Biuletyn Informacji Publicznej RPO

1.  Rzecznik Praw Obywatelskich obserwuje z uwagą proces przygotowywania, a następnie wdrażania reformy systemu ochrony danych osobowych w UE, który rozpoczął się już w 2012 r. od przedstawienia na forum UE pierwszych wersji projektów aktów prawnych Unii Europejskiej. Prawo do prywatności oraz prawo do ochrony danych osobowych, gwarantowane zarówno przez Konstytucję RP, jak i ratyfikowane umowy międzynarodowe, są bowiem prawami, na straży których stoi Rzecznik. Już w 2013 r. skierowane zostało w tej sprawie wystąpienie do ówczesnego Ministra Administracji i Cyfryzacji.

Stosowne akty prawne UE zostały przyjęte w kwietniu 2016 r. Są to:

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia o dyrektywy 95/46/WE (dalej jako: rodo),
• dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (dalej jako: dyrektywa 2016/680).

Należy przypomnieć, że rodo jest aktem, który będzie bezpośrednio stosowany od 25 maja 2018 r. i zastąpi obecnie obowiązującą ustawę z 1997 r. o ochronie danych osobowych. Za działania związane z koniecznością przyjęcia uzupełniającego krajowego aktu prawnego, który regulowałby te zagadnienia, które zostały pozostawione przez prawodawcę UE do regulacji krajowej (w tym dotyczące pozycji i funkcjonowania organu ochrony danych osobowych) odpowiada Minister Cyfryzacji.

Dyrektywa 2016/680 wymaga natomiast wdrożenia  do prawa krajowego poprzez przyjęcie stosownej ustawy, za przygotowanie której odpowiada Minister Spraw Wewnętrznych i Administracji.

2. Należy podkreślić, że Minister Cyfryzacji od wielu miesięcy informuje o postępie prac związanych z wdrożeniem rodo, a szczegółowe informacje w tym zakresie zamieszczane są na stronach MC. W przypadku jednak MSWiA takich informacji dostępnych publicznie nie ma. W lutym 2017 r. RPO skierował wystąpienia do Ministra Spraw Wewnętrznych i Administracji oraz do Ministra Sprawiedliwości w sprawie prac nad wdrożeniem dyrektywy. RPO informował o tym na swojej stronie internetowej. 

Do dnia dzisiejszego do Rzecznika nie wpłynęła odpowiedź, w której wskazane zostałyby konkretne daty przedstawienia projektu. W ostatniej odpowiedzi, z czerwca br. MSWiA poinformował Rzecznika, że stosowne projekty zostaną wypracowane w terminach wynikających z prawa UE.

W dniu dzisiejszym RPO ponowił wystąpienie do MSWiA w tej sprawie.

3. Rzecznik Praw Obywatelskich prowadzi również wymianę stanowisk w sprawie sposobu wdrożenia rodo, w szczególności w odniesieniu do niezależności przyszłego organu ochrony danych osobowych (zgodnie z przedłożonymi projektami - Prezesa Urzędu Ochrony Danych Osobowych). W tej sprawie zwracał się w czerwcu br. do Minister Cyfryzacji oraz do Generalnego Inspektora Ochrony Danych Osobowych. Na te wystąpienia wpłynęły szczegółowe odpowiedzi.

W ostatnich tygodniach do Rzecznika Praw Obywatelskich do konsultacji Minsiter Cyfryzacji skierowała dwa projekty ustaw: o ochronie danych osobowych oraz Przepisy wprowadzające ustawę o ochronie danych osobowych. Projekty te stanowią uzupełnienie rozporządzenia (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. rodo). Zawarto w nich również istotną kierunkową decyzję o tym, że organem ochrony danych właściwym dla dyrektywy 2016/680 będzie również Prezes UODO, a zatem nie powstanie inny dodatkowy organ.

Zadaniem Rzecznika Praw Obywatelskich jest stanie na straży wolności i praw człowieka i obywatela. Do tych praw należy również prawo do ochrony danych osobowych, stąd też RPO od samego początku prac nad reformą uważnie analizuje podejmowane działania. W związku z tym, po analizie przedstawionych projektów i w nawiązaniu do wcześniejszej korespondencji w sprawie, Rzecznik w dniu 13 października 2017 r. skierował do Minister Cyfryzacji wystąpienie, w którym przedstawił swoje zastrzeżenia i wątpliwości.

Zastrzeżenia te dotyczą przede wszystkim niezależności organu ochrony danych osobowych, czyli tego organu, który ma być organem właściwym w sprawie ochrony danych osobowych.

Rzecznik Praw Obywatelskich zwraca przede wszystkim uwagę na konieczność zagwarantowania nowemu organowi ochrony danych osobowych pełnej niezależności, zgodnie z wymogami wynikającymi z prawa UE. Przedstawiona propozycja procedury, w której Prezesa UODO powoływać będzie Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów, budzi zastrzeżenia. RPO wskazuje, że przy ocenie ukształtowania pozycji organu jako organu niezależnego muszą być wzięte pod uwagę nie tylko ściśle językowo interpretowane przepisy rodo, ale również ogólne uwarunkowania systemowe istniejące w danym państwie członkowskim. Włączenie Prezesa Rady Ministrów w procedurę powoływania organu, nieznane w dzisiaj obowiązującej ustawie o ochronie danych osobowych, dla Rzecznika Praw Obywatelskich jest nie do zaakceptowania. Oznacza, że organ ochrony danych osobowych będzie wyznaczany w istocie przez władzę wykonawczą. Trzeba przy tym pamiętać, że z przedstawionych projektów wynika, że nowy organ (Prezes Urzędu Ochrony Danych Osobowych) ma być również organem właściwym w sprawach dyrektywy 2016/680, czyli tzw. dyrektywy policyjnej. To ten akt prawny UE reguluje zasady przetwarzania danych osobowych przez policję czy inne służby zajmujące się zwalczaniem przestępczości, a zatem przez służby podlegające bezpośrednio władzy wykonawczej.

Zastrzeżenia RPO budzi również procedura powoływania zastępców Prezesa Urzędu. Chociaż ani rodo ani dyrektywa 2016/680 nie stanowią wprost, że również oni muszą cieszyć się przymiotem niezależności, to jednak bez wątpienia sposób ich wyłaniania i dalszego funkcjonowania ma wpływ na niezależność samego organu. Propozycja przedstawiona w projekcie, polegająca na wskazaniu dwóch zastępców przez Ministra Cyfryzacji i jednego przez Ministra Spraw Wewnętrznych i Administracji jest nie do zaakceptowania, ponieważ oznacza to, że Prezes Urzędu nie będzie miał żadnego wpływu na obsadę stanowisk swoich zastępców. To zaś może skutecznie uniemożliwić mu efektywne działanie.

Rzecznik podnosi również, że projekt nie przesądza - wbrew wcześniejszym zapowiedziom - przyszłości obecnego Generalnego Inspektora Ochrony Danych Osobowych. RPO stoi na stanowisku, że standard wynikający z prawa UE nie pozwala na skrócenie kadencji obecnego GIODO. Obecny GIODO powinien zatem pełnić swoją funkcję (jako Prezes nowego UODO) przez czas pozostały do końca kadencji. Tymczasem przedstawione projekty ustaw tej kwestii nie regulują. Już we wcześniejszym piśmie z czerwca 2017 r. RPO wskazywał na standard wynikający w tym zakresie z prawa UE, w sczególnści z orzecznictwa Trybunału Sprawiedliwości (por. chociażby wyrok w sprawie w sprawie C-288/12 Komisja przeciwko Węgrom).

RPO w swoim stanowisku podkreśla również, że projekt ustawy o ochronie danych przewiduje przyznanie Prezesowi Urzędu realizacji zadań wynikających z dyrektywy 2016/680. Jednocześnie jednak nie jest ciągle znany projekt ustawy, która miałaby wdrażać do polskiego porządku prawnego tę dyrektywę. To zastrzeżenie skierowane jest głównie do Ministra Spraw Wewnętrznych i Administracji. W związku jednak z brakiem szczegółowych informacji trudno jest ocenić, na ile propozycje budżetowe, czy kadrowe są adekwatne do zadań nałożonych na nowy organ.

Zdaniem RPO zaproponowane rozwiązania, o których mowa wyżej, mogą zatem prowadzić do ograniczenia niezależności organu ochrony danych osobowych i rzutować na cały system ochrony. Trudno jest zatem przejść do analizy szczegółowych rozwiązań przedstawionych w projekcie. Rzecznik Praw Obywatelskich stoi na stanowisku, że niezależność organu ochrony danych osobowych jest kwestią kluczową dla całego systemu i to uzasadnia zabranie głosu w sprawie przedłożonych projektów.

4. Rzecznik w dniu 13 października 2017 r. skierował również wystąpienie do Ministerstwa Spraw Zagranicznych w związku z wątpliwościami dotyczącymi jakości polskiej wersji rozporządzenia ogólnego o ochronie danych osobowych.