Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Dane osobowe

Uwagi GIODO do projektu nowych przepisów o ochronie danych osobowych

123RF
GIODO przedstawił ponad 140 stron uwag do przygotowanych przez Ministerstwo Cyfryzacji projektów: ustawy o ochronie danych osobowych oraz ustawy Przepisy wprowadzajšce ustawę o ochronie danych osobowych.

Ministerstwo Cyfryzacji 13 wrzeœnia 2017 r. zaprezentowało projekt przepisów aktów prawnych, które w zamierzeniu miały dostosować polski system prawny do wymogów ogólnego rozporzšdzenia o ochronie danych (RODO). To bowiem ten akt prawny wprowadza reformę systemu ochrony danych i zawiera nowe rozwišzania prawne gwarantujšce większe bezpieczeństwo naszych danych osobowych w dobie wyzwań technologicznych XXI wieku. Przepisy przygotowane przez Ministerstwo Cyfryzacji powinny jedynie doprecyzować postanowienia RODO oraz dostosować krajowy porzšdek prawny do zawartych w nim regulacji i zasad.

Istotš reformy było wprowadzenie skutecznych mechanizmów ochrony naszej prywatnoœci w œwiecie nowych technologii, wzmocnienie praw obywateli i ustanowienie silnego organu stojšcego na straży tych praw. Tymczasem, w opinii Generalnego Inspektora Ochrony Danych Osobowych (GIODO), w projektach przepisów zaprezentowanych przez Ministerstwo Cyfryzacji dochodzi do rozluŸniania tych nowych zasad i obniżania poziomu ochrony naszych danych osobowych. To bardzo niepokojšca tendencja, na którš GIODO zwraca uwagę w przedłożonych uwagach. Sš one bardzo obszerne i odnoszš się do wielu kwestii – od fundamentalnych po proceduralne. W piœmie przewodnim do nich GIODO uwypuklił te kwestie, które budzš największy sprzeciw i wštpliwoœci organu ds. ochrony danych osobowych. W odniesieniu do proponowanych przepisów ustawy o ochronie danych osobowych w dużej mierze zostały one już podniesione w piœmie skierowanym do Ministra Cyfryzacji 28 lipca 2017 r. Niestety, jedynie niewielka częœć zgłoszonych w nim zastrzeżeń i wštpliwoœci GIODO została uwzględniona w projekcie ustawy z wrzeœnia 2017 r.

GIODO po raz kolejny wskazuje, że przepisy ogólnego rozporzšdzenia o ochronie danych nie wymaga od polskiego ustawodawcy zmiany dotychczasowych rozwišzań instytucjonalnych w tym zakresie i tworzenia zupełnie nowego organu nadzorczego. Zaproponowany przez Ministra Cyfryzacji model powoływania osoby pełnišcej funkcję organu nadzorczego przez Sejm RP na wniosek Prezesa Rady Ministrów RP, w powišzaniu z innymi rozwišzaniami umożliwiajšcymi wkraczanie Rzšdu RP w sferę funkcjonowania organu nadzorczego, znacznie obniża dotychczasowy standard ustrojowy, który w polskim systemie prawnym efektywnie zapewniał gwarancje niezależnoœci organu ochrony danych osobowych. Co więcej, zaproponowane w projekcie ustawy wyłšczne uprawnienie Prezesa Rady Ministrów do powoływania zastępców organu na wniosek dwóch ministrów: cyfryzacji oraz spraw wewnętrznych i administracji stanowi naruszenie wysokich standardów niezależnoœci organów nadzorczych okreœlonych w przepisach prawa unijnego (art. 16 Traktatu o funkcjonowaniu Unii europejskiej) oraz bogatym orzecznictwie Trybunału Sprawiedliwoœci UE (vide wyrok w sprawie C-288/12 z 8 kwietnia 2014 r. – Komisja Europejska przeciwko Węgrom).

Niedopuszczalny z punktu widzenia zagwarantowania niezależnoœci organu ochrony danych osobowych jest również przepis projektu ustawy, który pozwala na wskazanie przez Prezesa Rady Ministrów zastępcy Prezesa Urzędu, który pełniłby obowišzki Prezesa Urzędu, w przypadku jego odwołania.

W œwietle przepisów ogólnego rozporzšdzenia oraz dotychczasowego orzecznictwa Trybunału Sprawiedliwoœci UE wprowadzenie zmian instytucjonalnych polegajšcych na powołaniu nowego organu nadzorczego działajšcego na podstawie nowych przepisów o ochronie danych osobowych nie może prowadzić do skrócenia kadencji osoby wczeœniej pełnišcej tę funkcję. Niestety proponowane przez Ministra Cyfryzacji rozwišzania prowadzš do takiej sytuacji, co bezpoœrednio będzie naruszało prawo unijne.

GIODO od samego poczštku prac nad pakietem legislacyjnym dotyczšcym ochrony danych osobowych podkreœlał niezasadnoœć obniżenia wieku dziecka, w którym samodzielnie może ono wyrazić zgodę na przetwarzanie danych w przypadku usług społeczeństwa informacyjnego. Skutki przyjęcia takiej granicy wieku należy rozpatrywać w aspekcie społecznym oraz prawnym. Odnoszšc się do skutków społecznych, należy pamiętać o tym, że dziecko nie majšc œwiadomoœci konsekwencji swoich działań może ujawnić swojš sferę prywatnš i dane zaliczajšce się do szczególnej kategorii danych, które raz umieszczone w Internecie mogš przynieœć negatywne konsekwencje w przyszłoœci. Należy również zwrócić uwagę na zagrożenia, jakie znajdujš się w wirtualnej przestrzeni, takie jak: przemoc, pornografia, promowanie zachowań autodestrukcyjnych, do których mogš mieć dostęp dzieci. Kolejnym aspektem tego zagadnienia sš prawne konsekwencje zaproponowanej regulacji. Wobec wszystkich tych zagrożeń, uzasadnienie obniżenia wieku dziecka przygotowane przez Ministra Cyfryzacji jest co najmniej niewystarczajšce.

W projekcie nie odniesiono się także do kwestii cofnięcia zgody, złożenia skargi przez dziecko, którego dane osobowe zostały naruszone w zwišzku z wyrażonš wczeœniej zgodš bšdŸ skorzystania z innych uprawnień przysługujšcych osobie, której dane dotyczš. Nie bez znaczenia jest również to, że wszelkie konsekwencje decyzji dziecka w tej sprawie – zgodnie z obowišzujšcymi krajowymi przepisami prawa – ponosić będš jego rodzice bšdŸ przedstawiciele ustawowi.

Kolejnym problemem jest całkowite wyłšczenie wobec organów publicznych w rozumieniu art. 5 § 2 pkt 3 Kpa stosowania administracyjnych kar pieniężnych. Trudno ustalić, jakie kryteria i w odniesieniu do jakich wartoœci, stanowić majš uzasadnienie przyjętego w projekcie zróżnicowania podmiotowego z punktu widzenia wyłšczenia i ograniczenia stosowania administracyjnych kar pieniężnych. W ocenie GIODO, nie ma potrzeby różnicowania organów i podmiotów publicznych pod tym względem. Ogólne rozporzšdzenie ustala bowiem maksymalny wymiar kary za naruszenie rozporzšdzenia, natomiast przy ustalaniu jej wysokoœci będš brane pod uwagę - w każdym indywidualnym przypadku - okolicznoœci wymienione w art. 83 ust. 2 rozporzšdzenia.

