Poniżej publikujemy pełną treść wystąpienia dr. Macieja Kaweckiego, doradcy w Gabinecie Politycznym Ministra Cyfryzacji, wygłoszonego podczas Konferencji „Doskonalenie wykonywania funkcji ABI – drugi rok doświadczeń”.

Szanowni Państwo,

na wstępie pragnę podziękować za zaproszenie do udziału w dzisiejszym wydarzeniu. Jednocześnie nie chciałbym ukrywać, że jestem dzisiaj w dość niezręcznej sytuacji. Reprezentując Ministerstwo Cyfryzacji mam przyjemność uczestniczyć bowiem zarówno w dzisiejszych obchodach Dnia Ochrony Danych Osobowych organizowanych przez Stowarzyszenie Administratorów Bezpieczeństwa Informacji (SABI) i Wydział Zarządzania Politechniki Warszawskiej jak również za niespełna tydzień, organizowanych przez Generalnego Inspektora Ochrony Danych Osobowych. Obchodów bez wątpienia wyjątkowych, bo pokrywających się z 20 - leciem polskiej ustawy o ochronie danych osobowych. Od początku uważałem, że polskie obchody europejskiego Dnia Ochrony Danych Osobowych na prawie rok przed rozpoczęciem stosowania ogólnego rozporządzenia unijnego o ochronie danych, są właśnie tym czasem, gdy powinniśmy jako Ministerstwo przedstawić Państwu - wybrane ale jednak konkretne - założenia związane z krajową reformą ochrony danych osobowych. To Ministerstwo Cyfryzacji odpowiada bowiem za jego wdrożenie do polskiego porządku prawnego. Cała niezręczność polega jednak na tym, że po raz pierwszy informacje takie powinny zostać w mojej ocenie przekazane na wydarzeniu, organizowanym przez Generalnego Inspektora  – jako największego interesariusza zmian i adresata znacznej części przyszłych norm prawnych. Wydarzenie to organizowane jest jednak jako drugie. Nie chciałbym również na dwóch wydarzeniach przedstawiać takiej samej problematyki, co mogłoby okazać się niepraktyczne dla osób uczestniczących w obu konferencjach. Uwzględniając powyższe, oraz miejsce dzisiejszego wydarzenia, chciałbym przedstawić Państwu mały ale jednak niezwykle doniosły wycinek krajowej i unijnej reformy ochrony danych osobowych. Wycinek, dotyczący tak ważnego zagadnienia, jakim są przyszłe zasady zabezpieczania danych osobowych.

Na wstępie chciałbym jednak wskazać, że w coraz bardziej złożonej już literaturze przedmiotu poświęconej reformie ochrony danych osobowych w kontekście zasad zabezpieczania danych osobowych podkreśla się, że założeniem jest odejście od równego traktowania wszystkich podmiotów przetwarzających dane osobowe. W tym zakresie rozporządzenie ogólne o ochronie danych osobowych wprowadza więc podejście oparte na ryzyku. To każdy przetwarzający dane osobowe musi ocenić, czy w danym stanie faktycznym zastosował dostępne i uznane w chwili przetwarzania za stabilne technologicznie środki zapewniające najwyższą ochronę danych osobowych. O ile bezspornym jest treść wskazanej zasady, o tyle nie zgadzam się do końca ze stwierdzeniem, jakoby stanowiła ona jakieś „odejście” od obowiązujących dzisiaj w prawie Unii Europejskiej standardów. Prawdą jest, że obecne regulacje prawne państw członkowskich UE – w tym polska - wskazują bardzo często na konkretne sposoby techniczne zabezpieczenia danych osobowych, niezależnie od tego jaki jest sposób czy charakter przetwarzania danych. Powyższe nie wynika jednak wprost z prawa Unii Europejskiej. Dyrektywa 95/46 której implementacją do krajowych porządków prawnych są ustawy o ochronie danych państw członkowskich wskazuje bowiem, że na państwie członkowskim spoczywa obowiązek zapewnienia stosowania rozwiązań [odpowiednich rozwiązań technicznych i organizacyjnych zabezpieczeń danych] przez administratora danych; uregulowania te muszą zapewnić odpowiedni stopień bezpieczeństwa, uwzględniając stan wiedzy w tej dziedzinie oraz koszty ich realizacji w odniesieniu do ryzyka wynikającego z przetwarzania danych oraz charakteru danych podlegających ochronie. Prawdą jest, że państwa członkowskie implementując dyrektywę, wskazały często enumeratywny katalog środków zabezpieczenia danych osobowych, ale obowiązek takiej legislacji nie wynika z samej dyrektywy. Nie wydaje się, aby przeszkodą było już wcześniej wprowadzenie przepisów, które uzależniają poziom technicznej ochrony danych osobowych od tego w jaki sposób dane osobowe są przetwarzane. Polski ustawodawca poszedł nawet częściowo w tym właśnie kierunku, uzależniając techniczne wymogi zabezpieczenia danych od jednego z trzech poziomów bezpieczeństwa (uzależnionych m.in. od kategorii przetwarzanych danych). Obecny stan rzeczy, nie znajduje więc swojego źródła w intencji ustawodawcy unijnego jako takiej, ale wynika ze swobody regulacyjnej państw członkowskich we wdrożeniu dyrektywy jako unijnego instrumentu prawnego, którym reforma została przeprowadzona. Nie można więc w mojej ocenie mówić o jakimś „odejściu” w ogólnym rozporządzeniu od obowiązujących dotychczas w prawie UE zasad zabezpieczania danych osobowych, ale raczej o wyraźnym przesądzeniu po raz pierwszy, jak dane osobowe powinny być zabezpieczane. A no w taki sposób, by zabezpieczenia były zawsze adekwatne do sytuacji, w jakiej dane są przetwarzane.

Skoro powiedzieliśmy sobie już powyższe, odpowiedzieć należy na pytanie jakie wyzwania stoją w chwili obecnej przed państwami członkowskimi wdrażającymi do krajowych porządków prawnych ogólne rozporządzenie unijne o ochronie danych. Mówiąc inaczej, w jakim zakresie, legislacja krajowa może regulować aspekty związane z przyszłymi technicznymi wymogami związanymi z zabezpieczaniem danych osobowych. Działalność legislacyjna państwa członkowskiego, w zakresie w jakim wdraża ono rozporządzenie unijne obejmuje dwa obszary. Pierwszym z nich są działania podejmowane tam, gdzie państwa zostały wprost uprawnione lub zobowiązane do podjęcia działalności ustawodawczej. Drugim jest przypadek, gdy normy takie nie zostały wprowadzone wprost do unijnego aktu ustawodawczego, ale ich podjęcie jest konieczne do skutecznego zastosowania rozporządzenia. Wydaje się również możliwym podjęcie działań legislacyjnych tam, gdzie znacznie ułatwią one stosowanie rozporządzenia unijnego, czyniąc je w pełni skutecznym. Warto w tym zakresie powiedzieć sobie wprost, że brak jest jakiejkolwiek wyraźnej normy prawnej przyznającej państwom członkowskim uprawnienie bądź obowiązek doprecyzowania technicznych aspektów ochrony danych osobowych.

Warto w tym zakresie przyjrzeć się działaniom legislacyjnym podjętym przez inne państwa członkowskie. W chwili obecnej do publicznej wiadomości podane zostały projekty ustaw stworzone przez ustawodawcę niemieckiego oraz holenderskiego. Projekt niemieckiej ustawy o ochronie danych osobowych wdrażającej ogólne rozporządzenie unijne o ochronie danych osobowych zawiera rozbudowane regulacje, dotyczące technicznych aspektów zabezpieczania danych osobowych. Ustawodawca niemiecki doszedł do wniosku, że pewność obrotu prawnego wymaga wskazania co najmniej kryteriów, które posłużyć mogą do oceny ryzyka przetwarzania danych osobowych w danym stanie faktycznym. Do podstawowych z nich należałaby możliwość kontroli dostępu do danych w tym kontroli nośników na których dane są przechowywane. Zgodnie z regulację niemiecką, środki zabezpieczenia danych osobowych powinny również opierać się na rozwiązaniach pseudonimizacji danych oraz ich szyfrowaniu.  Projekt ustawy wskazuje wreszcie, że celem zapewnienia pełnej ochrony danych osobowych, ​​dane mogą być przetwarzane na podstawie zasad wskazanych w stworzonej uprzednio instrukcji. Powstrzymując się, od oceny rozwiązań zaprojektowanych przez ustawodawcę niemieckiego, można bez wątpienia wskazać, że zdecydował on w jakimś zakresie o doprecyzowaniu powołanej już zasady ochrony danych osobowych opartej na ocenie ryzyka. Projekt holenderskiej ustawy o ochronie danych osobowych nie przewiduje z kolei żadnych wytycznych w tym zakresie.

Przedstawiciele Ministerstwa Cyfryzacji uczestnicząc w wydarzeniach poświęconych ochronie danych osobowych spotykają się w omawianym zakresie z bardzo różnymi stanowiskami. Wśród nich  również takimi, które opowiadają się za koniecznością wprowadzenia jakichkolwiek regulacji dotyczących niezbędnego minimum technicznych standardów ochrony danych. Rozwiązanie takie, mogłoby w ich ocenie zwiększyć skuteczność przepisów ogólnego rozporządzenia. Po pierwsze należy wskazać, że każda z takich propozycji musi zostać oceniona w świetle przepisów ogólnego rozporządzenia, i w żadnym zakresie nie może ograniczać jego zastosowania. W świetle powyższego wykluczonym wydaje się wprowadzenie do projektowanej ustawy zapewniającej skuteczne stosowanie ogólnego rozporządzenia, enumeratywnego katalogu technicznych i organizacyjnych środków ochrony danych osobowych. Wykluczonym wydaje się również wprowadzenie takich przepisów, które zwalniają podmioty przetwarzające dane osobowe, od obowiązku zapewnienia środków technicznych zapewniających w danym stanie faktycznym najbardziej skuteczną ochronę. Doświadczenie pokazuje bowiem, że przepisy takie ulegają szybkiej dezaktualizacji, wskutek stałego rozwoju nowych technologii. Bez wątpienia przedmiotem dyskusji może być jednak przyznanie przyszłemu organowi uprawnienia do opracowywania wykazów dobrych praktyk dotyczących odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz ustawą. Wykazy dobrych praktyk powinny w takim przypadku podlegać okresowej aktualizacji i być sporządzane z uwzględnieniem specyfiki działań różnego rodzaju przedsiębiorców. Nie chciałbym, by powyższe było interpretowane jako przesądzenie już, że regulacje takie zostaną wprowadzone do projektu przyszłej ustawy. Bez wątpienia Ministerstwo Cyfryzacji widzi jednak potrzebę większego zgłębienia tematu, również przy wsparciu członków powołanej jeszcze nie tak dawno Rady do Spraw Cyfryzacji.

Dr Maciej Kawecki

Doradca w Gabinecie Politycznym Ministra Cyfryzacji