Wystąpienie do Ministra Cyfryzacji dotyczące projektu rozporządzenia Rady Ministrów w sprawie wykazu rejestrów publicznych i systemów teleinformatycznych, z których udostępniane są dane na potrzeby prowadzenia analiz w ramach zintegrowanej platformy analitycznej z dnia 2022-04-07.
Wystąpienie do Ministra Cyfryzacji dotyczące projektu rozporządzenia Rady Ministrów w sprawie wykazu rejestrów publicznych i systemów teleinformatycznych, z których udostępniane są dane na potrzeby prowadzenia analiz w ramach zintegrowanej platformy analitycznej.
Rzecznik Praw Obywatelskich wypowiadał się niejednokrotnie w sprawie ponownego wykorzystania informacji sektora publicznego podkreślając, że nie można nie brać pod uwagę ewentualnych negatywnych skutków ich wykorzystywania dla niektórych praw człowieka i obywatela, w tym zwłaszcza prawa do prywatności i ochrony danych osobowych. Rzecznik podkreślał, że kompilowanie danych osobowych i innych danych stanowiących informację publiczną, pochodzących z różnych źródeł, umożliwi tworzenie profili osobowych osób fizycznych, co może skutkować negatywnymi konsekwencjami w przypadku niewłaściwego sposobu wykorzystania takiej możliwości.
Głęboka troska RPO w przedmiotowej sprawie wynika przede wszystkim ze sposobu regulacji tak ważnej kwestii dla praw i wolności obywateli. Zakres danych i wykaz rejestrów publicznych, zbiorów danych oraz systemów teleinformatycznych, z których udostępniane są dane określony jest w akcie wykonawczym. Należy przypomnieć, że materia ta zarezerwowana jest dla przepisów rangi ustawowej, co wynika z art. 51 ust. 1 i 5 Konstytucji. Warto także wskazać, że Trybunał Konstytucyjny, zwany dalej "TK", wielokrotnie już potwierdził konieczność ustawowej regulacji tej materii. W sprawie o sygn. akt K 33/13 TK wskazał m.in., że zakwestionowane przepisy w części, w jakiej upoważniają właściwego ministra do określania w rozporządzeniu zakresu danych nie odpowiada konstytucyjnemu wymaganiu normowania ograniczeń autonomii informacyjnej w ustawie. W powołanej powyżej sprawie TK stwierdził, iż regulacja ustawowa (upoważnienie ustawowe do wydania aktu wykonawczego) w części dotyczącej "innych danych" jest blankietowa. W projektowanym rozporządzeniu zaś zawarty został niezwykle obszerny katalog nie tylko podmiotów udostępniających dane do platformy, ale także udostępnianych danych, co jest niezgodne z art. 51 ust. 1 i 5 Konstytucji.
W opinii Rzecznika nie można znaleźć uzasadnienia dla zamiaru uregulowania tej materii przez Radę Ministrów w akcie wykonawczym. Nie są to bowiem szczegółowe i techniczne sprawy związane z przetwarzaniem danych osobowych, lecz fundamentalne zagadnienia, które wymagają regulacji ustawowej, a co za tym idzie przejścia całego procesu legislacyjnego zarówno w Sejmie, jak też w Senacie RP oraz uzyskania podpisu Prezydenta RP.
Ponadto należy rozważyć, czy przedmiotowa regulacja oraz sposób tworzenia zintegrowanej platformy analitycznej są konieczne, uzasadnione i niezbędne w demokratycznym państwie. TK niejednokrotnie wypowiadał się w tym zakresie. Wskazywał na to, że sformułowanie, zgodnie z którym ograniczenia praw i wolności mogą być wprowadzane jedynie w sytuacji, gdy okaże się to "konieczne w demokratycznym państwie", nakazuje za każdym razem badać, czy za pomocą danego ograniczenia uda się osiągnąć zamierzone skutki, czy unormowanie to jest niezbędne dla ochrony interesu publicznego, któremu ma służyć, i czy efekty owego ograniczenia pozostają w proporcji do ciężaru nałożonego na obywatela.
Kolejnym aspektem projektowanej regulacji jest konieczność zapewnienia jej zgodności z prawem Unii Europejskiej. Jakkolwiek w uzasadnieniu do projektu rozporządzenia zawarto informację o tym, że przedmiot regulacji nie jest objęty prawem Unii Europejskiej, to wskazać należy, iż rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) jest aktem obowiązującym bezpośrednio w krajowym porządku prawnym, zaś pominięcie podstawowych przepisów przywołanego rozporządzenia w projektowanej regulacji uznać należy za poważne uchybienie legislacyjne.
Podkreślić należy, że projekt rozporządzenia w brzmieniu umieszczonym na stronie Rządowego Centrum Legislacji jest niezgodny z art. 1 rozporządzenia 2016/679. Sposób udostępnia danych oraz przetwarzania ich na platformie w myśl przepisów projektowanego rozporządzenia nie jest przejrzysty. Projekt także nie czyni zadość zasadzie ograniczenia celu. Przepisy projektowanej regulacji zakładają bowiem zmianę pierwotnego celu przetwarzania danych, zaś uzasadnienie dla tej zmiany, a mianowicie odwołanie się do art. 23 ust. 1 lit. e rozporządzenia 2016/679 - w ocenie Rzecznika - nie znajduje uzasadnienia i podstaw faktycznych. Tak szeroki zakres danych trudno uznać za usprawiedliwiony, w szczególności ważnym interesem gospodarczym lub finansowym Unii Europejskiej lub państwa członkowskiego, w tym kwestiami pieniężnymi, budżetowymi i podatkowymi, zdrowiem publicznym i zabezpieczeniem społecznym.
Ponadto, w projekcie rozporządzenia brakuje szczegółowych i technicznych regulacji związanych z przetwarzaniem danych osobowych, które to regulacje zarezerwowane są dla tej rangi aktu normatywnego. Pozostawienie zaś spraw ważnych dla ochrony praw i wolności obywateli do uregulowania w porozumieniach obejmujących polityki bezpieczeństwa, przetwarzania danych osobowych oraz możliwości technicznoorganizacyjnych stron tych porozumień, w ocenie RPO, stanowi poważne naruszenie gwarancji tych praw i wolności.
Mając na uwadze powyżej zgłoszone wątpliwości, Rzecznik zwrócił się do Ministra z prośbą o przyjęcie przedmiotowej opinii, a także o podjęcie działań w celu zapewnienia zgodności polskiego prawa z Konstytucją, ugruntowaną linią orzeczniczą TK, standardami międzynarodowymi i europejskimi - w celu zapewnienia ochrony praw jednostek.