Jakie uwagi do zmian w przepisach o ochronie danych przedstawił GIODO

Zdaniem GIODO przepisy nowej ustawy o ochronie danych osobowych nie gwarantują nowemu organowi ochrony danych (Prezes Urzędu Ochrony Danych Osobowych) niezależności. Przede wszystkim ze względu na rozwiązania w zakresie zasad wyboru organu nadzorczego oraz jego zastępców i brak przepisów, które zapewnią poszanowanie kadencji dotychczasowego organu. GIODO twierdzi, że zaproponowany model powoływania osoby pełniącej funkcję organu nadzorczego istotnie obniża dotychczasowy standard ustrojowy, który zapewniał gwarancje niezależności organu ochrony danych osobowych.

Zdaniem GIODO nowy organ nadzorczy nie będzie też miał swobody w wyborze swojego personelu, gdyż jedynie premier będzie mógł powołać jego zastępców na wniosek dwóch ministrów: cyfryzacji oraz spraw wewnętrznych i administracji. Wątpliwości GIODO budzi też zapis, który pozwala na wskazanie przez premiera zastępcy Prezesa UODO, który pełniłby jego obowiązki, w przypadku jego odwołania.

GIODO podkreśla, że obniżenie wieku dziecka, w którym samodzielnie może ono wyrazić zgodę na przetwarzanie danych w przypadku usług społeczeństwa informacyjnego, jest niezasadne. Zdaniem organu dziecko, nie mając świadomości konsekwencji swoich działań, może ujawnić swoją sferę prywatną i dane zaliczające się do szczególnej kategorii danych. GIODO zaznacza też, że w projekcie nie odniesiono się np. do kwestii cofnięcia zgody, złożenia skargi przez dziecko, którego dane osobowe zostały naruszone w związku z wyrażoną wcześniej zgodą, bądź skorzystania z innych uprawnień przysługujących osobie, której dane dotyczą.

GIODO nie podoba się całkowite wyłączenie wobec organów publicznych stosowania administracyjnych kar pieniężnych. Organ sugeruje, aby w stosunku do ogółu podmiotów sektora publicznego czterdziestokrotnie zmniejszyć maksymalny wymiar administracyjnej kary pieniężnej w stosunku do limitów wyznaczonych przez RODO. Administracyjna kara pieniężna przewidziana dla podmiotów publicznych w wysokości do 100 tys. zł w sytuacji, kiedy RODO przewiduje maksymalnie 20 mln euro, jest zdaniem GIODO dosyć kontrowersyjna. Zaproponowana maksymalna wysokość kary administracyjnej dla podmiotów publicznych jest zbyt niska i istnieje ryzyko, że kary w takiej wysokości nie spełnią ani funkcji represyjnej, ani funkcji prewencyjnej – uważa organ i dodaje, że kara administracyjna w wysokości do 100 tys. zł nie będzie skuteczna, proporcjonalna i odstraszająca.

GIODO sprzeciwia się usunięciu ust. 1 w art. 9 ustawy o statystyce publicznej. Stanowi on, że przeprowadzenie spisu powszechnego wymaga odrębnej ustawy. Obowiązujący przepis gwarantował, że przeprowadzenie spisu powszechnego będzie poprzedzone procesem legislacyjnym i przyjęciem przez Sejm i Senat. GIODO niepokoi również to, że podmioty prowadzące niepubliczne systemy informacyjne będą miały obowiązek przekazywania lub udostępniania przetwarzanych danych służbom statystyki publicznej. Zdaniem GIODO wskazany cel takiego działania nie jest adekwatny do ilości danych, które będzie mogła pozyskać służba statystyki publicznej bez wiedzy respondenta.

Sprzeciw GIODO budzą też przepisy ustawy, które wyłączają stosowanie art. 5, 12–22 oraz 34 RODO do procesów przetwarzania danych osobowych. Organ zauważa, że w większości przypadków projektodawca wyłącza stosowanie tych przepisów bez wskazania uzasadnienia takiego działania oraz analizy, które konkretne przypadki mogą podlegać ograniczeniom. Zdaniem GIODO zmiany te spowodują nieprawidłowe stosowanie przepisów RODO przez wiele podmiotów, zarówno z sektora publicznego, jak i prywatnego. Szczególny niepokój GIODO budzi wyłączenie w części przepisów zasady rozliczalności. Zdaniem GIODO zaproponowane wyłączenia stoją również w sprzeczności z zasadą bezpośredniego stosowania prawa wspólnotowego oraz zasadą prymatu prawa wspólnotowego.

GIODO krytykuje też nieprecyzyjne przepisy sektorowe dotyczące retencji (przechowywania) danych. Organ twierdzi, że przepisy te są zbyt lakoniczne, co może prowadzić do przechowywania danych zbędnych do realizacji celu przez zbyt długi okres i tym samym do naruszenia zasady ograniczenia przechowywania.

Wątpliwości organu budzi też propozycja pozyskiwania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 Kodeksu pracy za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. Zdaniem GIODO ciężko mówić o dobrowolności zgody, jeśli zatrudniony wykonuje obowiązki w warunkach podporządkowania pracodawcy lub jest osobą ubiegającą się o pracę u niego. Zdaniem GIODO z uwagi na brak równowagi stron pracownicy mogą nie być w stanie swobodnie wyrazić lub cofnąć udzieloną zgodę.

Zastrzeżenia GIODO budzi też możliwość przetwarzania przez pracodawcę danych biometrycznych (jeśli dotyczą one stosunku pracy). Zdaniem organu nie jest jasne, o jakie dane dokładnie chodzi, czyli jakie dane biometryczne dotyczą stosunku pracy. Nie wiadomo także, w jakich przypadkach dane te będą wymagane i przetwarzane. Zaproponowane rozwiązania zdaniem GIODO przeczą wynikającej z RODO zasadzie minimalizacji danych i nie respektują zasady ograniczenia celu.

GIODO ma też zastrzeżenia do zmian w Prawie bankowym. Chodzi m.in. o upoważnienie banków do żądania informacji o karalności od pracowników banków i kandydatów na pracowników oraz informacji czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. Przepisy te zdaniem GIODO nie są zgodne z zasadą minimalizacji danych. GIODO zauważa też, że rozwiązania dotyczące pozyskiwania danych biometrycznych są zbyt ogólne.