Miesięcznik informatyków i menedżerów IT sektora publicznego

Grzegorz Sibiga

Przepisy uzupełniające o ochronie danych

W ustawie z dnia 21 lutego 2019 r. znowelizowano aż 162 ustawy, z których znaczna część istotnie zmieniła zasady przetwarzania i ochrony danych osobowych w podmiotach wykonujących zadania publiczne. Charakteryzują się one ogromną różnorodnością.

Minął już rok od uchwalenia, a 4 maja minie rok od obowiązywania ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; DzU z 2019 r., poz. 730). W istocie ustawa zmieniła w różnym zakresie kolejne 162 ustawy, a jednocześnie wpływa ona na wydawanie dalszych przepisów wykonawczych na podstawie tych ustaw. W projekcie ustawy tłumaczy się, że jej celem jest dostosowanie polskiego porządku prawnego do rodo, a drugim „dostosowanie rodo (przez implementację wymagających tego przepisów) do specyfiki polskiego porządku prawnego” (por. uzasadnienie s. 9 na itwa.pl/id). Stąd zdarza się, że ustawa z dnia 21 lutego 2019 r. jest nazywana „ustawą dostosowawczą” lub „ustawą dostosowującą”.

Oba stanowiska przedstawiające cele ustawy do pewnego stopnia są mylne. Nie jest wymagana „implementacja rodo” poprzez omawianą ustawę, ponieważ rodo wiąże bezpośrednio jego adresatów i nie występuje potrzeba dodatkowej implementacji1. Do wykonywania rodo niezbędne były – o czym przesądzały przepisy zawarte w samym rodo – krajowe (lokalne) regulacje prawne dotyczące funkcjonowania organu nadzorczego oraz procedur, w których wykonywane są zasady (obowiązki i prawa) określone w rodo2. Takie regulacje zostały już przyjęte w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. DzU z 2019 r., poz. 1781). Oczywiście także samo rodo nie wymaga dostosowania do polskiego porządku prawnego; możemy jedynie mówić o pewnych możliwościach ustanawiania w prawie krajowym podstaw prawnych przetwarzania danych osobowych czy określania sposobów wykonania obowiązków i uprawnień ustalonych w rodo, a nawet ograniczania ich obowiązywania. W związku z tym należy uznać, że ustawa z dnia 21 lutego 2019 r. zmieniająca liczne dalsze ustawy nie była aktem wymaganym ani koniecznym do stosowania rodo w naszym kraju. Tymczasem w wyniku tej ustawy otrzymaliśmy prawdziwą mozaikę aktów ustawowych, które, biorąc pod uwagę zarówno przedmiot zmian, jak i adresatów nowych przepisów, oczywiście pełnią znaczącą rolę w krajowym porządku prawnym w zakresie przetwarzania i ochrony danych osobowych.

Kto podlega przepisom

Bardzo różny jest podmiotowy zakres stosowania znowelizowanych ustaw, ponieważ każdorazowo jest on określany w zmienianej ustawie. Znacząca część tych ustaw odnosi się tylko do wykonywania obowiązków z rodo przez wskazane podmioty publiczne. Samo rodo posługuje się zwrotami „organy publiczne” (art. 6 ust. 1 akapit drugi) oraz „organy i podmioty publiczne” (art. 37 ust. 1 lit. a, art. 83 ust. 7). Jednak wydaje się, że nie to było przyczyną nowelizacji ustaw, ale problemy związane ze stosowaniem zasad ochrony danych osobowych przez konkretne podmioty publiczne działające na podstawie określonych ustaw. Wśród nich są podmioty (jednostki) przetwarzające dane osobowe w tak znaczącej skali jak ZUS czy GUS, ale również stosunkowo niewielkie jednostki, np. Narodowy Instytut Fryderyka Chopina.

Do znowelizowanych ustaw, które mają najszerszą podmiotowo moc stosowania dla sektora publicznego, w zakresie spraw w nich określonych, zaliczymy:

  • ustawa z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (tekst jedn. DzU z 2020 r., poz. 256),
  • ustawa z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (tekst jedn. DzU z 2019 r., poz. 1438 ze zm.),
  • ustawa z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (tekst jedn. DzU z 2019 r., poz. 900 ze zm.),
  • ustawa z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (tekst jedn. DzU z 2019 r., poz. 1843),
  • ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (tekst jedn. DzU z 2020 r., poz. 164),
  • ustawa z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 (tekst jedn. DzU z 2018 r., poz. 1431 ze zm.),
  • ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. DzU z 2020 r., poz. 346 ze zm.),
  • ustawa z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (tekst jedn. DzU z 2019 r., poz. 1446).

W przypadku ostatniej z wymienionych ustaw zaskakujące jest, że nie dokonano równocześnie zmian w drugiej ustawie regulującej powszechne prawa do informacji, tj. w ustawie z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn. DzU z 2019 r., poz. 1429; dalej: udip). Ustawy o dostępie do informacji publicznej oraz o ponownym wykorzystywaniu informacji sektora publicznego (ISP) pozostają ze sobą ściśle powiązane, ponieważ re-use opiera się na systemie dostępowym (tj. przepisach o dostępie do informacji publicznej) i pozostaje bez uszczerbku dla tego systemu. Ustawa o dostępie do informacji publicznej obejmuje swoim zakresem bardzo szeroki katalog podmiotów, tj. wszystkie, które wykonują zadania publiczne (art. 4 ust. 1 tej ustawy). Akurat określone ukształtowanie treści tych przepisów krajowych jest wymagane w rodo. W art. 86 rodo wymaga się „pogodzenia” w prawie krajowym lub unijnym ze sobą dwóch praw: publicznego dostępu do dokumentów urzędowych oraz ochrony danych osobowych na mocy rodo. W motywie 154 (zd. czwarte) rodo wyjaśnia się, że chodzi o „pogodzenie” prawa do ochrony danych osobowych zarówno z ponownym wykorzystywaniem ISP, jak i publicznym dostępem do dokumentów urzędowych (czyli w polskim prawodawstwie – dostępem do informacji publicznej). Tymczasem w udip nie określono relacji do prawa do ochrony danych w kształcie ustanowionym w rodo (a jedynie do prawa do prywatności), co powoduje niewykonanie wymogu określonego w art. 86 rodo. Wobec tego relacja powyższych dwóch uprawnień powinna być określana nie tylko w oparciu o wskazane prawo do prywatności, ale również na podstawie przepisów samego rodo3.

[...]

Autor jest adwokatem, partnerem odpowiedzialnym za praktykę ochrony danych osobowych w Kancelarii Traple Konarski Podrecki i Wspólnicy oraz kierownikiem Zakładu Prawa Administracyjnego w INP PAN.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej