Miesięcznik informatyków i menedżerów IT sektora publicznego

Maciej Gawroński

Nadchodzi nowa ustawa o ochronie danych osobowych

Projekt nowej ustawy o ochronie danych osobowych został złożony przez rząd RP w Sejmie 5 kwietnia 2018 r. (druk sejmowy nr 2410). Jest więc prawdopodobne, że uodo wejdzie w życie przed 25 maja 2018 r. będącym dniem rozpoczęcia stosowania rodo lub niedługo po tej dacie.

Rys. A. Sobierajski

Rolą projektowanej ustawy o ochronie danych osobowych (uodo) jest uzupełnienie w niewielkim stopniu ogólnego rozporządzenia UE o ochronie danych (rodo), wyłączenie niektórych uregulowań rodo w dopuszczonych ramach oraz dostosowanie prawa do zmiany organu ochrony danych z Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Pamiętać należy, że uodo nie jest wdrożeniem rodo, które obowiązuje bezpośrednio. Nowa uodo pełni względem rodo raczej funkcję zbliżoną do tej, którą względem ustawy pełni rozporządzenie wykonawcze.

Problemem pozostaje odsyłaczowy sposób redakcji projektu. Duża liczba odniesień i odniesień do odniesień nie ułatwia zrozumienia, o co w przepisach chodzi. Niełatwo jest ocenić, czy biorąc pod uwagę czas, skomplikowany temat oraz samą trudność systemową rodo, dałoby się napisać te przepisy prościej. Na pewno obrazuje to ogólny problem, jakim jest wdrożenie rodo po stronie instytucji obowiązanych, zarówno w sektorze publicznym, jak i prywatnym. Nowa uodo wprowadza interesujące rozwiązania prawne z punktu widzenia administracji publicznej i tzw. rynku.

Ograniczenie informowania

Zgodnie z art. 3, 4 i 5 ust. 1 projektu uodo podmiot realizujący zadania publiczne ma nie mieć obowiązku informowania osób o zmianie celu przetwarzania i o pozyskaniu danych ani odpowiadania na zapytanie, czy i jakie dane przetwarza, jeżeli jest to niezbędne do realizacji celu publicznego, lub też niewykonanie obowiązku informacyjnego (z art. 13 ust. 3 i z art. 14 ust. 4 rodo) jest niezbędne do realizacji ważnych celów publicznych i gdyby podanie tych informacji znacząco utrudniło wykonanie zadania publicznego lub naruszyło ochronę informacji niejawnych.

Jak się wydaje, żadna z przesłanek powołanych do zastosowania przepisu nie odpowiada przykładowi wskazanemu w uzasadnieniu oraz są one względem siebie nadmiarowe. Ustawodawca raczej dmucha na zimne. Pisać, że nie należy ujawniać informacji poufnych, gdyby ich ujawnienie naruszyło ich ochronę, zapewne nie byłoby trzeba. Podobnie, z uwagi na zasadę legalizmu obowiązującą w sektorze publicznym, zmiana celu przetwarzania danych osobowych w bazie PESEL – podana jako przykład potrzeby wyłączenia obowiązku informacyjnego – odbyłaby się zapewne w drodze zmiany lub uchwalenia ustawy, a zatem byłaby to zmiana prawa jako taka niewymagająca spełniania obowiązku informacyjnego. W intencji i w odczuciu administracji propozycja ograniczenia obowiązków informacyjnych zdejmuje z administracji czysto administracyjny ciężar wysyłania potężnej liczby komunikatów w razie rozwoju lub zmian usług i baz publicznych.

Urealnienie prawa dostępu do danych i do kopii danych

Zgodnie z art. 5 ust. 2 projektu uodo, jeżeli udostępnienie danych lub wydanie ich kopii „wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator wykonujący zadanie publiczne wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych”. Podzielenie się z zainteresowanym częścią wysiłku związanego z wyszukaniem jego danych jest rozwiązaniem funkcjonalnie słusznym i sprowadzającym rodo nieco na ziemię (z kosmosu). Przydałoby się ono również w sektorze prywatnym, aby ograniczyć koszty związane z koniecznością prowadzenia tzw. ślepych wyszukań. Wyłączenie to opiera się zapewne na art. 23 ust. 1 pkt e rodo, stąd nie byłoby przeszkód, żeby rozciągnąć je na sektor prywatny.

Propozycja zawarta w art. 5 ust. 2 projektu uodo paradoksalnie służy przywróceniu prywatności. Rygorystyczne wymaganie realizacji prawa dostępu do danych i prawa do kopii danych będzie skutkować zwiększeniem wiedzy organizacji o danych osobowych przez te instytucje przetwarzanych. Obecne ograniczenia związane z zasilosowaniem powinny zostać przełamane w celu powiązania ze sobą informacji o osobach zawartych w różnych bazach danych, liniach biznesowych, usługach publicznych, silosach organizacyjnych w tej samej organizacji – tak aby łącznie wydać te wszystkie dane osobie, która o nie zawnioskuje.

[...]

Autor jest radcą prawnym, partnerem zarządzającym w kancelarii Gawroński & Partners, redaktorem naukowym i współautorem książki „RODO. Przewodnik ze wzorami”, rekomendowanym przez krajowe i międzynarodowe rankingi ekspertem prawa Technologii, Mediów i Telekomunikacji, konsultantem Grupy Roboczej art. 29, ekspertem Komisji Europejskiej ds. Kontraktów Cloud Computingowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej