Sprawy generalne Rzecznika Praw Obywatelskich



Wystąpienie do Marszałka Sejmu RP w sprawie projektu ustawy o ochronie danych osobowych z dnia 2018-03-28.

Adresat:
Marszałek Sejmu RP
Sygnatura:
VII.501.315.2014
Data sprawy:
2018-03-28
Rodzaj sprawy:
uwagi RPO do przygotowywanych (zmienianych) aktów prawnych (WL)
Nazwa zepołu:
Zespół Prawa Konstytucyjnego, Międzynarodowego i Europejskiego
Wynik sprawy:
Opis sprawy:
Wystąpienie do Marszałka Sejmu RP w sprawie projektu ustawy o ochronie danych osobowych.
W dniu 27 marca 2018 r. Rada Ministrów przyjęła projekt ustawy o ochronie danych osobowych. Rzecznik Praw Obywatelskich z dużą satysfakcją odnotowuje zawarte w projekcie zmiany, które prowadzą do zapewnienia organizacyjnej niezależności organu ochrony danych osobowych Prezesa Urzędu Ochrony Danych Osobowych (PUODO), w szczególności dotyczące procedury powołania organu, jak również powoływania zastępców Prezesa. Zmiany te realizują postulaty Rzecznika, wyrażane we wcześniejszej korespondencji kierowanej do Ministra Cyfryzacji.
Jednak do projektu ustawy wprowadzono w ostatnim czasie również takie zmiany, które mogą obniżyć standard prawa do ochrony danych osobowych w porównaniu do tego, jakie gwarantowane jest przepisami RODO, ale przede wszystkim standardem ochrony wynikającym z Konstytucji. W szczególności niepokój Rzecznika budzi nowe brzmienie art. 4-6 projektu ustawy o ochronie danych osobowych, które wprowadzają daleko idące wyłączenia i ograniczenia praw osób, których dane dotyczą w przypadku przetwarzania ich przez administratorów realizujących zadania publiczne.
Zgodnie z art. 4 administrator w przypadkach wskazanych w tym przepisie nie będzie informował osoby, której dane dotyczą, o zmianie celu przetwarzania oraz o prawach jej przysługujących. Wśród warunków, jakie muszą być spełnione jest wskazanie, że musi to być niezbędne m.in. dla realizacji celów, o których mowa w art. 23 ust. 1 dyrektywy 95/46/WE. Projekt ustawy nie wyjaśnia jednak, kto i na jakich zasadach będzie oceniał spełnienie tych warunków, pozostawiając tym samym ogromne pole dla swobody działań administratorów wykonujących zadania publiczne.
Art. 5 projektu ustawy wprowadza natomiast daleko idące ograniczenia prawa do informacji dla osób, których dane są przetwarzane. Przepis ten wprowadza pojęcia ocenne, w szczególności „uniemożliwienie lub znaczące utrudnienie prawidłowego wykonania zadania publicznego”, nie wyjaśniając przy tym, kto miałby oceniać spełnienie tej przesłanki.
Art. 6 wprowadza zaś wyłączenie stosowania art. 15 ust. 1-3 ww. dyrektywy w przypadku, gdy osoba, której dane dotyczą, nie jest informowana na podstawie art. 5 ust. 1 projektu ustawy. Tym samym wyłącza się prawa dostępu, przysługujące osobie, której dane dotyczą, zapewniając w zamian „odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą”.
Zdaniem Rzecznika ani projekt ustawy ani najnowsza wersja uzasadnienia do projektu ustawy nie zawierają analizy zasadności przyjmowania proponowanych ograniczeń. Tym samym nie jest jasne, czy cel i zakres wprowadzonych ograniczeń będą mogły być uznane za niezbędne w demokratycznym państwie prawnym i czy takie ograniczenie prawa do prywatności będzie mogło być uznane za zgodne z Konstytucją. Dodatkowo, zastrzeżenia Rzecznika budzi fakt, że tak istotne zmiany w projekcie ustawy wprowadza się na ostatnim etapie procesu konsultacyjnego, co uniemożliwia wypowiedzenie się w tej sprawie wszystkich zainteresowanych podmiotów.
Rzecznik zwrócił się do Marszałka z prośbą o udostępnienie powyższej opinii organom Sejmu oraz posłom i posłankom w celu zapoznania się z przedstawionymi argumentami i uwzględnienia ich w toku dalszych prac legislacyjnych nad ustawą.