Tabela rozbieżności do projektu ustawy o ochronie danych osobowych

źródło informacji: Ministerstwa Cyfryzacji

https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow

  Numer uwagi Jednostka redakcyjna projektu Zgłaszający Treść Stanowisko / komentarz
1.         Art.   5 MSiT Należy zwrócić uwagę na kwestię zastępowania inspektora podczas jego nieobecności. Na gruncie projektowanej regulacji, z uwagi na określone wymagania odnośnie inspektora ochrony danych osobowych, może pojawić się wątpliwość, kto i na jakich warunkach może go zastępować w realizacji zadań np. czy takie zastępstwo, szczególnie kiedy nieobecność będzie dość długa, powinno zostać zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych oraz jaki będzie status osoby zastępującej inspektora. Uwaga nieuwzględniona. Podtrzymana na posiedzeniu konferencji uzgodnieniowej.

W opinii projektodawcy, nie ma możliwości powołania zastępcy inspektora ochrony danych osobowych. Zgodnie z art. 37 rozporządzenia 2016/679 oraz motywem 97 administrator i podmiot przetwarzający wyznaczają inspektora, mowa jest o inspektorze w l. poj. Co więcej ustawodawca unijny przewidział możliwość wyznaczenia jednego inspektora dla kilku podmiotów, nie przewidział natomiast możliwości wyznaczenia kilku inspektorów czy tez zastępcy inspektora w jednym podmiocie. Ponadto warto zauważyć, że inspektorem może zostać osoba, która posiada odpowiednie kwalifikacje zawodowe oraz wiedze fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych, ponadto inspektor ma obowiązek m.in. współpracować z organem nadzorczym oraz pełnić funkcje punktu kontaktowego. Natomiast wyznaczenie zastępców wiąże się z prawem do delegowania uprawnień i obowiązków także w sytuacji gdy w danym podmiocie jest obecny inspektor. Na taką osobę mogłyby zostać przekazane niektóre zadania czy też uprawniania przysługujące inspektorowi.

W opinii projektodawcy w przypadku gdy administrator albo podmiot przetwarzający poweźmie wiadomość o długiej nieobecności inspektora ochrony danych osobowych powinien on wyznaczyć nową osobę do pełnienia tej funkcji o czym powinien niezwłocznie zawiadomić Prezesa Urzędu.

2.         Art. 29 ust. 2 MSWiA Należy wskazać na konieczność uzupełnienia art. 20 ust. 2 (becny art. 29 projektu) projektu ustawy o ochronie danych osobowych o dwie dodatkowe regulacje z zakresu prawa europejskiego, tj.:

1) rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 603/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (Dz. Urz. UE L 180 z 29.6.2013, s. 1) – zwane dalej „rozporządzeniem w sprawie Eurodac”,

2) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz. Urz. UE. L 135 z 24.5.16, s. 53) – zwane dalej „rozporządzeniem w sprawie Europol”

a co za tym idzie zmianę redakcji tego przepisu poprzez umieszczenie dwukropka po słowach „(…) w rozumieniu:”, oraz wymienienie w punktach wyszczególnionych w nim aktów prawnych.

W świetle projektu ustawy o ochronie danych osobowych wyznaczenie organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych – stanowi z jednej strony realizację dyspozycji art. 51 ust. 1 rozporządzenia 2016/679, z drugiej zaś art. 41 ust. 1 dyrektywy 2016/680. Analogiczny obowiązek został nałożony na państwa członkowskie, zarówno przez rozporządzenie w sprawie Eurodac (art. 30 ust. 1), jak i rozporządzenie w sprawie Europol (art. 42 ust. 1). Oba te akty prawne – w różnym wprawdzie zakresie – regulują uzyskiwanie, przetwarzanie oraz wymianę informacji zawierających dane osobowe. W tej sytuacji niezbędne jest objęcie nadzorem Prezesa Urzędu Ochrony Danych Osobowych również przetwarzania danych osobowych w ramach Eurodac i Europol.

Jednocześnie proponuję, aby przepisy określające uprawnienia organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych – w zakresie reakcji na nieprawidłowości występujące w krajowych podmiotach w sferze ochrony danych osobowych w ramach Eurodac i Europol uregulowane zostały w przygotowywanych w Ministerstwie Spraw Wewnętrznych i Administracji przepisach implementujących dyrektywę 2016/680.

Uwaga nieuwzględniona.

 

Po konsultacjach z przedstawicielami GIODO, projektodawca, zdecydował, iż nie jest możliwe enumeratywne wskazanie regulacji na podstawie których Prezes Urzędu wykonywał będzie swoje zadania.

3.         Art.  81 MSWiA Należy zauważyć, że art. 69 ust. 4 projektu (obecnie art. 81)  ustawy wprowadza dodatkowe obowiązki dla Policji, zgodnie bowiem z art. 69 ust. 4 „W toku kontroli kontrolujący może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji. Organy kontroli państwowej lub Policja wykonują czynności na polecenie kontrolującego.”. Na mocy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, określone w art. 14 czynności kontrolne wykonywane przez właściwe podmioty realizowane były bez korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji. Z kolei w przypadkach ewentualnego zakłócenia porządku publicznego Policja mogła interweniować na zasadach ogólnych, zgodnie z jej ustawowymi uprawnieniami. Oznacza to, że projektowana ustawa nakłada nowe obowiązki na Policję, co w opinii Ministerstwa Spraw Wewnętrznych i Administracji nie znajduje faktycznego uzasadnienia. Dodatkowo duże zastrzeżenia budzi fakt wykonywania czynności przez funkcjonariuszy Policji na polecenie kontrolującego, którym na mocy art. 66 ww. ustawy, może być upoważniony pracownik Urzędu Ochrony Danych Osobowych, tym bardziej, że ustawa nie określa jego zakresu. W świetle powyższego wnoszę o usunięcie w projekcie tego obowiązku dla Policji. Uwaga częściowo uwzględniona.

Zadnie drugie w projektowanym art. 69 ust. 4 (obecnym art. 81) zostało usunięte. Jednocześnie zaproponowano doprecyzowanie regulacji, poprzez wskazanie na czym konkretnie ma polegać pomoc Policji w toku kontroli.

 

Proponujemy, by przepis ten otrzymał poniższe brzmienie:

 

Art. 81. 1. Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do przeprowadzenia czynności kontrolnych.

2. Właściwy miejscowo komendant Policji zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli pomocy Policji w toku czynności kontrolnych.

3.  Policja udziela pomocy kontrolującemu przy wykonywaniu kontroli, jeżeli w toku wykonywania tych czynności kontrolujący natrafi na opór, który utrudnia lub uniemożliwia mu wykonywanie kontroli, albo jeżeli istnieje uzasadnione przypuszczenie, że na taki opór natrafi.

4. Udzielenie pomocy i asysta Policji przy wykonywaniu kontroli polega na zapewnieniu kontrolującemu bezpieczeństwa osobistego oraz dostępu do miejsca wykonywania kontroli i porządku w tym miejscu.

5. Policja, udzielając pomocy lub asystując kontrolującemu w kontroli zapewnia bezpieczeństwo również innym osobom uczestniczącym w kontroli, mając w szczególności na względzie poszanowanie godności osób biorących udział w kontroli.

6. Z przebiegu czynności, o których mowa w ust. 4 i 5, funkcjonariusz policji udzielający pomocy lub asysty sporządza notatkę urzędową, zawierającą określenie terminu, miejsca  prowadzenia czynności, dane kontrolującego i kontrolowanego oraz osoby, o której mowa w art. 79 biorącej udział w kontroli, a także opis czynności wykonanych w ramach udzielonej pomocy lub asystowania. Notatkę funkcjonariusz niezwłocznie przekazuje swojemu bezpośredniemu przełożonemu.

 

4.         Art. 73

Obecnie art. 87

MIiR Projekt zawiera wyjątki od zasad kontroli działalności gospodarczej określonych w przepisach art. 79 i art. 83 ustawy o swobodzie działalności gospodarczej. Nie wydają się one uzasadnione, ponieważ zawiadomienie służy należytej organizacji kontroli zarówno przez pracowników organu kontroli, jak i przez przedsiębiorców. Kontrolowani muszą zapewnić kontrolującym odpowiednie warunki, a w szczególności umożliwić dostęp do pomieszczeń, sporządzić na żądanie kontrolujących kopie dokumentów, niezwłocznie udzielać wyjaśnień. Co więcej, przy czynnościach kontrolnych musi być obecny przedsiębiorca lub osoba przez niego upoważniona. W związku z tym kontrole niezapowiedziane powinny pozostać wyjątkiem, a nie zasadą. W obecnym stanie prawnym mogą być one przeprowadzane w taksatywnie określonych sytuacjach (art. 79 ust. 2 usdg, m.in. gdy przeprowadzenie kontroli jest niezbędne dla przeciwdziałania popełnieniu wykroczenia lub zabezpieczenia dowodów jego popełnienia). Przepis ten stanowi zabezpieczenie dla przedsiębiorcy przed ewentualnym nieuzasadnionym działaniem organu, które miałoby istotny wpływ na możliwość prowadzenia przez niego działalności. Z tego względu Ministerstwo Rozwoju postuluje pozostanie przy takim rozwiązaniu i niewyłączanie przepisów 79 i 83 usdg, a w uzasadnionych przypadkach korzystanie z wyłączeń już przewidzianych prawem.

Odnośnie do art. 83 usdg należy dodatkowo podkreślić, że wskazane w nim limity dotyczą czasu trwania wszystkich kontroli organu kontroli u przedsiębiorcy w jednym roku kalendarzowym i zostały uzależnione od wielkości przedsiębiorcy. Limit przysługujący Prezesowi UODO nie będzie więc uszczuplony przez kontrole przeprowadzane przez inne organy kontroli.

Uwaga nieuwzględniona.

Niewyłączenie przez projektodawcę art. 79 ustawy o swobodzie działalności gospodarczej oznaczałoby, że Prezes Urzędu nie mógłby prowadzić niezapowiedzianych kontroli. Intencją projektodawcy było natomiast zapewnienie mu takiej możliwości. Nie oznacza to oczywiście, że kontrole niezapowiedziane będą zasadą stosowaną przez Prezesa Urzędu. W ocenie projektodawcy niewyłączenie stosowania art. 79 ustawy o swobodzie działalności gospodarczej uniemożliwi przeprowadzanie Prezesowi Urzędu kontroli niezapowiedzianych ponieważ, żaden z wyjątków wskazanych w art. 79 ust. 2 nie miałby tutaj zastosowania, przetwarzanie danych osobowych niezgodnie z przepisami ustawy nie jest bowiem wykroczeniem.

Natomiast za wyłączeniem art. 83 ustawy o swobodzie działalności gospodarczej przemawia konieczność zapewniania Prezesowi Urzędu możliwości przeprowadzenia kontroli poza wskazanymi w ustawie o swobodzie działalności gospodarczej limitami. W opinii projektodawcy 12, 18 czy nawet 24 dni robocze w skali roku w stosunku do podmiotu, który dopuściłby się kilkukrotnie naruszenia przepisów to nie jest czas pozwalający na rzetelne przeprowadzenie kontroli a w niektórych sytuacjach mógłby wręcz uniemożliwić wszczęcie postepowania kontrolnego i przeprowadzenie kontroli.

5.         Art. 74 ust. 1

Obecnie art. 85

MIiR Projektodawca zakłada, że postępowanie kontrolne nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych (art. 74 ust. 1). Należy podkreślić, że taki termin spowoduje negatywne skutki wyłącznie dla podmiotów z sektora MŚP, dla których obecnie terminy kontroli jednego organu wynoszą odpowiednio 12, 18 i 24 dni robocze. W przypadku dużych przedsiębiorców termin na kontrolę wynosi 48 dni. Jednocześnie ocena realnego wpływu nowych przepisów na przedsiębiorców jest utrudniona przez brak wskazania w OSR do projektu informacji w zakresie ilości prowadzonych kontroli oraz czasu ich trwania.

Pozwalamy sobie również wskazać, że projektodawca posługuje się terminem „postępowanie kontrolne” (tytuł rozdziału 7 czy art. 74), który nie jest tożsamy z pojęciem „kontroli” (na co wskazał również NSA w wyroku II FSK 2276/12) i wydaje się niezamierzony w kontekście projektu ustawy.

Zgodnie z projektowanym art. 74 (obecnym art. 85)  kontrola nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Natomiast za podjęcie czynności kontrolnych uznaje się moment okazania kontrolowanemu upoważnienia do przeprowadzenia kontroli. Terminem zakończenia kontroli jest natomiast dzień podpisania protokołu kontroli przez kontrolowanego. W tym terminie organ obowiązany będzie przeprowadzić kontrolę w siedzibie podmiotu, dokonać analizy zebranego materiału, sporządzić protokół i przedstawić go do podpisu podmiotu kontrolowanego.

Projektodawca zdecydował się na wyłączenie stosowania art. 83 ustawy o swobodzie działalności gospodarczej z uwagi na konieczność zapewniania Prezesowi Urzędu możliwości przeprowadzenia kontroli poza wskazanymi w ustawie o swobodzie działalności gospodarczej limitami. W opinii projektodawcy 12, 18 czy nawet 24 dni robocze w skali roku w stosunku do podmiotu, który dopuściłby się kilkukrotnie naruszenia przepisów to nie jest czas pozwalający na rzetelne przeprowadzenie kontroli a w niektórych sytuacjach mógłby wręcz uniemożliwić wszczęcie postepowania kontrolnego i przeprowadzenie kontroli.

6.         Art. 86

 

Obecny art. 98

MF W odniesieniu do projektowanego w art. 86 utworzenia Funduszu Ochrony Danych Osobowych, należy wskazać na niezasadność tworzenia nowego funduszu celowego. Zgodnie z uzasadnieniem do projektu RODO daje jedynie możliwość określenia czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.

Mając na uwadze postanowienia art. 111 pkt 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.) propozycja zakładająca, iż środki finansowe z tytułu administracyjnych kar pieniężnych będą stanowiły przychód Funduszu – nie znajduje uzasadnienia. Przeprowadzona w roku 2009 reorganizacja sektora finansów publicznych miała na celu konsolidację finansów publicznych i zwiększenie efektywności wykonywanych zadań publicznych poprzez m.in. ograniczenie liczby funkcjonujących państwowych funduszy celowych. Dlatego też zaproponowane przez projektodawcę rozwiązanie nie zasługuje na akceptację, zwłaszcza że jedynym źródłem przychodów mają być wpływy z kar pieniężnych, które powinny stanowić dochody budżetu państwa. Należy mieć również na uwadze, iż tworzenie nowego państwowego funduszu celowego nie tylko nie wpłynie na konsolidację finansów publicznych i możliwość racjonalizacji wydatków publicznych, a wręcz przeciwnie może spowodować wyprowadzenie środków finansowych państwa poza gospodarkę stricte budżetową i ugruntować rozproszenie środków publicznych poza budżet państwa. Ponadto, wskazane w projekcie zadania powierzane nowemu Funduszowi są zadaniami, które powinny być realizowane przez Urząd Ochrony Danych Osobowych. Niezależnie od powyższego należy zauważyć, że w art. 85 określono, że środki finansowe z kar pieniężnych stanowią dochód budżetu państwa, zatem nie będzie możliwe przekazywanie 1% tych środków na przychody Funduszu, co postuluje się w art. 86 ust. 3.

Uwaga nieuwzględniona.

 

Budowanie jednolitego rynku cyfrowego, społeczeństwa informacyjnego i gospodarki opartej na wiedzy, wiąże się ze stosowaniem co raz to nowszych technologii informacyjnych. W związku z tym rośnie ilość i jakość zagrożeń dla obywateli w cyberprzestrzeni, od mowy nienawiści, przez wyłudzenia i kradzież pieniędzy po tzw. kradzieże tożsamości. Aby cyfryzacja mogła się dobrze rozwijać, a obywatele w szerszym zakresie mogli korzystać z technologii cyfrowych, administracja publiczna musi zbudować zaufanie obywateli do korzystania z tych technologii. Natomiast podstawą budowy zaufania jest świadomość i wiedza jak bezpiecznie korzystać z technologii informacyjnych oraz jak korzystać
z praw przysługujących osobom, których dane przetwarzane są przez dziesiątki podmiotów. Generalny Inspektor Ochrony Danych Osobowych, bardzo skromnie prowadzi działania informacyjne i edukacyjne. Pomimo tego, że w ostatnim czasie widać wzrost aktywności organu  na tym polu, to działania te są daleko niewystarczające. Infolinia przestała działać, obywatel, czy przedsiębiorca nie może uzyskać wsparcia za pomocą tak powszechnego środka komunikacji, jakim jest e-mail.
Z pewnością jest to związane m.in. ze skromnymi środkami budżetowymi tego organu, co ogranicza działania na każdym polu aktywności. Nowe unijne prawo wprowadza bardzo wysokie administracyjne kary finansowe, nie wskazując jednocześnie przedsiębiorcom żadnych konkretnych środków techniczno – organizacyjnych służących zabezpieczeniu danych osobowych. To przesunięcie odpowiedzialności dobierania odpowiednich środków zabezpieczających z państwa na  przedsiębiorców, w ocenie projektodawcy pełni uzasadnia przeznaczenie środków budżetowych pochodzących z kar finansowych właśnie na działalność edukacyjną i informacyjną – zwłaszcza najmłodszych obywateli.

7.         Propozycja dodania kolejnego art. MNiSW Proponuję uzupełnienie przepisów projektowanej ustawy o przewidzianą w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) możliwość wprowadzenia określonych wyjątków w przypadku przetwarzania danych osobowych dla celów badań naukowych. Możliwość taką przewiduje art. 9 i art. 89 rozporządzenia 2016/679, który dopuszcza pewne odstępstwa od ogólnego modelu przetwarzania danych osobowych. W związku z powyższym proponuję uzupełnienie projektowanej ustawy w szczególności o przepisy:

Do przetwarzania danych osobowych do celów badań naukowych nie stosuje się art. 15, art. 16, art.18 i art. 21 rozporządzenia 2016/679 jeżeli zachodzi prawdopodobieństwo, że określone w tych przepisach prawa uniemożliwią lub poważnie utrudnią realizację celów badawczych i jeżeli przetwarzanie danych osobowych jest konieczne do osiągnięcia założonych celów.

 

Uwaga nieuwzględniona.

 

W ocenie projektodawcy reforma przepisów dotyczących ochrony danych osobowych nie powinna obniżać standardów tej ochrony zawartych w ustawie o ochronie danych osobowych z 1997 roku. Uwzględniając jednak możliwości jakie daje rozporządzenie, projektodawca uwzględnił w art. 2 ust. 2 projektu ustawy wprowadzającej przepisy rozporządzenia 2016/679 szczególne wyłączenie niektórych jego przepisów, w przypadku przetwarzania danych osobowych w celu korzystania z wolność wypowiedzi akademickiej.

 

Odnosząc się do uwagi dotyczącej wyłączenia w całości stosowania prawa do dostępu, uregulowanego w art. 15 rozporządzenia 2016/679, projektodawca zwraca po pierwsze uwagę, iż jest to jedno z podstawowych praw, jakie przysługują podmiotom danych. Jako takie powinno być ostrożnie ważone, w przypadku gdy jest porównywane do innej wartości – w tym przypadku prowadzenia badań naukowych. Zdaniem projektodawcy niezwykle ciężko jest znaleźć przykład, gdy prawo dostępu do danych mogłoby negatywnie wpływać na prowadzenie badań naukowych.  Dodatkowo w art. 15 ust. 3 rozporządzenie daje możliwość administratorom danych pobierania opłaty za kolejne kopie danych, których żądają podmioty danych, co powinno zniwelować potencjalnie negatywne skutki finansowe wykonywania tego prawa.

 

Zdaniem projektodawcy wyłączenie stosowania w całości art. 16 rozporządzenia, które daje podmiotom danych prawo do sprostowania ich danych również nie jest zasadne. W ocenie projektodawcy prawo to daje możliwość sprostowania danych nieprawidłowych a nie nieprawdziwych. Projektodawca uznaje, że jest część badań naukowych, które może opierać się również na badaniu danych nieprawdziwych, to jednak z korzyścią dla wszystkich badań naukowych powinno być, to że będą prowadzone na danych prawidłowych.

 

Zdaniem projektodawcy niezasadne jest także wyłączenie w całości stosowania art. 18 rozporządzenia, które przyznaje podmiotom danych prawo do ograniczenia przetwarzania ich danych osobowych. Jeżeli dane badanie naukowe jest prowadzone na podstawie przepisów prawa, to zgodnie z art. 18 ust. 1 lit b) nie znajdzie zastosowania prawo do sprzeciwu. Natomiast w pozostałych przypadkach wskazanych w tym przepisie, zdaniem projektodawcy wyłączenie prawa do sprzeciwu stanowiłoby nadmierną ingerencją w prawo przysługujące podmiotom danych w stosunku do wartości jaką byłoby prowadzenie badania naukowego bez zgłaszanych przez te podmioty sprzeciwów.

 

W przypadku rozważania wyłączania stosowania art. 21 na podstawie art. 89 ust. 2, trzeba również brać pod uwagę treść art. 21 ust. 6 rozporządzenia, które daje pierwszeństwo prawu podmiotowemu do wniesienia sprzeciwu, chyba że przetwarzane są dane osobowe dla celów badań naukowych dla celów publicznych. W związku z tym, zdaniem projektodawcy należy przyznać prymat prawu podmiotowemu i nie wyłączać stosowania w całości art. 21 do przetwarzania w celach badań naukowych.

8.         Propozycja dodania kolejnego art.  MNiSW Do przetwarzania danych osobowych niezbędnych do realizacji  badań naukowych mających na celu przygotowanie rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego nie stosuje się przepisów art. 9 ust. 1 rozporządzenia 2016/679, pod warunkiem, że publikowanie wyników tych badań następuje w sposób uniemożliwiający identyfikację osób, których dane zostały przetworzone.

Do przetwarzania danych, o których mowa w ust. 1 i 2 podmiot prowadzący badania naukowe wdraża odpowiednie zabezpieczenia praw i wolności osoby, której dane osobowe są zawarte w materiałach badawczych zgodnie z art. 89 ust 1 rozporządzenia 2016/679.

Uwaga nieuwzględniona.

 

Podstawą prawą możliwości ograniczenia stosowania lub wyłączenia pewnych przepisów rozporządzenia jest jego art. 23 lub 89. W żadnym z nich nie ma mowy o możliwości ograniczenia bądź wyłączenia stosowania art. 9 rozporządzenia 2016/679. Dlatego też w ocenie projektodawcy nie możliwe jest uwzględnienie uwagi w obecnym kształcie.

Zdaniem projektodawcy przetwarzanie szczególnych kategorii danych osobowych dla celów badań naukowych możliwe jest na podstawie art. 9 ust. 2 lit. j), jednak taka podstawa prawna powinna znajdować się w konkretnych ustawach sektorowych np. w ustawie prawo o szkolnictwie wyższym, a nie w ustawie ogólnej.

W ocenie projektodawcy niezasadne jest również dodanie do projektu ustawy ostatniej ze zgłoszonych uwag, gdyż byłoby to powtórzeniem treści art. 89 ust. 1 rozporządzenia 2016/679.

9.         Propozycja dodania kolejnego art.  MON W projekcie ustawy o ochronie danych osobowych proponuję się po art. 2 dodać art. 3 w brzmieniu:

„Art. 3. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.”.

 

Wprowadzenie proponowanej normy prawnej pozwoli na zastosowanie przepisów przewidujących dalej idącą ochronę danych osobowych niż wynikająca z projektu ustawy. Przykładem tego może być polityka bezpieczeństwa, która zawiera bardzo istotne informacje służące ochronie danych osobowych, minimalizująca zagrożenia oraz zapewniająca poufność, integralność i rozliczalność przetwarzanych danych. Nieuprawnione ujawnienie tych informacji mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej. Ochronę polityki bezpieczeństwa przed nieuprawnionym dostępem, obecnie zapewnia ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2016 r., poz. 1167, z późn. zm.), która zgodnie z art. 1 ust. 1 określa zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania, zwanych dalej „informacjami niejawnymi”. Klasyfikowanie informacji niejawnych określono w art. 5 cytowanej ustawy nadając informacjom niejawnym klauzulę „ściśle tajne”, „tajne”, „poufne”, oraz „zastrzeżone”. Nie ujęcie proponowanego rozwiązania może doprowadzić do konfliktu między normami prawa, poprzez kolizję ustaw przewidujących dalej idącą ochronę w przedmiotowym zakresie z procedowanymi przepisami projektu ustawy o ochronie danych osobowych.

 

Uwaga nieuwzględniona.

 

W ocenie projektodawcy włączenie takiego przepisu do projektu jest zbędne, gdyż stosowanie wskazanego w nim mechanizmu zawiera zasada lex specialis derogat legi generali, obowiązująca w polskim systemie prawnym. Ponadto zdaniem projektodawcy, dodanie takiego przepisu zawierającego zwrot nieokreślony nie podniosłoby poziomu ochrony prawnej wynikającego z odrębnych ustaw, gdyż stwarzałoby w praktyce wątpliwości interpretacyjne.

 

Ponadto w opinii projektodawcy dodanie takiego przepisu byłoby niezgodne z rozporządzeniem 2016/679.

 

 

10.     Uwagi ogólne KPRM Projektowana ustawa o ochronie danych osobowych określa organ właściwy w sprawie ochrony danych osobowych, podmioty zobowiązane do wyznaczenia inspektora ochrony danych osobowych, warunki i tryb udzielania certyfikacji i akredytacji oraz szereg innych zagadnień. Jednakże projekt nie zmierza do unormowania zasad przetwarzania danych osobowych albowiem kwestia ta zostaje określona w rozporządzeniu 2016/679 a tym samym projektowana ustawa nie wskazuje podmiotów, które są obowiązane do jej stosowania. Wynika to z faktu, iż rozporządzenie 2016/679 stosuje się bezpośrednio. Mając na uwadze powyższe należy zaznaczyć, iż przytoczone rozporządzenie umożliwia dokonanie wyłączeń podmiotowych. Stanowisko takie znajduje uzasadnienie już w preambule oraz art. 2 ust. 2 rozporządzenia. Motyw 14 preambuły stanowi, iż rozporządzenie nie ma zastosowania do kwestii ochrony podstawowych praw i wolności ani do swobodnego przepływu danych osobowych w związku z działalnością nieobjętą zakresem prawa Unii, tj. m. in. działalnością dotyczącą bezpieczeństwa narodowego. Przy czym w omawianej sprawie, istotne jest brzmienie art. 4 ust. 2 Traktatu o Unii Europejskiej, w myśl którego bezpieczeństwo narodowe jest zagadnieniem pozostającym w zakresie wyłącznej odpowiedzialności każdego państwa członkowskiego Unii Europejskiej. W świetle przytoczonej argumentacji zasadnym jest wyłączenie służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. ustawy o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz.U. z 2017 r. poz. 1920) spod zakresu stosowania projektowanej ustawy o ochronie danych osobowych. Aby zapewnić realizację powyższego postulatu proponuje, aby w projekcie ustawy o ochronie danych osobowych dodać przepis oznaczony roboczo jako art. 3a w brzmieniu:

„Art. 3a. Przepisów ustawy nie stosuje si^ do Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego.”

Stanowisko niniejsze pozostaje w zgodzie z pracami zmierzającymi do wyłączenia służb specjalnych z zakresu podmiotowego ustawy o przetwarzaniu danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości, którego projektodawca jest Minister Spraw Wewnętrznych i Administracji, implementującej przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzje ramową Rady 2008/97 7/WSiSW. Wyłączenie służb specjalnych z zakresu projektowanego aktu prawnego pozwoli na wprowadzanie w ustawach regulujących funkcjonowanie służb specjalnych, szczegółowych przepisów stanowiących odrębny reżim prawny, który określał będzie zasady przetwarzania danych osobowych z pełnym poszanowaniem praw i wolności osób, których przetwarzane dane dotyczą ale jednocześnie z uwzględnieniem takich kwestii jak bezwzględna konieczność zapewnienia bezpieczeństwa narodowego. Projektowane w tej materii przepisy zostaną przedstawione w ramach prac nad projektem ustawy o przetwarzaniu danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości, którego projektodawca jest Minister Spraw Wewnętrznych i Administracji, implementującej przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów

zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/97 7/WSiSW.

Uwaga nieuwzględniona.

 

Projektodawca nie zdecydował się wprowadzić do projektu przepisów, określających zakres zastosowania przepisów o ochronie danych osobowych dla bezpieczeństwa narodowego państwa. W polskiej legislacji brak jest bowiem zamkniętego katalogu działań, uznanych za wchodzące w zakres „bezpieczeństwa narodowego”. W ocenie projektodawcy decyzja o tym, czy dane działanie uznane powinno być za objęte „bezpieczeństwem narodowym” podjęta powinna być po wnikliwej ocenie każdego stanu faktycznego przez administratora oraz podmiot przetwarzający. Przy czym nie powinno się stosować w tym przypadku wykładni zawężającej ochronę prawa podstawowego jakim jest ochrona danych osobowych. Decyzja taka będzie w dalszej kolejności podlegała działaniom kontrolnym Prezesa Urzędu oraz wymiaru sprawiedliwości. Projektodawca nie zdecydował się również przesądzić relacji zachodzących pomiędzy art. 2 ust. 2 lit. a Rozporządzenia oraz  art. 23 ust. 1 lit. a Rozporządzenia w kontekście możliwego użycia w nich tej samej klauzuli „bezpieczeństwa narodowego”. TSUE w wyroku Bodil Lindqvist C 101/01 (Wyrok TSUE z 6.11.2003 w sprawie C-101/01, Lindqvist, EU:C:2003:596) wskazał, że  „rodzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 (a mianowicie rodzaje działalności, o których stanowią tytuły V i VI Traktatu o Unii Europejskiej, jak również przetwarzanie w ramach działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa oraz w ramach działalności państwa w obszarach prawa karnego) stanowią w każdym razie działania właściwe państwom i władzom państwowym, obce dziedzinom działalności jednostek.” W ocenie projektodawcy, odmiennie będzie traktowana sytuacja w obrębie art. 23 Rozporządzenia, ponieważ  w tym wypadku bezpieczeństwo narodowe jest jedynie środkiem służącym temu bezpieczeństwu, a  nie celem samym w sobie.  Innymi słowy istota działalności podmiotu, który będzie korzystał z ograniczenia z art. 23 Rozporządzenia nie będzie ukierunkowana bezpośrednio na bezpieczeństwo narodowe, lecz na inne obszary działalności podlegające prawodawstwu unijnemu. Zakresy art. 2 ust. 2 lit. a , w zw. z art. 4 ust. 2 TUE i  art. 23 ust. 1 Rozporządzenia nie pokrywają się, pomimo użycia tej samej klauzuli „bezpieczeństwa narodowego”.