27 Maj 2015

Relacja z Ogólnopolskiej Konferencji Naukowej „Reforma ochrony danych osobowych – nowe szanse i wyzwania”


Centrum Ochrony Danych Osobowych, działające na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego było organizatorem Ogólnopolskiej Konferencji pt.: „Reforma Danych Osobowych – nowe szanse i wyzwania”. Konferencja odbyła się w dniu 14 maja 2015 roku. Honorowy patronat nad wydarzeniem objęła Dziekan wydziału prof. nadzw. dr hab. Agnieszka Liszewska, a także Konfederacja Lewiatan, Stowarzyszenie Administratorów Bezpieczeństwa Informacji oraz Związek Pracodawców Branży Internetowej IAB Polska.

W związku z obowiązującą od 1 stycznia 2015 roku nowelizacją ustawy o ochronie danych osobowych oraz projektami zmian na poziomie prawa unijnego, przed Administratorami Danych Osobowych (ADO) i Administratorami Bezpieczeństwa Informacji (ABI) pojawiło się szereg nowych wyzwań. Niniejsze wydarzenie było więc doskonałą okazją do wymiany poglądów i spostrzeżeń pomiędzy przedstawicielami świata nauki i biznesu, a praktykami na temat aktualnego stanu prawnego, związanego z tematyką ochrony danych osobowych oraz założeniami europejskimi reformy w tym zakresie.

Gościem specjalnym i zarazem osobą otwierającą konferencję była Pani dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO). Podkreśliła konieczność zmiany polskich przepisów i dostosowanie ich do rozporządzenia Unii Europejskiej, a także rozpowszechnienia wiedzy o ochronie danych osobowych, zarówno wśród przedsiębiorstw prywatnych, jak i podmiotów publicznych. Oceniła bowiem wiedzę obywateli w tym zakresie, jako niewystarczającą.

Konferencja składała się z trzech głównych paneli tematycznych. Pierwszy, poświęcony był zmianom w przepisach o ochronie danych osobowych – perspektywa ADO. Ta część objęła dwie prelekcje. Magdalena Piech z Konfederacji Lewiatan, swoje wystąpienie poświęciła tematyce: „ Wdrażanie nowego systemu ochrony danych osobowych przez przedsiębiorców – analiza na gruncie najnowszych europejskich i krajowych regulacji prawnych”. Podkreśliła, iż nowelizacja ustawy o ochronie danych osobowych i rozporządzenia do niej budzą wiele wątpliwości wśród przedsiębiorców. Głównymi problemami, z jakimi będą musiały zmierzyć się firmy (według nich samych) to: nowe obowiązki dokumentacyjne, „usztywnienie” sposobu zapewnienia zgodności z przepisami oraz wymuszenie zmian w dotychczasowym zapewnieniu zgodności. Dlatego też istnieje konieczność dialogu między GIODO, a ADO i ABI. Natomiast przedsiębiorcy pozytywnie oceniają zmiany dotyczące transferów danych do państw trzecich. Zwiększyła się świadomość podmiotów przetwarzających dane osobowe, co do konieczności ochrony danych. Jest to ważne z punktu widzenia nowych, surowych kar za nieprzestrzeganie przepisów.

Wdrażanie nowego systemu ochrony danych osobowych przez podmioty publiczne to kolejny temat, jaki został poruszony podczas konferencji. Głos tutaj należał do adw. dr Tomasza Banysia z Uniwersytetu Łódzkiego, który podkreślił, iż proces dostosowywania podmiotów publicznych do znowelizowanych przepisów będzie bardziej rozłożony w czasie, niż w przypadku podmiotów prywatnych, aczkolwiek część zmian jest przez nich lepiej impelentowana. Przykładem tutaj może być fakt, iż ¾ podmiotów zgłaszających ABI, stanowią właśnie podmioty publiczne. Do największych wyzwań, jakie stoją przed sektorem publicznym zaliczył m.in.: obowiązki i wymagania stawiane przed ABI oraz zapewnienie przez administratora danych, środków i organizacyjnej odrębności ABI, niezbędnych do niezależnego wykonywania powierzonych mu zadań.

Moderatorem drugiego panelu tematycznego pt.: „Zmiany w przepisach o ochronie danych osobowych – perspektywa ABI” była dr Joanna Łuczak z Uniwersytetu Łódzkiego. Zwróciła uwagę na fakt, iż ABI w znowelizowanych przepisach ujawnił się w całej krasie. Zyskał jednak nie tylko odrębną swoistość, ale i także nowe obowiązki.

Z kolei Andrzej Lewiński, Zastępca GIODO swoje wystąpienie poświęcił tematyce: ”ABI – jako gwarant procesu przestrzegania przepisów o ochronie danych osobowych”. Uznał, iż celem znowelizowanej ustawy jest przestrzeganie przepisów o ochronie danych osobowych przez ADO oraz jego uświadomienie o celach, jakie stoją przed ABI. Przedstawił nowe obowiązku i pozycję w strukturze organizacyjnej ABI. Zwrócił również uwagę na konieczność zwiększenia współpracy pomiędzy GIODO, a ABI.

Grzegorz Sibiga z Instytutu Nauk Prawnych PAN w Warszawie, przedstawił przyczyny zmian przepisów dotyczących Administratorów Bezpieczeństwa Informacji. W ramach przyczyny deregulacyjnej, zwrócił uwagę na dyrektywę 95/46/WE oraz nieobowiązkowość powołania ABI. Ważnym elementem jest także profesjonalizacja ABI i ujednolicenie wykonywania tejże funkcji w skali kraju, czego dotychczasowe przepisy nie gwarantowały. Nowelizacja jest więc odpowiedzią na niejednolitość, określa bowiem konkretne zadania ABI. W kontekście prawa UE podkreślił, iż nowe przepisy mają nam ułatwić zrozumieć i przygotować się na unijne rozporządzenie w sprawie ochrony danych osobowych, mające wejść w życie za kilka lat, które mają wprowadzić funkcję Inspektora ochrony danych osobowych. Generalnie, Administrator Bezpieczeństwa Informacji ma stać na straży zapewnienia przestrzegania przepisów o ochronie danych osobowych oraz podniesienia standardu ochrony danych osobowych w każdej organizacji.

Mieć, czy nie mieć ABI? Korzyści i obawy związane z powołaniem ABI” to obszar, nad którym pochylił się Maciej Byczkowski ze Stowarzyszenia Administratorów Bezpieczeństwa Informacji. Jego zdaniem nowelizacja ustawy, porządkuje podejście do ochrony danych osobowych. Nadzorowanie, opracowanie i aktualizacja dokumentacji, czy zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, a także sprawdzanie zgodności przetwarzanych danych z przepisami o ochronie danych osobowych, to nie nowe przepisy, tylko uporządkowane zadania ABI. Istotnym elementem ustawy jest także zmiana obowiązku zabezpieczenia danych osobowych. Administrator Danych ma wolny wybór, sam decyduje, czy powoływać ABI, czy sam będzie wykonywał te zadania. W przypadku powołania, musi mieć świadomość, iż funkcji tej nie może pełnić przypadkowa osoba.

Maciej Kawecki z Uniwersytetu Jagiellońskiego w swoim wystąpieniu nt.: „Nowe wymogi związane z pełnieniem funkcji ABI, a pozycja prawna kancelarii prawnych i zasady etyki zawodu radcy prawnego i adwokata – czy można łączyć te role”, zwrócił uwagę, iż najczęściej z usług prawnych, związanych z ochroną danych osobowych korzystają podmioty publiczne. Ze względu na bezpośrednią podległość ABI (organizacyjną i formalną) kierownikowi jednostki organizacyjnej, trudno jest łączyć tą funkcję z funkcją radcy prawnego, czy adwokata. Budzi kontrowersje, nie tylko w środowisku radców prawnych, czy adwokatów, ale także wśród ADO pytanie, czy łączenie powyższych zadań jest zgodne z Kodeksem Etyki Zawodowej Radcy Prawnego, czy też ustawą z dnia 26.05.1982 roku Prawo o Adwokaturze. Trudno jest bowiem połączyć bezpośrednią podległość i niezależność ABI.

Trzecia sesja to omówienie tematu związanego z transgranicznym przepływem danych. Wśród prelegentów gościliśmy Pawła Litwińskiego z Instytutu Allerhanda w Krakowie, który wygłosił referat pt.: „Propozycje regulacji transgranicznego przepływu danych osobowych w rozporządzeniu ogólnym„. Omówił nowe zasady przekazywania danych osobowych, zaproponowane przez Komisję Europejską, poza Europejski Obszar Gospodarczy. Zaznaczył, iż nowe europejskie przepisy z zakresu danych osobowych, w znacznym stopniu uporządkują przepisy już istniejące, związane z transgranicznym przepływem danych. Przybliżył również tematykę przekazywania danych osobowych do USA na podstawie porozumienia Safe Harbour („Bezpieczna Przystań”).

Adwokat, Xawery Konarski z Kancelarii Traple, Konarski, Podrecki i Wspólnicy Sp. J., poruszył praktyczne problemy związane z przekazywaniem danych do państw trzecich. Przybliżył temat podstaw prawnych transferu, a także zastosowanie tzw. wiążących reguł korporacyjnych (BCR), jako jeden ze sposobów umożliwiających bezpieczny transfer danych poza EOG.

M. Kaczorowski, Radca Prawny Google Poland Sp. z o.o., swoje wystąpienie poświęcił transgranicznemu przepływowi danych z punktu widzenia administratora danych osobowych. Poruszył temat przekazywania danych w ramach Grup Kapitałowych w obszarze powierzenia oraz udostępniania danych do państw trzecich.

Konferencja cieszyła się ogromnym zainteresowaniem, o czym mogła świadczyć liczna grupa uczestników z różnych podmiotów i gałęzi gospodarczych. W głównej mierze była ona poświęcona wyzwaniom, jakie stoją przed przedmiotami przetwarzającymi dane osobowe. Zostały omówione szanse i zagrożenia dla podmiotów objętych reformą ochrony danych osobowych, a także mity, z jakimi przedsiębiorcy spotykają się na co dzień. Został również przybliżony temat transferu danych do państwa trzeciego i związane z nim wprowadzone do polskiej ustawy, wiążące reguły korporacyjne oraz zatwierdzone prze Komisję Europejską standardowe klauzule umowne. Konferencja dała także Uczestnikom możliwość dyskusji i wymiany poglądów podczas dwóch paneli dyskusyjnych.