PROJEKT STANOWISKA RP
Wielkość: px
Rozpocząć pokaz od strony:

Download "PROJEKT STANOWISKA RP"

Transkrypt

1 PROJEKT STANOWISKA RP przygotowany w związku z art. 7 ustawy z dnia 8 października 2010 r. o współpracy Rady Ministrów z Sejmem i Senatem w sprawach związanych z członkostwem Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. Nr 213, poz. 1395) Dotyczy Data przekazania Polsce dokumentu przez instytucje UE Sygnatura dokumentu Procedura decyzyjna Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) 14 lutego 2012 r. Komisja Europejska COM(2012) 011 Numer międzyinstytucjonalny 2012/0011 (COD) zwykła procedura ustawodawcza Tryb głosowania w Radzie UE Większość kwalifikowana Instytucja wiodąca Instytucje współpracujące Ministerstwo Administracji i Cyfryzacji Generalny Inspektor Ochrony Danych Osobowych, Ministerstwo Gospodarki, Ministerstwo Sprawiedliwości, Ministerstwo Spraw Wewnętrznych, Data przyjęcia przez KSE 1

2 I. Cel projektu aktu prawnego Wniosek Rozporządzenie ws. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych zwane ogólnym rozporządzeniem o ochronie danych jest jednym z elementów kompleksowej reformy przepisów o ochronie danych osobowych, jaką zaproponowała Komisja Europejska. Należy zauważyć, iż cel dokumentu odpowiada intencjom sygnalizowanym przez Komisję Europejską w komunikacie Komisji z dnia 4 listopada 2010 r. do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego oraz Komitetu Regionów Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej COM (2010) 609 wersja ostateczna. W komunikacie Komisja stwierdziła, że UE potrzebuje bardziej całościowej i spójnej polityki w zakresie podstawowego prawa do ochrony danych osobowych. Na wstępie zaznaczyć należy, iż ochrona danych osobowych jest prawem podstawowym, zapisanym w art. 8 Karty praw podstawowych i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej. Celem przedmiotowej propozycji jest stworzenie kompleksowych i spójnych ram prawnych gwarantujących obywatelom UE ochronę ich danych osobowych szczególnie w obliczu nowych wyzwań związanych z szybkim rozwojem technologicznym i globalizacją. Projektowana regulacja w postaci rozporządzenia definiuje zatem obszary, które zdaniem Komisji Europejskiej wymagają interwencji. Przedmiotowe Rozporządzenie zastąpi dyrektywę w sprawie ochrony danych z 1995 r. 1, która z kolei jest obecnie głównym aktem prawnym w obszarze ochrony danych osobowych w UE. Dyrektywa 95/46/WE stanowi kamień milowy w historii ochrony danych osobowych w Unii Europejskiej. W dyrektywie zapisano dwa z najstarszych i równie istotnych dążeń w procesie integracji europejskiej: z jednej strony jest to ochrona praw podstawowych i podstawowych wolności jednostek, w szczególności podstawowego prawa do ochrony danych, z drugiej zaś realizacja rynku wewnętrznego w tym przypadku swobodnego przepływu danych osobowych. Dziś wartości te pozostają nadal aktualne, ale należy zauważyć że dynamiczny rozwój technologiczny i procesy globalizacji powodują powstawanie nowych wyzwań w obszarze ochrony danych osobowych. Dzięki nowym technologiom i procesowi globalizacji wzrosła skala zbierania i wymiana danych między osobami prywatnymi a także podmiotami gospodarczymi i publicznymi, zarówno w UE jak i poza nią. Dzisiejsze technologie umożliwiają jednostkom łatwe dzielenie się informacjami na temat ich zachowania i preferencji oraz publiczne udostępnianie tych informacji w skali globalnej na nie mającą precedensu skalę. Sieci społecznościowe z setkami milionów członków rozsianych po całym świecie stanowią chyba najbardziej ewidentny, choć nie jedyny, przykład tego zjawiska. Również przetwarzanie w chmurze (ang. cloud computing) tzn. przetwarzanie dokonywane w Internecie przy pomocy oprogramowania, dzielonych zasobów i informacji znajdujących się na zewnętrznych serwerach ( w chmurze ) stanowi wyzwanie dla ochrony 1 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z , s. 31) 2

3 danych, ponieważ wiąże się z utratą przez jednostki kontroli nad ich potencjalnie poufnymi informacjami w sytuacji, w której przechowują one te dane korzystając z programów zainstalowanych na urządzeniach osób trzecich. Do nowych technologii stanowiących wyzwanie dla tradycyjnych zasad ochrony danych osobowych zaliczyć należy również serwisy geolokacyjne oraz inteligentne sieci energetyczne (smart grid). W związku z tym wzrasta też zagrożenie dla prywatności i ochrony danych osobowych w związku ze stosowaniem nowych rozwiązań technologicznych w szczególności internetowych i mobilnych. Równocześnie metody gromadzenia danych osobowych stały się coraz bardziej wyrafinowane i trudniej wykrywalne. Przykładowo, użycie zaawansowanych narzędzi umożliwia podmiotom gospodarczym lepsze dobranie strategii przyjmowanej wobec poszczególnych jednostek dzięki monitorowaniu ich zachowania. Z kolei coraz intensywniejsze korzystanie z procedur umożliwiających automatyczne gromadzenie danych, takich jak elektroniczne pobieranie opłat za przejazd w transporcie, pobieranie opłat za przejazd pojazdów oraz stosowanie urządzeń do geolokalizacji ułatwia ustalenie miejsca przebywania osób fizycznych wystarczy, że mają one przy sobie urządzenie przenośne. Także organy publiczne wykorzystują coraz większą ilość danych osobowych do różnych celów, takich jak ustalanie miejsca pobytu osób fizycznych w przypadku epidemii choroby zakaźnej, zapobieganie terroryzmowi i przestępczości oraz zwalczanie tych zjawisk, zarządzanie systemami zabezpieczenia społecznego, do celów podatkowych, przy posługiwaniu się aplikacjami używanymi do administracji elektronicznej itd. Wszystko to powoduje potrzebę wzmocnienia i uaktualnienia przepisów dotyczących ochrony danych osobowych. W związku z powyższym Komisja zainicjowała przegląd obecnych ram prawnych, rozpoczynając od konferencji na wysokim szczeblu w maju 2009 r., po której nastąpiły konsultacje publiczne prowadzone do końca 2009 r. Dokonane w nich ustalenia potwierdziły, że podstawowe zasady dyrektywy są nadal aktualne i że technologiczna neutralność powinna być zachowana. Równocześnie jednak zidentyfikowano szereg kwestii problematycznych, wiążących się z konkretnymi wyzwaniami: Poprawa sytuacji w zakresie aspektów ochrony danych związanych z rynkiem wewnętrznym (brak dostatecznej harmonizacji obowiązujących w poszczególnych państwach członkowskich przepisów o ochronie danych, mimo wspólnych unijnych ram prawnych.) Reakcja na globalizację oraz poprawę międzynarodowego przekazywania danych (coraz powszechniejsze jest powierzanie przetwarzania danych podmiotom zewnętrznym, bardzo często spoza UE co stwarza szereg problemów w odniesieniu do prawa mającego zastosowanie do przetwarzania oraz ustalania związanej z tym odpowiedzialności) Zapewnienie lepszych rozwiązań instytucjonalnych w celu skutecznego egzekwowania przepisów o ochronie danych Zwiększenie spójności ram prawnych w zakresie ochrony danych. W ocenie Komisji Europejskiej powyższe wyzwania wymagają od UE wypracowania kompleksowego i spójnego podejścia gwarantującego pełne poszanowanie podstawowego prawa osób fizycznych do ochrony ich danych osobowych w UE i poza nią. Traktat z Lizbony zapewnił UE dodatkowe środki umożliwiające osiągnięcie tego celu: Karta Praw Podstawowych UE, w art. 8 której uznano niezależne prawo do ochrony danych osobowych, stała się prawnie wiążąca, wprowadzono również nową podstawę prawną (art. 16 Traktatu o funkcjonowaniu UE) umożliwiającą ustanowienie całościowych i spójnych unijnych 3

4 przepisów o ochronie osób fizycznych w odniesieniu do przetwarzania ich danych osobowych oraz swobodnego przepływu takich danych. Cele całościowego podejścia do ochrony danych są następujące: 1) Wzmocnienie praw osób fizycznych poprzez: a) zagwarantowanie odpowiedniej ochrony danych osób fizycznych we wszystkich okolicznościach, b) zwiększenie przejrzystości procedur przetwarzania danych osób, których dane dotyczą (zasadnicze znaczenie ma, by administratorzy danych odpowiednio i wyraźnie oraz w przejrzysty sposób informowali osoby fizyczne o tym, w jaki sposób i przez kogo ich dane są gromadzone i przetwarzane, z jakiego powodu oraz na jak długo, jak również o przysługujących im w tym zakresie prawach (w tym kontekście na szczególną ochronę zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i praw w związku z przetwarzaniem danych osobowych), c) poprawę kontroli nad własnymi danymi (w kontekście zwłaszcza sieci społecznościowych w Internecie, w których sprawowanie przez osoby fizyczne skutecznej kontroli nad swoimi danymi osobowymi wiąże się ze szczególnymi wyzwaniami; zapewnienie użytkownikom Internetu tzw. prawa do bycia zapomnianym tzn. prawa osób fizycznych do spowodowania usunięcia ich danych oraz zaprzestania ich przetwarzania, jeżeli przestały być potrzebne do zgodnych z prawem celów; zagwarantowanie łatwego dostępu do swoich danych oraz prawa do przenoszenia danych; wzmocnienie prawa do bycia poinformowanym o sposobach przetwarzania własnych danych osobowych), d) pogłębianie świadomości społeczeństwa o ochronie danych, e) zapewnienie większej czytelności zasad dotyczących wyrażania zgody przez osoby fizyczne na przetwarzanie ich danych, f) ochronę danych szczególnie chronionych (przetwarzanie danych szczególnie chronionych, tzn. danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe albo przynależność do związków zawodowych, a także przetwarzanie danych dotyczących zdrowia lub życia seksualnego jest już obecnie ogólnie zakazane, z ograniczonymi wyjątkami, które zastosować można na pewnych warunkach, przy zapewnieniu określonych gwarancji), g) zapewnienie większej skuteczności sankcji i środków zaradczych (w ocenie Komisji Europejskiej aby zagwarantować egzekwowanie norm dotyczących ochrony danych konieczne są skuteczne przepisy o sankcjach i środkach zaradczych); 2) Wzmocnienie ochrony danych w wymiarze rynku wewnętrznego a) zwiększenie pewności prawnej oraz ujednolicenie zasad wiążących administratorów danych, b) wyjaśnienie przepisów dotyczących prawa właściwego oraz odpowiedzialności państw członkowskich (dotyczy to w szczególności sytuacji, w których administrator danych podlega różnym wymogom w poszczególnych państwach członkowskich, gdy przedsiębiorstwo międzynarodowe prowadzi działalność w więcej niż jednym państwie członkowskim lub gdy administrator danych nie ma siedziby w UE, ale świadczy usługi na rzecz rezydentów UE), 4

5 c) wzmocnienie odpowiedzialności administratorów danych (w ocenie Komisji Europejskiej uproszczenia administracyjne nie powinny prowadzić do ogólnego zmniejszenia zakresu odpowiedzialności administratorów danych za zapewnienie skutecznej ochrony danych), d) zachęcanie do inicjatyw w dziedzinie samoregulacji (np. przyjmowania procedur działania) oraz analiza unijnych systemów certyfikacji. Komisja Europejska ma zbadać możliwość stworzenia unijnych systemów certyfikacji (np. certyfikatów ochrony prywatności dla procesów, technologii, produktów i usług odpowiadających wymogom ochrony prywatności; 3) Globalny wymiar ochrony danych a) wyjaśnienie i uproszczenie przepisów dotyczących międzynarodowych transferów danych. Jednym ze środków umożliwiających transfer danych osobowych poza obszar UE jest tzw. ocena adekwatności. Obecnie adekwatność ochrony w państwie trzecim, tzn. stwierdzenie czy zapewnia ono poziom ochrony, który może być uznany przez UE za adekwatny, może zostać ustalone przez Komisję oraz państwa członkowskie. Skutkiem uznania adekwatności przez Komisję jest to, że dane osobowe mogą być swobodnie przekazywane z 27 państw członkowskich UE do tego państwa trzeciego bez konieczności uzyskiwania żadnych dalszych gwarancji. Jednakże dokładne wymogi uznania adekwatności przez Komisję nie są obecnie w zadowalającym stopniu sprecyzowane w dyrektywie o ochronie danych, b) propagowanie uniwersalnych zasad ochrony prywatności; 4) Wzmocnienie rozwiązań instytucjonalnych w celu skuteczniejszego egzekwowania przepisów o ochronie danych. Wprowadzanie w życie i realizacja zasad i reguł ochrony danych ma zasadnicze znaczenie dla zagwarantowania przestrzegania praw osób fizycznych. W tym kontekście kluczową rolę w egzekwowaniu przepisów o ochronie danych pełnią organy ochrony danych. Są one niezależnymi strażnikami podstawowych praw i wolności w odniesieniu do ochrony danych osobowych. W konsekwencji, wskazuje się na potrzebę wzmocnienia ich roli oraz wprowadzenia rozwiązań umożliwiających tym podmiotom prawidłowo wykonywać powierzone im zadania zarówno na szczeblu krajowym, jak i w toku wzajemnej współpracy. W tym kontekście wskazuje się, iż istotną rolę odegrać może Grupa Robocza Art. 29 2, która ma zostać przekształcona w Europejską Radę Ochrony Danych Osobowych. II. Stanowisko RP Rząd RP z zadowoleniem przyjmuje przedstawienie i generalnie popiera cel dokumentu. Należy jednak zaznaczyć, iż w Stanowisku Rządu do komunikatu Komisji z dnia 4 listopada 2010 r. do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno- 2 Grupa Robocza Art. 29 to organ doradczy, w którym zasiadają: po jednym przedstawicielu każdego państwa członkowskiego, organy ochrony danych, Europejski Inspektor Ochrony Danych oraz przedstawiciel Komisji (bez prawa głosu), która zapewnia również obsługę sekretarską. Zob. 5

6 Społecznego oraz Komitetu Regionów Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej COM (2010) 609 wersja ostateczna, przyjętym w dniu 17 grudnia przez Komitet do Spraw Europejskich, Rząd RP wskazał, iż przyszły akt prawny w tym zakresie powinien przyjąć formę dyrektywy. Proponowana obecnie przez Komisję Europejską regulacja przyjęła natomiast formę rozporządzenia, którego przepisy jako aktu harmonizującego, stosowane będą wprost, na całym obszarze UE. Z tego względu Rząd RP dostrzega konieczność dalszych prac nad dokumentem, zmierzających do precyzyjnego określenia szczegółowych zasad ochrony danych osobowych w UE. Pozytywnie oceniając zaproponowane w formie rozporządzenia kierunki zmian, Rząd RP zastrzega, iż poszczególne rozwiązania wymagają dalszych intensywnych prac. W szczególności prace te powinny zmierzać do wyeliminowania wszelkich niejasnych i nieostrych pojęć oraz wątpliwości interpretacyjnych dotyczących w szczególności technicznej wykonalności prawa do bycia zapomnianym, zwiększenia wymogów względem administratorów danych, stosowania i egzekwowania zasad dotyczących profilowania, możliwości egzekwowania zasad dotyczących przetwarzania danych osobowych dzieci, sytuacji poważnej nierówności między podmiotem danych a administratorem, rozszerzenia definicji danych osobowych (w konsekwencji czego za dane osobowe można uznać wszelkie informacje dotyczące podmiotu danych, a zatem również wszelkie identyfikatory sieciowe), wyjaśnienia zastosowanych terminów o wysokim poziomie ogólności takich jak np.: funkcje sądowe i rzeczywiste działania sądowe, wzmocnienia niezależności i uprawnień organów ochrony danych osobowych, zasad prowadzenia działalności związanej ze stosowaniem marketingu bezpośredniego i samym charakterem takiego marketingu, zasad transferu danych osobowych do krajów trzecich, w szczególności w celach związanych z bezpieczeństwem publicznym i egzekwowaniem prawa, możliwości określenia za pomocą aktów delegowanych środków technicznych i organizacyjnych bezpieczeństwa przetwarzania danych dla konkretnych sektorów i sytuacji przetwarzania danych, czy możliwości stosowania przez państwa członkowskie licznych odstępstw od ogólnych zasad określonych w rozporządzeniu. Jednocześnie, Rząd RP stoi na stanowisku, iż pozostawienie swobody Komisji Europejskiej w przedmiocie wydawania tak dużej ilości aktów delegowanych, nie ma wyraźnego uzasadnienia i powoduje niepewność prawną, w związku z czym, zdaniem Rządu RP, prace nad dokumentem powinny zmierzać w kierunku precyzowania poszczególnych rozwiązań na poziomie rozporządzenia, co jednocześnie umożliwi rzetelną ich ocenę oraz zapewni przewidywalność prawną. Rząd RP dostrzega również konieczność dalszych prac nad Rozdziałem VII projektu rozporządzenia, który m.in. przewiduje możliwość nakładania na podmioty przetwarzające dane osobowe niezgodnie z przepisami rozporządzenia dotkliwych sankcji. Prace i dalsza analiza tej kwestii są tym bardziej uzasadnione, iż w wielu przypadkach szczegółowe regulacje, ze względu na liczbę przewidzianych poszczególnymi przepisami aktów delegowanych, nie są na chwilę obecną znane. W świetle powyższego, w zależności od ostatecznej formy wypracowanych rozwiązań konieczna będzie równoległa analiza wpływu proponowanych przez Komisję Europejską regulacji w szczególności na poziom ochrony danych osobowych, zwłaszcza w związku ze zmieniającym się środowiskiem technologicznym i coraz bardziej swobodnym przepływem informacji, na obciążenia dla podmiotów przetwarzających dane osobowe oraz na możliwość egzekwowania nowych zasad ochrony danych osobowych. Identyfikując zatem liczne problemy interpretacyjne i wątpliwości co do zasadności, zakresu lub wykonalności niektórych z proponowanych przez Komisję Europejską rozwiązań, Rząd 6

7 RP stoi na stanowisku, iż dalsze prace nad kształtem nowych ram ochrony danych osobowych w UE powinny uwzględniać konieczność zachowania równowagi pomiędzy - z jednej strony niekwestionowanymi prawami jednostki, natomiast z drugiej - warunkami wzrostu gospodarczego. Dodatkowo, Rząd RP pragnie zasygnalizować pewne rozbieżności językowe pomiędzy wersją oryginalną, a tłumaczeniem polskim, które na tak zaawansowanym etapie prac, jakim jest dyskusja nad brzmieniem poszczególnych jednostek redakcyjnych projektu, powinny zostać możliwie szybko wyjaśnione. III. Uzasadnienie stanowiska RP Zdaniem Rządu RP wszelkie działania, które mogą przynieść korzyści w zakresie poprawy poziomu ochrony danych osobowych, zasługują na szczególną uwagę. Z tego względu kierunki zmian należy ocenić pozytywnie. W tym zakresie ważne jest potwierdzenie dwóch celów europejskich regulacji o ochronie danych osobowych: swobodnego przepływu danych w obrębie Unii Europejskiej oraz zapewnienia wysokiego poziomu ich ochrony. Należy również zauważyć, że wszelkie zmiany legislacyjne dotyczące przetwarzania danych osobowych powinny być dokonywane z poszanowaniem podstawowego prawa do ochrony danych na terytorium całej Unii oraz by w dalszym ciągu gwarantować wysoki poziom ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych we wszystkich obszarach działalności Unii. Ważne jest także podkreślenie, że każda osoba powinna mieć możliwość skutecznej kontroli nad danymi jej dotyczącymi w ewoluującym otoczeniu technologicznym. Podkreślenia wymaga zidentyfikowanie przez Komisję Europejską wyzwań stojących przed systemem ochrony danych osobowych w Europie, w świetle rozwoju technologii oraz nowych ram traktatowych, umożliwiających ustanowienie całościowych i spójnych przepisów UE o ochronie danych osobowych. Z tego względu Rząd zgadza się z proponowanymi przez Komisję Europejską celami i działaniami, a w szczególności popiera propozycję określenia nowych ram prawnych ochrony danych osobowych, które powinny zapewnić najwyższy poziom ochrony praw osób w związku z przetwarzaniem ich danych osobowych. Należy jednak zaznaczyć, iż projektowana regulacja, wbrew sugestii Rządu RP wyrażonej w Stanowisku Rządu do komunikatu Komisji z dnia 4 listopada 2010 r. do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego oraz Komitetu Regionów Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej COM (2010) 609 wersja ostateczna, przyjęła formę rozporządzenia, które w przedmiocie wielu regulacji szczegółowych odsyła do uprawnienia Komisji Europejskiej do przyjmowania aktów delegowanych (art. 6 ust. 5, art. 8 ust. 3, art. 9 ust. 3, 12 ust. 5, art. 14 ust. 7, art. 15 ust. 3, art. 17 ust. 9, art. 30 ust. 3, art. 31 ust. 5, art. 32 ust. 5, art. 33 ust. 6, art. 34 ust. 8, art. 35 ust. 11, art. 37 ust. 2, art. 39 ust. 2, art. 43 ust. 3, art. 44 ust. 7, art. 79 ust. 6, art. 81 ust. 3, art. 82 ust. 3 oraz art. 83 ust. 3), których szczegółowy zakres i sposób uregulowania nie jest na chwilę obecną znany. Wątpliwości interpretacyjne budzi również brzmienie niektórych propozycji szczegółowych, w szczególności definicja danych osobowych, podmiotu danych czy naruszeń ochrony danych osobowych oraz ich relacja i wpływ, jaki mogą wywrzeć na stosowanie przepisów innych aktów europejskich, w szczególności dyrektywy 2000/31/WE oraz 2002/58/WE. Z tego samego względu niezbędna jest również wnikliwa analiza wpływu, jaki omawiana regulacja i zaproponowane przez Komisję szczegółowe zasady przetwarzania danych osobowych mogą wywrzeć na prowadzenie przez użytkowników aktywności w sieci Internet, sposób prowadzenia biznesu, 7

8 również w sieci Internet, biorąc pod uwagę propozycje odnoszące się do wymogu uzyskania uprzedniej zgody adresata na możliwość marketingu bezpośredniego w celach komercyjnych. Należy podkreślić, iż zaproponowane przez Komisję Europejską nowe ramy ochrony danych osobowych, które docelowo mają zastąpić obecnie obowiązujące generalne zasady ochrony danych osobowych określone dyrektywą 95/46/WE, wydają się w sposób daleko idący regulować zasady przetwarzania danych w nowym środowisku internetowym i telekomunikacyjnym (vide sieci społecznościowe, wykorzystywanie cookies, profilowanie, prawo do bycia zapomnianym etc.). Z drugiej jednakże strony przepisy wydają się nie uwzględniać wpływu, jaki tak określone obowiązki mogą wywrzeć na pozostałą część rynku, gdzie przetwarzanie danych osobowych w sieci Internet nie jest podstawą prowadzenia działalności gospodarczej. Przykładowo, w tym miejscu należy zauważyć, iż wszystkie podmioty przetwarzające dane osobowe w świetle brzmienia art. 18 projektu, dotyczącego prawa przenoszenia danych, będą miały obowiązek udostępniania kopii danych podlegających przetwarzaniu w formacie elektronicznym, który podobnie jak techniczne standardy, sposoby i procedury będzie mógł zostać określony przez Komisję Europejską w drodze aktu wykonawczego. Niezależnie od powyższego, uwagę zwrócić należy na fakt, iż wspomniany obowiązek, co do zasady, wbrew celowi projektowanej regulacji, wydaje się nie zwiększać poziomu ochrony danych osobowych. W tym samym kontekście należy wyrazić wątpliwości w stosunku do regulacji przewidzianej w art. 12 dotyczącym procedur i mechanizmów wykonywania praw przez podmiot danych, w świetle której na wniosek podmiotu danych, administrator obowiązany będzie przekazywać informacje o wszelkich operacjach poprawienia lub usunięcia danych, w sposób wolny od opłat. Przepis, w przeciwieństwie do analogicznej regulacji przewidzianej w art. 32 ust. 5 ustawy o ochronie danych osobowych, nie ogranicza możliwości wnioskowania o takie informacje, jednocześnie stwierdzając, iż w przypadku wniosków wyraźnie przesadnych, w szczególności ze względu na ich powtarzający się charakter, administrator może pobrać opłatę za przekazanie danych lub może uchylić się od podjęcia żądanego działania. Należy jednocześnie zwrócić uwagę na fakt, iż pobieranie opłat jest sankcjonowane przepisem art. 79 ust. 4 lit. b). Kolejnym przykładowym przepisem budzącym wątpliwości i z tego względu wymagającym doprecyzowania jest przepis art. 7 ust. 4, zgodnie z którym zgoda podmiotu nie stanowi podstawy prawnej do przetwarzania jego danych w sytuacji poważnej nierówności między podmiotem danych a ich administratorem. Wprawdzie Komisja wyjaśnia, iż typowym przykładem takiej sytuacji jest relacja pracownika z pracodawcą, to analiza przepisu może prowadzić do wniosku, iż podobny problem może hipotetycznie dotyczyć każdej sytuacji, w której uprzednio udzielona przez osobę fizyczną zgoda, może nie stanowić podstawy do przetwarzania danych osobowych przez przedsiębiorcę, w szczególności w sytuacji, w której podmiotem przetwarzanych danych osobowych będzie dziecko (np. w przypadku korzystania przez nie z serwisów społecznościowych). Biorąc pod uwagę powyższe, zdaniem Rządu RP, dokument wymaga dalszych prac, w szczególności zmierzających do wyeliminowania pojęć niejasnych i nieostrych oraz jasnego i przejrzystego określenia obowiązków i zasad dotyczących przetwarzania danych osobowych. W przeciwnym razie dokonanie oceny wpływu tak określonych ogólnych zasad, jest dalece utrudniona, w konsekwencji czego sprowadzać się może jedynie do oceny kierunku zmian, nie zaś szczegółowej analizy i oceny konkretnych rozwiązań. W opinii Rządu RP wyjaśnienia wymaga również kwesta relacji przepisów projektowanego rozporządzenia, a zwłaszcza zakresu ich obowiązywania w stosunku do postępowania 8

9 sądowego. W tym kontekście należy jednocześnie wyjaśnić relację projektowanych przepisów w stosunku do przypadków publicznego udostępniania określonych prawem informacji przez rejestry publiczne. Rząd RP popiera ideę harmonizacji przepisów dotyczących ochrony danych osobowych na jednolitym europejskim rynku, jednak dostrzega konieczność wypracowania spójnej, jednolitej i przejrzystej regulacji. W związku z powyższym, Rząd RP jest zdania, iż szczegółowe przepisy wymagają dalszych wzmożonych prac zmierzających do osiągnięcia pożądanego efektu w postaci efektywnego zwiększenia ochrony danych osobowych. 1. Ocena skutków prawnych na obecnym etapie trudno wskazać przepisy prawa polskiego, które będą wymagały zmian w przypadku nowych regulacji na poziomie UE w tym zakresie (prawdopodobne są zmiany m.in. w ustawie o ochronie danych osobowych, w ustawie o świadczeniu usług drogą elektroniczną oraz w ustawie - Prawo telekomunikacyjne). Jednak z racji faktu, iż projektowana regulacja ma formę rozporządzenia umożliwiającą Komisji wydawanie aktów delegowanych, nie można w chwili obecnej wykluczyć przyszłej konieczności modyfikacji również innych aktów prawnych. Należy jednak podkreślić, iż uprawnienie Komisji do przyjmowania aktów delegowanych powoduje niepewność prawną. 2. Ocena skutków społecznych przewiduje się długofalowe korzyści dla społeczeństwa polegające na poprawie bezpieczeństwa obywateli związane z zapewnieniem lepszej ochrony danych oraz bezpieczniejszym ich przepływem, szczególnie w środowisku cyfrowym. Zwiększenie możliwości podmiotu danych w przedmiocie kontroli dotyczącej jej danych osobowych przyczyni się również do wzrostu zaufania do usług świadczonych przez podmioty prywatne i publiczne. Ludzie mając poczucie, że ich dane są lepiej chronione, częściej i chętniej będą korzystali z usług i aplikacji społeczeństwa informacyjnego. 3. Ocena skutków gospodarczych przejrzyste i jednolite przepisy obowiązujące na terenie całej UE przyczynią się do zwiększenia pewności prawnej związanej z przepływem danych między państwami członkowskimi w obrębie rynku wewnętrznego, zmniejszenia obciążeń administracyjnych i zwiększenia zaufania konsumentów, co przyczyni się do wzrostu gospodarczego i zwiększenia konkurencyjności przemysłu UE. Istnienie jednakowych uregulowań w zakresie danych osobowych będzie także Stanowiąc zachętę dla podejmowania działalności gospodarczej poza krajem pochodzenia. Z drugiej jednak strony należy również zaznaczyć, iż proponowane rozwiązania mogą, szczególnie w krótkim i średnim okresie, spowodować dodatkowe koszty dla działalności gospodarczej prowadzonej przez podmioty przetwarzające dane osobowe oraz prowadzące działalność reklamową, zwłaszcza w sieci Internet. 4. Ocena skutków finansowych w chwili obecnej trudno ocenić bezpośrednie i pośrednie skutki finansowe projektowanej regulacji na sektor publiczny oraz na sektor prywatny. Jednocześnie należy wskazać, iż Rząd RP popierając kierunek prezentowanych we wniosku rozwiązań, zwraca uwagę, iż w przypadku każdego działania konieczna będzie szczegółowa analiza wiążących się z tym kosztów, zwłaszcza w świetle tak wielu proponowanych przez Komisję aktów delegowanych. Niemniej jednak, dostrzegając brak istotnych różnic w stosunku do ogólnych rozwiązań obowiązujących na gruncie dyrektywy 95/46/WE, skutki finansowe proponowanej regulacji nie powinny powodować zwiększenia wydatków jednostek sektora finansów publicznych. 9

10 IV. Informacja w sprawie zgodności projektu aktu z zasadą pomocniczości Zgodnie z zasadą pomocniczości (art. 5 ust. 3 TFUE), Unia podejmuje działania tylko wówczas, gdy cele zamierzonego działania nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie i jeśli ze względu na rozmiary lub skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na poziomie Unii. W świetle problemów zarysowanych powyżej, analiza pod kątem pomocniczości wskazuje na potrzebę działania na szczeblu UE na podstawie następujących przesłanek: prawo do ochrony danych osobowych zapisane w art. 8 Karty praw podstawowych wymaga tego samego poziomu ochrony danych w całej Unii; brak wspólnych przepisów UE wiązałby się z ryzykiem istnienia różnych poziomów ochrony w państwach członkowskich oraz wystąpienia ograniczeń w transgranicznym przepływie danych osobowych między państwami członkowskimi mającymi różne standardy; dane osobowe przekazywane są ponad granicami, zarówno wewnętrznymi, jak i zewnętrznymi, w coraz szybszym tempie; obok tego istnieją praktyczne wyzwania w zakresie egzekwowania przepisów o ochronie danych, zachodzi również konieczność współpracy między państwami członkowskimi i ich organami, którą należy zorganizować na szczeblu UE, by zagwarantować jednolite stosowanie prawa UE. UE jest również najlepiej predysponowana, by zagwarantować skutecznie i konsekwentnie ten sam poziom ochrony osób fizycznych w zakresie danych osobowych przekazywanych do państw trzecich; państwa członkowskie nie mogą same ograniczyć problemów w obecnej sytuacji, zwłaszcza w obliczu rozdrobnienia w krajowych przepisach. Istnieje zatem szczególna potrzeba ustanowienia zharmonizowanych, spójnych ram umożliwiających sprawne przekazanie danych osobowych ponad granicami na terytorium UE, przy równoczesnym zagwarantowaniu skutecznej ochrony dla wszystkich osób fizycznych w całej UE; proponowane działania legislacyjne UE będą bardziej skuteczne niż podobne działania na szczeblu państw członkowskich, ze względu na charakter i skalę problemów, które nie ograniczają się do szczebla jednego czy kilku państw członkowskich. V. Przedstawiciel Rządu upoważniony do prezentowania stanowiska Igor Ostrowski, Podsekretarz Stanu, Ministerstwo Administracji i Cyfryzacji, ul. Batorego 5, Warszawa, tel

Podobne dokumenty
2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres