Dr Grzegorz Sibiga Warszawa, dn r.

Transkrypt

1 Dr Grzegorz Sibiga Warszawa, dn r. EKSPERTYZA w przedmiocie propozycji zmian w polskiej ustawie o ochronie danych osobowych opartych na rozwiązaniach projektu rozporządzenia ogólnego I. Przedmiot ekspertyzy Przedmiotem ekspertyzy jest wskazanie możliwości zmian w polskich przepisach ochronie danych osobowych, w szczególności w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.; dalej u.o.d.o. ), opartych na rozwiązaniach przewidzianych w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych), w przypadku przedłużania się prac nad wspomnianym rozporządzeniem. II. Stan prawny Ekspertyzę opracowano na gruncie stanu prawnego na dzień sporządzenia opinii ( r.). Natomiast w zakresie projektowanych przepisów ogólnego rozporządzenia o ochronie danych oparto się na przedstawionej przez MAIC tabeli zbiorczej przepisów na dzień r. zawierającej trzy teksty prawne: wniosek Komisji Europejskiej z r., tekst przyjęty przez Komisję LIBE Parlamentu Europejskiego oraz tekst będący przedmiotem prac w Radzie w czasie Prezydencji Litewskiej. Jeżeli w dalszej części ekspertyzy zostanie powołana konkretna jednostka redakcyjna bez odniesienia się do źródła będzie to oznaczało, iż chodzi o wniosek Komisji Europejskiej. W innych przypadkach zostanie użyte odwołanie do tekstu przyjętego przez Komisję LIBE PE albo tekstu Prezydencji Litewskiej, szczególnie gdy wspomniane teksty różnią się między sobą lub w stosunku do pierwotnego wniosku Komisji. 1

2 W ekspertyzie zostały również wzięte pod uwagę przepisy obecnie obowiązującej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych (Dz.Urz. L Nr 281 z ; dalej dyrektywa 95/46/WE ). III. Uwagi ogólne III.1 Opracowując ekspertyzę w pierwszej kolejności należy zastrzec ryzyka związane z jej przedmiotem (tj. uchwaleniem zmian w ustawodawstwie krajowym przed przyjęciem rozporządzenia ogólnego) oraz określić warunki (ramy) dalszych rozważań w niniejszym dokumencie. III.2 Na moment sporządzania ekspertyzy możliwe są różne scenariusze czasowe przyjęcia ogólne rozporządzenie o ochronie danych. Obecną perspektywę czasową wyznaczają Konkluzje z posiedzenia Rady Europejskiej w Brukseli w dniach października 2013 r. w pkt 8 ( Ważne jest budowanie zaufania obywateli i przedsiębiorstw do gospodarki cyfrowej. Terminowe przyjęcie solidnych unijnych ogólnych ram ochrony danych i dyrektywy w sprawie bezpieczeństwa cybernetycznego ma kluczowe znaczenie dla ukończenia tworzenia jednolitego rynku cyfrowego do 2015 r. ). Jednak część komentatorów uważa, że tak sformułowany termin może oznaczać, iż ogólne rozporządzenie o ochronie danych nie będzie przyjęte przez obecną Komisję Europejską, a tekst będzie wtedy mógł zostać przeredagowany w przyszłości (zob. Critical times for EU DP draft Regulation as UK tries to delay it, w: Privacy Laws & Business. International e-news, ). III.3 W związku z trudnością w określeniu daty przyjęcia rozporządzenia ogólnego można przyjąć co najmniej dwa alternatywne scenariusze w tym przedmiocie, które będą miały znaczenia dla ewentualnych zmian w prawie krajowym. W pierwszym scenariuszu rozporządzenie ogólne zostanie przyjęte w obecnej kadencji Parlamentu Europejskiego, a wówczas planowanie uprzednich zmian w polskim prawie wdrażające jego przepisy materialne (zasady przetwarzania danych osobowych oraz uprawnienia osób, których dane dotyczą) stanie się bezprzedmiotowe. Wprowadzenie w Unii Europejskiej rozporządzenia (zamiast dyrektywy) jest bowiem wyrazem przyjęcia koncepcji kompleksowego, jednolitego systemu ochrony danych osobowych w UE uzasadnionej potrzebą zagwarantowania spójnego stosowania podstawowego prawa do ochrony danych osobowych w kontekście wszystkich polityk UE (Uzasadnienie, 1. Kontekst wniosku, str.2). 2

3 Według wniosku Komisji Europejkiej podstawą prawną rozporządzenia jest art. 16 ust.2 TFUE, będący nową podstawą prawną przyjmowania przepisów o ochronie danych osobowych, wprowadzony Traktatem Lizbońskim (Uzasadnienie, 3. Aspekty prawne wniosku, str. 6). Przepis ten daje podstawę Parlamentowi Europejskiemu i Radzie do określenia zasad dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych (i to również przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii) oraz swobodnego przepływu takich danych. Komisja Europejska wnioskując o przyjęcie rozporządzenia uznała ten akt za najbardziej odpowiedni instrument prawny służący do zdefiniowania ram ochrony danych osobowych w Unii, ponieważ zmniejszy rozdrobnienie prawne i zapewni większą pewność prawa poprzez wprowadzenie ujednoliconego zestawu podstawowych przepisów (Uzasadnienie, 3. Aspekty prawne wniosku, str. 6). Zgodnie z art. 288 TFUE rozporządzenie ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Ze swej natury staje się ono częścią krajowych systemów prawnych bez potrzeby dokonywania jakiejkolwiek czynności transpozycyjnych i wywiera skutki bezpośrednie w stosunku do jednostek. Rozporządzenia obejmują wertykalny i horyzontalny skutek bez wyjątku. Przepis art. 88 projektu rozporządzenia (zob. także motyw 134 preambuły) przewiduje, iż z momentem jego wejścia wejście w życie uchylona zostanie obecnie obowiązującą dyrektywę 95/46/WE, a co z tym związane stanowiące jej implementację ustawy krajowe, w tym także polska ustawa o ochronie danych osobowych. Jednocześnie rozporządzenie ogólne, regulując przede wszystkim kwestie materialne, pozostawia pewne zagadnienia do unormowania w prawie krajowym, co jednak będzie niezbędne dla wykonania przepisów samego rozporządzenia. Chodzi o regulacje ustrojowe dotyczące krajowego organu ds. ochrony danych osobowych, a także przepisy proceduralne odnoszące się do postępowania przed tym organem oraz sądami kontrolującymi jego rozstrzygnięcia i inne czynności. Niezależnie od powyższego projekt rozporządzenia ogólnego pozostawia prawodawcy krajowemu pewien margines swobody w zakresie regulacji materialnoprawnej, jednak bez konieczności wprowadzania przez niego takich unormowań. Przykładowo w zasadach ogólnych chodzi o przepisy prawa krajowego będące podstawą prawną przetwarzania danych osobowych (art 6 ust.1 lit. c) i e) w zw. z ust.3 lit. b), a w prawach podmiotu danych o przepisy ograniczające te prawa (art. 21 ust.1), zaś w części dotyczącej szczegółowych zagadnień przetwarzania danych osobowych przepisy o przetwarzaniu danych pracowników 3

4 w kontekście zatrudnienia (art. 82), czy też o danych osobowych dotyczących zdrowia (art. 81 ust.1). Dlatego też według autora ekspertyzy okres dwóch lat dnia opublikowania aktu w Dzienniku Urzędowym Unii Europejskiej, po którym rozporządzenie zacznie obowiązywać, należy wykorzystać na przygotowanie i uchwalenie ustawy zawierającej niezbędne przepisy ustrojowe i proceduralne (w tym drugim przypadku najpewniej zestawione, choćby poprzez przepisy odsyłające, z właściwymi ustawami procesowych obowiązującymi w naszym kraju). Oprócz tego, zdaniem autora, pożądane stanie się dokonanie kompleksowego przeglądu prawodawstwa krajowego w zakresie zasad dotyczących przetwarzania i ochrony danych osobowych, pod kątem zagospodarowania prawnego swobody pozostawionej przez rozporządzenie. Już nawet tak generalnie zarysowana problematyka pokazuje ogromny nakład pracy potrzeby na wypracowanie koniecznych lub pożądanych zmian w prawie krajowym. W tym kontekście podejmowanie innych działań legislacyjnych, poprzedzonych czynnościami analitycznymi, wydaje się zupełnie zbędne. III.4 W drugim scenariuszu do przyjęcia rozporządzenia ogólnego nie dojdzie w trakcie trwania obecnej kadencji Parlamentu Europejskiego. Dopiero wtedy zdaniem autora ekspertyzy można rozważać przyjęcie w prawie polskim rozwiązań opartych na tym projekcie. Jednak nawet wówczas, przed przystąpień do formułowania konkretnych postulatów zmian, trzeba wziąć pod uwagę trzy kategorie czynników: a) cele proponowania zmian w prawie krajowym, b) kontekst daty przyjęcia i ostatecznej treści rozporządzenia ogólnego, c) ograniczenia prawne wynikające z obecnego stanu prawnego. III.5 Ewentualne cele zmian w prawie krajowym mogą dotyczyć samego rozporządzenia ogólnego oraz celów w nich określonych. W pierwszym przypadku nowelizacja polskiej ustawy o ochronie danych osobowych byłaby swoistym przygotowaniem do rozwiązań zawartych w przyszłym rozporządzeniu ogólnym. Pozostaje to jednak obarczone ryzykiem przynajmniej z dwóch powodów: terminu przyjęcia rozporządzenia oraz ostatecznej treści jego przepisów, w szczególności biorąc pod uwagę już obecne rozbieżności merytoryczne w we wspomnianych powyżej tekstach KE, PE oraz Rady. Wreszcie nie można również odrzucić scenariusza (mimo niewielkiego prawdopodobieństwa jego zaistnienia), w którym rozporządzenia w ogóle nie zostaje przyjęte, ze względu np. na zastąpienie go przez dyrektywę lub brak kompromisu co do treści przepisów. 4

5 III.6 Gdy chodzi o cele merytoryczne projektu rozporządzenia ogólnego i ich przejęcie przez polskiego prawodawcę to należy przypomnieć, iż przed przedstawieniem wniosku Komisji Europejskiej wskazywano dwie główne potrzeby przeprowadzenia zmian: zwiększenie możliwości przedsiębiorców prowadzących działalność na unijnym rynku wewnętrznym (a przez to zwiększenie ich konkurencyjność w globalnej gospodarce) oraz zapewnienie jednocześnie wysokiego poziomu ochrony praw jednostki (podmiotu danych) (V. Reding, Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age, Innovation Conference Digital, Life, Design Munich, 22 January ). W zakresie pierwszego z celów, tworzy się dla przedsiębiorców stan pewności prawa opartego na jednym akcie, zamiast mozaiki 27 krajowych regulacji prawnych; ma nastąpić także uproszczenie środowiska regulacyjnego (spójne działanie organów ochrony danych osobowych) i przyjęcie jasnych reguł w międzynarodowym transferze danych. Z kolei wysoki poziom praw osoby fizycznej mają zapewnić: rozszerzone uprawnienia informacyjne jednostki (szczególnie w Internecie), zasady wyrażania zgody na przetwarzanie danych osobowych oraz prawo do lepszej kontroli przetwarzania własnych danych osobowych. Już w tym momencie należy zauważyć, że realizacja pierwszego z celów nie może nastąpić w oderwaniu od samego rozporządzenia. Zagadnienia właściwości organów ds. ochrony danych osobowych i związana z tym kwestia podległości podmiotów zobowiązanych (administratora danych i przetwarzającego) są bowiem ściśle związane z wprowadzaniem jednolitych przepisów rozporządzenia ogólnego. Jednakże można rozważać wprowadzenie w obecnych przepisach krajowych niektórych uproszczeń dla podmiotów zobowiązanych, o ile będzie to prawnie dopuszczalne (zob. pkt III.8). Teoretycznie można analizować wprowadzenia do polskiego ustawodawstwa rozwiązań gwarantujący wyższy poziom praw osoby fizycznej. W tym kontekście trzeba jednak zawrzeć wysoka ocenę dotychczasowego standardu uprawnień podmiotu danych, na który składają się przepisy o ochronie danych osobowych oraz ich wykonanie, szczególnie przez organ ds. ochrony danych osobowych i kontrolujące jego działalność sądy administracyjne. Zdaniem autora ekspertyzy również dyskusyjne jest osamotnione wdrażanie w Polsce prawnych obowiązków dla administratorów danych, które mają co prawda konsekwencje dla poziomu praw jednostki, ale powodują znaczne koszty po stronie adresatów obowiązków. Jeżeli te same wymogi nie zostaną przewidziane w innych państwach 1 Dostępne pod adresem (stan na ) 5

6 Unii Europejskiej to ich realizacja jedynie w naszym kraju może mieć wpływ w szczególności na konkurencyjność przedsiębiorców objętych zakresem stosowania polskich przepisów o ochronie danych osobowych. III.7 Przygotowując zmiany w prawie polskim oparte na rozwiązaniach w projekcie rozporządzenia ogólnego trzeba również mieć na względzie, że znowelizowane przepisy krajowe z założenia będą miały charakter tymczasowy (docelowym aktem będzie bowiem rozporządzenie ogólne). Powyższy czynnik może mieć również wpływ na ocenę postulatów zmian, a później wolę prawodawcy ich przyjęcia. III.8 Konstruując propozycje potencjalnych kierunków zmian w prawie (w szczególności nowelizacji u.o.d.o.) należy wziąć pod uwagę, że muszą one następować z zachowaniem zasad ochrony danych osobowych przewidzianych obecnych przepisach prawa, w tym przede wszystkim w: a) Konstytucji RP (szczególnie w art. 47 i art. 51), b) Dyrektywie 95/46/WE. Przypomnienie oczywistej zasady, iż do czasu uchylenia dyrektywy 95/46/WE, co przewiduje się w projekcie rozporządzenia ogólnego (wraz z datą wejście w życie rozporządzenia), prawo krajowe stanowi implementację dyrektywy, sprawia że część przepisów projektu rozporządzenia nie może być brana pod uwagę. Zasady określone w projekcie mają bowiem zmienić dotychczasowe zasady przyjęte w prawie unijnym, w tym znieść niektóre obowiązki określone w dyrektywie 95/46/WE (np. zawiadomienia, o których mowa w Sekcji IX dyrektywy, tj. w art ). Zatem nie można w pełni zrealizować akcentowanego celu nowego rozporządzenia, jakim jest odciążenie administratorów od nadmiarowych obowiązków formalnych. Również niedopuszczalne będzie modyfikowanie zasad określonych na podstawie dyrektywy 95/46/WE, jeżeli miałoby to doprowadzić do sprzeczności ze wspomnianą dyrektywą. IV. Postulaty zmian w prawie krajowym IV.1 Poniżej przedstawione postulaty biorą pod uwagę czynniki wskazane w części III niniejszej ekspertyzy. Z tych powodów należy zachować bardzo dużą ostrożność w przyjmowaniu w prawie nowych rozwiązań, które wkraczają w istotę uprawnień podmiotów danych oraz w podstawowe obowiązki administratorów danych i przetwarzających. Dopiero po uczynieniu takich zastrzeżeń można zaproponować ew. kierunki wybranych zmian w 6

7 prawie krajowym. Co jednak ważne, przedmiotem dalszych rozważań nie staną się opcje negatywne, tj. jakich zmian nie można lub nie należy proponować. IV.2 W pierwszym rzędzie autor ekspertyzy proponuje roboczy podział postulatów na dwie grupy. Pierwsza z nich zawiera propozycje możliwe do realizacji w krótszej perspektywie czasowej, ponieważ dotyczą one przepisów wykonawczych do ustaw wydawanych przez ministra właściwego do spraw administracji oraz projektów ustaw, które już są aktualnie przedmiotem prac legislacyjnych. Te propozycje przedstawiam w pkt IV.3-IV.8 ekspertyzy. Druga grupa zmian odnosi się do przepisów ustawy, które nie są aktualnie przedmiotem procesu legislacyjnego (pkt IV.9-IV.13). Zatem ich przyjęcie może wymagać dłuższej perspektywy czasowej, ze względu na potrzebę podjęcia odrębnej inicjatywy ustawodawczej. IV.3 Do pierwszej grupy propozycji zmian zaliczam: a) wydanie przez ministra właściwego do spraw administracji publicznego (Ministra Administracji i Cyfryzacji) nowego rozporządzenia wykonującego delegację, o której mowa w art. 39a ustawy o ochronie danych osobowych, b) rozwiązania przewidziane w projekcie ustawy o ułatwieniu wykonywania działalności gospodarczej wraz z nowymi rozporządzeniami określonymi w tym projekcie, w zakresie których właściwym organem wykonawczym pozostaje minister właściwy do spraw administracji. IV.4 Przepis art. 39a u.o.d.o. przewiduje kompetencje Ministra Administracji i Cyfryzacji ( minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia ) do wydania rozporządzenia określającego: - sposób prowadzenia i zakres dokumentacji opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, - podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z wytycznymi minister wydając rozporządzenie jest obowiązany uwzględnić w szczególności zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną. 7

8 Obecnie wykonaniem tej delegacji jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Zdaniem autora ekspertyzy aktualnie występuje pilna potrzeba dokonania daleko idących zmian w tym przedmiocie, które wymagają wydania rozporządzenia zastępującego obecny akt. Obecne rozporządzenie jako wskazane w wytycznych kryterium zagrożenia przyjmuje połączenie systemu informatycznego się siecią publiczną i na tej podstawie (obok kryterium przetwarzania danych wrażliwych) wyznacza się 3 poziomy bezpieczeństwa, dla których sztywno przypisano określone środki zabezpieczającego (środki fizyczne, sprzętowe i programowe). Takie podejście nie uwzględnia obecnej specyfiki informatycznego przetwarzania danych, polegające na niezwykle szerokim wykorzystywaniu sieci publicznej, a określone dotychczas poziomy bezpieczeństwa nie odpowiadają rzeczywistej gradacji zagrożeń dla systemów teleinformatycznych służących do przetwarzania danych osobowych. Już na gruncie obecnie obowiązującej delegacji, korzystając z wytycznej ochrony odpowiedniej do zagrożeń (zgodnej z zasadą odpowiedniości środków ochrony zawartej w art. 17 ust.1 dyrektywy 95/46/WE i art. 36 ust.1 u.o.d.o.), możliwe staje się ponowne zdefiniowanie kategorii zagrożenia, również pod kątem dokonania analizy ryzyka dla bezpieczeństwa danych osobowych. Takie zdefiniowanie może również nastąpić w oparciu o zarządzanie bezpieczeństwem dokonywane przez samego administratora (przetwarzającego). Pozostaje to zgodne z zasadami określonymi w projekcie rozporządzenia ogólnego: art. 30 ust.1 (zasada odpowiedniości ochrony) oraz art. 30 ust.2 (analiza ryzyka) lub art. 30 ust.1a (w wersji Komisji LIBE), który wskazuje czynniki, które powinny zostać wzięte pod uwagę przy tworzeniu polityki bezpieczeństwa. Nowe podejście do kryterium zagrożenia daje również możliwość zróżnicowania środków zabezpieczenia (a zatem również kosztów ich wdrażania) dla różnych kategorii podmiotów (w szczególności przedsiębiorców), w zależności od tego jakim niebezpieczeństwem obarczone jest przetwarzanie przez nich danych osobowych. Równocześnie w art. 39a u.o.d.o. przewiduje się, że w rozporządzeniu unormowana zostanie kwestii dokumentacji opisującą sposób przetwarzania danych osobowych, co stwarza z kolei możliwość wprowadzenia niektórych, adekwatnych do obecnego stanu prawnego, składników nowej dokumentacji przetwarzania, o której mowa w art. 28 projektu rozporządzenia ogólnego. Postuluje się również zrezygnowanie z wymogu prowadzenia na 8

9 piśmie (tj. w postaci papierowej) takiej dokumentacji i stworzenia możliwości jedynie jej elektronicznego funkcjonowania. W przypadku dokonania ewentualnej nowelizacji ustawy o ochronie danych osobowych rekomenduje się dokonanie zmiany w art. 39a u.o.d.o., w ten sposób, aby do delegacji wprowadzić wprost zarządzanie bezpieczeństwem jako główny element podlegający regulacji w akcie wykonawczym. Do rozważenia pozostaje, czy w treści delegacji wprowadzić wytyczną, aby przy wyznaczaniu środków zabezpieczających kierować się także skalą przetwarzania danych osobowych, co może pośrednio powodować korzystną gradację wymaganych środków zabezpieczających dla mikroprzedsiębiorców i małych przedsiębiorców. Jedynie na marginesie należy dodać, że zmiany w analizowanym rozporządzeniu są również potrzebne ze względu na krajowy system prawny. Wymogi wyznaczone w rozporządzeniu w przypadku administratorów danych będących jednocześnie podmiotami publicznymi (w rozumieniu ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne) pokrywają się z obowiązkami bezpieczeństwa informacji określonymi w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526). To drugie rozporządzenia przewiduje bowiem, obejmujący także dane osobowe, system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. W ocenie autora ekspertyzy występuje potrzeba ujednolicenia przewidzianych dla podmiotów publicznych zasad bezpieczeństwa danych osobowych z wymogami bezpieczeństwa informacji, w tym kierunku, aby również w nowym rozporządzeniu wydanym na podstawie art. 39a u.o.d.o. zabezpieczenie danych osobowych było oparte na zarządzaniu bezpieczeństwem. IV.5 W projekcie ustawy o ułatwieniu wykonywania działalności gospodarczej zmiany w ustawie o ochronie danych osobowych przewidziane zostały w art. 8. Na dzień sporządzenia ekspertyzy ( r.) projekt ustawy znajduje się na etapie konsultacji 2. 2 Zob. pod adresem: i 9

10 Wspomniany projekt dotyczy dwóch istotnych zagadnień w kontekście regulacji zawartych w projekcie rozporządzenia ogólnego: - funkcjonowania administratora bezpieczeństwa informacji (ABI), co zostało powiązane ze zwolnieniem z obowiązku rejestracji zbiorów danych osobowych, - przekazywania danych osobowych do państw trzecich. IV.6 Głównym elementem projektu nowelizacji ustawy o ochronie danych osobowych (w ramach projektu ustawy o ułatwieniu wykonywania działalności gospodarczej) jest określenie statusu i zasad wykonywania funkcji administratora bezpieczeństwa informacji (ABI), co zostało powiązane ze zwolnieniem administratora danych z obowiązku rejestracji zbiorów danych. Według projektu obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe (wskazane w art. 27 ust. 1 u.o.d.o.), nie będzie podlegać administrator danych, który powołał i zgłosił do GIODO administratora bezpieczeństwa informacji. Proponowane rozwiązanie stanowi wykorzystanie zawartej w dyrektywie 95/46/WE możliwości uproszczenie bądź zwolnienie z obowiązku rejestracyjnego (notyfikacyjnego) w przypadku wyznaczenia urzędnika ds. ochrony danych osobowych (data protection official), będącego pierwowzorem dla funkcji administratora bezpieczeństwa informacji unormowanej w u.o.d.o. Należy jednak przypomnieć, że unijna dyrektywa przewiduje możliwość takiego zwolnienie (uproszczenia) tylko pod warunkiem spełnienia przez urzędnika dwóch warunków: zapewnienia w jednostce organizacyjnej w sposób niezależny przestrzegania krajowych przepisów o ochronie danych osobowych (opartych na dyrektywie 95/46/WE) oraz prowadzenie rejestru operacji związanych z przetwarzaniem danych dokonywanych przez administratora, zawierającego takie same elementy jak rejestr ogólnokrajowy prowadzony przez państwowy organ ds. ochrony danych osobowych (tzw. uproszczona rejestracja) (art. 18 ust. 2 tiret drugie dyrektywy 95/46/WE). Stanowi to także ograniczoną realizację, zgłaszanego również w pracach nad projektem rozporządzenia ogólnego, postulatu rezygnacji z administracyjnego wymogu rejestracji (notyfikacji). Jednakże proponowana w projekcie nowelizacji u.o.d.o. regulacja przewiduje, iż powołanie ABI nie jest obowiązkiem, a tylko możliwością przewidzianą dla administratora danych (co pozostaje także zgodne z propozycją Prezydencji Litewskiej brzmienia art. 35 ust.1 projektu rozporządzenia ogólnego). Jednak wyłącznie wówczas gdy administrator danych zdecyduje się na takie powołanie będzie uprawniony do zwolnienia z obowiązku rejestracyjnego. W przypadku niepowołania ABI administrator danych nadal będzie 10

11 zobligowany do realizacji wymogu rejestracyjnego, a jednocześnie będzie samodzielnie wykonywał cześć obowiązków wyznaczonych dla ABI. Równocześnie przepisy w projekcie nowelizacji przybliżają status i zadania ABI do regulacji dotyczącej inspektora ds. ochrony danych (Data Protection Officer DPO), o którym mowa w art projektu rozporządzenia ogólnego. Projektowane rozporządzenie od inspektora ochrony danych będzie wymagać kwalifikacji zawodowych oraz wiedzy specjalistycznej z zakresu prawa ochrony danych. Inspektor będzie wykonywał swoje obowiązki i zadania niezależnie i podlegał bezpośrednio kierownictwu administratora (lub podmiotu przetwarzającego). Wyznaczający inspektora administrator danych (przetwarzający) ma go wspierać w wykonywaniu przez niego zadań i zapewnić personel, pomieszczenia, sprzęt i zasoby niezbędne realizacji obowiązków i zadań. Oprócz tego wprowadza się obowiązek powiadomienia organu nadzorczego (w Polsce GIODO) w zakresie imienia, nazwiska i innych danych kontaktowych inspektora. Do zadań inspektora będzie należało w szczególności monitorowanie wykonania i stosowania przepisów rozporządzenia i polityk w zakresie ochrony danych osobowych (w tym szkolenie personelu zaangażowanego w operacje przetwarzania), zapewnienie prowadzenia dokumentacji ochrony danych osobowych oraz współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy samego inspektora. W tym zakresie projektowane rozporządzenie ogólne zawiera rozwiązania zbliżone lub pokrywające się z tymi przedstawionymi w projekcie nowelizacji u.o.d.o. Jednak występują również rozbieżności między tym projektami. Autor ekspertyzy zwraca szczególną uwagę na rozwiązanie zawarte w projekcie rozporządzenia ogólnego, zgodnie z którym Podmioty danych mają prawo kontaktować się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem swoich danych oraz wnioskować o możliwość wykonania praw przysługujących im na mocy niniejszego rozporządzenia. Wobec tego warto rozważyć jeszcze na etapie trwających w Radzie Ministrów prac legislacyjnych rozszerzenie zadań ABI na wsparcie podmiotu danych w zakresie realizacji uprawnień jednostki wobec administratora danych, u którego funkcjonuje ABI. Przykładowo taka nowa regulacja może zawierać uprawnienie dla podmiotu danych, aby swoje żądania wobec administratora danych w zakresie ochrony danych osobowych - mógł kierować do ABI, jeżeli ten został wyznaczony przez administratora. Wówczas zwrotnie tenże ABI poinformuje podmiot danych o sposobie załatwienia jego żądania przez administratora danych. W tym celu dane kontaktowe ABI (w tym jego adres elektroniczny) zostaną podane w serwisie internetowym administratora danych (jeżeli taki funkcjonuje) lub będą podawane w inny 11

12 sposób przez administratora danych. Przyjęcie proponowanego rozwiązaniu ułatwi realizację uprawnień osobie, której dane dotyczą, pozwoli właściwie zorganizować proces załatwiania żądań przez administratora danych, a równocześnie zapewni dalsze (w stosunku do obecnie planowanych) wykorzystanie wyspecjalizowanej komórki w jednostce organizacyjne - ABI. IV.7 W projekcie nowelizacji ustawy o ochronie danych osobowych przewiduje się dwie nowe delegacje w art. 36a ust.7 i art. 46f (według projektu) dla ministra właściwego do spraw administracji publicznej do wydania rozporządzeń do ustawy w zakresie rozwiązań dotyczących administratora bezpieczeństwa informacji (ABI) oraz rejestru ABI prowadzonego przez GIODO. W pierwszym z tych rozporządzeń minister ma określić tryb realizacji zadań ABI w zakresie sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i opracowania w tym zakresie sprawozdania dla administratora danych oraz nadzorowania opracowania i aktualizowania dokumentacji przetwarzania danych osobowych (art. 36 ust.2 u.o.d.o.), a także prowadzenia wewnętrznego, jawnego rejestru zbiorów danych. Natomiast w drugim z rozporządzeń minister określi wzory zgłoszeń administratora bezpieczeństwa informacji do rejestru GIODO (powołania i odwołania ABI). Szczególne znaczenie ma pierwsze z wymienionych rozporządzeń, ponieważ określi się w nim szczegółowy sposób wykonywania kompetencji ABI. Dlatego też w pracach nad nimi postuluje się aby minister w jak najszerszym zakresie wziął pod uwagę treść, ale również cel, rozwiązań proponowanych w zakresie DPO, w szczególności warunek jak najszerszego informowania przez ABI o podejmowanych czynnościach administratora danych (przetwarzającego) oraz podmioty danych. IV.8 W projekcie nowelizacji ustawy o ochronie danych osobowych proponuje się także istotne modyfikacje zasad przekazywania danych osobowych do państwa trzecich, w szczególności poprzez przyjęcie do ustawy krajowej instytucji wiążącymi reguł korporacyjnych (binding corporate rules - BCR). Zatwierdzenie tych reguł przez GIODO zwalnia z obowiązku uzyskania zgody tego organu na transfer danych osobowych, o której mowa w art.48 u.o.d.o. (jeżeli zachodzi obowiązek uzyskania takiej zgody). W myśl zaprojektowanej regulacji Generalny Inspektor przed zatwierdzeniem wiążących reguł korporacyjnych może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw należących do Europejskiego Obszaru Gospodarczego, na 12

13 których terytorium mają siedziby przedsiębiorstwa należące do grupy, przekazując im niezbędne informacje w tym celu. Wydając decyzję o zatwierdzeniu Generalny Inspektor uwzględnia wyniki wspomnianych powyżej konsultacji, albo jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa należącego do Europejskiego Obszaru Gospodarczego może uwzględnić to rozstrzygnięcie. W ten sposób do krajowego porządku prawnego przejęte mają zostać dwa funkcjonujące w Unii Europejskiej procedury uznawania BCR przez krajowy organ ds. ochrony danych osobowych: procedura kooperacji oraz postępowanie oparte na porozumieniu Mutual Recognition. Przyjęte rozwiązania należy odnieść do przepisów art. 4 pkt 17 i art projektu rozporządzenia ogólnego, które właśnie dotyczą BCR. W tym kontekście budzi wątpliwość przewidziana w projekcie noweli u.o.d.o. konieczność każdorazowego zatwierdzania przez GIODO wiążących reguł, także wówczas gdy już ich zatwierdzenia dokonał organ w innym państwie w oparciu o jedną z dwóch w/w procedur. Zgodnie z art. 42 ust.3 projektu rozporządzenia ogólnego operacje przekazywania danych na podstawie wiążących reguł korporacyjnych nie wymagają dodatkowego zezwolenia. Tymczasem polski organ ds. ochrony danych ma powtarzać postępowanie w sprawie zatwierdzenia BCR, nawet gdy instrument został już zatwierdzony przez inny organ. W dodatku Generalnemu Inspektorowi pozostawia się uznanie ( może ) w kwestii uznania takiego odrębnego zatwierdzenia, a nawet samego zastosowania procedury kooperacji, podczas gdy takie uznanie nie jest przewidziane w projekcie rozporządzenia ogólnego. Ponadto, co bardzo istotne, w projekcie zmian w u.o.d.o. nie skorzystano z propozycji zawartej w art. 43 ust.2 projektu rozporządzenia, w którym określono obowiązkowe składniki wiążących reguł korporacyjnych. Taka regulacja ułatwia ich ustanawianie przez podmioty z grupy oraz zatwierdzanie przez właściwy organ ds. ochrony danych osobowych. Dlatego też właściwe wydaje się ponowne przeanalizowanie treści przepisów dotyczących przekazywania danych osobowych do państw trzecich w kierunku wyznaczonym projektem rozporządzenia ogólnego. IV.9 Drugą grupę postulatów stanowią zmiany, które wymagają odrębnej inicjatywy ustawodawczej, a zatem ich wprowadzenia powinno być rozważane w dłuższej perspektywie czasowej. 13

14 IV.10 W projekcie rozporządzenia szczególną uwagę zwraca się na kodeksy postępowania (art. 38), biorąc pod uwagę ich cele i sposób przyjmowania. Należy zwrócić uwagę, polska ustawa nie zawiera w tym względzie obecnie żadnych regulacji, w tym będących odpowiednikiem art. 27 dyrektywy 95/46/WE regulującego to zagadnienie (zob. J.Barta, P.Fajgielski, R.Markiewicz, Ochrona danych osobowych. Komentarz, str. 145). W tym kontekście pewne wątpliwości budzi kompetencja GIODO do zawierania porozumień ze stosownymi podmiotami (najczęściej zrzeszającymi przedsiębiorców) wprowadzających kodeksy postępowania, co od wiele lat ma miejsce w naszym kraju (np. Kodeks Dobrych Praktyk Stowarzyszenia Marketingu Bezpośredniego w zakresie ochrony danych osobowych, stanowiącego załącznik do porozumienia zawartego w dniu 28 stycznia 2008 r. między Generalnym Inspektorem oraz Stowarzyszenie Marketingu Bezpośredniego). Niejasna pozostaje nie tylko podstawa prawna podpisywania przez organ porozumień przewidujących kodeksy postępowania, ale również ich konsekwencje prawne. Dlatego też za zasadne uważam wprowadzenie do ustawy o ochronie danych osobowych przepisów dotyczących kodeksów postępowania, w tym określających cel ich wdrażania zgodny z dyrektywą 95/46/WE ( usprawnienie procesu prawidłowego wprowadzania krajowych przepisów ( ), uwzględniając szczególne cechy różnych sektorów ), cele szczegółowe wymienione w art. 38 projektu rozporządzenia ogólnego oraz sposób przyjmowania, uwzględniający obowiązek zasięgania opinii osób, których dane dotyczą lub reprezentantów tych osób. IV.11 Rozważenia wymagają również zmiany dotyczące statusu i obowiązków przetwarzającego. Należy zwrócić uwagę na lakoniczność obecnej regulacji art. 31 u.o.d.o., nawet w stosunku do dyrektywy 95/46/WE. Polski ustawodawca nie zdecydował się nawet na zdefiniowanie przetwarzającego (co ma miejsce w art. 2 lit e dyrektywy 95/46/WE), a w ustawie brakuje nazwy oznaczającej ten podmiot. Dlatego w języku prawniczym posługujemy się tłumaczeniem użytego w dyrektywie zwrotu processor. W dotyczącym powierzenia art. 17 ust.2-4 dyrektywy 95/46/WE określa się jego niezbędne elementy: - przetwarzanie danych osobowych następuje na podstawie umowy lub aktu prawnego, - przetwarzający podlega administratorowi i działa wyłącznie na jego polecenie administratora, - na przetwarzającym spoczywają obowiązki zabezpieczenia danych osobowych. W polskiej ustawie jedynym elementem zwierzchnictwa administratora danych i działania przetwarzającego w interesie administratora jest ustawowy warunek przetwarzania powierzonych wyłącznie w zakresie i celu określonych w pisemnej umowie zawartej między nimi (art. 31 ust.2 u.o.d.o.). Natomiast nie przewiduje się, aby powierzenie mogło nastąpić na 14

15 podstawie aktu powszechnie obowiązującego, co przyczynia się do znacznych problemów w ustalaniu w sektorze publicznym statusu podmiotów biorących udział w przetwarzaniu danych (administrator czy przetwarzający?). W projekcie rozporządzenia ogólnego problematyka przetwarzającego została uregulowana w art. 26, zaś jego definicja znajduje się w art. 4 pkt 6. Pożądane zmiany w prawie krajowym, zgodne z dyrektywą 95/46/WE oraz projektem rozporządzenia, mogą dotyczyć wprowadzenia w u.o.d.o. definicji przetwarzającego, warunków dopuszczalności podpowierzenia przetwarzania danych osobowych, wymogów współdziałania administratora i przetwarzającego oraz przesłanki zmiany statusu przetwarzającego w administratora danych, jak również uszczegółowienia zasad zwierzchnictwa administratora nad czynnościami przetwarzającego. IV.12 Zmiany w ustawy o powinny także objąć modyfikację art. 39a u.o.d.o. w zakresie delegacji do wydania rozporządzenia dotyczącego środków technicznego i organizacyjnego zabezpieczenia danych osobowych, co omówiłem już w pkt IV.4 ekspertyzy. Właściwe wydaje się również wprowadzenie w ogólnej zasadzie zabezpieczenia danych osobowych zawartej w art. 36 ust.1 u.o.d.o. elementu zarządzania bezpieczeństwem danych osobowych jako podstawy wdrażania środków zabezpieczających dane. IV.13 Zasadnym pozostaje również podjęcie, w oparciu o regulacje projektu rozporządzenia ogólnego, dyskusji na temat systemu sankcji za naruszenie obowiązków określonych w przepisach o ochronie danych osobowych. Obecnie polska ustawa przewiduje sankcje karne, które określone zostały w przepisach art a u.o.d.o. Natomiast środki administracyjne przysługujące GIODO, wbrew potocznej opinii, nie służą, w przypadku stwierdzenie przez niego naruszenia przepisów prawa, nakładaniu kar za działanie lub zaniechanie administratora danych (przetwarzającego), ale wyłącznie przywróceniu stanu zgodnego z prawem (poprzez wydanie nakazu administracyjnego) oraz egzekucji tego nakazu według przepisów ustawy o postępowaniu egzekucyjnym w administracji. Takie rozwiązanie obowiązujące w polskiej ustawie spotyka się z krytyka, ze strony adresatów obowiązków za nadmierną represyjność przepisów, a ze strony GIODO za nieefektywność prawnokarnej ochrony. Tymczasem w projekcie rozporządzenia ogólnego obligatoryjnie wprowadza się mechanizm administracyjnych sankcji finansowych (kar pieniężnych) nakładanych przez krajowy organ ds. ochrony danych osobowych, przewidując jednocześnie zasady w tym względzie, w szczególności przesłanki miarkowania kary (art. 79). 15

16 Dlatego też, pomimo rozbieżności co treści przepisu art. 79 w poszczególnych wersjach projektu, rekomenduję rozpoczęcie dyskusji na temat uchylenia przepisów karnych w u.o.d.o. i zastąpienia ich sankcją nakładania kar pieniężnych przez GIODO (w drodze decyzji administracyjnej) za naruszenie podstawowych, stypizowanych obowiązków wraz z przejęciem z projektu rozporządzenia przesłanek miarkowania tychże kar. Dr Grzegorz Sibiga 16