Reforma ochrony danych osobowych w Polsce: czy grozi nam bałagan?

Artykuł

06.10.2016

7 min. czytania

Tekst

Unia Europejska w kwietniu zakończyła pracę nad przygotowaniem nowych przepisów dotyczących ochrony danych osobowych. Od 2018 r. wiele się w tym zakresie zmieni, co oznacza potrzebę dostosowania polskiego ustawodawstwa. Przed administracją rządową stoi wielkie wyzwanie, by nie tylko zrobić to na czas, ale także zadbać o zachowanie wysokich standardów ochrony praw obywateli w różnych sferach życia. Z tego względu zapytaliśmy Kancelarię Prezesa Rady Ministrów i wszystkie ministerstwa o stan prac nad wdrożeniem reformy. Nie wygląda na to, by rząd miał jasny pomysł, jak sobie z tym poradzić.

Z wdrożeniem reformy wiąże się konieczność zmiany setek aktów prawnych, tak by były zgodne z nowym unijnym rozporządzeniem. Ilu? Tak naprawdę nikt tego jeszcze nie wie. Nie wszystkie resorty dokonały przeglądu aktów prawnych wymagających modyfikacji. Już jednak na pierwszy rzut oka widać, że urzędników ze wszystkich ministerstw może czekać ogrom pracy. Prawie w każdej sferze działania administracji publicznej wykorzystywane są bazy danych przetwarzające informacje o obywatelach. Czy jest to System Informacji w Ochronie Zdrowia, System Informacji Oświatowej, bazy danych pomocy społecznej, baza PESEL, czy zasady przetwarzania informacji przy spisie powszechnym – przepisy wymagają przeglądu i sprawdzenia, na ile obowiązujące reguły są zgodne z nowymi, unijnymi standardami.

Potrzeba czasu i ciężkiej pracy

To trudne i czasochłonne zadanie, z którym wiążą się również konkretne ryzyka. Nowe unijne reguły prawne tworzą dla krajowych władz możliwość stosowania daleko idących wyjątków od wprowadzanych zasad przetwarzania danych. Państwa będą mogły ustanowić odstępstwa, np. powołując się na bezpieczeństwo narodowe czy zasady porządku publicznego. W odmienny sposób uregulowane mogą być normy korzystania m.in. z danych medycznych czy danych o pracownikach. W przypadku nowej dyrektywy, która obejmuje swoim zakresem przetwarzanie danych przez policję oraz wymiar sprawiedliwości, swoboda po stronie państw jest nawet większa.

Wprowadzanie wyjątków może jednak stanowić poważne zagrożenie dla standardu ochrony praw obywatelskich. Ryzyko to zwiększa się w sytuacji, gdy na poziomie rządowym brakuje jednej instytucji, która by koordynowała prace wszystkich resortów. Nie wszystkie ministerstwa mają podobną wiedzę o ochronie danych osobowych. W grę wchodzą również różnice interesów – które w administracji rządowej nie są niczym nowym. Do tego dochodzi także lobbing ze strony biznesowej. W sytuacji gdy odpowiedzialność za wprowadzenie reformy na polski grunt jest rozproszona, czynniki te mogą oddziaływać ze zdwojoną siłą.

Na poziomie rządowym resortem odpowiedzialnym za ochronę danych osobowych jest Ministerstwo Cyfryzacji. Resort cyfryzacji koordynuje również prace dotyczące dostosowania sytuacji w Polsce do unijnych wymogów przetwarzania danych. W pierwszej kolejności przygotowuje ustawę, która ureguluje np. działanie Generalnego Inspektora Ochrony Danych. Tutaj potrzeba wprowadzić nowe zasady funkcjonowania urzędu oraz wyposażyć go w nowe kompetencje, np. do nakładania kar finansowych. Oprócz tego resort cyfryzacji próbuje organizować spotkania i edukować inne ministerstwa o nowym rozporządzeniu. Jednak te działania przynoszą raczej ograniczony skutek. Jak bardzo? To pokazują odpowiedzi, które uzyskaliśmy od większości resortów*.

Nie wszyscy są prymusami

Na pewno możemy wyróżnić niekwestionowanych prymusów (np. Ministerstwo Rodziny, Pracy i Polityki Społecznej, Ministerstwo Edukacji), którzy podjęli już pewien wysiłek i np. przeprowadzili dokładny przegląd wymaganych zmian prawnych. Są jednak resorty, które takiej pracy jeszcze nie wykonały (Ministerstwo Finansów, Ministerstwo Zdrowia) lub nie dostrzegają takiej potrzeby (Ministerstwo Kultury i Dziedzictwa Narodowego). Oprócz odpowiedzi w miarę rozsądnych i pokazujących rozeznanie (nawet na minimalnym poziomie) w temacie ochrony danych uzyskaliśmy również szereg wręcz absurdalnych pism ze strony różnych ministerstw. Ministerstwo Spraw Zagranicznych napisało nam, że nie jest instytucją odpowiedzialną za dostosowanie polskich przepisów do unijnych regulacji – tym zajmuje się Generalny Inspektor Ochrony Danych Osobowych (GIODO)! Do GIODO odesłała nas również Kancelaria Prezesa Rady Ministrów (KPRM), która w odpowiedzi na nasz wniosek stwierdziła, że nie wie, kto w rządzie koordynuje prace nad wdrożeniem reformy – "Kancelaria Prezesa Rady Ministrów nie dysponuje wnioskowanymi informacjami. Aby je uzyskać sugerujemy zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych" – przeczytaliśmy w odpowiedzi na nasze pytania. Tymczasem Generalny Inspektor nie jest i nigdy nie był organem wydającym akty prawne – to przecież rola parlamentu oraz rządu.

Zachęceni jednak przez KPRM zapytaliśmy GIODO, co sądzi o ewentualnym koordynowaniu prac rządu w zakresie ochrony danych. Na odpowiedź nie musieliśmy długo czekać i była ona na szczęście przewidywalna. – "(...) niezależny organ ochrony danych osobowych, usytuowany jest poza Radą Ministrów i nie może koordynować zadań strony rządowej w tym zakresie. GIODO ściśle współpracuje natomiast z resortami odpowiedzialnymi za przepisy sektorowe, których zmiany są wymagane w związku z wejściem w życie nowych regulacji UE." – odpowiedział nam Generalny Inspektor.

Mamy lidera

Co jednak było wspólne dla znacznej części odpowiedzi – to odesłanie do Ministerstwa Cyfryzacji jako resortu wiodącego w temacie nowego unijnego rozporządzenia. I faktycznie wdrożenie reformy ochrony danych wymaga dobrego i sprawnego gospodarza. Co to może oznaczać? Modele mogą być różne. Jednym rozwiązaniem jest napisanie na nowo wszystkich przepisów, które w jakiś sposób dotykają ochrony danych osobowych. W praktyce jednak takie rozwiązanie jest niewykonalne – wynika to zarówno z możliwości osobowych, jak i kompetencji resortu cyfryzacji. Realna natomiast wydaje się silna oraz przewodnia rola resortu cyfryzacji. Jednak formalna koordynacja i zorganizowanie kilku spotkań dotyczących reformy to za mało.

Ważne jest zadbanie o spójność kierunku zmian i zachowanie wysokich standardów ochrony praw obywateli w aktach prawnych przygotowywanych w poszczególnych resortach. A to oznacza potrzebę ścisłej i regularnej współpracy, a nie incydentalnego opiniowania aktów prawnych czy kontroli terminowości przygotowywanych projektów. Ministerstwo Anny Streżyńskiej musi opracować taką formułę pracy, która umożliwi zrealizowanie tych celów. Zupełnie inną kwestią jest umożliwienie społecznej kontroli nad całym procesem. Tutaj resort cyfryzacji mógłby np. stworzyć miejsce, gdzie zbierałby wszystkie projekty aktów prawnych, które mają zostać przyjęte w ramach wdrażania reformy.

Bez podjęcia tych niezbędnych starań według najlepszego scenariusza czeka nas bałagan regulacyjny w obszarze ochrony danych. Jednak ryzyka w tej grze są znacznie poważniejsze i mogą bezpośrednio przełożyć się na korzystanie przez obywateli z ich praw. To, że resort cyfryzacji zostanie rzeczywistym i realnym liderem w tym procesie, zależy od woli politycznej. Mamy nadzieję, że minister Anna Streżyńska potraktuje to zadanie priorytetowo – na równi chociażby z informatyzacją administracji publicznej.

* Listę wniosków oraz odpowiedzi uzyskanych od ministerstw, KPRM można znaleźć poniżej

Anna Walkowiak, Jędrzej Niklas

Wysłane wnioski:

Wniosek do Kancelarii Prezesa Rady Ministrów w sprawie reformy ochrony danych [PDF]

Wniosek do Ministerstwa Cyfryzacji w sprawie reformy ochrony danych [PDF] - wnioski o podobnej treści wysłaliśmy do wszystkich ministerstw

Uzyskane odpowiedzi:

Kancelaria Prezesa Rady Ministrów

Ministerstwo Cyfryzacji

Ministerstwo Edukacji Narodowej

Ministerstwo Energii

Ministerstwo Finansów

Ministerstwo Infrastruktury