Co więcej, zgodnie z projektem Ministra Cyfryzacji, podmioty sektora publicznego w stosunku do których kary będš miały zastosowanie, sš zagrożone sankcjš czterystukrotnie niższš od przewidzianej w rozporzšdzeniu. Administracyjna kara pieniężna w wysokoœci do 100 tys. zł, przewidziana dla podmiotów publicznych, w sytuacji kiedy rozporzšdzenie przewiduje maksymalnie 20 mln euro, jest dosyć kontrowersyjna. Zaproponowana maksymalna wysokoœć kary administracyjnej (100 tys. zł) dla podmiotów publicznych jest zbyt niska i istnieje ryzyko, że nie spełni ona ani funkcji represyjnej, ani funkcji prewencyjnej. Posługujšc się językiem rozporzšdzenia, kara administracyjna w wysokoœci do 100 tys. zł nie będzie skuteczna, proporcjonalna i odstraszajšca.

Liczne, fundamentalne uwagi GIODO zgłosił do projektu ustawy zmieniajšcej przepisy sektorowe. Wiele z projektowanych rozwišzań obniża bowiem poziom ochrony danych osobowych obywateli, który – zgodnie z rozporzšdzeniem – miał ulec wzmocnieniu.

Za niedopuszczalnš ingerencję w obecny poziom ochrony danych obywateli GIODO uznał np. zmiany w ustawie o statystyce publicznej. Sprzeciw Generalnego Inspektora budzš przede wszystkim przepisy ustawy dotyczšce wyłšczenia stosowania art. 5 rozporzšdzenia (zasady przetwarzania danych) do procesów przetwarzania danych osobowych, o których mowa w licznych ustawach zmienianych w projekcie.

Poważne wštpliwoœci budzi również propozycja pozyskiwania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 Kodeksu za zgodš osoby ubiegajšcej się o zatrudnienie lub pracownika. Pamiętać należy, iż zgoda na przetwarzanie danych musi być dobrowolna, konkretna i œwiadoma. W stosunkach pracy trudno jednak mówić o dobrowolnoœci, bowiem zatrudniony wykonuje obowišzki w warunkach podporzšdkowania pracodawcy. Również osoba ubiegajšca się o pracę u danego pracodawcy znajduje się w sytuacji zależnoœci od niego. Wprawdzie projektodawca wskazał, że odmowa udzielenia zgody nie może powodować negatywnych implikacji dla podmiotu danych, jednak ze względu na brak równowagi stron, pracownicy mogš nie być w stanie swobodnie wyrazić zgodę lub jš cofnšć.

ZastrzeżeniaGIODObudzš również projektowane przepisy dotyczšce funkcjonowania banków, w tymżšdanie od pracowników banków i kandydatów na pracowników informacji o karalnoœci, a także wyłšczenie sektora bankowego z okreœlonego w art. 34 ogólnego rozporzšdzenia obowišzku informowania klientów o naruszeniach ochrony ich danych osobowych.

Wštpliwoœci Generalnego Inspektora budzš także zaproponowane regulacje dotyczšce jawnoœci numeru PESEL oraz skala pozyskiwania i wykorzystywania tej danej osobowej w kolejnych zbiorach czy rejestrach publicznych. Udostępnianie numeru PESEL może prowadzić do nadmiernej i nieproporcjonalnej ingerencji w prawa osób, których dane znajdujš się w różnych zbiorach danych osobowych. W œwietle rozporzšdzenia, identyfikator osoby musi być poddany szczególnej ochronie, w zwišzku z czym należy stworzyć szczególne gwarancje ochrony wynikajšce z przepisów prawa, majšc na względzie koniecznoœć ich dostosowania do postanowień rozporzšdzenia.

Swoje stanowisko do przedstawionych przez resort cyfryzacji projektów przyjęła też działajšca przy GIODO Komisja Ekspertów, w skład której wchodzi m.in. 15 profesorów, specjalistów z różnych dziedzin reprezentujšcych uczelnie, które œciœle współpracujš z GIODO. Stanowisko to znajdš Państwo w załšczeniu.

GIODO swoje stanowisko wobec kluczowych rozwišzań proponowanych przez Ministerstwo Cyfryzacji będzie prezentował w odrębnych informacjach, zamieszczanych w kolejnych dniach na stronie internetowej urzędu. Zapraszamy do ich systematycznego œledzenia.

ródło: GIODO

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL