GIODO krytycznie o projektach ustaw przygotowanych przez Ministerstwo Cyfryzacji

Utworzono: 29 października 2017r. | Drukuj

crowd 2152653 340Do przygotowanych przez Ministerstwo Cyfryzacji projektów: ustawy o ochronie danych osobowych oraz ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych GIODO zgłosił ponad 140 stron uwag

 

Ministerstwo Cyfryzacji 13 września 2017 r. zaprezentowało projekt przepisów aktów prawnych, które w zamierzeniu miały dostosować polski system prawny do wymogów ogólnego rozporządzenia o ochronie danych (RODO). To bowiem ten akt prawny wprowadza reformę systemu ochrony danych i zawiera nowe rozwiązania prawne gwarantujące większe bezpieczeństwo naszych danych osobowych w dobie wyzwań technologicznych XXI wieku. Przepisy przygotowane przez Ministerstwo Cyfryzacji powinny jedynie doprecyzować postanowienia RODO oraz dostosować krajowy porządek prawny do zawartych w nim regulacji i zasad.

 

Rozluźnianie zasad

Istotą reformy było wprowadzenie skutecznych mechanizmów ochrony naszej prywatności w świecie nowych technologii, wzmocnienie praw obywateli i ustanowienie silnego organu stojącego na straży tych praw. Tymczasem, w opinii Generalnego Inspektora Ochrony Danych Osobowych (GIODO), w projektach przepisów zaprezentowanych przez Ministerstwo Cyfryzacji dochodzi do rozluźniania tych nowych zasad i obniżania poziomu ochrony naszych danych osobowych. To bardzo niepokojąca tendencja, na którą GIODO zwraca uwagę w przedłożonych uwagach.

 

Są one bardzo obszerne i odnoszą się do wielu kwestii – od fundamentalnych po proceduralne. W piśmie przewodnim do nich GIODO uwypuklił te kwestie, które budzą największy sprzeciw i wątpliwości organu ds. ochrony danych osobowych. W odniesieniu do proponowanych przepisów ustawy o ochronie danych osobowych w dużej mierze zostały one już podniesione w piśmie skierowanym do Ministra Cyfryzacji 28 lipca 2017 r. Niestety, jedynie niewielka część zgłoszonych w nim zastrzeżeń i wątpliwości GIODO została uwzględniona w projekcie ustawy z września 2017 r.

 

Obniżenie standardów niezależności organu nadzorczego

GIODO po raz kolejny wskazuje, że przepisy ogólnego rozporządzenia o ochronie danych nie wymaga od polskiego ustawodawcy zmiany dotychczasowych rozwiązań instytucjonalnych w tym zakresie i tworzenia zupełnie nowego organu nadzorczego. Zaproponowany przez Ministra Cyfryzacji model powoływania osoby pełniącej funkcję organu nadzorczego przez Sejm RP na wniosek Prezesa Rady Ministrów RP, w powiązaniu z innymi rozwiązaniami umożliwiającymi wkraczanie Rządu RP w sferę funkcjonowania organu nadzorczego, znacznie obniża dotychczasowy standard ustrojowy, który w polskim systemie prawnym efektywnie zapewniał gwarancje niezależności organu ochrony danych osobowych. Co więcej, zaproponowane w projekcie ustawy wyłączne uprawnienie Prezesa Rady Ministrów do powoływania zastępców organu na wniosek dwóch ministrów: cyfryzacji oraz spraw wewnętrznych i administracji stanowi naruszenie wysokich standardów niezależności organów nadzorczych określonych w przepisach prawa unijnego (art. 16 Traktatu o funkcjonowaniu Unii europejskiej) oraz bogatym orzecznictwie Trybunału Sprawiedliwości UE (vide wyrok w sprawie C-288/12 z 8 kwietnia 2014 r. – Komisja Europejska przeciwko Węgrom).

Niedopuszczalny z punktu widzenia zagwarantowania niezależności organu ochrony danych osobowych jest również przepis projektu ustawy, który pozwala na wskazanie przez Prezesa Rady Ministrów zastępcy Prezesa Urzędu, który pełniłby obowiązki Prezesa Urzędu, w przypadku jego odwołania.

 

W świetle przepisów ogólnego rozporządzenia oraz dotychczasowego orzecznictwa Trybunału Sprawiedliwości UE wprowadzenie zmian instytucjonalnych polegających na powołaniu nowego organu nadzorczego działającego na podstawie nowych przepisów o ochronie danych osobowych nie może prowadzić do skrócenia kadencji osoby wcześniej pełniącej tę funkcję. Niestety proponowane przez Ministra Cyfryzacji rozwiązania prowadzą do takiej sytuacji, co bezpośrednio będzie naruszało prawo unijne.

 

13 lat to za mało

GIODO od samego początku prac nad pakietem legislacyjnym dotyczącym ochrony danych osobowych podkreślał niezasadność obniżenia wieku dziecka, w którym samodzielnie może ono wyrazić zgodę na przetwarzanie danych w przypadku usług społeczeństwa informacyjnego. Skutki przyjęcia takiej granicy wieku należy rozpatrywać w aspekcie społecznym oraz prawnym. Odnosząc się do skutków społecznych, należy pamiętać o tym, że dziecko nie mając świadomości konsekwencji swoich działań może ujawnić swoją sferę prywatną i dane zaliczające się do szczególnej kategorii danych, które raz umieszczone w Internecie mogą przynieść negatywne konsekwencje w przyszłości.

 

Należy również zwrócić uwagę na zagrożenia, jakie znajdują się w wirtualnej przestrzeni, takie jak: przemoc, pornografia, promowanie zachowań autodestrukcyjnych, do których mogą mieć dostęp dzieci. Kolejnym aspektem tego zagadnienia są prawne konsekwencje zaproponowanej regulacji. Wobec wszystkich tych zagrożeń, uzasadnienie obniżenia wieku dziecka przygotowane przez Ministra Cyfryzacji jest co najmniej niewystarczające.

 

W projekcie nie odniesiono się także do kwestii cofnięcia zgody, złożenia skargi przez dziecko, którego dane osobowe zostały naruszone w związku z wyrażoną wcześniej zgodą bądź skorzystania z innych uprawnień przysługujących osobie, której dane dotyczą. Nie bez znaczenia jest również to, że wszelkie konsekwencje decyzji dziecka w tej sprawie – zgodnie z obowiązującymi krajowymi przepisami prawa – ponosić będą jego rodzice bądź przedstawiciele ustawowi.

 

Nierówni wobec prawa

Kolejnym problemem jest całkowite wyłączenie wobec organów publicznych w rozumieniu art. 5 § 2 pkt 3 Kpa stosowania administracyjnych kar pieniężnych. Trudno ustalić, jakie kryteria i w odniesieniu do jakich wartości, stanowić mają uzasadnienie przyjętego w projekcie zróżnicowania podmiotowego z punktu widzenia wyłączenia i ograniczenia stosowania administracyjnych kar pieniężnych. W ocenie GIODO, nie ma potrzeby różnicowania organów i podmiotów publicznych pod tym względem. Ogólne rozporządzenie ustala bowiem maksymalny wymiar kary za naruszenie rozporządzenia, natomiast przy ustalaniu jej wysokości będą brane pod uwagę - w każdym indywidualnym przypadku - okoliczności wymienione w art. 83 ust. 2 rozporządzenia.

 

Co więcej, zgodnie z projektem Ministra Cyfryzacji, podmioty sektora publicznego w stosunku do których kary będą miały zastosowanie, są zagrożone sankcją czterystukrotnie niższą od przewidzianej w rozporządzeniu. Administracyjna kara pieniężna w wysokości do 100 tys. zł, przewidziana dla podmiotów publicznych, w sytuacji kiedy rozporządzenie przewiduje maksymalnie 20 mln euro, jest dosyć kontrowersyjna. Zaproponowana maksymalna wysokość kary administracyjnej (100 tys. zł) dla podmiotów publicznych jest zbyt niska i istnieje ryzyko, że nie spełni ona ani funkcji represyjnej, ani funkcji prewencyjnej. Posługując się językiem rozporządzenia, kara administracyjna w wysokości do 100 tys. zł nie będzie skuteczna, proporcjonalna i odstraszająca.

 

Zmiany w przepisach sektorowych. Czy ktokolwiek liczy siÄ™ z prawami obywateli?

Liczne, fundamentalne uwagi GIODO zgłosił do projektu ustawy zmieniającej przepisy sektorowe. Wiele z projektowanych rozwiązań obniża bowiem poziom ochrony danych osobowych obywateli, który – zgodnie z rozporządzeniem – miał ulec wzmocnieniu.

 

Za niedopuszczalną ingerencję w obecny poziom ochrony danych obywateli GIODO uznał np. zmiany w ustawie o statystyce publicznej. Sprzeciw Generalnego Inspektora budzą przede wszystkim przepisy ustawy dotyczące wyłączenia stosowania art. 5 rozporządzenia (zasady przetwarzania danych) do procesów przetwarzania danych osobowych, o których mowa w licznych ustawach zmienianych w projekcie.

 

Poważne wątpliwości budzi również propozycja pozyskiwania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 Kodeksu za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. Pamiętać należy, iż zgoda na przetwarzanie danych musi być dobrowolna, konkretna i świadoma. W stosunkach pracy trudno jednak mówić o dobrowolności, bowiem zatrudniony wykonuje obowiązki w warunkach podporządkowania pracodawcy. Również osoba ubiegająca się o pracę u danego pracodawcy znajduje się w sytuacji zależności od niego. Wprawdzie projektodawca wskazał, że odmowa udzielenia zgody nie może powodować negatywnych implikacji dla podmiotu danych, jednak ze względu na brak równowagi stron, pracownicy mogą nie być w stanie swobodnie wyrazić zgodę lub ją cofnąć.

 

Zastrzeżenia GIODO budzą również projektowane przepisy dotyczące funkcjonowania banków, w tym żądanie od pracowników banków i kandydatów na pracowników informacji o karalności, a także wyłączenie sektora bankowego z określonego w art. 34 ogólnego rozporządzenia obowiązku informowania klientów o naruszeniach ochrony ich danych osobowych.

 

Wątpliwości Generalnego Inspektora budzą także zaproponowane regulacje dotyczące jawności numeru PESEL oraz skala pozyskiwania i wykorzystywania tej danej osobowej w kolejnych zbiorach czy rejestrach publicznych. Udostępnianie numeru PESEL może prowadzić do nadmiernej i nieproporcjonalnej ingerencji w prawa osób, których dane znajdują się w różnych zbiorach danych osobowych. W świetle rozporządzenia, identyfikator osoby musi być poddany szczególnej ochronie, w związku z czym należy stworzyć szczególne gwarancje ochrony wynikające z przepisów prawa, mając na względzie konieczność ich dostosowania do postanowień rozporządzenia.

 

Komisja Ekspertów GIODO też ma zastrzeżenia do nowych przepisów

Swoje stanowisko do przedstawionych przez resort cyfryzacji projektów przyjęła też działająca przy GIODO Komisja Ekspertów, w skład której wchodzi m.in. 15 profesorów, specjalistów z różnych dziedzin reprezentujących uczelnie, które ściśle współpracują z GIODO.

 

 

 

LS

GIODO

 

Kategoria: Miszmasz artykuły / Prawo