Ministerstwo Cyfryzacji rzetelnie prowadzi prace nad RODO. Odpowiedź na tekst Artura Grabka w tygodniku „Wprost”

Artykuł

Na łamach tygodnika „Wprost” został opublikowany tekst Artura Grabka Streżyńska w opałach, w którym pojawiają się poważne zarzuty pod adresem Ministerstwa Cyfryzacji w związku z pracami nad wdrożeniem europejskiego rozporządzenia o ochronie danych osobowych (RODO). Autor sugeruje, że na kształt zaproponowanych przepisów miały wpływ przede wszystkim środowiska biznesowe, a prace nad nimi nie były prowadzone w przejrzysty i profesjonalny sposób. Ta teza rażąco rozmija się z naszym doświadczeniem jako organizacji społecznej od początku zaangażowanej w polskie prace nad wdrożeniem RODO.

Z racji na swoją misję – ochrony praw i wolności człowieka w kontekście współczesnych form nadzoru – Fundacja Panoptykon monitorowała prace legislacyjne nad RODO od samego początku, jeszcze na poziomie Unii Europejskiej. Uznaliśmy ten proces za kluczowy ze względu na związaną z nim szansę zmodernizowania przepisów chroniących prywatność, szczególnie w kontekście usług internetowych, ale też ze względu na ryzyko, że zostanie on wykorzystany przez lobby biznesowe do ochrony partykularnych interesów. Na przestrzeni ostatnich lat na naszej stronie opublikowaliśmy kilkadziesiąt tekstów informacyjnych, stanowisk i komentarzy, w których ocenialiśmy postępy prac i proponowane przepisy. Zawsze, kiedy dostrzegaliśmy, że decydenci polityczni nadmiernie ulegają wpływom biznesu, dawaliśmy temu mocny wyraz.

Doświadczenia Fundacji Panoptykon z prac nad wdrożeniem RODO nie potwierdzają tezy „Wprost”, jakoby był to proces zdominowany przez biznes.

Chcemy podkreślić, że nasze doświadczenia ze współpracy z Ministerstwem Cyfryzacji są bardzo pozytywne. Na tle innych ministerstw ta instytucja wyróżnia się dużą otwartością na głos organizacji społecznych, przejrzystością działania i poważnym podejściem do konsultacji publicznych. Od początku kadencji obecnego rządu żaden inny projekt, nad którym mieliśmy szansę pracować, nie był tak szeroko i rzetelnie konsultowany. Ministerstwo Cyfryzacji zadbało o to, by prace nad wdrożeniem RODO nie były prowadzone pod presją czasu, dając wszystkim interesariuszom ponad 30 dni na przedstawienie swoich stanowisk. Eksperci Ministerstwa Cyfryzacji od miesięcy nagłaśniali podstawowe założenia reformy i planowane w związku z nią działania rządu w mediach, co również sprzyjało przejrzystości i społecznemu zaangażowaniu.

Nasze doświadczenia z prac nad polskimi przepisami wdrażającymi RODO nie potwierdzają tezy stawianej przez „Wprost”, jakoby był to proces zdominowany przez środowiska biznesowe lub prowadzony w nieprzejrzysty sposób. Chcemy też podkreślić, że merytoryczny zespół, koordynowany przez dr. Macieja Kaweckiego, ma w tym obszarze duże doświadczenie i mocne kompetencje. Te same osoby były odpowiedzialne za ochronę danych osobowych z ramienia Ministerstwa Cyfryzacji w poprzedniej kadencji rządu, kiedy to przedmiotem spotkań roboczych i konsultacji było wypracowanie polskiego stanowiska do projektu rozporządzenia. Również na tym etapie standard pracy w Ministerstwie Cyfryzacji był bardzo wysoki.

Jak napisaliśmy w swojej opinii do projektów ustaw wdrażających RODO, zostały one dobrze przygotowane przez Ministerstwo Cyfryzacji. Na pozytywną ocenę zasługują w szczególności:

  • wprowadzenie możliwości nakładania kar finansowych także na organy publiczne;
  • propozycja zwiększenia budżetu nowego urzędu odpowiedzialnego za egzekwowanie RODO;
  • sensownie zaprojektowana i obiecująca większą sprawność procedura obsługi skarg od obywateli.

Decydująca rola prezesa Rady Ministrów w wyborze PUODO osłabia jego pozycję względem administracji rządowej i stawia pod znakiem zapytania jego niezależność.

W krytycznej części opinii zwróciliśmy szczególną uwagę na ukształtowanie procedury wyboru prezesa Urzędu Ochrony Danych Osobowych (PUODO) oraz jego zastępców. Naszym zdaniem decydująca rola prezesa Rady Ministrów w wyborze prezesa Urzędu osłabia jego pozycję względem administracji rządowej i stawia pod znakiem zapytania jego niezależność. Ryzyko braku niezależności prezesa względem administracji rządowej wzmacnia zaproponowany sposób wyboru jego zastępców. Zgodnie z obowiązującą dzisiaj ustawą o ochronie danych osobowych zastępcy GIODO powoływani są na wniosek GIODO przez marszałka Sejmu. Tymczasem projekt zakłada powoływanie zastępców przez prezesa Rady Ministrów na wniosek ministra właściwego do spraw informatyzacji lub ministra spraw wewnętrznych. Wobec takiego kształtu zaproponowanych przepisów trudno przyjąć – jak sugeruje „Wprost” – że są one wynikiem skutecznego lobbingu ze strony biznesu. Pomysłodawców ograniczenia niezależności PUODO należy raczej szukać w tych organach władzy, które dzięki takiej zmianie zyskują polityczny wpływ.

Wszystkim zainteresowanym merytoryczną oceną przepisów wypracowanych przez Ministerstwo Cyfryzacji polecamy pełną wersję naszej opinii i zapoznanie się z dokumentami źródłowymi, które zostały opublikowane na stronach Ministerstwa.

Katarzyna Szymielewicz

Komentarze

Sam projekt faktycznie jest bardzo transparentny.
Ale czemu uparto się na tę biometrię dozwoloną dla każdego, przecież to całkowicie niezgodne z duchem GDPR!

Wszak, widać, że nawet nie czytałeś GDPR. Rozporządzenia nie zakazuje biometrii, a projekt Uodo zawiera zapisów, że "każdy może". Biometria od lat jest stosowana w biznesie i nie tylko tam. Trzeba ja uregulować i do pierwszy krok. I zaznaczam, że nie ma jej w projekcie Uodo opracowanej prze MC, tylko w projekcie Kodeku pracy, więc to zupełnie inne ministerstwo.

Gdzie mogę znaleźć dobre, merytoryczne debaty zwolenników i przeciwników RODO? Albo różnych wariantów tego prawa? Po polsku lub po angielsku.

Fundacjo, chciałabym tu zapytać odnośnie tego cytatu:

Biometria od lat jest stosowana w biznesie i nie tylko tam. Trzeba ja uregulować i do pierwszy krok. I zaznaczam, że nie ma jej w projekcie Uodo opracowanej prze MC, tylko w projekcie Kodeku pracy, więc to zupełnie inne ministerstwo.

Czy rzeczywiście w projekcie KP znajduje się wzmianka o stosowaniu biometrii? Czy nie za daleko wychodzimy? Czy mogę prosić o link do tego projektu?

http://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1072706,biometri...

Mam ochotę rzucać ku**ami. Fundacjo, dlaczego o tym nie piszecie? Przecież w pracy nie ma czegoś takiego jak dobrowolna zgoda. Zawsze przetwarzali nadmierne ilości danych (m.in. odciski palców, zdjęcia, skany dowodów, nazwisko rodowe matki), a teraz dostajemy jako pracownicy cudzysłowiowego k****a karnego? Prawda jest taka, że nawet gdyby przy każdym przyjęciu do pracy musiał być obecny jakiś kontroler z zewnątrz, to zwolnią po okresie próbnym przy braku zgody. W końcu powodu nie muszą podawać, a jak się ich do tego zmusi, to zawsze ktoś stawi się po stronie pracodawcy i powie - zakłócanie spokoju - dosyć częsty powód dzisiejszych czasów w stosunku do pracowników chronionych.

@JutroKtośPrzyjdzie Skąd wniosek, że *nie* piszemy na ten temat? Oczywiście, że piszemy! To jedna z trzech najważniejszych rzeczy, na które zwaraliśmy uwagę w krytycznej częśći naszej opinii do polskich przepisów wdrażających RODO [https://panoptykon.org/sites/default/files/stanowiska/panoptykon_mc_opin.... Temat "dokręcania śruby" w relacjach pracy pojawia się też w ostatnim tekście: https://panoptykon.org/wiadomosc/reforma-ochrony-danych-osobowych-jest-d.... Nie odpuszczamy takich rzeczy. Zobaczymy, co na tę krytykę rząd.

@le_clochard Hmmm, nie znamy portalu, który zbiera opinie "za i przeciw" i skupia się właśnie na RODO. W mediach pojawiają się teksty z róźnych perspektyw, ale trudno wskazać te najbardziej reprezentatywne. Może pomocny będzie ten portal (oferuje wsparcie w implementacji), bo przynajmniej w jednym miejscu linkuje do różnych zasobów: https://www.eugdpr.org/more-resources-1.html

Zbieranie danych biometrycznych jest okropne, nie tylko przez pracodawców.

Uważam, że powinien obowiązywać absolutny zakaz gromadzenia danych biometrycznych (typu odciski palców czy wizerunek twarzy) WSZĘDZIE - także przez służby graniczne, urzędy paszportowe czy policję. Jedyny wyjątek: osoby podejrzane o popełnienie przestępstw oraz prawomocnie skazane, z tym że ich dane usuwałoby się z baz państwowych natychmiast po uniewinnieniu oraz po zatarciu skazania.

Zbieranie takiej biometrii przez pracodawców, urzędy paszportowe czy służby graniczne to bardzo, bardzo niebezpieczny trend - te bazy już wkrótce zostaną użyte do permanentnego namierzania po wizerunku twarzy (kamery monitoringu) - w Stanach Zjednoczonych już tak się dzieje i nic z tym się, póki co, nie da zrobić, bo bazy danych już są:
https://arstechnica.com/tech-policy/2016/10/the-perpetual-lineup-half-of...

A nasze odciski palców przecież pozostają (i to na dość długo, zależy od materiału i warunków atmosferycznych) na każdym przedmiocie, którego dotykamy!

Nie wiem dlaczego jeden z moich komentarzy nie uległ publikacji (gdzie przyznałam się, że mi umknęło). Faktycznie Panoptykon pisał o tym, jednak nie jako oddzielny artykuł. Dodam więc tu jeszcze swoje spostrzeżenia, konkretnie fotografii i monitoringu wizyjnego.

Fakt dużym nietaktem jest mówienie tylko o monitoringu wizyjnym bez dopisania "audio-". Co do monitoringu maila jestem sceptyczna - nie to że chcę by pracodawca czytał moje maile, ale zwyczajnie facebooka czy maila powinno się otwierać na własnym sprzęcie - wtedy pracodawca nic nie zobaczy więc niejako mamy wybór - jednak informować o takim monitoringu powinien. Przy monitoringu audiowizualnym lub szpiegowaniu zachowań na komputerze pracowniczym - tej możliwości nie mamy, ale przejdę do sedna.

Każdy monitoring wizyjny zawiera dane osobowe. Wg definicji daną osobową identyfikującą osobę jest każda dana, która w określonym społeczeństwie (tu w pracy i poza nią) pozwala zidentyfikować osobę. Mamy tu dane biometryczne - wizerunek twarzy. Dzięki Facedeals można z takimi ujęciami odnaleźć profile społecznościowe osób, gdy te nawet ukrywają się pod pseudonimami przed pracodawcą. Tak więc nie ma czegoś takiego jak nagrania monitoringowe bez danych osobowych, jeżeli w kadrze znajdzie się człowiek.

Podkreślę tu, że rozkład takich rzeczy jak pieprzyki, kształt twarzy, geometria twarzy sa rzeczami charakterystycznymi dla człowieka - są niczym wytatuowany numer identyfikacyjny, który tymbardziej trudno zakryć, że makijaż nie zakryje wypukłych pieprzyków ani nie zmieni geometrii twarzy (ujęcia 3D - człowiek jest w ruchu).

Tu przykład jak zdemaskowano aktorkę - wcale nie popularną mimo, ze początkowo ta chciała zachować anonimowość. Na koniec nic jej nie pozostało niż ujawnienie się, bo i tak już wszyscy znali jej dane.
theoryofconspiracybyamelie.blogspot.com/2016/05/teoria-2-kraina-grzybow.html (wystarczy pobieżnie przejrzeć obrazki by zrozumieć o co chodzi) - niestety tu zapomniano wspomniane pieprzyki uniewidocznić lub wyciąć już z samych nagrań.

Z nagrań tych, jeżeli np. ktoś ma popsute zęby lub inne choroby (np. toczeń rumieniowaty) - będą też zebrane dane medyczne - stan zdrowia danej osoby, a może nawet stan zamożności. Dotyczy to też już samych zdjęć tej osoby, nie tylko nagrań.

Proszę nie zapominać o wskazanym aspekcie - układ znamion na twarzy, które prawie każdy ma. Nawet jak je usunie mogą pozostać blizny więc...

Z tego wynika, że prosty morał: Pracodawcy powinny należeć się imię, nazwisko i PESEL oraz numer dowodu - potrzebne do zgłoszeń ZUS, podatków itp. Reszta danych - imiona i nazwiska rodziców, miejsce urodzenia, nazwisko rodowe, odciski palców, fotografie - to powinno zostać jasno prawnie zakazane i być karane, zaś na obywatela przerzucony obowiązek informowania ZUS o zmianach w stanie "dzietności" itp., aby ZUS ubezpieczył. W końcu ZUS ma informację, że osoba pracuje, zaś na podstawie aktu urodzenie, który i tak trzeba dostarczyć - urząd ZUS uwiarygodni sobie te dane i dopisze. Pracodawca powinien na piśmie mieć obowiązek informowania o tym jak poprawnie te obowiązki dokonać - już w pierwszym dniu pracy. Moim zdaniem przy przeciętnej zmienności stanu rodzinnego w Polsce - nie jest to nadmierny wydatek dla szarego Kowalskiego, a zabezpieczy go przed ściąganiem Big Data z pracowników. Nie można mówić o domniemanych zgodach, bo równości na linii pracownik, pracodawca nigdy nie będzie.

Dodatkowo o ogólną zawiść wśród pracowników oraz fakt, że na rynku są produkty Google i Microsoftu o horrendalnej polityce prywatności - pracownik powinien na kwestionariuszu osobowym mieć rubrykę do wpisania dwuczłonowego pseudonimu, którym zostanie przestawiony "kolegom" oraz systemowi pracowniczemu (maile, konta Windows, komunikatory, "intranet" itp.). Bez żadnych zdjęć - już krytycznie o tym mówił GIODO.

PESELe należy zlikwidować, wystarczy numer dowodu/paszportu. W razie kradzieży danych numer PESEL jest niezmienialny, a nowy dowód/paszport da się wyrobić. Jest to wystarczający powód, by raz na zawsze znieść numery nadawane ludziom niczym więźniom w Oświęcimiu.

Katarzyno, niestety ale to PESEL identyfikuje nas w urzędzie skarbowym, stąd to pracodawcy trzeba zostawić. Praktycznie wszędzie jesteśmy identyfikowani po PESELu. A co do zmiany PESELu - ciekawe jak Państwo potraktowałoby obywatela, który udawałby, że nie wie skąd się wziął lub faktycznie straciłby pamięć. Nikt by go nie rozpoznał, stałoby się to daleko itd.

Katarzyno, uwierz, że już lepszy ten PESEL niż czip w [nie powiem w co] lub w łapę lub tatuaż (niekoniecznie widzialny w świetle normalnym) na czole. Faktem jest jednak, że PESEL powinien być zmieniany, gdy publicznie wycieknie lub wycieknie w ataku hakerskim. Tylko niestety nasz PESEL ma za mało cyfr by zaspokoić taką potrzebę, ponieważ nadaje się go nie tylko Polakom, ale tez uchodźcom i osobom mającym zamiar w Polsce przebywać dłużej - potrzebny jest do dowodu osobistego.

Niestety, ale o tym już tu pisano lub na niebezpieczniku. W Polsce odkąd są wydawane nowe dowody osobiste - wizerunki twarzy tych osób też trafiają do "kartoteki" (bazy danych. Tak więc pytanie, czy u nas tez już nie jest za późno. Podobno te wizerunki już Policja wykorzystywała do namierzania osób na demonstracjach.

> PESEL identyfikuje nas w urzędzie skarbowym, stąd to pracodawcy trzeba zostawić

W obecnym stanie prawnym tak. Ale docelowo też uważam, że trzeba się numerów PESEL pozbyć całkowicie, przyczyny wyjaśniła Katarzyna powyżej.

> Faktem jest jednak, że PESEL powinien być zmieniany, gdy publicznie wycieknie lub wycieknie w ataku hakerskim

I dlatego, żeby nie trzeba bawić się w osobne zmienianie, wystaczy numer dowodu bądź paszportu.

> W Polsce odkąd są wydawane nowe dowody osobiste - wizerunki twarzy
> tych osób też trafiają do "kartoteki" (bazy danych. Tak więc pytanie, czy
> u nas tez już nie jest za późno. Podobno te wizerunki już Policja wykorzystywała
> do namierzania osób na demonstracjach

Są na świecie takie państwa, gdzie wizerunki twarzy obywateli nie są przechowywane w bazach danych. Niestety, Polska do nich nie należy.

Może poza konserwatywnymi liberałami, którzy są marginesem, nie znam takiej siły politycznej w naszym nieszczęśliwym kraju, która odważyłaby się zadbać o prywatność jego mieszkańców na serio (tzn. likwidując połowę baz danych, a resztę odchudzając jak tylko się da), a nie tylko produkować coraz to nowe przepisy ochronno-kontrolująco-raportujące, zamiast po prostu wielu danych nie zbierać.

Argument, że "biometria jest już używana", "od tego nie uciekniemy" itd. jest z gruntu fałszywy. Od przestępstw też nie uciekniemy, ale je zwalczamy, a nie legalizujemy.

Dodaj komentarz