Data: 30 października 2017 | Autor: Konrad Czaplicki

Generalny Inspektor Ochrony Danych Osobowych przesłał do Ministerstwa Cyfryzacji swoje krytyczne stanowisko wobec bardzo wielu regulacji ujętych w projektach przedstawionych przez ministerstwo, aktach prawnych tj. ustawy o ochronie danych osobowych oraz ustawy przepisy wprowadzające ustawę o ochronie danych osobowych. GIODO zgłosił ponad 140 stron uwag. Tym bardziej cieszymy się, że duża część z nich pokrywa się lub jest zbieżna ze zgłoszonymi przez nas uwagami.

Poniżej zamieszczamy wybrane uwagi GIODO:

  1. Zastrzeżenia co do trybu wyboru Prezesa Urzędu oraz jego zastępców, co może powodować brak niezależności organu.
  2. Zbyt niski próg wieku (13 lat) dla skutecznego złożenia w formie elektronicznej oświadczenia przez dziecko w przedmiocie wyrażenia zgody na przetwarzanie jego danych osobowych
  3. Kolejnym problemem jest całkowite wyłączenie wobec organów publicznych w rozumieniu art. 5 § 2 pkt 3 Kpa stosowania administracyjnych kar pieniężnych. Co więcej, zgodnie z projektem Ministra Cyfryzacji, podmioty sektora publicznego w stosunku do których kary będą miały zastosowanie, są zagrożone sankcją czterystukrotnie niższą od przewidzianej w rozporządzeniu. Administracyjna kara pieniężna w wysokości do 100 tys. zł, przewidziana dla podmiotów publicznych, w sytuacji kiedy rozporządzenie przewiduje maksymalnie 20 mln euro, jest dosyć kontrowersyjna.
  4. Wiele uwag zgłoszonych do nowelizacji przepisów sektorowych, albowiem projektowane rozwiązania obniżają zdaniem GIODO poziom ochrony danych osobowych obywateli, który – zgodnie z rozporządzeniem – miał ulec wzmocnieniu. Sprzeciw Generalnego Inspektora budzą przede wszystkim przepisy ustawy dotyczące wyłączenia stosowania art. 5 rozporządzenia (zasady przetwarzania danych) do procesów przetwarzania danych osobowych, o których mowa w licznych ustawach zmienianych w projekcie.
  5. Poważne wątpliwości budzi również propozycja pozyskiwania przez pracodawcę innych danych osobowych niż wymienione w art. 221 1 i 2 Kodeksu za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. Pamiętać należy, iż zgoda na przetwarzanie danych musi  być dobrowolna, konkretna i świadoma. W stosunkach pracy trudno jednak mówić o dobrowolności, bowiem zatrudniony wykonuje obowiązki w warunkach podporządkowania pracodawcy. Sugeruje się zatem zawężenie możliwości pozyskiwania danych osobowych na podstawie zgody do sytuacji udostępniania ich z własnej inicjatywy pracownika (osoby ubiegającej się o zatrudnienie), a także na żądanie pracodawcy skierowane do pracownika, ale wyłącznie wtedy, gdy pozyskanie danych w szerszym zakresie jest niezbędne dla realizacji praw i obowiązków wynikających ze stosunku pracy.
  6. Zastrzeżenia GIODO budzą również projektowane przepisy dotyczące funkcjonowania banków, w tym żądanie od pracowników banków i kandydatów na pracowników informacji o karalności, a także wyłączenie sektora bankowego z określonego w art. 34 ogólnego rozporządzenia obowiązku informowania klientów o naruszeniach ochrony ich danych osobowych.
  7. Wątpliwości Generalnego Inspektora budzą także zaproponowane regulacje dotyczące jawności numeru PESEL oraz skala pozyskiwania  i wykorzystywania tej danej osobowej w kolejnych zbiorach czy rejestrach publicznych. Udostępnianie numeru PESEL może prowadzić do nadmiernej i nieproporcjonalnej ingerencji w prawa osób, których dane znajdują się w różnych zbiorach danych osobowych.
