Czytaj: Rząd przyjął projekt nowej ustawy o ochronie danych>>
Uchwalenie nowych przepisów jest konieczne, gdyż za niespełna dwa miesiące zacznie być stosowane unijne rozporządzenie o ochronie danych osobowych (tzw. RODO). Mimo, że akt ten obowiązuje bezpośrednio, to jednak w wielu przypadkach jego przepisy odwołują się do regulacji wewnętrznych, pozwalając albo obligując państwa członkowskie do uregulowania określonych zagadnień.
Jednocześnie część przepisów krajowych, wprowadzanych w związku z RODO została objęta obowiązkiem notyfikacji Komisji Europejskiej (tzw. kontrola uprzednia), w tym także przed dnia rozpoczęcia stosowania RODO, a więc przed 25 maja br. I tak np. każde z państw członkowskich zostało zobowiązane do uregulowania w prawie krajowym kwestii ustrojowych związanych z funkcjonowaniem niezależnego organu nadzorczego, którym w Polsce ma być, powoływany przez Sejm za zgodą Senatu Prezes Urzędu Ochrony Danych Osobowych.
Nagła "wrzutka" do projektu
W projektowanych przepisach znalazły się jednak rozwiązania, których przyjęcie budzi uzasadnione wątpliwości, i które nie były w tym kształcie poddawane prowadzonym wcześniej, szerokim konsultacjom. Ministerstwo Cyfryzacji, mimo deklarowanej przejrzystości prac nad pakietem legislacyjnym związanym z reformą prawa ochrony danych osobowych dopiero w ostatecznej wersji projektu z 16 marca br. zaproponowało regulacje, które przewidują w tak szerokim zakresie, ograniczenie obowiązku informacyjnego – jednego z kluczowych obowiązków, ciążących na administratorach danych. Jednocześnie, wbrew temu co twierdzą niektórzy komentatorzy, nie jest to pomysł całkowicie nowy. Przypomnieć należy, że do tej pory zwolnienie z obowiązku informacyjnego w wybranych regulacjach sektorowych proponowano w projekcie przepisów wprowadzających ustawę o ochronie danych osobowych z 12 grudnia 2017 r. Wiele jednak wskazuje na to, że prace nad tym pakietem, dostosowującym krajowy porządek prawny do wymogów RODO nie zakończą się w terminie, pozwalającym na stosowanie tych przepisów od 25 maja br.
Preferencje dla administratorów publicznych
Przyjęty projekt ustawy o ochronie danych osobowych zakłada m.in. zwolnienie administratorów realizujących zadania publiczne (a więc nie tylko podmiotów publicznych) z konieczności przekazywania osobom, których dane dotyczą szeregu ważnych informacji w przypadku pośredniego pozyskiwania ich danych – tzn. z pominięciem samych osób zainteresowanych, a także pozbawienie ich możliwości korzystania z tzw. „prawa dostępu do danych”, o którym mowa w art. 15 RODO. Co prawda, w granicach swobody regulacyjnej państw członkowskich mieści się możliwość przyjęcia takich rozwiązań, jednak jedynie po spełnieniu przesłanek określonych w art. 23 RODO. Dodatkowe, w porównaniu z katalogiem wskazanym bezpośrednio w rozporządzeniu ogólnym ograniczenie obowiązku informacyjnego nie powinno naruszać podstawowych praw i wolności oraz musi być w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ważnym celom leżącym w interesie publicznym.
Obywatel pozbawiony prawa do informacji
Nawet pobieżna lektura projektowanego art. 5 oraz 6 ust. 1 nasuwa skojarzenie, że jego celem jest wprowadzenie generalnej klauzuli pozbawiającej obywateli prawa do informacji o tym na jakiej podstawie, w jaki sposób i w jakim zakresie instytucje publiczne przekazują sobie informacje, o każdym z nas. Nie dosyć, że podmioty realizujące zadania publiczne nie będą musiały informować o takich działaniach, to jeszcze w świetle projektowanych rozwiązań będą mogły odmówić odpowiedzi na te pytania.
Jednocześnie sama konstrukcja przepisu jest na tyle zawiła, że dodatkowo utrudni większości osób ocenę czy np. w danej sytuacji obowiązek informacyjny powinien być wobec nich realizowany lub czy mają prawo żądać np. od ZUSu czy Urzędu Skarbowego odpowiedzi na pytanie, w jaki sposób te podmiotu weszły w posiadanie danych osobowych, których sami zainteresowani wcale tym organom nie udostępniali. Jaką szansę mają osoby nie zajmujące się tematyką prawa ochrony danych osobowych na wykazanie, że np. ich „wolności są nadrzędne w stosunku do interesu wynikającego z realizacji zadania publicznego”, a co za tym idzie, że nie są pozbawione prawa do informacji dotyczących pozyskiwania ich danych osobowych?
Nie będzie kontroli uprzedniej
Niestety, RODO nie przewiduje w analizowanym przypadku tzw. kontroli uprzedniej, dlatego wiele wskazuje na to, że przepisy art. 5 i 6 projektu ustawy o ochronie danych osobowych mogą zostać uchwalone w obecnym kształcie, bez głębszej refleksji nad konsekwencjami dla osób, których dane są przetwarzane. A przecież celem europejskiej reformy i samej ustawy miała być m.in. lepsza ochrona praw osób, których dane dotyczą. Czy da się go zrealizować, pozbawiając jednostkę prawa do informacji o tym, czy i jak podmioty publiczne wymieniają między sobą informacje na jej temat?
Oczywiście, przynajmniej w części można podzielić obawy administratorów, będących podmiotami publicznymi dotyczące uciążliwości przekazywania w ramach ich codziennej pracy wszystkich informacji, określonych w art. 14 RODO. Możliwe jest także, w jednostkowych przypadkach nadużywanie przez osoby korzystające z usług publicznych uprawnień informacyjnych, o których mowa w art. 15 RODO, tak jak ma to miejsce np. na gruncie prawa do informacji publicznej. Mijające wkrótce 2 lata od przyjęcia RODO można jednak było wykorzystać na wypracowanie rozwiązań satysfakcjonujących wszystkie zainteresowane strony.
Autorka: dr Joanna Łuczak-Tarka, kancelaria Lubasz i Wspólnicy