Wystąpienie do minister cyfryzacji w sprawie nowych unijnych przepisów o ochronie danych osobowych
Rzecznik Praw Obywatelskich z uwagą obserwuje proces przygotowywania oraz wdrażania reformy systemu ochrony danych osobowych w UE od 2012 r., czyli od przedstawienia pierwszych wersji projektów aktów prawnych Unii Europejskiej w tym zakresie.
Reforma - rozporządzenie unijne - wejdzie w życie w przyszłym roku, została wypracowana wspólnie przez wszystkie państwa Unii, w tym Polskę, która w tym procesie brała bardzo aktywny udział. Istotą zmiany jest to, że nie tylko uwzględnia ona zmiany związane z rozwojem technologii cyfrowych, ale także wprowadza jednolite zasady dla całej Unii Europejskiej (dotychczas każdy kraj, a nawet land miał swoje odrębne regulacje).
Ze względu na wagę reformy RPO na bieżąco analizuje wszystkie informacje, raporty ze spotkań, czy doniesienia medialne dotyczące prac przygotowawczych do stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia o dyrektywy 95/46/WE (dalej jako: rodo).
Publicznie informacje, m.in. na stronach internetowych Ministerstwa Cyfryzacji oraz Generalnego Inspektora Ochrony Danych Osobowych, nie usuwają jednak wszystkich wątpliwości, jakie w tej sprawie się pojawiają.
Z udostępnionego przez resort cyfryzacji projektu ustawy o ochronie danych osobowych wynika jasno, że w planach jest utworzenie nowego organu ochrony danych osobowych. Projekt przewiduje zmianę nazwy organu – z dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych – na Prezesa Urzędu Ochrony Danych Osobowych, lecz nie zawiera propozycji przepisów ustrojowych, dotyczących przyszłej instytucji odpowiedzialnej za ochronę danych osobowych.
Oprócz kwestii praw podmiotów danych, całego systemu dochodzenia praw przez jednostkę, szczególne znaczenie – ze względu na konieczność zapewnienia efektywnego systemu ochrony danych osobowych – Rzecznik przywiązuje do kwestii funkcjonowania niezależnego organu ochrony danych osobowych. Przepisy ustrojowe w powyższym zakresie powinny być zatem przygotowane jak najszybciej. Państwo zobowiązane jest zagwarantować organowi prawną możliwość wykonywania określonych zadań w sposób wolny od ingerencji ze strony innych podmiotów. Niezależne organy ochrony danych osobowych są strażnikami prawa do ochrony danych osobowych, a ich funkcjonowanie w państwach członkowskich UE jest niezbędnym ogniwem systemu ochrony jednostek w związku z przetwarzaniem ich danych.
Należy przy tym zaznaczyć, że nawet potencjalny polityczny wpływ innych organów może skutkować zaistnieniem po stronie organu ochrony danych osobowych tzw. „przewidywanego posłuszeństwa” (ang. prior compliance). Brak pewności co do przyszłości organu i obsługującego go urzędu może wywoływać skutki, które wiązać się będą z ograniczeniem jego niezależności. Sytuacja, w której sam organ nie ma jasności co do przyszłości, a przepisy tworzone są bez odpowiednich konsultacji, nie może być oceniona jako prawidłowa w kontekście przepisów zarówno obowiązującej nadal dyrektywy 95/46/WE, jak i przepisów rodo. Konieczne jest, by organ ochrony danych osobowych miał możliwość wywarcia wpływu na proponowane rozwiązania, a także by mógł podjąć działania, które umożliwią mu prawidłowe funkcjonowanie w momencie rozpoczęcia stosowania nowych przepisów.
Rzecznik zwrócił się do Minister z prośbą o dodatkowe informacje w sprawie planów co do pozycji ustrojowej organu ochrony danych osobowych w związku z wejściem w życie rodo, stosowaniem rodo do kościołów i związków wyznaniowych oraz koniecznością wdrożenia dyrektywy policyjnej.