RZECZNIK PRAW OBYWATELSKICH. W dniu 30 października 2018 r. do Sejmu RP skierowany został rządowy projekt

Podobne dokumenty
Art. 1. [Zakres przedmiotowy]

OPINIA KRAJOWEJ RADY SĄDOWNICTWA. z dnia 13 grudnia 2016 r. w przedmiocie poselskiego projektu ustawy Przepisy wprowadzające

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

R Z E C Z N I K P R A W O B Y W A T E L S K I C H

- o zmianie ustawy o Rzeczniku Praw Dziecka oraz niektórych innych ustaw (druk nr 2266).

W Biurze Rzecznika Praw Obywatelskich zostały przeanalizowane obowiązujące. przepisy normujące zasady porozumiewania się podejrzanego i oskarżonego

Pan Donald Tusk Prezes Rady Ministrów Kancelaria Prezesa Rady Ministrów Al. Ujazdowskie 1/ Warszawa

SĄDY I TRYBUNAŁY (Roz. VIII) (władza sądownicza) Sędziowie. Krajowa Rada Sądownictwa

- o zmianie ustawy - Kodeks postępowania karnego.

OPINIA KRAJOWEJ RADY SĄDOWNICTWA z dnia 27 listopada 2017 r.

Ośrodek Badań, Studiów i Legislacji. Krajowej Rady Radców Prawnych. Warszawa, dnia 18 czerwca 2018 r.

Druk nr 580 Warszawa, 12 maja 2006 r.

Sądy i Trybunały są władzą odrębną i niezależną od innych władz. [ ]

Pan Michał Boni Minister Administracji i Cyfryzacji WARSZAWA

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

Ustawa o komornikach sądowych i egzekucji

- o zmianie ustawy o Policji, ustawy o Straży Granicznej oraz ustawy o Służbie Więziennej.

Dlaczego poprawki do projektu ustawy o Sądzie Najwyższym niczego nie zmieniają?

przyjęta 12 marca 2019 r. Tekst przyjęty 1

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

o rządowym projekcie ustawy o zmianie ustawy Prawo o ustroju sądów wojskowych oraz niektórych innych ustaw (druk nr 3236)

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1, a także mając na uwadze, co następuje:

Druk nr 1226 Warszawa, 22 października 2008 r.

Do druku nr 162. Warszawa, 7 stycznia 2016 r. BAS-W APEiM-15/16. Pan Marek Kuchemski

Biuro Prawne Warszawa, dnia 1 lipca 2011 r. Centralne Biuro Antykorupcyjne

Warszawa, 4 maja 2018 r.

Irena LIPOWICZ. Pani Krystyna Szumilas Minister Edukacji Narodowej

W nawiązaniu do pisma z 25 sierpnia 2009 r., Nr RPO I/09/MK, dotyczącego dostosowania przepisów rozporządzenia Ministra Sprawiedliwości z

WŁADZA SĄDOWNICZA. PRAWO KONSTYTUCYJNE SEMESTR LETNI 2014/2015 mgr Anna Kuchciak

USTAWA z dnia 10 maja 1996 r.

OPINIA KRAJOWEJ RADY SĄDOWNICTWA z dnia 11 marca 2010 r.

Oświadczenia majątkowe sędziów. materiały pomocnicze dla zespołu Członków KRS

RPO: uwagi do poselskiego projektu ustawy o Sądzie Najwyższym (komunikat)

J(CU. Pan Jacek Cichocki Szef Kancelarii Prezesa Rady Ministrów. Kancelaria Prezesa Rady Ministrów

Warszawa, 21/01/2019 Adam Bodnar

- o zmianie ustawy o Trybunale Stanu (druk nr 2213).

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1, a także mając na uwadze, co następuje:

Amerykański program PRISM odpowiedzi na wnioski o informację publiczną

Sz. P. Leszek Świętochowski Prezes Agencji Nieruchomości Rolnych ul. Inflancka Warszawa. Szanowny Panie Prezesie

USTAWA z dnia 2007 r. o zmianie ustawy Prawo o ustroju sądów powszechnych oraz niektórych innych ustaw

;1?.-Q.,.r:f4-Q_Lk.J-{_ l

Warszawa, 11/03/2019 Adam Bodnar

Pan. Zwracam się do Pana Ministra w sprawie sytuacji osób niepełnosprawnych, na których

Przekazuję przyjęte przez Radę Ministrów stanowisko wobec poselskiego projektu ustawy:

Zastępca Szefa. Kancelarii Sejmu RP

Ogólnie - trybunały, władza sądownicza i prokuratura

Druk nr 4254 Warszawa, 25 maja 2011 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 25 czerwca 2010 r. DOLiS /10

USTAWA z dnia o zmianie niektórych ustaw w celu poprawy spójności terminologicznej systemu prawnego 1)

WŁADZA SĄDOWNICZA W RZECZYPOSPOLITEJ POLSKIEJ Organizacja wymiaru sprawiedliwości

Warszawa, dnia 16 sierpnia 2016 r. Poz z dnia 28 lipca 2016 r.

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Na podstawie art. 148cc ust. 1 regulaminu Sejmu, Komisja do Spraw Unii Europejskiej wnosi projekt uchwały:

Druk nr 3236 Warszawa, 6 lipca 2010 r.

OPINIA KRAJOWEJ RADY SĄDOWNICTWA. z dnia 7 marca 2017 r.

PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH

SEMESTR LETNI 2018/2019 mgr Anna Kuchciak

V)v(jjl(X Hai/u'sK/i!

Administrator danych w resorcie obrony narodowej

Jednostka. Przepis Proponowane zmiany i ich uzasadnienie Decyzja projektodawcy. Lp. zgłaszająca. ogólne

Opinia Fundacji Panoptykon 1 w sprawie projektu ustawy 2 dotyczącej dostępu uprawnionych podmiotów do danych telekomunikacyjnych

Warsz:awa, Aleje Ujazdowskie 41lok. 2 tellfax: , ;33 NIP:

Opinia do ustawy o zmianie ustawy Kodeks postępowania administracyjnego oraz ustawy Ordynacja podatkowa (druk nr 1288)

Do druku nr 154 S E JJ M

w Madrycie W dniu 26 września 2018r. do Sądu Okręgowego w Rzeszowie wpłynęły pytania wykonującego ENA organu sądowego Hiszpanii.

USTAWA. z dnia 17 czerwca 2004 r.

UCHWAŁA Nr 216/2012 KRAJOWEJ RADY SĄDOWNICTWA. z dnia 19 lipca 2012 r.

USTAWA z dnia 17 czerwca 2004 r.

- o zmianie ustawy - Prawo zamówień publicznych oraz ustawy - Przepisy wprowadzające ustawę o finansach publicznych.

MINISTER ROZWOJU I FINANSÓW

Do Rzecznika Praw Obywatelskich wpłynęła skarga dotycząca dostępu do. sprywatyzowane stacje pilotów morskich uniemożliwiają kandydatom na pilotów

Pan Marek Kuchciński Marszałek Sejmu ul. Wiejska 4/6/ Warszawa

Sykuna Barczewski Partnerzy Kancelaria Adwokacka. kontakt: Alert prawny

Druk nr 2915 Warszawa, 31 marca 2010 r.

Do druku nr 77. ~.-L CrJ.?hl11 J?t;n:t fo' """ o f~<. ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw (druk sejmowy nr 77).

_. Do druku nr 115 SEJM. Warszawa, 15 grudnia 2015 r. BAS-W APEiM TRYB B. PILNY. Pan Marek Kuchciński

Spis treści Autorzy Wykaz skrótów Wykaz literatury

Materiał porównawczy. do ustawy z dnia 1 kwietnia 2011 r. o Krajowej Radzie Sądownictwa. (druk nr 1169)

Warszawa, dnia 9 sierpnia 2012 r. PIERWSZY PREZES SĄDU NAJWYŻSZEGO RZECZYPOSPOLITEJ POLSKIEJ BSA III /12

Informacja o przetwarzaniu danych osobowych Radca prawny

Zakres rozszerzony - moduł 35 Obywatel wobec prawa. Janusz Korzeniowski

Opinia 3/2018. w sprawie projektu wykazu sporządzonego przez właściwy bułgarski organ nadzorczy. dotyczącego

Opinia do ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw. (druk nr 672)

Warszawa, dn. 3 listopada 2017 r. Pan Mariusz Kamiński Członek Rady Ministrów Koordynator Służb Specjalnych

USTAWA z dnia 27 lipca 2001 r. o Krajowej Radzie Sądownictwa

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

P R AWO KO N S T Y T U C Y J N E. SEMESTR LETNI 2018/2019 mgr Anna Kuchciak

o zmianie ustawy Kodeks postępowania cywilnego.

Co zaproponował Polski rząd?

Czy do znamion przestępstwa znieważenia funkcjonariusza publicznego (art k.k.) należy publiczność działania sprawcy?

Administrator Bezpieczeństwa Informacji ( aktualny stan prawny oraz propozycje przyszłych rozwiązań )

Opinia o ustawie o Urzędzie Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych (druk nr 1112)

Opinia do ustawy o ewidencji ludności (druk nr 960)

USTAWA O OCHRONIE DANYCH OSOBOWYCH PROJEKT

Pan. Zwracam się do Pana Ministra w sprawie pominięcia lekarzy geriatrów w wykazie lekarzy

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

zatrudniać pracowników. Praca społeczna oznacza, że członkowie stowarzyszenia nie

Wyroku Trybunału Konstytucyjnego dot. uprawnień emerytalnych funkcjonariuszy Służby Celnej

SENAT RZECZYPOSPOLITEJ POLSKIEJ VIII KADENCJA. Warszawa, dnia 12 listopada 2013 r. Druk nr 492

Transkrypt:

RZECZNIK PRAW OBYWATELSKICH Warszawa, A dam B odnar VII.501.315.2014.AG Pan Marek Kuchciński M arszałek Sejmu RP CC jtcmololam \CM/ue HcWS'ZoJlu* i W dniu 30 października 2018 r. do Sejmu RP skierowany został rządowy projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (druk nr 2989). Rzecznik Praw Obywatelskich na etapie prac legislacyjnych poprzedzających skierowanie projektu do Sejmu RP przedstawiał swoje uwagi1, jednak nie wszystkie one zostały uwzględnione, a ponadto projekt ostatecznie uległ takim zmianom, które wiążą się z koniecznością przedstawienia kolejnych istotnych wątpliwości związanych z poziomem przestrzegania praw i wolności człowieka i obywatela. W ostatnich dwóch latach Rzecznik Praw Obywatelskich kilkakrotnie apelował do Ministra Spraw Wewnętrznych i Administracji o jak najszybsze przedstawienie projektu, który miał być podstawą do dyskusji na temat wdrożenia dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ram ow ą Rady 2008/977/W SiSW Pismo RPO o nr VII.501.315.2014.AG z 26 kwietnia 2018 r. Biuro Rzecznika Praw Obywatelskich al. Solidarności 77 00-090 Warszawa Tel. centr. (+48 22)55 17 700 Infolinia obywatelska 800 676 676 biurorzecznika(a;brpo.gov.pl www.rpo.gov.pl

(Dz. Urz. UE L z 4.5.2016 r., s. 89; dalej jako: dyrektywa 2016/680). Rzecznik podkreślał w szczególności, jak ogromne znaczenie ma pozostawienie wystarczająco długiego terminu na konsultacje i uzgodnienia zaproponowanych przepisów w związku z samą treścią postanowień dyrektywy 2016/680 i jej znaczeniem dla ochrony praw i wolności człowieka. Należy zatem przypomnieć, że dyrektywa 2016/680 przyjęta została 27 kwietnia 2016 r., weszła w życie 5 maja 2016 r., a zatem projektodawca miał praktycznie dwa lata na przygotowanie projektu. Tymczasem, w trakcie prac nad projektem, zainteresowanym podmiotom wyznaczono zaledwie kilka dni na przedstawienie uwag, których później już nie poddano żadnej szerszej dyskusji z udziałem zainteresowanych. W związku ze skierowaniem projektu do Sejmu RP Rzecznik przedstawia następujące zasadnicze uwagi, które dotyczą spraw fundamentalnych z punktu widzenia praw jednostki i nie mogą być traktowane jako wyczerpujące zastrzeżenia i wątpliwości, które można podnieść pod adresem tego projektu i sposobu procedowania nad nim 1. Zakres stosowania ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości Konsekwentnie Rzecznik Praw Obywatelskich stoi na stanowisku, że nie może być pozytywnie oceniona propozycja zawarta w art. 3 pkt 2 projektu ustawy, polegająca na wyłączeniu z zakresu jej stosowania danych osobowych przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego. W uzasadnieniu do projektu ustawy wskazano, że poza zakresem dyrektywy znajdują się zarówno poszczególne czynności z zakresu bezpieczeństwa narodowego (wykonywane przez dowolne podmioty, którym przepisy powierzają takie zadania), jak wszystkie czynności agencji lub jednostek zajmujących się bezpieczeństwem narodowym. W tym drugim przypadku wyłączenie ma charakter de facto podmiotowy, gdyż dotyczy wszystkich czynności podmiotów, które zajmują się bezpieczeństwem narodowym. Zdaniem projektodawcy, wszystkie obszary działalności ABW, AW, SKW,

SWW oraz CBA ^mieszczą się w zakresie pojęcia bezpieczeństwa narodowego, stanowiąc jego składowe. Tym samym przewidziano podmiotowe wyłączenie ww. służb z zakresu stosowania ustawy. Rzecznik Praw Obywatelskich konsekwentnie (czemu dawał wyraz na etapie prac rządowych) nie zgadza się z tym stanowiskiem. Nie wszystkie bowiem zadania ustawowe realizowane przez wymienione służby mieszczą się w zakresie pojęcia bezpieczeństwo narodowe, co uzasadniałoby wyłączenie dopuszczone na mocy art. 2 ust. 3 pkt a dyrektywy 2016/680. Trzeba pamiętać, że z punktu widzenia prawa Unii Europejskiej pojęcie bezpieczeństwo narodowe nie może być utożsamiane z pojęciem bezpieczeństwa wewnętrznego, o czym świadczą przepisy samego Traktatu o Unii Europejskiej (TUE) i Traktatu o funkcjonowaniu Unii Europejskiej (TFUE; por. art. 4 ust. 2 TUE i art. 73 TFUE odnoszący się do bezpieczeństwa narodowego oraz chociażby art. 71 TFUE i art. 73 TFUE dotyczące bezpieczeństwa wewnętrznego ). Również - przykładowo - zwalczanie terroryzmu nie jest uznawane w UE za domenę w yłączoną z zakresu prawa UE, o czym świadczy chociażby art. 83 ust. 1 TFUE. Dyrektywa 2016/680 zezwala na pozostawienie poza zakresem jej stosowania czynności agencji lub jednostek zajmujących się bezpieczeństwem narodowym, a w ogóle bezpieczeństwem (por. też motyw 14 preambuły do dyrektywy 2016/680). Analogiczne stanowisko w opinii do projektu ustawy przedstawił Minister Spraw Zagranicznych (opinia z 5 października 2018 r.), który poinformował też o negatywnej ocenie takiego rozwiązania dokonanej przez Komisję Europejską. 2. Wyłączenie stosowania ustawy do danych osobowych znajdujących się w aktach spraw lub urządzeniach ewidencyjnych (art. 3 pkt 1 projektu ustawy) Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub m ają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów, jak i ich strony tytułowe, które nie są uporządkowane według określonych kryteriów, nie powinny wchodzić w zakres stosowania dyrektywy (por. motyw 18 do preambuły dyrektywy). W tym kontekście, jak również w kontekście definicji zawartej w art. 4 pkt 19 projektu

ustawy, wątpliwości budzi wyłączenie zawarte w art. 3 pkt 1 projektu ustawy, zgodnie z którym ustawy nie stosuje się do ochrony danych osobowych znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych, w tym tworzonych i przetwarzanych z wykorzystaniem technik informatycznych, prowadzonych w oparciu o przepisy wymienionych tam ustaw. Takie wyłączenie budzi wątpliwość, nie tylko w świetle definicji zbioru danych, ale również interpretacji tego pojęcia dokonywanej w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej (por. wyrok C-25/17 z 10 lipca 2018 r., EU:C:2018:551), na co zwraca uwagę również Ministerstwo Spraw Zagranicznych. W opinii dołączonej do druku MSZ słusznie wskazuje, że nawet niezależnie od wskazanego wyżej wyroku, do uznania, że akta sprawy mieszczą się w pojęciu zbioru danych wystarczy, że dane osobowe zawarte w tych aktach są uporządkowane, czy to według numeru sprawy, czy też rodzaju sprawy, czy chronologicznie. Dodatkowo, przepisy dyrektywy 2016/680 powinny mieć zastosowanie do danych przetwarzanych choćby częściowo w sposób automatyczny, niezależnie od tego, czy dane osobowe stanowią lub m ają stanowić część zbioru (por. art. 2 ust. 2 dyrektywy 2016/680). W ocenie Rzecznika Praw Obywatelskich wyłączenie zaproponowane w projekcie ustawy godzi w cel dyrektywy, określony w jej art. 1. W przypadku uchwalenia ustawy w tym kształcie, poza jej zakresem znajdzie się większość danych osobowych przetwarzanych w toku m.in. postępowania karnego oraz innych postępowań regulowanych wymienionymi w przepisie ustawami. 3. Nadzór nad przetwarzaniem danych osobowych w sądach i prokuraturze W art. 1 pkt 3 projektu ustawy stanowi się, że ustawa określa sposób prowadzenia nadzoru nad ochroną danych osobowych przetwarzanych przez właściwe organy w celach, o których mowa w pkt 1, z wyłączeniem danych osobowych przetwarzanych przez prokuraturę i sądy. Zgodnie z art. 45 ust. 2 dyrektywy 2016/680 państwa członkowskie UE są zobowiązane zapewnić, by żaden organ nadzorczy nie był właściwy do nadzorowania operacji przetwarzania dokonywanych przez sądy w toku sprawowania przez nie wymiaru sprawiedliwości. Państwa członkowskie mogą postanowić, że organ nadzorczy nie jest właściwy do nadzorowania operacji przetwarzania dokonywanych przez inne niezależne

organy wymiaru sprawiedliwości w ramach sprawowania przez nie wymiaru sprawiedliwości. Przepis ten wyjaśniony został dodatkowo w motywie 80 preambuły do dyrektywy, z którego wynika, że intencją prawodawcy unijnego było wyłączenie sądów spod zakresu kompetencji organu nadzorczego w odniesieniu do czynności związanych ze sprawowaniem wymiaru sprawiedliwości, zaś państwo członkowskie może również zdecydować, czy takim wyłączeniem będą objęte inne niezależne organy wymiaru sprawiedliwości. Jednak w każdym przypadku należy w prow adzić inny system niezależnej kontroli, zgodny z art. 8 ust. 3 K arty Praw Podstawowych UE. Ustawa w przepisach zmieniających próbuje zaprojektować taki system nadzoru. Przewidziano bowiem zmiany w następujących ustawach: 1) o Trybunale Stanu (art. 56 ustawy) - gdzie nadzór ma sprawować Krajowa Rada Sądownictwa; 2) Prawo o ustroju sądów wojskowych (art. 67) - gdzie nadzór ma sprawować: - w zakresie działalności wojskowego sądu garnizonowego - prezes wojskowego sądu okręgowego, - w zakresie działalności wojskowego sądu okręgowego - Krajowa Rada Sądownictwa; 3) Prawo o ustroju sądów powszechnych (art. 71) - gdzie nadzór ma sprawować: - w zakresie działalności sądu rejonowego - prezes sądu okręgowego, - w zakresie działalności sądu okręgowego - prezes sądu apelacyjnego, - w zakresie działalności sądu apelacyjnego - Krajowa Rada Sądownictwa; 4) Prawo o ustroju sądów administracyjnych (art. 75) - gdzie nadzór ma sprawować: - w odniesieniu do danych przetwarzanych przez wojewódzkie sądy administracyjne - Prezes Naczelnego Sądu Administracyjnego, - w odniesieniu do danych przetwarzanych przez NSA - Krajowa Rada Sądownictwa; 5) Prawo o prokuraturze (art. 87), gdzie nadzór ma sprawować: - w odniesieniu do prokuratury rejonowej - prokurator okręgowy, - w odniesieniu do prokuratury okręgowej - prokurator regionalny, - w odniesieniu do prokuratury regionalnej i Prokuratury Krajowej - Prokurator Krajowy;

6) ustawa o organizacji i trybie postępowania przed Trybunałem Konstytucyjnym (art. 90) - nadzór sprawować ma Krajowa Rada Sądownictwa; 7) ustawa o Sądzie Najwyższym (art. 93) - nadzór sprawować ma Krajowa Rada Sądownictwa. Uprawnienia organów sprawujących nadzór określać ma zasadniczo (w większości wymienionych wyżej przypadków, poza Prawem o prokuraturze) dodawany art. 175 dd 3 Prawa o ustroju sądów powszechnych, który przewiduje m.in. nakazywanie administratorowi dostarczenia wszelkich informacji potrzebnych do realizacji zadań tego organu, czy też uzyskiwania od administratora dostępu do danych osobowych i informacji niezbędnych do realizacji zadań. To oznacza, że - w zależności od sytuacji - albo Krajowa Rada Sądownictwa albo prezesi sądów (czy odpowiedni prokuratorzy) będą mogli zażądać dostępu do wszelkich danych osobowych w prowadzonych postępowaniach w związku z realizacją zadań wynikających z konieczności ochrony danych osobowych. Warto przypomnieć w tym miejscu, że niezależność organu ochrony danych osobowych w świetle orzecznictwa TSU E musi być rozpatrywana na kilku płaszczyznach: - niezależności instytucjonalnej - czyli braku podległości wobec innych organów w zakresie realizacji swoich kompetencji, - niezależności personalnej - czyli dotycząca powoływania, kadencyjności i odwoływania piastuna organu wyłącznie w przypadkach przewidzianych prawem, - niezależności funkcjonalnej - czyli niepodlegania kontroli innych instytucji w kontekście realizacji swoich kompetencji, - niezależności materialnej - gwarancji posiadania właściwych funduszy i zasobów kadrowych i organizacyjnych, umożliwiających sprawne wykonywanie zadań. W ocenie Rzecznika Praw Obywatelskich takie rozwiązania prawne są wysoce wątpliwe, bowiem ani Krajowa Rada Sądownictwa ani prezesi sądów w chwili obecnej nie mogą być uznani za organy niezależne zdolne do prowadzenia nadzoru w sposób wypełniający wymogi wynikające z art. 8 ust. 3 Karty Praw Podstawowych UE. Na temat aktualnych rozwiązań w zakresie sposobu powoływania Krajowej Rady Sądownictwa 2 Zob. na ten temat orzeczenia przywoływane w związku z oceną niezależności Prezesa Urzędu Ochrony Danych Osobowych w: A. Grzelak, M. Wróblewski, Przed komentarzem do art. 34, w: M. Gumularz, P. Kozik, K. Kozieł (red.), Ustawa o ochronie danych osobowych. Przepisy wdrażające Rozporządzenie Parlamentu Europejskiego i Rady (UE) 12016/679 (RODO). Komentarz, wyd. I, Warszawa 2018, s. 219.

oraz prezesów sądów powszechnych Rzecznik Praw Obywatelskich wypowiadał się wielokrotnie3. Konsekwentnie uznać zatem należy, że w chwili obecnej - w obecnym kształcie ustaw regulujących funkcjonowanie KRS i powoływanie prezesów sądów - organy te nie mogą być uznane za spełniające przesłankę niezależności w żadnym z powyższych wymiarów. Osobne wątpliwości budzi sama treść art. 175dd 3 ustawy - Prawo o ustroju sądów powszechnych, regulującego uprawnienia organów nadzorujących przetwarzanie danych osobowych w sądach (zob. też dodawane/zmieniane: art. 20f ust. 2 ustawy o Trybunale Stanu, art. 6c 2 ustawy - Prawo o ustroju sądów wojskowych, art. 12b 3 ustawy - Prawo o ustroju sądów administracyjnych, art. 35b 2 ustawy o organizacji i trybie postępowania przed Trybunałem Konstytucyjnym, art. 97a 2 ustawy o Sądzie Najwyższym). Przepis ten wymienia uprawnienia organów, których nie można uznać za wystarczająco skuteczne dla osoby, której prawa zostaną naruszone działalnością sądu (czy też prokuratury - por. art. 87 projektu ustawy). Należy zwrócić uwagę, że dyrektywa 2016/680 ustanawia pewien określony standard ochrony danych osobowych, realizując cele wynikające m.in. z art. 16 TFUE i art. 8 Karty Praw Podstawowych UE. Poziom praw gwarantowanych jednostkom w przypadku ich naruszenia przez sądy i inne podmioty (publiczne), realizujące cele wynikające z dyrektywy, nie może być tak dalece rozbieżny. Należy przy tym zauważyć, że art. 45 ust. 2 dyrektywy 2016/680 zezwala na odstąpienie, by Prezes Urzędu sprawował nadzór nad operacjami przetwarzania dokonywanymi przez organy wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości, jednak żaden przepis nie wyłącza konieczności wdrożenia m. in. przepisów rozdziału VIII dyrektywy w odniesieniu do działalności sądów czy prokuratury i dowolnego ich uregulowania. Zgodnie z motywem 15 preambuły do dyrektywy 2016/680, państwa członkowskie UE mogą ustanawiać gwarancje wyższe od przewidzianych w unijnej dyrektywie, ale w żadnym miejscu dyrektywa ta nie pozwala na ustanowienie standardów niższych, a tak jest w przypadku uregulowania zasad sprawowania nadzoru nad przetwarzaniem danych osobowych w sądach i prokuraturze. 3 Zob. chociażby opinię skierowaną do marszałka Senatu z 11 grudnia 2017 r., pismo nr VII.510.2.2017.AJK albo pismo skierowane do Prezydenta RP z 26 lipca 2017 r. VII.510.2.2017/AJK/AG/MW, dostępne na stronie https://www.rpo.gov.pl

W związku ze zrozumiałą koniecznością szerszego niż w systemie ogólnym ograniczenia praw podmiotu danych i wprowadzeniem możliwości opóźnienia, ograniczenia lub pominięcia obowiązku informacyjnego (art. 13 ust. 3 dyrektywy), praw dostępowych (art. 15 ust. 3 dyrektywy) oraz prawa do sprostowania czy usunięcia danych osobowych (art. 16 ust. 4), prawodawca unijny w art. 17 dyrektywy nałożył na państwa członkowskie UE obowiązek zapewnienia, że osoba, której dane dotyczą będzie mogła wykonywać swoje prawa także za pośrednictwem właściwego organu nadzorczego. W ocenie projektodawcy (tabela zgodności), ten przepis dyrektywy wdrożony ma być w art. 29 w związku z art. 50 ust. 1 i 4 ustawy, czyli poprzez możliwość złożenia skargi do Prezesa Urzędu. Rzecznik Praw Obywatelskich nie może zgodzić się z taką propozycją. Przepis art. 17 dyrektywy 2016/680 ma wysoce gwarancyjny charakter, którego istota tkwi w możliwości dokonywania przez Prezesa Urzędu (lub organ właściwy dla sądów) niezależnej oceny zasadności przetwarzania danych przez podmioty objęte zakresem dyrektywy. W szczególności jasno wskazuje na to art. 17 ust. 3 dyrektywy 2016/680, który stanowi, że organ nadzorczy ma poinformować osobę przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów. Skarga, o której mowa w art. 50 ustawy, ma inny charakter - zgodnie z art. 50 ust. 1 przysługuje wówczas, gdy dane osobowe są przetwarzane niezgodnie z prawem. Tymczasem art. 17 dyrektywy 2016/680 dotyczy sytuacji, w której osoba w ogóle nie ma pewności, że jej dane (i jakie) są przetwarzane. W poprzednich wersjach projektu - na etapie prac rządowych - przewidywano stosowną regulację (zob. art. 29 projektu w wersji z 25 maja 2018 r.4), z której teraz - z nieznanych przyczyn - zrezygnowano. W ocenie Rzecznika Praw Obywatelskich w ten sposób jeden z najistotniejszych przepisów dyrektywy 2016/680 nie znajdzie swojego odzwierciedlenia w polskim systemie prawnym. 4 http://legislacja.rcl.gov.pl/docs//2/12310605/12502714/12502715/dokument343349.pdf

5. Zmiana w ustawie o ochronie informacji niejawnych W art. 84 projektu ustawy przewiduje się nowelizację ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r., poz. 412 ze zm.; dalej jako: uoin). Zmiana polega na dodaniu w art. 1 uoin wyraźnego przepisu, że regulacji o ochronie danych osobowych nie stosuje się do danych osobowych stanowiących informacje niejawne. Do takich danych osobowych stosuje się przepisy ustawy o ochronie informacji niejawnych. Jako Rzecznik Praw Obywatelskich zmianę tę oceniam negatywnie. Z punktu widzenia zakresu rodo oraz dyrektywy 2016/680, a przede wszystkim przepisów Konstytucji RP, tak szerokie wyłączenie stosowania wszelkich przepisów o ochronie danych osobowych w odniesieniu do informacji niejawnych budzi zastrzeżenia. O ile można twierdzić, że zakres regulowany ustawą o ochronie informacji niejawnych nie mieści się w zakresie prawa UE (por. art. 2 ust. 2 lit. a rodo oraz art. 2 ust. 3 lit. a dyrektywy 2016/680), to uoin nie zawiera wszelkich niezbędnych regulacji w zakresie ochrony danych osobowych stanowiących informacje niejawne. W dotychczasowym stanie prawnym, w art. 43 ust. 1 ustawy z 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.; dalej jako: uodo z 1997 r.), przewidywano wyłącznie, że administratorzy danych zawierających informacje niejawne są zwolnieni z obowiązku rejestracji zbioru danych. Uodo z 1997 r. nie przewidywała jednak zwolnienia z zupełnego stosowania jakichkolwiek przepisów o ochronie danych osobowych. W ocenie Rzecznika Praw Obywatelskich obowiązujące przepisy uoin nie są wystarczające dla zapewnienia realizacji wymogów w ynikających z art. 51 ust. 1 Konstytucji RP. 6. Brak spójności z przepisami rodo - przykład przepisów dotyczących inspektora ochrony danych W przedstawionym projekcie wiele rozwiązań nie jest spójnych z tymi, które wynikają z rodo oraz ustawy z 10 maja 2018 r. o ochronie danych osobowych. Pragnę w tym miejscu zwrócić uwagę Pana Marszałka na kwestię wyznaczania inspektora ochrony danych jako przykład takiego niespójnego rozwiązania, które może rzutować na sytuację osób pełniących tę funkcję i zatrudnionych na tym stanowisku.

Zgodnie z art. 46 ust. 1 przedstawionego projektu ustawy, administrator wyznacza inspektora ochrony danych. Przepis ten budzi wątpliwości, bowiem - po pierwsze - nie przewiduje żadnych wyjątków od tego obowiązku. Tymczasem w art. 32 ust. 1 dyrektywy 2016/680 przewidziano, że państwa członkowskie mogą zwolnić z tego obowiązku sądy i inne niezawisłe organy sądowe w ramach sprawowania przez te organy wymiaru sprawiedliwości. Pragnę zwrócić uwagę, że ustawa wyłącza nadzór Prezesa Urzędu nad sposobem przetwarzania danych przez sądy i prokuraturę (art. 1 pkt 3 projektu ustawy), wyłącza również stosowanie jej do danych osobowych znajdujących się w aktach, ale nie wyłącza całkowicie stosowania całej ustawy wobec sądów i prokuratury. To oznacza, że sąd będzie miały obowiązek wyznaczenia inspektora ochrony danych również w ramach sprawowania przez te organy wymiaru sprawiedliwości. Jest to rozwiązanie niespójne z art. 37 ust. 1 lit. a rodo (nb. przepis ten nie dotyczy prokuratury). Po drugie, w art. 46 ust. 2 lit. a projektu ustawy wprowadza się wymóg, by inspektorem ochrony danych była wyłącznie osoba, która ukończyła studia wyższe. Takie rozwiązanie nie jest wymagane przez przepisy dyrektywy 2016/680, a dodatkowo jest niespójne z przepisami rodo (por. art. 37 rodo). Trzeba przy tym pamiętać, że podmioty objęte zakresem projektu ustawy mają również obowiązek wyznaczenia inspektora ochrony danych wynikający z art. 37 rodo oraz art. 8 i 9 ustawy z 10 maja 2018 r., którego obowiązki związane będą za realizacją zadań pozostających w zakresie stosowania rodo. Może zatem dojść do sytuacji, w której już pracujący IOD nie będzie spełniał kryteriów z ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości i wówczas administrator albo będzie musiał powołać drugiego IOD do realizacji zadań wynikających z opiniowanej ustawy albo też zwolnić zatrudnionego IOD i w jego miejsce powołać inną osobę. To tylko ukazuje brak spójności proponowanych rozwiązań. Dodatkowo należy rozważyć w tym kontekście celowość i zasadność art. 99 projektu ustawy, skoro w tych instytucjach, które są objęte zakresem projektu ustawy działają już IOD powołani dla potrzeb wynikających z rodo, o ile nie jest intencją prawodawcy, by instytucje te miały obowiązek wyznaczenia po dwóch IOD (jeden dla potrzeb realizacji zadań wynikających z rodo, drugi - dla potrzeb opiniowanej ustawy). Również inne regulacje dotyczące działalności IOD budzą niepokój. Przykładowo, projekt ustawy w art. 47 nie przewiduje, by IOD miał obowiązki związane z realizacją

zadań punktu kontaktowego wobec podmiotu danych, przy czym w art. 22 ust. 1 projektu ustawy wprowadza się wymóg podania danych kontaktowych IOD. Dyrektywa 2016/680 wprost również nie stanowi o takim zadaniu IOD, jednak, skoro istnieje ono na gruncie rodo (art. 38 ust. 4 rodo), to polski ustawodawca powinien rozważyć uzupełnienie listy zadań IOD w art. 47 projektu ustawy również o zadanie związane z realizacją praw podmiotu danych. Ponadto, projekt ustawy przewiduje nałożenie na IOD obowiązku sporządzenia raz do roku, do końca I. kwartału, sprawozdania z wykonania zadań z zakresu ochrony i sposobu przetwarzania danych osobowych. Taki wymóg nie wynika z dyrektywy 2016/680. Z uzasadnienia do projektu ustawy wynika tymczasem wprost, że sprawozdanie ma służyć rozliczeniu działalności inspektora, co wydaje się być nieporozumieniem, bowiem inspektorzy muszą wykonywać swoje zadania w sposób niezależny i nie m ogą podlegać żadnym naciskom ze strony administratora (por. motyw 63 preambuły do dyrektywy 2016/680 oraz motyw 97 preambuły rodo). Powyższe podane przykłady braku spójności rozwiązań pokazują, że na etapie prac rządowych nie dokonano prawidłowej analizy wszystkich problemów, jakie wiążą się z implementacją dyrektywy 2016/680 i koniecznością zapewnienia spójności rozwiązań między projektowaną ustawą a przepisami rodo. W związku z powyższym, działając na podstawie art. 16 ust. 1 ustawy z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich (Dz. U. z 2017 r. poz. 958 ze zm.), przedstawiam uprzejmie Panu Marszałkowi powyższe uwagi z prośbą o przekazanie ich właściwym organom Sejmu zajmującym się projektem ustawy zawartym w druku sejmowym nr 2989 oraz ich uwzględnienie w toku dalszych prac nad ustawą.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres