odo

UWAGI DO PROJEKTU UODO Z DNIA 28 MARCA 2017 R.

Dodano: Sierpień 11, 2017 Kategoria: Wszystkie wpisy Autor: dr Dominik Lubasz

W dniu 28 marca br. Ministerstwo Cyfryzacji opublikowało roboczy projekt ustawy o ochronie danych osobowych (dalej „Projekt”). Pierwszoplanowym celem proponowanej ustawy jest dostosowanie ustawodawstwa krajowego do przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej „RODO”).

Do dnia opracowania niniejszych uwag nie zostały udostępnione uzupełniające wersje pierwotnego projektu. Jest to o tyle istotne, że zaprezentowany przez Ministerstwo projekt zawiera istotne luki w materii regulacyjnej.

Autorami opracowania są: radca prawny dr Dominik Lubasz, Katarzyna Witkowska oraz radca prawny Dominik Sęczkowski.

UWAGI OGÓLNE

W pierwszej kolejności wskazać należy, iż  przedstawiony przez Ministra Cyfryzacji dokument na zaprezentowanym etapie nie posiada systematyki ani kompletności projektu ustawy.

Naszym zdaniem, niezbędne jest przede wszystkim wprowadzanie przepisów o charakterze ogólnym, zakreślających podstawowe i ogólne elementy aktu prawnego, w szczególności zakres regulacji i ewentualne pojęcia. Rozważyć należy również odesłanie co najmniej do definicyjnej warstwy rozporządzenia 2016/679. Obecne przepisy zatytułowane jako „Przepisy ogólne” nie mogą być uznane za spełniające powyższe funkcje i dotykające wskazanej problematyki regulacyjnej.

Ponadto, projekt uzupełnić należy również w zakresie szczegółowej regulacji – w tym, a może przede wszystkim, obligatoryjnym z punktu widzenia wymogów rozporządzenia, np. w zakresie przepisów regulujących ustrój organu nadzoru (art. 51 i n. RODO).

Na analizowanym etapie brak jest także kluczowych dla stosowalności rozporządzenia przepisów zmieniających – nie tylko ze względu na ocenę zasadności i zakresu skorzystania przez ustawodawcę z kompetencji przyznanych mu na mocy przepisów rozporządzenia, ale także np. ze względu na zmienione przesłanki legalizacyjne, w szczególności ograniczenia przesłanki z art. 6 ust. 1 lit. c, zgodnie z którą przetwarzanie jest dopuszczalne, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, a zatem pozbawienie jej elementu uprawnienia w stosunku do art. 23 ust. 1 pkt 2 u.o.d.o.

Dla konstrukcji, a w konsekwencji oceny przedstawionego projektu aktu prawnego znaczenie ma także motyw 8 rozporządzenia, który stanowi, iż zakresie, w jakim akt ten dopuszcza doprecyzowanie lub zawężenie jego przepisów przez prawo państw członkowskich, mogą one – o ile jest to niezbędne, by krajowe przepisy były spójne i zrozumiałe dla osób, do których mają zastosowanie – włączyć elementy niniejszego rozporządzenia do swego prawa krajowego. Z tej perspektywy, w naszej opinii, warto rozważyć wkomponowanie w przepisy projektowanej ustawy, zwłaszcza w zakresie dotyczącym ustroju organu ochrony danych, regulacji rozporządzenia, czego obecnie brakuje. Zapewni to naszym zdaniem łatwiejsze stosowanie przepisów i ich klarowniejszy charakter dla odbiorców norm.

Projektowaną regulację ocenić należy także przez pryzmat stosunkowo szerokich, jak na wykorzystany na płaszczyźnie unijnej akt prawny (jakim jest rozporządzanie stosowane bezpośrednio we wszystkich państwach członkowskich), przyznanych ustawodawcom krajowym kompetencji regulacyjnych. Podstawę dla ingerencji ustawowej znajdujemy m.in. przy precyzowaniu niektórych przesłanek  przetwarzania (art. 4 pkt 7, art. 6 ust. 2, art. 9 ust. 2 i 4, art. 10. Art. 35 ust. 10, art. 36 ust. 5). Z kompetencji tej Minister Cyfryzacji w zasadzie nie skorzystał projektując oceniany akt prawny. A szkoda!

W projekcie nie zostały także przewidziane żadne rozwiązania ograniczające zakres praw i obowiązków zgodnie z art. 23 rozporządzenia, z uwagi na m.in. bezpieczeństwo narodowe, zapobiegania przestępczości itp. Co więcej, we wstępie do ustawy próżno szukać takich odniesień i rozważań. Równocześnie utrzymanie dotychczasowych przepisów wprowadzających takie ograniczenia, np. w ustawie o policji, ABW itp. w zakresie choćby obowiązków informacyjnych, wymaga jednak oceny zgodności z wymogami określonymi w rozporządzeniu, poprzedzonej pogłębioną analizą zgodności.

Ostatecznie w projekcie brak jest także rozwiązań pokrywających lukę prawną w zakresie ochrony danych osobowych, która powstanie po uchyleniu ustawy o ochronie danych osobowych z 1997 r. w stosunku do działań  nie objętych regulacją ogólnego rozporządzenia o ochronie danych. Zgodnie bowiem z art. 2 ust. 2 lit. a rozporządzenia poza zakresem zastosowania tego aktu są zagadnienia związane z przetwarzaniem danych osobowych w ramach działalności nieobjętej zakresem prawa Unii.

AUTORZY: 

dr-dominik-lubasz

dr Dominik Lubasz 

katarzyna-witkowska

Katarzyna Witkowska 

 

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

dr-dominik-lubasz

dr Dominik Lubasz
Wspólnik, Radca prawny
dominik.lubasz@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej