GIODO krytycznie o zmianach w przepisach sektorowych

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 30 października 2017
GIODO krytycznie o zmianach w przepisach sektorowych

Generalny Inspektor Ochrony Danych Osobowych w piśmie do Ministerstwa Cyfryzacji krytycznie odniósł się do niektórych zmian w przepisach branżowych w związku ze zmianą przepisów o ochronie danych osobowych.

Zdaniem GIODO Ministerstwo Cyfryzacji zaproponowało zmiany w przepisach sektorowych, które obniżą ochronę osób, których dane dotyczą. Wątpliwości generalnego inspektora budzą przede wszystkim zmiany w ustawie o księgach wieczystych i hipotece, ustawie o drogach publicznych, ustawie o prawie autorskim i prawach pokrewnych oraz zmiany proponowane w dużej części ustawy o statystyce publicznej.

Jakie zmiany w statystyce publicznej nie podobają się GIODO

GIODO sprzeciwia się usunięciu ust. 1 w art. 9 ustawy o statystyce publicznej. Stanowi on, że przeprowadzenie spisu powszechnego wymaga odrębnej ustawy. Obowiązujący przepis gwarantował, że przeprowadzenie spisu powszechnego będzie poprzedzone procesem legislacyjnym i przyjęciem przez Sejm i Senat.

GIODO niepokoi również to, że podmioty prowadzące niepubliczne systemy informacyjne w zakresie m.in. telekomunikacji, ubezpieczeń, transportu i zarządzania portami lotniczymi będą miały obowiązek przekazywania lub udostępniania przetwarzanych danych służbom statystyki publicznej. Zdaniem GIODO wskazany cel takiego działania (maksymalne wykorzystanie danych już przetwarzanych w systemach, dążenie do redukowania do niezbędnego minimum obciążeń respondentów przekazywaniem określonych danych bezpośrednio służbom statystyki, ograniczenie kosztów badania) nie jest adekwatne do ilości danych, które będzie mogła pozyskać służba statystyki publicznej bez wiedzy respondenta. GIODO zauważa, że nie ma gwarancji, że wszystkie dane zbierane przez służby statystyki publicznej będą objęte ochroną, jaką gwarantuje tajemnica statystyczna, i będą wykorzystywane wyłącznie do prac statystycznych.

GIODO: Ministerstwo Cyfryzacji nie powinno wyłączać stosowania RODO

Sprzeciw GIODO budzą też przepisy ustawy, które wyłączają stosowanie art. 5, 12–22 oraz 34 RODO do procesów przetwarzania danych osobowych. GIODO przypomina, że art. 23 RODO dotyczy dopuszczalności ograniczenia w prawie państwa członkowskiego zakresu obowiązków i praw przewidzianych w art. 12–22, art. 34, a także w art. 5 oraz wskazuje zasady i warunki takiego ograniczenia. Przepisy prawa krajowego przewidujące ograniczenia w tym zakresie muszą jednocześnie odpowiadać prawom i obowiązkom przewidzianym w art. 12–22, nie mogą naruszać istoty podstawowych praw i wolności oraz muszą stanowić – w demokratycznym społeczeństwie – środek niezbędny i proporcjonalny, służący określonym, wymienionym enumeratywnie w art. 23 ust. 1 wartościom spełniając obligatoryjnie szczegółowe warunki określone w art. 23 ust. 2 RODO.

Istotą tego uprawnienia zdaniem GIODO nie jest wyłączanie stosowania art. 5, 12–22, 34 w sposób, w jaki zrobił to minister cyfryzacji w swoim projekcie ustawy. Organ zauważa, że w większości przypadków projektodawca wyłącza stosowanie tych przepisów bez wskazania uzasadnienia takiego działania oraz analizy, które konkretne przypadki mogą podlegać ograniczeniom. Zdaniem GIODO zmiany te spowodują nieprawidłowe stosowanie przepisów RODO przez wiele podmiotów, zarówno z sektora publicznego, jak i prywatnego.

Szczególny niepokój GIODO budzi wyłączenie w części przepisów zasady rozliczalności. Oznacza ona, że administrator musi być w stanie wykazać, że przetwarzanie danych jest adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których dane są przetwarzane. Zdaniem GIODO zaproponowane wyłączenia stoją również w sprzeczności z zasadą bezpośredniego stosowania prawa wspólnotowego oraz zasadą prymatu prawa wspólnotowego.

GIODO krytykuje też nieprecyzyjne przepisy sektorowe dotyczące retencji (przechowywania) danych. Organ twierdzi, że przepisy te są zbyt lakoniczne, co może prowadzić do przechowywania danych zbędnych do realizacji celu przez zbyt długi okres i tym samym do naruszenia zasady ograniczenia przechowywania.

Zgoda pracownika i pozyskiwanie jego danych biometrycznych

GIODO odniósł się też do zmian w Kodeksie pracy (kp). Wątpliwości organu budzi propozycja pozyskiwania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 kp za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. Zgoda na przetwarzanie danych musi być – według RODO – dobrowolna, konkretna i świadoma. Zdaniem GIODO ciężko mówić o dobrowolności, jeśli zatrudniony wykonuje obowiązki w warunkach podporządkowania pracodawcy lub jest osobą ubiegającą się o pracę u danego pracodawcy. Odmowa zgody nie może powodować negatywnych implikacji dla podmiotu danych. Projektodawca wskazał tę przesłankę w projekcie zmian przepisów, jednak zdaniem GIODO z uwagi na brak równowagi stron pracownicy mogą nie być w stanie swobodnie wyrazić lub cofnąć udzieloną zgodę.

Zastrzeżenia GIODO budzi też możliwość przetwarzania przez pracodawcę danych biometrycznych (jeśli dotyczą one stosunku pracy). Zdaniem organu nie jest jasne, o jakie dane dokładnie chodzi, czyli jakie dane biometryczne dotyczą stosunku pracy. Nie wiadomo także, w jakich przypadkach dane te będą wymagane i przetwarzane. Zaproponowane rozwiązania zdaniem GIODO przeczą wynikającej z RODO zasadzie minimalizacji danych i nie respektują zasady ograniczenia celu.

Zbieranie danych o karalności przez banki

GIODO ma też zastrzeżenia do zmian w Prawie bankowym. Chodzi m.in. o upoważnienie banków do żądania informacji o karalności od pracowników banków i kandydatów na pracowników oraz informacji czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. Przepisy te zdaniem GIODO nie są zgodne z zasadą minimalizacji danych. GIODO zauważa też, że rozwiązania dotyczące pozyskiwania danych biometrycznych są zbyt ogólne.

Udostępnianie numeru PESEL a ochrona prywatności

Zastrzeżenia GIODO budzą też regulacje dotyczące jawności numeru PESEL oraz skala pozyskiwania i wykorzystywania go w kolejnych zbiorach czy rejestrach publicznych. Zdaniem GIODO udostępnianie numeru PESEL może prowadzić do nadmiernej i nieproporcjonalnej ingerencji w prawa osób, których dane znajdują się w różnych zbiorach danych osobowych.

Źródło:
  • Pismo Generalnego Inspektora Ochrony Danych Osobowych do Ministra Cyfryzacji z 20 października 2017 r. w sprawie uwag do projektu ustawy o ochronie danych osobowych i ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych.
Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel