Warszawa, 6 kwietnia 2012 r.



Podobne dokumenty
Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

RODO A DANE BIOMETRYCZNE

Szanowni Państwo, Z poważaniem. Dyrektor

PARLAMENT EUROPEJSKI Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Przemysłu, Badań Naukowych i Energii

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Ochrona wrażliwych danych osobowych

Trybunał Sprawiedliwości orzekł, że dyrektywa w sprawie zatrzymywania danych jest nieważna

Przetwarzanie danych osobowych do celów zapobiegania przestępstwom ***I

ECDL RODO Sylabus - wersja 1.0

Zasada niezbędności i proporcjonalności przetwarzania danych osobowych w przypadku organów ścigania. Jędrzej Niklas Fundacja Panoptykon

Niepełnosprawność: szczególna kategoria danych osobowych

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

***I PROJEKT SPRAWOZDANIA

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

DOKUMENT ROBOCZY. PL Zjednoczona w różnorodności PL

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

... WNIOSEK O ZWOLNIENIE Z OBOWIĄZKU OPŁACANIA SKŁADKI CZŁONKOWSKIEJ

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Warszawa, 12 marca 2012 r.

WNIOSEK W SPRAWIE PRZYZNANIA POMOCY MATERIALNEJ

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

OCHRONA DANYCH OD A DO Z

... WNIOSEK O ZWOLNIENIE Z OBOWIĄZKU OPŁACANIA SKŁADKI CZŁONKOWSKIEJ

Wniosek DECYZJA PARLAMENTU EUROPEJSKIEGO I RADY

RADA UNII EUROPEJSKIEJ. Bruksela, 13 czerwca 2012 r. (OR. en) 10449/12. Międzyinstytucjonalny numer referencyjny: 2011/0431 (APP) LIMITE

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

przyjęta 12 marca 2019 r. Tekst przyjęty 1

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

13885/16 IT/alb DGG 2B. Rada Unii Europejskiej Bruksela, 24 listopada 2016 r. (OR. en) 13885/16

Ustawa wdrażająca RODO- uwaga na zmiany obowiązujących przepisów

WNIOSEK W SPRAWIE PRZYZNANIA POMOCY MATERIALNEJ

Związki zawodowe a ochrona danych osobowych. D r M a r c i n W u j c z y k

PROJEKT STANOWISKA RP

II Lubelski Konwent Informatyków i Administracji r.

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

RODO - wybrane informacje ogólne

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

APEL Nr 6/15/P-VII PREZYDIUM NACZELNEJ RADY LEKARSKIEJ z dnia 18 września 2015 r.

ZAŁĄCZNIK SPROSTOWANIE

PARLAMENT EUROPEJSKI Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bezpieczne przetwarzanie danych wrażliwych

Dziennik Urzędowy Unii Europejskiej L 112 I. Legislacja. Akty o charakterze nieustawodawczym. Rocznik kwietnia 2019.

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

EUROPEJSKI INSPEKTOR OCHRONY DANYCH

Stanowisko Fundacji Panoptykon 1 w sprawie projektu ustawy Ordynacji Podatkowej 2

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Ryzyko nadmiernego przetwarzania danych osobowych

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Zbiór danych osobowych Skargi, wnioski, podania

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

przyjęta 4 grudnia 2018 r. Tekst przyjęty

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

rodo. ochrona danych osobowych.

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

OPINIA KRAJOWEJ RADY SĄDOWNICTWA z dnia 27 listopada 2017 r.

PRAWA PODMIOTÓW DANYCH - PROCEDURA

I. Podstawowe Definicje

Opinia 9/2018. w sprawie projektu wykazu sporządzonego przez właściwy francuski organ nadzorczy. dotyczącego

Wniosek DECYZJA RADY

Opinia 12/2018. dotyczącego. rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust.

POLITYKA OCHRONY DANYCH OSOBOWYCH

PL Zjednoczona w różnorodności PL. Poprawka. Martina Dlabajová w imieniu grupy ALDE

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

PODSTAWA PRAWNA ZWYKŁEJ PROCEDURY USTAWODAWCZEJ. Podstawa prawna Przedmiot Elementy procedury 1. w ogólnym interesie gospodarczym

Opinia 3/2018. w sprawie projektu wykazu sporządzonego przez właściwy bułgarski organ nadzorczy. dotyczącego

Opinia 4/2018. w sprawie projektu wykazu sporządzonego przez właściwy czeski organ nadzorczy. dotyczącego

DECYZJE. (Tekst mający znaczenie dla EOG)

DECYZJA. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

Zgoda wnioskodawcy na przetwarzanie danych osobowych, w tym danych szczególnych kategorii

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Warszawa, 15 kwietnia 2016 r. Pan Michał Czerniawski Departament Społeczeństwa Informacyjnego Ministerstwo Cyfryzacji

Szkolenie. Ochrona danych osobowych

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

PRAWO DO PRYWATNOŚCI I OCHRONA DANYCH OSOBOWYCH PODSTAWOWE ZASADY. Szkolenie dla sekcji sądownictwa międzynarodowego Kliniki Prawa UW 14 XI 2009 r.

A8-0251/ POPRAWKI Poprawki złożyła Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Klauzula informacyjna o przetwarzaniu danych osobowych

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Rada Unii Europejskiej Bruksela, 18 czerwca 2015 r. (OR. en)

Na podstawie art. 148cc ust. 1 regulaminu Sejmu, Komisja do Spraw Unii Europejskiej wnosi projekt uchwały:

Opinia Fundacji Panoptykon 1 w sprawie projektu ustawy 2 dotyczącej dostępu uprawnionych podmiotów do danych telekomunikacyjnych

Przetwarzanie danych osobowych w przedsiębiorstwie

UZASADNIONA OPINIA PARLAMENTU NARODOWEGO W SPRAWIE POMOCNICZOŚCI

Umowa powierzenia przetwarzania danych osobowych do Umowy... zawarta w dniu... w..., pomiędzy:

Warszawa, 4 maja 2018 r.

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

System bezpłatnego wsparcia dla NGO

Opinia 5/2018. w sprawie projektu wykazu sporządzonego przez właściwe niemieckie organy nadzorcze. dotyczącego

Transkrypt:

Warszawa, 6 kwietnia 2012 r. Uwagi Fundacji PANOPTYKON do projektu dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych W odpowiedzi na zaproszenie Ministerstwa Spraw Wewnętrznych do zgłaszania uwag do projektu dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych (dalej: projekt dyrektywy) przedstawiamy nasze wstępne stanowisko. Niniejszy dokument stanowi rozwinięcie i uzupełnienie kierunkowych uwag do projekty dyrektywy, które przekazaliśmy Państwu drogą mailową 21 marca 2012 roku. astrzegamy jednoczes nie, z e ze względu na relatywnie kro tki czas konsultacji nasza analiza nie jest wyczerpująca. Mamy nadzieję, z e okazja do zgłoszenia pogłębionych uwag pojawi się jeszcze na dalszych etapach pracy nad tym projektem. 1. Zakres zastosowania Bardzo poważne wątpliwości wzbudza ograniczony zakres zastosowania zasad ochrony danych osobowych wyrażonych w projekcie dyrektywy. godnie z art. 2, dyrektywa nie ma mieć zastosowania do przetwarzania danych osobowych w ramach działalności wykraczającej poza zakres prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego. Wydaje się, że to wyłączenie stwarza bardzo szeroką możliwość omijania zasad ochrony danych osobowych przez organy egzekwowania prawa. Wyznaczenie granicy między walką ze "zwykłą" przestępczością a zapobieganiem zagrożeniom istotnym z perspektywy bezpieczeństwa narodowego może być w konkretnych przypadkach bardzo trudne. Zachowanie tego generalnego wyłączenia może też utrudnić organom ochrony danych realizację ich uprawnień nadzorczych, a obywatelom realizację ich praw podmiotowych. Naszym zdaniem konieczne jest sprecyzowanie, jakich dokładnie sytuacji dotyczy to i inne omawiane niżej wyłączenia, które pojawiają się w projekcie dyrektywy.

2. Zasady dotyczące przetwarzania danych osobowych wracamy uwagę na bardzo ogólne sformułowanie zasad ochrony danych w projekcie dyrektywy, który wciąż pozostawia bardzo duży margines interpretacji poszczególnym państwom członkowskim. Sformułowania zaproponowane w art. 4 nie rozstrzygają podstawowych dylematów, z jakimi muszą się mierzyć przedstawiciele organów egzekwowania prawa w swoich działaniach. W szczególności projekt nie rozstrzyga, czy dopuszczalne jest rutynowe pobieranie i przetwarzanie danych osobowych wszystkich obywateli lub danej kategorii obywateli w celach prewencyjnych (np. w ramach systemów takich jak PNR lub SWIFT). Projekt nie odnosi się do niektórych z katalogu podstawowych zasad ochrony danych, takich jak przejrzystość i prawidłowość danych. Artykuł 4 w obecnym kształcie nie zawiera również propozycji jasnego uregulowania zasad wykorzystywania na potrzeby bezpieczeństwa publicznego danych zbieranych (pierwotnie) w celach komercyjnych (np. w ramach istniejących systemów PNR czy reżimu obowiązkowej retencji danych telekomunikacyjnych). Autorzy projektu podjęli próbę uregulowania tej materii w pierwszym projekcie dyrektywy (art. 4 ust. 2), jednak te przepisy zostały wykreślone z wersji aktualnie poddawanej konsultacjom. wracamy również uwagę na problem ograniczenia zakresu stosowania zasad ochrony danych osobowych ze względu na poddanie danych procesowi anonimizacji. godnie z aktualną treścią art. 4, dane powinny być przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane. Tym samym, ograniczenie czasu przechowywania danych nie ma mieć zastosowania do danych, które zostały poddane anonimizacji. ałożenie, że dane osobowe można w sposób skuteczny i nieodwracalny poddać anonimizacji budzi poważne wątpliwości wśród inżynierów rozwijających praktyczne technologie ochrony danych. Przy dzisiejszym rozwoju technologicznym, trudno jest jednoznacznie ocenić, czy dokonano skutecznej anonimizacji. Proces taki powinien doprowadzić do tego, że przetwarzane przez administratora informacje nie będą pozwalać na identyfikację osoby. W naszej ocenie przechowywane w formie umożliwiającej identyfikację podmiotów danych nie powinno w sposób automatyczny wyłączać danych spod reżimu ochronnego, szczególnie dopóki warunki, jakie powinna spełniać skuteczna anonimizacja nie zostaną jasno sprecyzowane. 3. Przetwarzanie szczególnych kategorii danych osobowych Nasze wątpliwości wzbudza szeroki zakres wyłączeń przewidziany w art. 8, dotyczącym przetwarzania szczególnych kategorii danych osobowych. Co do zasady projekt dyrektywy zabrania przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, wierzenia religijne lub przekonania filozoficzne, przynależność do związków zawodowych, oraz przetwarzania danych genetycznych lub danych dotyczących zdrowia i życia seksualnego. To ograniczenie nie ma mieć jednak zastosowania, gdy na przetwarzanie szczególnych kategorii danych osobowych zezwala prawo przewidujące odpowiednie gwarancje lub jest ono niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby lub przetwarzanie dotyczy danych, które zostały wyraźnie podane do publicznej wiadomości przez ich podmiot. 2

W naszej opinii są to bardzo szerokie wyłączenia, otwarte na różne interpretacje i praktyki stosowania. Konieczne jest zatem bardziej szczegółowe zdefiniowanie, jakich przypadków dotyczą wspomniane wyjątki od ogólnego zakazu przetwarzania szczególnych kategorii danych. W obecnym kształcie dyrektywy, wyłączenia te mają zbyt ogólny charakter i mogą prowadzić do poważnych problemów interpretacyjnych. 4. Środki oparte na profilowaniu i automatycznym przetwarzaniu Bardzo pozytywnie oceniamy próbę uregulowania praktyk profilowania i przyjęcie zasady, że osoba może być poddana profilowaniu tylko w ściśle określonych, przewidzianych prawem sytuacjach. Treść art. 9, który reguluje tę problematykę, może budzić jednak poważne wątpliwości interpretacyjne. Nie jest dla nas jasne, jak może być interpretowane podstawowe kryterium uznania danej czynności za profilowanie, a mianowicie wymóg wywoływania niekorzystnych skutków prawnych dla podmiotu danych, lub wywierania istotnego wpływu na daną osobę. W naszej opinii jest to kryterium zbyt wąskie i może prowadzić do sytuacji, gdy przyjęty jako zasada zakaz stosowania środków opartych na profilowaniu i automatycznym przetwarzaniu będzie ograniczany w sposób nieuzasadniony. Nasze wątpliwości budzi również zakres wyłączeń od ogólnego zakazu profilowania, a mianowicie przyjęcie, że zakaz ten nie stosuje się, jeśli profilowanie zostanie dopuszczone prawem, które przewiduje również gwarancje słusznych interesów podmiotu danych. W naszej opinii jest to sformułowanie zbyt ogólne i nie gwarantuje odpowiedniego poziomu ochrony praw podmiotu danych. Profilowanie powinno być dopuszczalne jedynie w oparciu o ścisły test niezbędności i proporcjonalności, czyli wykazanie, że jest ono w danej sytuacji konieczne i nie narusza żywotnych interesów osoby, której dotyczy. 5. Zakres obowiązku informacyjnego i ograniczenia prawa do dostępu do informacji o przetwarzaniu danych Bardzo pozytywnie przyjęliśmy próbę zagwarantowania praw podmiotów danych wobec organów wymiaru sprawiedliwości i egzekwowania prawa, w tym prawa do dostępu do informacji na temat przetwarzanych danych. Nasze wątpliwości budzi jednak przewidziany zakres wyłączeń oraz nieprecyzyjne określenie zasad, które wyznaczają zakres prawa podmiotu danych oraz skorelowanego z nim obowiązku administratora danych. W szczególności art. 11 dopuszcza odstępstwa od obowiązku informowania, o ile stanowią one konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych interesów danej osoby. Jak pokazuje chociażby europejska debata na temat obowiązkowej retencji danych, test konieczności i proporcjonalności jest podatny na różne interpretacje w zależności od kultury prawnej i aktualnego kontekstu politycznego. Na podstawie tak ogólnej zasady nie sposób zagwarantować podobnych standardów ochrony praw podmiotów danych w Unii Europejskiej. Opóźnienie, ograniczenie lub wyłączenie informowania jest możliwe m.in. w celu ochrony bezpieczeństwa publicznego lub bezpieczeństwa narodowego wątpliwości w tym przypadku wzbudza zarówno trudność z rozgraniczeniem tych kategorii, jak również możliwość szerokiego ich interpretowania. Także pojęcia utrudnianie (lit. a) i negatywny wpływ (lit. b) nie są 3

wystarczająco ostre, co stwarzają dodatkowe pole do nadużyć. Analogiczne wątpliwości wzbudza treść art. 13, który przewiduje możliwość ograniczenia (w całości lub części) prawa dostępu podmiotu do danych, o ile stanowi ono konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych interesów danej osoby. Podobnie jak w przypadku art. 11, mamy zastrzeżenia dotyczące sformułowań zawartych w ust. 1 lit. a-d. W zakresie dostępu do przetwarzanych danych warto w naszej opinii rozważyć rozszerzenie zakresu informacji udzielanych podmiotowi danych o informacje, które mają być zbierane na podstawie art. 24 projektu dyrektywy (ewidencja), w szczególności o cel, w jakim konkretne osoby uzyskiwały wgląd do danych. Pozwoli to podmiotowi danych na pełniejszą ocenę, czy dotyczące go informacje są przetwarzane zgodnie z prawem. 6. Przetwarzania danych przez współadministratorów Zgodnie z art. 20, w przypadku gdy administrator określa cele, warunki i środki przetwarzania danych osobowych wspólnie z innymi administratorami współadministratorzy muszą ustalić zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z niniejszej dyrektywy spoczywającej na każdym z nich, w szczególności w odniesieniu do procedur i mechanizmów wykonywania praw podmiotu danych w drodze wspólnych uzgodnień. Obawiamy się, że wprowadzenie takiego rozwiązania może w praktyce prowadzić do obniżenia standardu ochrony danych osobowych przewidzianego w dyrektywie w drodze umowy między współadministratorami. W naszej opinii każdy administrator powinien być zobowiązany do zachowania pewnych minimalnych standardów. 7. Zasady ochrony danych w przypadku transferu do państw trzecich Rozdział V określa ogólne zasady przekazywania danych do państw trzecich lub organizacji międzynarodowych w obszarze współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, w tym wtórnego przekazywania. godnie z podstawową zasadą wyrażoną w art. 33, przekazywanie do państw trzecich może mieć miejsce jedynie wtedy, gdy jest to niezbędne do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i w celu wykonywania kar kryminalnych oraz gdy administrator i podmiot przetwarzający spełniają określone warunki, w szczególności gdy zapewniony jest odpowiedni poziom ochrony danych osobowych. Jednocześnie, kolejne artykuły rozdziału V, w szczególności art. 35 ust. 1 pkt b oraz art. 36 wprowadzają bardzo szerokie odstępstwa od tej ogólnej zasady, które mogą doprowadzić do systemowych nadużyć i faktycznego omijania wciąż bardzo ogólnych podstawowych zasad ochrony danych w sytuacji transferu do państw trzecich wyrażonych w art. 33. 8. Uprawnienia Komisji Europejskiej do wydawania aktów delegowanych i wykonawczych Artykuł projektu dyrektywy potwierdza uprawnienie omisji Europejskiej do wydawania akto w o charakterze nieustawodawczym o powszechnym zakresie stosowania, kto re uzupełniają lub zmieniają niekto re, inne niz zasadnicze, elementy aktu ustawodawczego. Wydaje się, że te kompetencje omisji powinny zostac szczego łowo zrewidowane i ograniczone do 4

sytuacji, w kto rych jednostronna decyzja tego organu nie będzie w stanie wpłynąc negatywnie na poziom ochrony danych osobowych zagwarantowany w projekcie dyrektywy. W wielu przypadkach są to kwestie zbyt waz ne i zbyt s cis le związane ze sferą praw i wolnos ci obywatelskich, aby mogły byc pozostawione w gestii samej omisji Europejskiej. os wiadczenie pokazuje, z e formalna procedura sprawdzająca realizowana przez Parlament Europejski, nie jest w stanie zniwelowac tych zagroz en. W imieniu Fundacji PANOPTYKON Katarzyna Szymielewicz Prezes arządu Małgorzata Szumańska Członkini arządu 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres