Stanowisko Związku Pracodawców Branży Internetowej IAB Polska w sprawie projektu ustawy o ułatwieniu wykonywania działalności gospodarczej.
Stanowisko Związku Pracodawców Branży Internetowej IAB Polska w sprawie projektu ustawy o ułatwieniu wykonywania działalności gospodarczej (projekt z dnia 2 października 2013 r.)
12 listopada 2013 r. IAB Polska zaprezentowało Ministerstwu Gospodarki stanowisko branży internetowej dotyczące projektu ustawy o ułatwieniu wykonywania działalności gospodarczej z 2 października 2013 r. Projekt ustawy bowiem, dokonuje m.in. zmian w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.; dalej jako „uodo”), i ma znaczenie dla branży internetowej w Polsce.
Szanowny Panie Ministrze,
W imieniu Związku Pracodawców Branży Internetowej Interactive Advertising Bureau Polska (zwanego dalej „IAB Polska”), w związku z opracowaniem projektu ustawy o ułatwieniu wykonywania działalności gospodarczej (projekt z dnia 2 października 2013 r.; zwany dalej „Projektem”), dokonującego m.in. zmian w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.; dalej jako „uodo”), przedstawiamy stanowisko IAB Polska (zwane dalej „Stanowiskiem”) w powyższym zakresie, mającym znaczenie dla branży internetowej w Polsce.
I. Zwolnienie administratora danych z obowiązku rejestracji zbiorów danych osobowych; rejestracja i funkcja administratora bezpieczeństwa informacji
- IAB Polska zdecydowanie korzystnie ocenia próbę ograniczenia obowiązku rejestracji zbiorów danych osobowych przez administratorów danych. Instytucja ta stanowi istotne obciążenie administracyjne, nie zapewniając „w zamian” oczekiwanych korzyści, nie wpływając w szczególności na podniesienie poziomu ochrony danych osobowych. Proponowane zmiany oznaczać będą jednak jedynie niewielki postęp w tym zakresie. Dla porównania, projekt ogólnego unijnego rozporządzenia o ochronie danych zakłada całkowitą likwidację powszechnego obowiązku notyfikacji (rejestracji) zbiorów danych osobowych. Projektowane wyłączenie w zakresie zbiorów prowadzonych w sposób tradycyjny (tj. nie elektroniczny) nie będzie miało większego znaczenia praktycznego, w szczególności z punktu widzenia członków IAB Polska.
- Ponadto, podstawowa propozycja wyłączenia obowiązku rejestracji zbiorów danych, związana z faktem powołania administratora bezpieczeństwa informacji (art. 43 ust. 1a) powiązana została z innego rodzaju obowiązkami, mogącymi skutkować znacznymi obciążeniami, w szczególności dla małych i średnich przedsiębiorców. Projekt przewiduje bowiem obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych administratora bezpieczeństwa informacji (dalej również jako „ABI”), nakłada ponadto na organ konieczność prowadzenia rejestru administratorów bezpieczeństwa informacji (art. 46c), wydawania zaświadczeń, itp. Tym samym, w rezultacie, jeden obowiązek rejestracyjny zastąpiony zostanie nowym, o zbliżonym charakterze, przy czym rodzącym dodatkowe trudności, wymagającym jego wcześniejszego poznania, „wdrożenia” się w niego – co po stronie podmiotów prowadzących działalność gospodarczą zawsze rodzi trudności organizacyjne, jak również koszty.
- Trudno jest doszukać się uzasadnienia dla wprowadzenia takiego rozwiązania. W szczególności nie znajduje ono uzasadnienia w przepisach dyrektywy 95/46/WE, które nie uzależniają możliwości skorzystania ze zwolnienia z obowiązku „notyfikacyjnego” od prowadzenia odrębnego rejestru „urzędników do sprawach ochrony danych” (w art. 18 ust. 2 dyrektywy mowa jest jedynie o warunku prowadzenia wewnętrznego „rejestru operacji przetwarzania danych”). W uzasadnieniu do Projektu wskazano, że „system rejestracji administratorów bezpieczeństwa informacji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego”; zwrócono w tym zakresie również uwagę na postulat transparentności (str. 12). W ocenie IAB Polska system oparty na urzędowej rejestracji określnych osób (ABI) nie jest jedynym możliwym do zastosowania, a z pewnością nie jest on systemem mającym służyć ułatwieniu wykonywania działalności gospodarczej.
- Wydaje się, że wystarczające powinno być w tym zakresie określenie wymogu wyznaczenia ABI (jako warunku skorzystania z wyłączenia spod obowiązku rejestracji), przy zachowaniu uprawnienia GIODO do następczej kontroli spełnienia tego wymogu, na zasadach analogicznych, zgodnie z którymi weryfikowane jest wypełnienie wszelkich innych obowiązków ustawowych. Ewentualnie – w celu realizacji wymogu zapewnienia transparentności możliwe jest wprowadzenie obowiązku upublicznienia stosownych danych osoby wyznaczonej jako ABI (lecz informacje te powinny ograniczać się do imienia, nazwiska oraz danych kontaktowych). Zwrócić należy uwagę, że projekt ogólnego rozporządzenia o ochronie danych przewiduje w tym zakresie obowiązek „zakomunikowania” organowi nadzorczemu oraz opinii publicznej o imieniu i nazwisku oraz danych kontaktowych „inspektora ochrony danych”, bez przesądzania w jaki sposób ma to nastąpić. Również w regulacjach innych państw, które korzystają z możliwości, jakie stwarza art. 18 ust. 2 dyrektywy, modele odpowiadające proponowanemu w Projekcie nie są stosowane.
- W kontekście wymogów i zasad związanych z powołaniem administratora bezpieczeństwa informacji należy zwrócić uwagę dodatkowo na następujące wątpliwości, które wymagają doprecyzowania na poziomie ustawy (co wynika m.in. z brzmienia art. 36a ust. 1, zgodnie z którym administrator danych może „powołać” ABI):
-
- możliwość „korzystania” przez podmioty podlegające krajowej regulacji z osób powołanych na stanowisko Data Privacy Officer (lub analogiczne stanowisko, odpowiadające stanowisku ABI) w innym państwie, np. w ramach grupy kapitałowej;
-
- możliwość zlecenia na zewnątrz świadczenia usług związanych z zadaniami ABI (tzw. oursourcing funkcji ABI);
- ustawa nie precyzuje również, co należy rozumieć pod obowiązkiem prowadzenia jawnego rejestru zbiorów danych (art. 36a ust. 2 pkt 2) – w szczególności czy konieczne jest zamieszczenie takiego rejestru w określonym miejscu, w określonej formie. Należy zauważyć, iż wymogu jawności takiego rejestru nie wprowadzono w przepisach dyrektywy (art. 18 ust. 2).
II. Przekazywanie danych osobowych do państw trzecich
- IAB Polska korzystanie ocenia przyjęty kierunek zmian w zakresie zasad związanych z przekazywaniem danych osobowych do państw trzecich (art. 47-48 uodo). Ma on na celu usunięcie istniejących w tym zakresie rozbieżności z pierwowzorem unijnym (m.in. poprawienie brzmienia art. 48 ust. 1 uodo), jak również usprawnienie związane z korzystaniem przez podmioty krajowe z takich uznanych i powszechnie stosowanych instrumentów jak standardowe klauzule umowne oraz wiążące reguły korporacyjne. Na uznanie zasługuje w szczególności wyraźne przesądzenie, iż w sytuacji posłużenia się przez administratora danych standardowymi klauzulami umownymi zatwierdzonymi przez Komisję Europejska lub wiążącymi regułami korporacyjnymi, zgoda Generalnego Inspektora nie jest wymagana (art. 48 ust. 2).
- Zmiany, jakie zaproponowano – w kontekście wiążących reguł korporacyjnych (dalej również jako „BCR”) – wydają się jednak być mocno ograniczone, budzą one też dodatkowe wątpliwości. Zgodnie z aktualnie obowiązującymi przepisami prawa oraz przyjętą praktyką posłużenie się przez administratora danych wiążącymi regułami korporacyjnymi, zatwierdzonymi przez właściwy organ jednego z państw UE, nie stanowi wystarczającej podstawy do przekazywania danych osobowych do państw trzecich. Administrator zobligowany jest do wystąpienia do GIODO o zgodę na transfer danych, w oparciu o art. 48 uodo, co wymaga m.in. załączenia do wniosku kompletnej dokumentacji tworzącej wiążące reguły korporacyjne.
- Projektowana zmiana ma usunąć tę zbędną procedurę poddawania kontroli ze strony organu krajowego instrumentu (BCR), który został już wcześniej właściwie oceniony (w tym również został poddany konsultacji z GIODO, w ramach tzw. procedury kooperacji) oraz został w sposób wiążący zatwierdzony przez właściwy organ ds. ochrony danych. Zmiana ta – w projektowanym kształcie – jest jednak ujęta w sposób bardzo wąski, ograniczony wyłącznie do tych BCR, które zostały zatwierdzone przez GIODO, lecz już nie przez właściwy organ z innego państwa członkowskiego. W praktyce oznaczać to będzie dalszą konieczność występowania o zgodę GIODO (na podstawie art. 48 ust. 1 uodo) na transfer danych osobowych w sytuacji posłużenia się przez administratora danych wiążącymi regułami korporacyjnymi zatwierdzonymi przez organ np. z Niemiec, Holandii czy Wielkiej Brytanii.
- Powyższe skutkować będzie nierównym traktowaniem podmiotów, tak krajowych jak i unijnych, co budzić może wątpliwości w szczególności co do zgodności z prawem unijnym. Z dobrodziejstwa art. 48 ust. 2 ustawy korzystać będą mogły bowiem jedynie podmioty krajowe, które tworzą „polskie” grupy kapitałowe (korporacyjne) oraz ewentualnie podmioty wchodzące w skład grup międzynarodowych, o ile na terytorium Polski zlokalizowano główną siedzibę grupy (a w związku z tym zdecydują się na zatwierdzenie BCR przez GIODO). Przyjąć przy tym należy, iż przynajmniej w obecnym stanie rozwoju gospodarczego, na terytorium Polski tego rodzaju międzynarodowych grup kapitałowych jest zdecydowana mniejszość, w efekcie praktyczne znaczenie proponowanej zmiany będzie bardzo dalece ograniczone.
- Postulowana zmiana nie odpowiada również aktualnym tendencjom legislacyjnym w Unii Europejskiej. Tytułem przykładu wskazać należy na propozycję zgłoszoną przez Komisję Europejską w projekcie ogólnego rozporządzenia o ochronie danych. Zgodnie z art. 42 ust. 3 tego projektu, operacja przekazywania danych osobowych na podstawie wiążących reguł korporacyjnych nie wymaga dodatkowego zezwolenia ze strony organu krajowego, przy czym nie ma tu znaczenia, który z organów zatwierdził BCR. Również w pochodzącej z 2013 r. ustawie słowackiej wprowadzono rozwiązania, zgodnie z którymi nie jest wymagana zgoda organu na transfer danych w przypadku posłużenia się przez administratora danych wiążącymi regułami korporacyjnymi (sekcja 31 ust. 9 ustawy), przy czym odniesiono to szeroko – do BCR zatwierdzonych przez organ ds. ochrony danych z któregokolwiek z państw członkowskich (por. sekcja 31 ust. 2 in fine ustawy słowackiej).
- Dodatkowo – w kontekście propozycji dotyczącej wiążących reguł korporacyjnych (art. 48 ust. 3-5 ustawy) – należy poczynić następujące uwagi:
-
- Projekt usuwa istotny brak występujący w ramach dotychczasowej regulacji krajowej – wyposażając krajowy organ w uprawnienie do zatwierdzania BCR (art. 48 ust. 3) – jednakże nie określono w żaden sposób, przynajmniej w sposób generalny m.in.: (i) wymogów w zakresie zawartości (treści) wiążących reguł korporacyjnych; (ii) wymogów w zakresie wniosku o zatwierdzenie BCR, jaki wymagany będzie od administratora danych/podmiotu przetwarzającego dane na zlecenie; (iii) procedury zatwierdzania tego instrumentu (poszczególnych etapów, konieczności – a nie tylko możliwości – przeprowadzania konsultacji z właściwymi organami z innych państw; perspektywy czasowej tego rodzaju procedury, itd.). Przy czym nie wydaje się, aby niezbędne było przyjmowanie odrębnego rozporządzenia wykonawczego w tym zakresie, kwestie te może bowiem określać dokument (rekomendacje, wytyczne) wydany przez organ, z wykorzystaniem m.in. dokumentów opracowanych w tym zakresie przez Grupę Roboczą Art. 29 dyrektywy 95/46/WE oraz prac nad projektem ogólnego rozporządzenia o ochronie danych. Na obecnym etapie rozwoju tego instrumentu prawnego, wydaje się szczególnie istotne doprecyzowanie tych zagadnień, co pozwoli usunąć wątpliwości przedsiębiorców oraz usprawnić procedurę tworzenia oraz zatwierdzania BCR.
-
- Poważne wątpliwości budzi również konstrukcja przyjęta w art. 48 ust. 5 uodo. Wynika z niej, że procedurą zatwierdzania BCR przez GIODO mogą być objęte również wiążące reguły korporacyjne, które były już przedmiotem rozstrzygnięcia ze strony organu z innego państwa członkowskiego (tzn. BCR, które już wcześniej zostały zatwierdzone). Oznaczać może to oczekiwanie ze strony projektodawcy, iż administratorzy danych podlegający przepisom uodo zgłaszać będą w Polsce (w GIODO) BCR funkcjonujące już w grupie kapitałowej, do której należą. Przy czym oczekiwanie to dotyczy również tych BCR, które zostały już wcześniej – w sposób wiążący – zatwierdzone na obszarze UE/EOG. Nie wydaje się, aby konstrukcja ta była prawidłowa, celowa, jak również, aby w praktyce pozwoliła osiągnąć skutek w postaci zgłaszania GIODO wielu tego rodzaju instrumentów prawnych, i tym samym promocji tego instrumentu i podniesienia ogólnego poziomu ochrony danych osobowych. Należy bowiem zauważyć, iż procedura przyjmowania oraz zatwierdzania BCR jest niezwykle skomplikowana, wymagająca olbrzymich nakładów czasu i pracy (również ze strony organu). Nie wydaje się zatem, aby administratorzy danych decydowali się na korzystanie z tej procedury i de facto zatwierdzali po raz kolejny instrument, który wcześniej został już zatwierdzony w innym państwie. Z perspektywy administratorów zdecydowanie korzystniejsze będzie wystąpienie – tak jak ma to miejsce dotychczas – do GIODO o udzielenie zgody, w oparciu o art. 48 ust. 1 uodo, co stanowi również istotne utrudnienie w prowadzeniu działalności gospodarczej, jednak nieporównywalnie mniejsze niż konieczność ponownego zatwierdzania BCR. Wreszcie, przyjęte rozwiązanie (w tym wynikająca z art. 48 ust. 5 uodo możliwość, nie zaś konieczność uwzględnienia przez GIODO rozstrzygnięcia organu innego państwa) wydaje się nie uwzględniać specyfiki wiążących reguł korporacyjnych, które ze swej istotny pomyślane są jako instrument mający być stosowany jednolicie w ramach określonej grupy kapitałowej (m.in. w ramach międzynarodowej korporacji). Tymczasem przyjęta w art. 48 ust. 5 konstrukcja wydaje się zakładać, że mogą w praktyce funkcjonować – w ramach tej samej grupy – dwa różne zestawy BCR (różniące się w szczególności treścią): jeden przyjęty przez GIODO oraz drugi – przez organ z innego państwa.
- Brzmienie art. 48 ust. 3 uodo budzi również wątpliwości – wynikać bowiem może z niego, że wiążące reguły korporacyjne mogą być opracowywane dla administratorów danych oraz (jednocześnie) dla tzw. processorów danych. Z uwagi na zasadnicze różnice w specyfice BCR przeznaczonych dla administratorów danych oraz BCR przeznaczonych dla processorów danych nie wydaje się zasadne opracowanie i promowanie w ustawie takich wiążących reguł, które byłyby przeznaczone „do należącego do tej samej grupy administratora danych lub podmiotu, o którym mowa w art. 31 ust. 1”.