  8. W ocenie Generalnego Inspektora zasadnym jest utrzymanie w polskim systemie prawnym odpowiedzialności karnej za naruszenie przepisów o ochronie danych osobowych, analogicznych jakie są obecnie, z wyłączeniem obecnego art. 53 ustawy ODO (tj. obowiązek rejestracji zbioru danych albowiem będzie zniesiony przez rozporządzenie 2016/679).
  9. Zmiana kwalifikacji czynu polegającego na utrudnianiu lub uniemożliwianiu przeprowadzenia czynności kontrolnych, na przestępstwo, a nie – jak zaproponowano w art. 89 projektu – wykroczenia. Odpowiedzialność osoby za popełnienie wykroczenia jest dla niej o wiele mniej dolegliwa, niż ma to miejsce w przypadku przestępstwa. Istnieje zatem realne niebezpieczeństwo, iż w przypadku poważnych naruszeń zasad przetwarzania danych w danym podmiocie, dla osób zarządzających tym podmiotem bardziej opłacalne będzie ponieść konsekwencje wykroczenia polegającego na uniemożliwieniu czynności kontrolnych, aniżeli dopuścić do przeprowadzenia przez GIODO kontroli w tym podmiocie.
  10. Niedopuszczalne są również przedstawione przez Ministra Cyfryzacji propozycje okresu retencji danych osobowych przez podmiot uprawniony do ich przetwarzania. W większości ustaw, których zmianę zakłada projekt ustawy – Przepisy wprowadzające, okres przechowywania danych został ujęty w sposób lakoniczny i nieprecyzyjny, np. „termin ten ustala administrator mając na uwadze cele przetwarzania” lub mając na uwadze „przepisy odrębne dotyczące terminów”. Takie nieprecyzyjne określenie okresu przechowywania danych osobowych może prowadzić do przechowywania danych zbędnych do realizacji celu przez zbyt długi okres i tym samym prowadzić do naruszenia zasady ograniczenia przechowywania, określonej w art. 5 ust. 1 pkt e rozporządzenia 2016/679.
  11. Generalny Inspektor zwraca ponadto uwagę, że większość zmian polega jedynie na określaniu wprost w projektowanych przepisach statusu administratora poprzez wskazywanie podmiotu, który pełni rolę administratora w odniesieniu do konkretnych kategorii danych. Takie sztywne nadanie w ustawie statusu, nazwanie administratora, może rodzić w praktyce wątpliwości i spory co do kwestii jakiemu podmiotowi w konkretnej sytuacji należy przyznać ten status, np. w sytuacji rozbieżności w przepisach, w sytuacji zmiany kompetencji podmiotów, lub też tworzenia nowych organów lub podmiotów o podobnych kompetencjach. Nie jest zatem konieczne, na gruncie rozporządzenia 2016/679, wyraźne wskazanie/ sprecyzowanie administratora lecz wyznaczenie jakie cele i sposoby przetwarzania danych będzie on realizował.
  12. W art. 5 projektu ustawy rozważenia wymaga, czy rzeczywiście niezbędne jest żądanie (czyli pozyskiwanie na zasadzie obowiązku) od osoby ubiegającej się o zatrudnienie adresu do korespondencji oraz adresu poczty elektronicznej albo numeru telefonu (art. 221 §1 pkt 3 i 4 Kodeksu pracy). Jako że nie można narzucić osobie ubiegającej się o zatrudnienie posiadania poczty elektronicznej czy telefonu, sugeruje się połączenie pkt. 3 i 4 oraz zastąpienie ich ogólnym sformułowaniem „dane kontaktowe” – z zastrzeżeniem, iż decyzja, jakie będą to dane, należeć będzie do pracownika
  13. Zaproponowana w art. 222 § 1 Kodeksu pracy możliwość przetwarzania przez pracodawcę danych biometrycznych budzi duże zastrzeżenia. Generalny Inspektor stoi zatem na stanowisku, iż dopuszczalność przetwarzania danych biometrycznych pracowników powinna zostać uregulowana w sposób bardziej szczegółowy i ograniczona – biorąc pod uwagę wspomnianą wyżej zasadę minimalizacji danych – do specyficznych sytuacji, w których przetwarzanie danych biometrycznych może być uzasadnione kontrolą dostępu do określonych pomieszczeń czy informacji, w sytuacji gdy nie można takiego celu osiągnąć metodami mniej inwazyjnymi.
  14. Zachodzi jednocześnie potrzeba rozważenia, czy w przepisach nie powinna zostać uregulowana kwestia dopuszczalności albo zakazu stosowania innych form monitoringu, w tym rejestracji dźwięku czy monitorowania poczty elektronicznej. Dotychczas Generalny Inspektor stał na stanowisku, iż pracodawca – co do zasady – ma prawo kontrolować pracowników, ale musi przy tym uwzględniać gwarantowane im przepisami Konstytucji RP i Kodeksu cywilnego prawo do prywatności i poszanowania dóbr osobistych, do czego zobowiązuje go m.in. art. 11¹ Kodeksu pracy. Ponadto ma prawo kontrolować, co pracownicy robią w godzinach pracy, w tym – do czego wykorzystują udostępnione im narzędzia. Jednak w każdym przypadku, gdy pracodawca zdecyduje się na kontrolowanie pracowników, powinien poinformować pracownika o zakresie i celu prowadzonej kontroli. Informacja taka powinna zostać przekazana przed rozpoczęciem działań kontrolnych. Dopuszczalne jest także, by pracodawca w celu ochrony tajemnicy przedsiębiorstwa zabronił pracownikom korzystania z Internetu, poczty elektronicznej czy telefonu do celów innych niż służbowe i zastrzegł sobie prawo do kontrolowania również treści przesyłek czy rozmów. Wskazano przy tym, iż osoby te muszą mieć świadomość faktu prowadzenia czynności wideonadzoru, tablice informacyjne o monitoringu wizyjnym powinny być widoczne, syntetyczne, umieszczone w sposób trwały w niezbyt dużej odległości od nadzorowanych miejsc.
  15. Przede wszystkim wątpliwości wzbudza konkretne wskazywanie podmiotów, które pełnią rolę administratora, w ustawie o adwokaturze oraz radcach prawnych. Jak widać z przedłożonego projektu jest to podyktowane zakresem ustawowo uregulowanych kompetencji i wykonywanych zadań przez te podmioty, jednakże nasuwa się wątpliwość co do zidentyfikowania wszystkich celów przetwarzania danych odpowiadających kompetencjom i obowiązkom administratorów. Zwrócić należy uwagę projektodawcy na okoliczność, iż tak trzeba formułować przepisy by nie dopuścić do zaistnienia w przyszłości ewentualnych problemów z ustaleniem podmiotu odpowiedzialnego za przetwarzanie danych osobowych w konkretnej jednostkowej sytuacji, np. w toku konkretnego postępowania.
  16. W odniesieniu do art. 11 ustawy z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece, Generalny Inspektor Danych Osobowych ponownie wskazuje (co czynił również na etapie, gdy powstawały przepisy o elektronicznym dostępnie do ksiąg wieczystych), że zakres danych osobowych w projektowanym art. 25 ust. 4 oraz w art. 68² ust. 5¹, w tym udostępnianie numeru PESEL, może prowadzić do nadmiernej i nieproporcjonalnej ingerencji w prawa osób, których dane znajdują się w księgach wieczystych.

W celu zapoznania się z pełnym stanowiskiem GIODO do projektu ustawy o ochronie danych osobowych  kliknij tutaj

W celu zapoznania się z pełnym stanowiskiem GIODO do projektu ustawy wprowadzającej ustawę o ochronie danych osobowych kliknij tutaj