej przez inspektora ochrony danych osobowych.

Tak, jak już wcześniej zostało wskazane, dane są niekiedy najważniejszymi aktywami firm. To one stoją za rewolucją cyfrową. Nadszedł właściwy moment, aby wykorzystać i powiązać GDPR z biznesem, bowiem obywatele i konsumenci oczekują ochrony swoich danych osobowych. Gdy cokolwiek pójdzie nie tak jako powinno to odwrócą się od konkretnej organizacji.  

W Wielkiej Brytanii znany jest przypadek firmy medycznej, która chciała udostępniać wszystkim dane osobowe pacjentów, w celu zapobiegania chorobom. Jednakże nie oceniono wpływu tej inicjatywy na ochronę danych osobowych, co spowodowało upadek tej organizacji. Ludzie chcą ufać firmom, ale oczekują także w zamian przejrzystości i rozliczalności. Natomiast stosowanie się przedsiębiorstw do obowiązującego prawa zapobiegnie ukaraniu ich milionowymi grzywnami.

Jak Komisja widzi zapewnienie zadań realizacji RODO, jeśli państwa członkowskie obniżą rangę organów nadzorczych?

IV. Podsumowanie.

Konferencja z okazji XX-lecia ochrony danych osobowych w Polsce ukazała, że ochronę danych osobowych należy rozumieć zarówno w ujęciu horyzontalnym, jak i wertykalnym, a także urzeczywistniać ją na płaszczyźnie międzynarodowej, jak i ponadnarodowej. Prelegenci z różnych krajów i różnych sektorów gospodarki zgodnie podkreślili istotną rolę ochrony danych osobowych w erze rewolucji technologicznej, a także jej systematyczny rozwój. Z perspektywy historycznej, zmiany w niniejszej dziedzinie przeszły rewolucyjną drogę, choćby z uwagi na coraz większą liczbę ośrodków decydujących o kształcie i charakterze systemu ochrony danych osobowych, który stał się jeszcze bardziej humanocentryczny niż dotychczas.