Sprawy generalne Rzecznika Praw Obywatelskich

Wystąpienie do Pełnomocnika Rządu ds. Cyberbezpieczeństwa w sprawie projektu ustawy o Centralnej Informacji Emerytalnej.

Rzecznik Praw Obywatelskich z zadowoleniem odbiera informacje przekazywane opinii publicznej przez projektodawcę, zgodnie z którymi należy sądzić, iż zakres gromadzonych w Centralnej Informacji Emerytalnej (dalej jako: CIE) danych zostanie ponownie poddany analizie, a także docelowo zmniejszony. Tworzenie bowiem baz czy rejestrów, w których gromadzone są nadmiarowe dane osobowe jest niezgodne z zasadą minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: rozporządzenie 2016/679).

Rzecznik podkreślał wielokrotnie, że kompilowanie danych osobowych i innych danych, pochodzących z różnych źródeł, umożliwia tworzenie profili osobowych osób fizycznych, co może skutkować negatywnymi konsekwencjami w przypadku niewłaściwego sposobu wykorzystania takiej funkcjonalności.

RPO zaznaczył, że projektowany art. 4 ust. 3 ustawy zawiera upoważnienie dla ministra właściwego do spraw informatyzacji do wydania aktu wykonawczego, w którym określone zostaną warunki, sposób i tryb przekazywania niezbędnych danych i informacji, o których mowa w art. 6-11projektu ustawy o CIE. Tymczasem Trybunał Konstytucyjny wielokrotnie wypowiadał się w zakresie konstytucyjnej ochrony prywatności, która stanowi jeden z podstawowych elementów aksjologii demokratycznego państwa prawnego. Wobec powyższego Rzecznik zwrócił uwagę, iż zakres spraw przekazanych do uregulowania w akcie rangi podustawowej wymaga także ponownej analizy i weryfikacji.

Ponadto RPO wskazał, że dane gromadzone w CIE muszą być - zgodnie z art. 5 ust. 1 lit. f rozporządzenia 2016/679 - przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności). W zakresie konieczności wprowadzenia odpowiednich zabezpieczeń Rzecznik zasygnalizował zatem potrzebę ponownej szczególnie wnikliwej analizy projektodawcy w tym zakresie.

 

Wystąpienie dołączone do tego dokumentu:

Data odpowiedzi:

Opis odpowiedzi:

Sekretarz Stanu w Kancelarii Prezesa Rady Ministrów w piśmie z 5 sierpnia 2022 r. wyjaśnił, iż - w celu zapewnienia ograniczenia przepływu danych od podmiotów obowiązanych (czyli takich instytucji jak fundusze emerytalne) – dane dotyczące zgromadzonych oszczędności emerytalnych będą przekazywane do systemu CIE wyłącznie za zgodą samego zainteresowanego. Proces przekazywania tych danych będzie bowiem uruchamiany dopiero po założeniu przez daną osobę tzw. profilu w systemie CIE. To oznacza, że prawo do prywatności, w szczególności prawo do decydowania o przekazywaniu danych informacji (autonomia informacyjna) będzie w pełni poszanowane. Projektowana ustawa przewidywać będzie rozbudowane przepisy o obowiązku zachowania w tajemnicy informacji uzyskanych w toku obsługi systemu CIE. Z kolei udostępnianie informacji z systemu CIE organom władzy publicznej odbywać się będzie w nawet węższym zakresie podmiotowym i przedmiotowym, niż to wynika z innych obowiązujących przepisów, np. ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi lub ustawy – Prawo bankowe. Projektowana ustawa nie będzie również przewidywała profilowania posiadaczy produktów emerytalnych w rozumieniu rozporządzenia 2016/679. Sekretarz Stanu zapewnił ponadto, że projekt ustawy kładzie silny nacisk na ochronę bezpieczeństwa danych osobowych. Co istotne, system CIE będzie złożonym systemem teleinformatycznym. W związku z tym, szczegółowe warunki techniczne nie będą regulowane w ustawie, ale w akcie wykonawczym. Natomiast wszystkie istotne aspekty funkcjonowania systemu CIE, zwłaszcza dotyczące praw konstytucyjnych, będą uregulowane w ustawie. Naturalnie, w związku z ewolucją projektu ustawy, uzupełnione i uaktualnione zostaną wszystkie dokumenty towarzyszące.