Rozmowa z radcą prawnym Robertem Prętkim z kancelarii Sołtysiński Kawecki Szlęzak

Krzysztof Sobczak: Najnowsza wersja projektu ustawy o ochronie danych osobowych, którym w przyszły wtorek ma się zająć rząd, umożliwi przekazywanie danych między podmiotami realizującymi zadania publiczne bez naszej wiedzy, w najszerszym możliwym zakresie, jaki wynika z RODO. Jest o uzasadnione?
Robert Prętki: Mam co do tego watpliwości. Sięgnięcie przez polskiego ustawodawcę do możliwości wprowadzania wyjątków na podstawie art. 23 RODO (art. 4-7 aktualnego projektu ustawy) nie powinno naruszać istoty podstawowych praw i wolności oraz być w społeczeństwie demokratycznym środkiem niezbędnym i proporcjonalnym, służącym wyłącznie kwalifikowanym celom określonym w RODO. Tymczasem projektowana regulacja nie spełnia wymogów z art. 23 RODO, a ponadto blankietowo, zbyt automatycznie oraz przy powołaniu się na zbyt niedookreślone kryteria, wyłącza stosowanie kluczowych przepisów RODO. Jest to niewłaściwe, nieuzasadnione i, jak się wydaje, zupełnie niepotrzebne. Lepszym pomysłem niż wyłączanie przepisów RODO, byłoby wprowadzenie konkretnych instrumentów, które ułatwiałyby podmiotom z sektora publicznego jego realizację.

Według tego projektu, jeżeli podmiot publiczny zbierze dane w jakimś celu, np. w postępowaniu podatkowym, to będzie je mógł przekazać innemu podmiotowi publicznemu, np. ZUS bez naszej wiedzy nawet, jeżeli ten inny podmiot będzie chciał je przetwarzać w innym celu niż pierwotny. To będzie zgodne z RODO?
Należy zauważyć, że z preambuły RODO wynika, że nawet jeżeli przetwarzanie danych osobowych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, to nadal każdej osobie, której dane dotyczą, powinno przysługiwać prawo sprzeciwu wobec przetwarzania danych dotyczących jej szczególnej sytuacji. To administrator, w tym podmiot publiczny, odpowiada za wykazanie, że określone ważne prawnie uzasadnione interesy administratora mają nadrzędny charakter wobec interesów lub podstawowych praw i wolności osoby. Ponadto RODO stanowi, że nie są uznawane za odbiorców danych organy publiczne, które otrzymują dane osobowe w zakresie niezbędnym i w ramach konkretnego postępowania, a więc nie po prostu ze względu na całe potencjalne spektrum swojej działalności. Jednocześnie przetwarzanie danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do konkretnych celów przetwarzania.



Jak daleko może sięgać swoboda organów publicznych w przetwarzaniu danych obywateli?
Powinna być ograniczona. Swoboda w przekazywaniu informacji pomiędzy organami państwowymi – w ściślej: nie tylko pomiędzy nimi, lecz wszelkimi administratorami wykonującymi zadanie publiczne, co jest kategorią jeszcze szerszą – w połączeniu z brakiem informowania o takim przekazaniu, po pierwsze umożliwia niekontrolowane kumulowanie danych (mega-rejestry), po drugie utrudnia kontrolę nad przepływem i przetwarzaniem danych w sektorze publicznym, a po trzecie stoi wręcz w opozycji do koncepcji skonkretyzowanych rejestrów państwowych, których podstawa prowadzenia jest ściśle określona.
Ostatnia wersja projektu nakłada wprawdzie na administratora wykonującego zadania publiczne obowiązek analizy w szczególności, czy mamy do czynienia z niezbędnością rezygnacji ze stosowania przepisów RODO oraz z brakiem możliwości lub trudnościami prawidłowego wykonania zadania publicznego, a także obowiązek badania nadrzędności interesu wynikającego z realizacji tego zadania publicznego, jednakże można się zastanawiać, czy rzeczywiście w każdym przypadku będzie to przeprowadzane rzetelnie, nie zaś zupełnie automatycznie.

Da się to jakoś kontrolować?

Nie ma żadnych instrumentów nakazujących ten proces analityczny odpowiednio dokumentować. Istnieje uzasadniona obawa, że to co ma pełnić rolę swoistego, wyjątkowego „wentylu bezpieczeństwa” będzie w istocie rzeczy powszechnie i automatycznie stosowaną podstawą wyłączenia kluczowych postanowień RODO. Narusza to również samą ideę budowania zaufania do organów państwowych, bowiem należy wziąć pod uwagę, że Kowalski o takim przekazaniu nawet się nie dowie i nie będzie miał możliwości mu przeciwdziałać. W konsekwencji projektową regulację uznać należy w tym zakresie za zbyt ogólną i zbyt daleko idącą.