Sejm, 12 lipca 2012

Wystąpienie Generalnego Inspektora Ochrony Danych Osobowych Wojciecha Rafała Wiewiórowskiego:

 

Pani Marszałek! Wysoka Izbo! Panie i Panowie Posłowie!

Mam zaszczyt przedstawić dzisiaj sprawozdanie z działalności organu ochrony danych osobowych za rok 2011 – pierwszy pełny rok kalendarzowy działalności generalnego inspektora ochrony danych osobowych IV kadencji. Sprawozdanie stanowi wykonanie art. 20 ustawy o ochronie danych osobowych, zgodnie z którym generalny inspektor ochrony danych osobowych składa Sejmowi raz w roku sprawozdanie ze swojej działalności wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych. Jest również zgodne z art. 28 ust. 5 dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, który zobowiązuje wszystkie organy ochrony danych osobowych w krajach Unii Europejskiej do przedstawiania swojego sprawozdania organom parlamentarnym.

 

Zadania GIODO wynikają z Konstytucji

 

Generalny inspektor ochrony danych osobowych jest organem zajmującym się zagadnieniami mającymi swoje umocowanie konstytucyjne. Pamiętajmy, że w rozdziale II konstytucji traktującym o prawach i wolnościach obywatelskich znajdują się gwarancje wynikające z art. 47 dotyczącego ochrony prywatności oraz art. 51 dotyczącego wprost ochrony danych osobowych.

Do zadań generalnego inspektora ochrony danych osobowych, które wynikają z art. 12 ustawy o ochronie danych osobowych, w szczególności należy kontrola zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych, wydawanie

decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonywania przepisów o ochronie danych osobowych, zapewnienie wykonywania przez zobowiązanych obowiązków o charakterze niepieniężnych wynikających ze wspomnianych wyżej decyzji, w tym stosowania środków egzekucji administracyjnej przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji, prowadzenie ogólnokrajowego jawnego rejestru zbiorów danych osobowych oraz udzielanie informacji o zarejestrowanych zbiorach, opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych i uczestnictwo w pracach międzynarodowych organizacji i instytucji zajmujących się tymi zagadnieniami.

W ostatnim roku, w roku 2011 mieliśmy do czynienia z kilkoma istotnymi zmianami w przepisach dotyczących ochrony danych osobowych w Polsce.

Przede wszystkim weszły w życie przepisy przewidziane w ustawie o zmianie ustawy o ochronie danych osobowych, które obowiązują od 7 marca 2011 r.

W ramach tychże przepisów pojawiła się właśnie możliwość prowadzenia przez generalnego inspektora ochrony danych osobowych postępowań egzekucyjnych w administracji, prawo kierowania do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, ale również innych jednostek organizacyjnych

oraz osób fizycznych i prawnych wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych. Pojawiły się również przepisy wyjaśniające dotychczas istniejące niejasności co do odwoływania zgody na przetwarzanie danych osobowych.

W tym zakresie wprowadzono do ustawy o ochronie danych osobowych przepis, w którym

ustawodawca wprost potwierdził to, co doktryna nauki prawa uważała za słuszne już od długiego czasu – jeżeli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, ta zgoda może być w każdej chwili wycofana. Do innych zmian należy porzucenie

dość dziwnego i istniejącego tylko w przepisach polskich specjalnego trybu udostępniania przez administratora posiadanych danych w celach innych niż włączenie do zbioru z tego powodu, że podobna regulacja istnieje już w ustawie jako regulacja generalna w art. 23. Stąd też art. 29 i 30 zostały z ustawy usunięte jako te, które nie sprawdziły się w praktyce,

w działaniu generalnego inspektora ochrony danych osobowych.

Należy pamiętać również, że zmiany w przepisach dotyczących ochrony danych osobowych wynikały też z aktów prawnych innych niż ustawa o ochronie danych osobowych. Przykładem jest usunięcie ust. 2 w art. 7 ustawy Prawo działalności gospodarczej, który stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe, które są w niej zawarte, nie podlegają przepisom ustawy o ochronie danych osobowych. Od 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych dotyczą tym samym wszystkich informacji identyfikujących przedsiębiorców w obrocie gospodarczym, nawet jeżeli występują one w owym jawnym rejestrze.

 

Wzrasta świadomość społeczeństwa

 

W okresie, który obejmuje sprawozdanie, nastąpił widoczny wzrost świadomości obywateli w zakresie ochrony danych osobowych i ochrony prywatności. Mówię, że widoczny i bardzo wyraźny, dlatego że wynika to ze statystyk. Przy braku jakichś generalnych załamań na rynku przetwarzania danych, przy braku szokujących zmian, jeżeli chodzi o prawo, mamy bardzo duży wzrost liczby skarg, które wpłynęły do generalnego inspektora ochrony danych osobowych. W roku 2011 zostało przyjętych 1271 tego typu skarg, a np. w roku 2007 było to zaledwie 796 skarg.Jeżeli spojrzymy na pytania dotyczące wyjaśnienia niejasnych przepisów dotyczących przetwarzania danych bądź też prośby o interpretacje, które trafiają do generalnego inspektora, to w roku 2011 było ich 3935, podczas gdy w 2007 r. było ich 1298. Oznacza to trzykrotny wzrost liczby pytań przy braku, jak mówię, jakichś zdecydowanych zmian w systemie prawnym. Oznacza to po prostu, że częściej obywatele pytają o to, jakie są faktycznie ich prawa, i dochodzą ich, kiedy uważają, że prawa te zostały naruszone.

Będące przedmiotem wystąpień generalnego inspektora ochrony danych osobowych nieprawidłowości, które stwierdziliśmy po analizie tychże pytań, które są kierowane do generalnego inspektora ochrony danych osobowych, głównie czy w dużej mierze

wiązały się z brakiem uregulowania trybu postępowania z danymi osobowymi, nieprzestrzeganiem zasad prawidłowego przetwarzania danych oraz przetwarzaniem

danych osobowych przez podmioty nieposiadające do tego wystarczających kompetencji.

Wracając do kwestii skargowych, warto zwrócić uwagę, że w roku 2011 nastąpił wyraźny wzrost liczby skarg, które były skierowane do GIODO, a dotyczyły działalności banków i innych instytucji finansowych.

 

Skargi wobec instytucji finansowych mogą być retorsją

 

Przez kilka ostatnich lat zarówno ja, jak i mój poprzednik informowaliśmy państwa, że liczba

skarg kierowanych przeciwko instytucjom sektora bankowego, sektora finansowego, spada. W tym roku nie mogę tego powiedzieć. Nastąpił wyraźny wzrost o kilkadziesiąt procent tychże skarg, co z jednej strony może być spowodowane generalnym wzrostem liczby skarg, a z drugiej strony może być po części związane z trudniejszą sytuacją na rynku finansowym,

większymi kłopotami z zawieraniem umów o usługi finansowe oraz większą liczbą postępowań, które banki i instytucje finansowe prowadzą przeciwko osobom fizycznym. Tutaj pewnego rodzaju retorsją ze strony osób fizycznych może być zgłaszanie uwag o działalności instytucji finansowych.

 

Praca

 

Warto natomiast zwrócić uwagę na spadek liczby skarg związanych z zatrudnieniem i kwestiami prawa pracy. Tych skarg jeszcze w 2009 r. było około 100, w zeszłym roku było to zaledwie 38 skarg. To po części może wynikać z większej świadomości pracodawców, jeżeli chodzi o ich uprawnienia i jednocześnie obowiązki, ale myślę, że również po części wynika

z ustalonego orzecznictwa sądowego, które wyraźnie wskazuje na to, że w sektorze prawa pracy obowiązują zaostrzone zasady, jeżeli chodzi o ochronę danych pracownika, i szczególne uprawnienia, które spoczywają po stronie pracownika.

Warto również zwrócić uwagę, że wzrasta liczba skarg na działania instytucji zajmujących się przekazywaniem informacji pomiędzy bankami, w szczególności Biura Informacji Kredytowej. Tutaj mamy przede wszystkim problem z aktualizacją danych, które są wprowadzane do zbiorów Biura Informacji Kredytowej, z tym że zazwyczaj błędy te nie leżą po stronie samego Biura Informacji Kredytowej, tylko po stronie banków, które nie aktualizują danych w odpowiednim czasie.

Drugim pod względem liczby skarg sektorem był sektor usług świadczonych drogą elektroniczną. Znowu brak tutaj zaskoczenia, zdajemy sobie bowiem sprawę z tego, że tychże usług świadczonych drogą elektroniczną jest coraz więcej, co też powoduje, że coraz częściej obywatele zostają postawieni w sytuacji, w której ich dane przetwarzane są w sposób,

którego nie oczekiwali od tego, komu te dane powierzyli.

 

IP może wchodzić w skład danych osobowych

 

W tym miejscu chciałbym wspomnieć o przełomowym orzeczeniu Naczelnego Sądu Administracyjnego z dnia 19 maja 2011 r., w którym skład sędziowski jednoznacznie stwierdził, że adres IP, czyli adres, który identyfikuje urządzenie podłączone do sieci,

może stać się daną osobową i może być traktowany jako dane osobowe w systemach teleinformatycznych, jeżeli ten, kto ten adres przetwarza, ma możliwość połączenia go z konkretną osobą fizyczną. Zwracam również uwagę na wzrastającą liczbę skarg związanych

z działalnością wspólnot mieszkaniowych i spółdzielni mieszkaniowych, szczególnie w zakresie, w jakim informacje dotyczące członków wspólnot i członków spółdzielni udzielane są innym podmiotom niż sami uczestnicy wspólnoty czy sami spółdzielcy. Również w sektorze telekomunikacji oraz w sektorze ubezpieczeń społecznych i majątkowych odnotowujemy niewielki wzrost liczby skarg.

 

Osoba publiczna musi być transparentna

 

Wciąż spora grupa skarg dotyczy działalności administracji publicznej. Charakterystyczny jest w tym zakresie problem, który co prawda występuje od wielu lat, ale nasila się w ostatnim czasie, a mianowicie pewnego starcia, jakie pojawia się pomiędzy ideą transparentności życia publicznego a ochroną danych osobowych tych, którzy uczestniczą w sprawowaniu władzy. Chodzi przede wszystkim o zakres informacji udzielanych w ramach dostępu do informacji publicznej w trybie wnioskowym czy w trybie bezwnioskowym na stronach Biuletynu Informacji Publicznej.

Chciałbym bardzo wyraźnie podkreślić, że generalny inspektor ochrony danych osobowych jest ostatnim organem w Polsce, który chciałby, żeby ustawa o ochronie danych osobowych była wykorzystywana do utrudniania obywatelom dostępu do informacji o działalności organów publicznych, które to informacje osoby te mogą uzyskiwać na podstawie ustawy o dostępie do informacji publicznej. Należy podkreślić, że osoby sprawujące funkcje publiczne, również osoby, które pełnią funkcje w urzędach administracji publicznej, powinny zdawać sobie sprawę z tego, że ich prywatność może być ograniczona uprawnieniami obywateli do dostępu do informacji na temat ich działalności, ale również na temat ich zarobków.

 

Kościoły i związki wyznaniowe

 

Należy odnotować wzrost liczby skarg zawierających zarzut przetwarzania danych osobowych przez kościoły i związki wyznaniowe. Skarżący wskazywali w nich na to, iż pomimo złożenia oświadczenia o wystąpieniu z Kościoła bądź związku wyznaniowego – dotyczyło to głównie Kościoła katolickiego – nie została o tym fakcie zamieszczona stosowna adnotacja w księdze chrztów. Z wyjaśnień uzyskanych przez generalnego inspektora ochrony danych osobowych wynikało, że osoby skarżące wciąż są członkami Kościoła katolickiego. W tej sytuacji organ ochrony danych osobowych z reguły umarzał postępowania administracyjne w tych sprawach, wskazując na brak swoich kompetencji i na wyraźne wyłączenie, które znajduje się w ustawie. Niemniej jednak zwracam uwagę – wrócę jeszcze do tej sprawy w podsumowaniu – że mamy bardzo poważny problem z ocenieniem, do jakiego momentu instytucje związane z kościołami i związkami wyznaniowymi mogą powoływać się na to, że osoba jest członkiem Kościoła, i korzystać z wyłączenia znajdującego się w art. 27 ustawy o ochronie danych osobowych, umożliwiającego kościołom i związkom wyznaniowym przetwarzanie danych dotyczących swoich własnych członków.

 

Rejestry

 

Jeżeli chodzi o rejestr zbiorów danych osobowych, który jest prowadzony przez generalnego inspektora ochrony danych osobowych, pragnę zwrócić uwagę na to, że w roku 2011 nastąpił lawinowy wzrost liczby zgłoszeń zbiorów przetwarzanych na terenie Rzeczypospolitej.

O ile w roku 2009 i w roku 2010 liczba zbiorów zgłaszanych rocznie do generalnego inspektora plasowała się na poziomie 8–8,5 tys. zbiorów, o tyle w 2011 r. zgłoszono 15 643 zbiory, co oznacza wzrost o 89%, a w porównaniu do roku 2006 wzrost trzykrotny. W trakcie roku trzykrotnie więcej zbiorów zgłaszanych jest do generalnego inspektora. Co ciekawe, aż 68% tej ogólnej liczby zbiorów stanowią zbiory, które zostały zgłoszone przez administrację

publiczną. To z jednej strony pokazuje, że administracja publiczna zdaje sobie świetnie sprawę z tego, że przetwarza dane osobowe i że te dane osobowe powinny podlegać rygorom ustawy o ochronie danych osobowych. Z drugiej strony jest również świadectwem tego, że działalność polegająca na decentralizacji zadań publicznych przyczynia się do zwiększenia

liczby zbiorów, które są prowadzone na poziomie gmin i powiatów.

Spośród podmiotów sektora publicznego najwięcej zbiorów zgłosiły do rejestracji, podobnie jak w latach ubiegłych, jednostki samorządu terytorialnego, przede wszystkim gminy i powiaty, ale również straże gminne czy ośrodki pomocy społecznej. Natomiast spośród podmiotów prywatnych, tak jak w latach ubiegłych, najwięcej zbiorów zgłosiły podmioty, które do przetwarzania danych osobowych wykorzystują sieć Internet – różnego rodzaju portale społecznościowe, sklepy internetowe i serwisy usług internetowych.

 

Kontrole

 

W odniesieniu do przeprowadzonych przez generalnego inspektora ochrony danych osobowych kontroli należy zauważyć, że mamy do czynienia z pewną utrzymującą się tendencją, utrzymującą się liczbą kontroli realizowanych rocznie przez generalnegoinspektora ochrony danych osobowych. Jest ich z reguły ok. 200. W roku 2011 było ich 199. Nie ukrywam, że moim zdaniem jest to liczba zdecydowanie zbyt niska, jednak nie ma możliwości zwiększenia tej liczby bez albo zmiany przepisów ustawowych umożliwiających

wirtualną kontrolę prowadzoną przez generalnego inspektora ochrony danych osobowych

– taką propozycję wspólnie z Ministerstwem Gospodarki przygotowaliśmy na potrzeby kolejnej ustawy deregulacyjnej – albo zwiększenia środków finansowych, którymi dysponuje generalny inspektor ochrony danych osobowych.

Państwo doskonale zdajecie sobie sprawę z tego, że przeprowadzenie kontroli, szczególnie poza Warszawą, jest po prostu kosztowne. W związku z tym ze względu na to, że nie zmienia się budżet, który możemy przeznaczyć na kontrole, nie zwiększa się niestety liczba kontroli. Mówię „niestety”, ponieważ 199 kontroli w kraju, w którym rocznie zgłaszanych jest 15 600 zbiorów do generalnego inspektora ochrony danych osobowych, to liczba zdecydowanie niewystarczająca.

Prowadzono tak kontrole sektorowe, jak kontrole dotyczące konkretnych zdarzeń, najczęściej wynikające ze skarg. Jeżeli chodzi o kontrole sektorowe, to objęto nimi usługi doradztwa podatkowego i finansowego, podmioty zajmujące się organizacją imprez masowych na stadionach, agencje pośrednictwa pracy, dostawców usług telekomunikacyjnych oraz przedszkola.

W latach 2009–2011 przeprowadzono łącznie 256 kontroli o charakterze kontroli sektorowych. Wciąż jest to zdecydowanie niewystarczająca liczba.

W związku z obecnością Polski w strefie Schengen przeprowadzono również kontrolę przetwarzania danych osobowych w Krajowym Systemie Informacyjnym, KSI, umożliwiającym organom administracji publicznej i organom wymiaru sprawiedliwości wykorzystanie danych gromadzonych w Systemie Informacyjnym Schengen i wizowym systemie informacyjnym.

Oprócz kontroli sektorowych przeprowadzane były również kontrole doraźne w związku ze zleceniami przeprowadzenia kontroli, które, jak mówiłem, w większości wynikały ze skarg.

 

Decyzje

 

Analizując działalność decyzyjną generalnego inspektora ochrony danych osobowych, należy wskazać, że choć liczba decyzji wydawanych przez GIODO spadła, w zeszłym roku było ich 1112, podczas kiedy rok wcześniej było ich 1412, to zmienił się ich charakter.

Mniej decyzji wydawanych jest przy działalności inspekcyjnej i przy rejestrze prowadzonym

przez generalnego inspektora. W przypadku inspekcji wynika to z lepszego przygotowania podmiotów, w których przeprowadzana jest inspekcja, do samego tego procesu, a w przypadku postępowania rejestrowego wprowadzenie systemu teleinformatycznego, poprzez który składa się wnioski rejestrowe, sprawiło, że, z jednej strony, zwiększyła się liczba wniosków, które są wnoszone, z drugiej strony, poprawiła się jakość tych wniosków, ponieważ system przyjmuje wnioski poprawnie wypełnione, mniej jest więc decyzji o ich odrzuceniu ze względów formalnych. Należy natomiast zwrócić uwagę na jedną bardzo istotną kwestię, a mianowicie na to, że zdecydowanie wzrosła liczba decyzji, które wydawane są w postępowaniach, które zostały wszczęte na podstawie skargi obywateli.

Tutaj mamy wzrost. O ile takich decyzji było nieco ponad 300 w roku 2010, to w tej chwili rocznie jest to już ponad 500 decyzji wynikających wprost z działalności skargowej. To, z jednej strony, oznacza dużo większy nakład pracy po stronie biura generalnego inspektora ochrony danych osobowych, bo to są decyzje, które wymagają przeprowadzenia całościowego postępowania administracyjnego, wraz z wyjaśnieniem sytuacji wszystkich stron tego postępowania, z drugiej strony, wskazuje na to, że skargi, z którymi zwracają się obywatele do generalnego inspektora, są bardziej trafione. Nie ukrywam, że wiele skarg dotyczy kwestii, którymi generalny inspektor ochrony danych osobowych nie powinien się zajmować, ponieważ dotyczy to raczej naruszenia dóbr osobistych niż naruszenia zasad ochrony danych osobowych.

W tej chwili tych skarg, które zwracają uwagę na rzeczywiście istniejące problemy, jest więcej.

 

Współpraca

 

Jeśli chodzi o współpracę tak z Sejmem, jak przede wszystkim z Radą Ministrów w zakresie tworzenia aktów prawnych utrzymuje się tendencja zgłaszania mniej więcej 600 aktów prawnych rocznie do opiniowania generalnemu inspektorowi ochrony danych osobowych.

W roku 2011 603 akty wpłynęły do generalnego inspektora ochrony danych osobowych. Warto jednakowoż zwrócić uwagę, że wiele z tych aktów dotyczyło tworzenia megabaz danych osobowych, zwłaszcza baz, które są prowadzone przy pomocy systemów teleinformatycznych umożliwiających koncentrację bądź przynajmniej logiczne wiązanie, kojarzenie danych rozproszonych po różnych zbiorach istniejących na terenie całej Polski. Istnienie takich baz może, z jednej strony, wzmacniać bezpieczeństwo systemu, z drugiej jednak strony, doprowadza do sytuacji, w której bardzo wiele podmiotów uzyskuje dostęp do bardzo szerokiego zakresu danych gromadzonych do tej pory w sposób zdecentralizowany.

Przykładem takich baz istniejących od dawna jest choćby Krajowy System Informacyjny Policji, do którego wciąż generalny inspektor ochrony danych osobowych zgłasza wiele zastrzeżeń, przede wszystkim w zakresie okresu przechowywania danych w tymże systemie. Warto jednak zwrócić uwagę, że w 2011 r. powstało kilka nowych systemów tego typu. Tu na

uwagę zasługują przede wszystkim system informacji oświatowej, systemy informacji medycznej, zintegrowany system informacji o nieruchomościach, Centralny Rejestr Podmiotów Krajowej Ewidencji Podatników, który został rozbudowany w stosunku do KEP-u istniejącego do tej pory i uzyskał również pewne nowe funkcjonalności.

 

Oświata

 

Pozwólcie państwo, że zatrzymam się na moment przy systemie informacji oświatowej, zwracając uwagę na problem, który jest problem na linii generalny inspektor ochrony danych osobowych, z jednej strony, z drugiej strony – Sejm bądź raczej Rada Ministrów proponująca pewnego rodzaju rozwiązania Sejmowi. Dzisiaj w godzinach popołudniowych odbędzie się posiedzenie komisji sejmowej, która zajmie się rewizją ustawy o systemie informacji oświatowej.

Ta rewizja będzie polegała na zapewnieniu większej ochrony danym osobowym, które w systemie informacji oświatowej są gromadzone. W 2011 r. uchwalono ustawę o systemie informacji oświatowej. W trakcie prac nad tą ustawą przekonywano generalnego inspektora ochrony danych osobowych, że tak jak to jest wymagane w art. 31 Konstytucji RP istnieje konieczność wprowadzenia do polskiego systemu prawnego proponowanych wówczas rozwiązań, gdyż nie ma możliwości zrealizowania zadania państwowego bez ich wprowadzenia. Dziś, w rok po tym, kiedy generalny inspektor ochrony danych osobowych zgodził się z tym stwierdzeniem Rady Ministrów, że rzeczywiście istnieje taka niezbędna potrzeba wprowadzenia tego typu rozwiązania, spotykamy się ponownie w Sejmie, tym razem żeby zadecydować, że jednak nie było takiej konieczności, że taka konieczność nie występowała wówczas i jest możliwość lepszej ochrony prywatności, lepszej ochrony danych osobowych w sytuacji wprowadzenia systemu informacji oświatowej.

Staję więc dzisiaj w dość trudnej sytuacji, ponieważ, z jednej strony, cieszę się z tego, że lepiej będą chronione dane uczniów i dane nauczycieli, z drugiej jednak strony rok temu uczestniczyłem w postępowaniu, w którym zgodziłem się na to, że coś jest niezbędne z punktu widzenia naszego państwa i wypełnia wskazania znajdujące się w art. 31 ustawy o ochronie dnach osobowych.

 

Projekty

 

Jeśli chodzi generalnie o projekty opiniowane przez generalnego inspektora, problemy, na które najczęściej zwracamy uwagę, to brak doprecyzowania zakresu przetwarzanych danych osobowych, regulowanie kwestii ochrony danych osobowych w aktach o randze niższej niż ustawa – to jest bardzo poważny problem i bardzo często występujący wbrew wyraźnym wskazaniom konstytucyjnym – brak określenia terminu przetwarzania danych osobowych lub wskazanie nieproporcjonalnie długiego terminu bądź też tendencji do ingerencji w prawo ochrony danych osobowych argumentowanej koniecznością usprawnienia działalności danej instytucji.

Przypominam raz jeszcze, że to, że coś będzie działało sprawniej albo bardziej efektywnie, nie jest wystarczającą przesłanką do ingerencji w prawa i wolności obywatelskie, ponownie na podstawie art. 31 Konstytucji Rzeczypospolitej Polskiej. Niezadowalająca jest również wiedza osób, których dane osobowe są przetwarzane w zbiorach danych, na temat ich praw do kontroli danych, ich praw do dostępu do danych o nich, które gromadzone są w tychże systemach.

Warto jednak zwrócić uwagę, że generalny inspektor ochrony danych osobowych jest jedynie organem opiniodawczym w procesie stanowienia prawa, w związku z czym niekiedy opinie

generalnego inspektora ochrony danych osobowych nie są ostatecznie brane pod uwagę przy tworzeniu aktów prawnych, choć przyznaję, że w przypadku aktów prawnych, które przyjmowane są przez Sejm, jest to sytuacja wyjątkowo rzadka i naprawdę na palcach jednej ręki można byłoby policzyć sytuacje, w których wbrew wyraźnej opinii generalnego inspektora ochrony danych osobowych Sejm zadecydował, że pewne rozwiązanie powinno zostać przyjęte. Podobnym przypadkiem, o którym wspominałem w przypadku systemu informacji oświatowej, były kwestie związane ze zmianą ustawy o Najwyższej Izbie Kontroli, gdzie tym razem wbrew stanowisku generalnego inspektora ochrony danych osobowych, jeszcze mojego poprzednika, wprowadzono dla NIK możliwość przetwarzania szerokiej gamy danych wrażliwych, podczas kiedy w 2011 r. rozpoczęły się działania zmierzające do ograniczenia tej liczby danych, tego zakresu danych, które będą przetwarzane przez Najwyższą Izbę Kontroli.

 

Znikoma szkodliwość społeczna

 

Inna ważna kwestia, na którą warto zwrócić uwagę w przypadku sprawozdania generalnego inspektora ochrony danych osobowych, w ostatnich latach spada liczba zawiadomień o popełnieniu przestępstwa, które składane są przez generalnego inspektora ochrony danych osobowych do organów ścigania, i nie ukrywam, że jest to po części związane z tym, że ten sposób dochodzenia odpowiedzialności za łamanie ustawy o ochronie danych osobowych nie sprawdza się. Bardzo często sprawy są umarzane ze względu na to, że uznaje się, że mają one znikomą szkodliwość społeczną.

 

Edukacja

 

Bardzo rozbudowana była w ostatnim roku działalność edukacyjna generalnego inspektora ochrony danych osobowych. Ta działalność informacyjna, edukacyjna doprowadziła również do wzrostu statystyk, o których wspominałem państwu wcześniej. Zwrócę państwa uwagę na kilka działań, które podejmujemy, działań, które są prowadzone wspólnie z samorządowymi ośrodkami doskonalenia zawodowego nauczycieli, wraz z którymi GIODO prowadzi na zasadzie partnerstwa ogólnopolski program edukacyjny „Twoje dane – twoja sprawa”. Na uwagę zasługują również cyklicznie organizowane kampanie edukacyjne z okazji Dnia Ochrony Danych Osobowych, Tygodnia Zapobiegania Kradzieży Tożsamości, Dnia Bezpiecznego Internetu, podczas których wspólnie z innymi podmiotami podejmujemy działania dla różnych grup społecznych.

Prowadzimy również program partnerski w ramach projektu Leonardo da Vinci „Postrzeganie zagadnień związanych z ochroną danych i prywatnością przez dzieci i młodzież”, to również było jedno z ważniejszych działań w 2011 r.

 

Działalność międzynarodowa

 

Zwracając uwagę na działalność międzynarodową generalnego inspektora ochrony danych osobowych, nie sposób pominąć aktywności organu związanej z przewodnictwem Polski w Radzie Unii Europejskiej.

Przedstawiciele generalnego inspektora ochrony danych osobowych byli członkami korpusu prezydencji, którego zadaniem było uczestnictwo w koordynacji prac grup roboczych Rady Unii Europejskiej. W okresie prezydencji GIODO wzmocnił współpracę z organami administracji rządowej, przede wszystkim z Ministerstwem Spraw Wewnętrznych i Administracji, które było resortem wiodącym w odniesieniu do Grupy Roboczej Rady Unii Europejskiej ds. Wymiany Informacji i Ochrony Danych, to jest tzw. grupa DAPIX. W działalności tejże grupy przedstawiciele GIODO uczestniczą jako eksperci, wraz z przedstawicielami administracji rządowej. Podczas polskiej prezydencji generalny inspektor ochrony danych osobowych był również organizatorem międzynarodowej konferencji o ochronie danych osobowych, która odbyła się w Warszawie we wrześniu 2011 r., współorganizowanej z węgierskim organem ochrony danych osobowych oraz tamtejszym ministerstwem sprawiedliwości i ministerstwem sprawiedliwości Hiszpanii.

Ponadto generalny inspektor ochrony danych osobowych uczestniczył aktywnie w VI Europejskiej Konferencji Ministerialnej „Transgraniczne usługi e-administracji dla Europejczyków”, jednym z większych wydarzeń polskiej prezydencji, która odbyła się w Poznaniu. Oczywiście uczestniczyliśmy również w działaniach Grupy Roboczej Art. 29, czyli grupy zrzeszającej wszystkie organy ochrony danych osobowych w Unii Europejskiej.

Największym wyzwaniem dla nas w 2011 r., utrzymującym się resztą do dnia dzisiejszego, jest konieczność ogarnięcia zmian technologicznych i technicznych, które mają miejsce na rynku, zrozumienia ich wystarczająco dobrze, aby można było ocenić kwestie związane z ochroną danych osobowych i ochroną prywatności, jakie mogą pojawić się przy tego typu

działaniach. Jest to o tyle istotne, że musimy zwracać uwagę na rozwój takich tendencji i takich paradygmatów w prawie ochrony danych osobowych, jak choćby prywatność w fazie projektowania, czyli tzw. privacy by design, który zmusza również generalnego inspektora ochrony danych osobowych do tego, żeby ingerował w pewnego rodzaju rozwiązania technologiczne, już w momencie kiedy tworzone są ich założenia. To jest szczególnie istotne w przypadku tych dużych systemów megabaz, o których wspomniałem państwu przed chwilą, ale również takich działań jak np. aktualne zmiany w Prawie energetycznym, które mają prowadzić do stworzenia rozwiązań smartgridowych i smartmeteringowych dotyczących

inteligentnych sieci przesyłowych, inteligentnych liczników energetycznych, co wymaga od

generalnego inspektora ochrony danych osobowych zrozumienia konstrukcji tego zagadnienia i próby ingerencji czy też pewnego rodzaju doradztwa przynajmniej tam, gdzie okazuje się, że inteligentne sieci czy inteligentne liczniki zbierają dane, które niewątpliwie są danymi osobowymi.

 

ACTA

 

Warto również zwrócić uwagę na czujność, jaką generalny inspektor ochrony danych osobowych musi wykazywać w przypadku działań, które nie są do końca transparentne, a występują w naszym kraju. Oczywiście najważniejszym przykładem z roku 2011 i roku 2012 była kwestia konwencji ACTA, czyli umowy handlowej dotyczącej zwalczania obrotu towarami podrobionymi. Nie wdając się w dyskusję na temat tego problemu, pragnę zwrócić uwagę, że generalny inspektor ochrony danych osobowych starał się pozostać na bieżąco z wszystkimi działaniami podejmowanymi przez Unię Europejską i polskie państwo w sprawie przyjęcia konwencji ACTA, a również monitorować działania, które mogły być związane z przyjęciem tego aktu prawnego. Co prawda sprawa

konwencji ACTA jest dla nas najczęściej zdarzeniem, które kojarzymy ze styczniem 2012 r., ale w pracach generalnego inspektora ochrony danych osobowych była ona przede wszystkim wyraźna w roku 2011. Wówczas bowiem Ministerstwo Kultury i Dziedzictwa Narodowego, poza pracą dotyczącą tejże konwencji, przygotowywało również dokument „Porozumienie o współpracy i wzajemnej pomocy w sprawie ochrony praw własności intelektualnej w środowisku cyfrowym”, który wzbudził zaniepokojenie generalnego inspektora ochrony danych osobowych. Miał on być swoistym wypełnieniem nieistniejącej, niepodpisanej jeszcze przez Polskę konwencji ACTA.Tę sprawę zgłosiła nam jedna z organizacji, która była w jakimś stopniu zmuszona do uczestniczenia w pracach nad tym porozumieniem, i po interwencji generalnego inspektora ochrony danych osobowych minister kultury i dziedzictwa narodowego wstrzymał prace nad tym porozumieniem do momentu pojawienia się prawidłowych podstaw prawnych do jego prowadzenia. W związku z chyba już ostatecznym upadkiem umowy ACTA możemy powiedzieć, że te podstawy

prawne się nie pojawią, czyli dobrze, że nie pojawiło się porozumienie, które nie miało podstaw prawnych w listopadzie 2011 r., gdyż te podstawy prawne w 2012 r. zostały ostatecznie odrzucone przez Unię Europejską.

 

Cloud computing i in.

 

Podsumowując, zwrócę państwa uwagę na pewne kwestie, z którymi będziemy się stykali w najbliższym czasie. Otóż w 2011 r. rozpoczęły się już prace nad reformą prawa ochrony danych osobowych w Unii Europejskiej. Reformą, która ma zastąpić dotychczas istniejącą dyrektywę z roku 1995 dwoma aktami prawnymi statuującymi nowy ogólnoeuropejski system ochrony danych osobowych. Co prawda te akty, projekty oficjalnych aktów pojawiły się dopiero w styczniu w roku 2012, ale przygotowania do nich trwały przez cały 2011 r., w związku z czym już wówczas, a może nawet szczególnie wówczas generalny inspektor ochrony danych osobowych był zaangażowany w procedury związane z przygotowywaniem

treści projektu komisyjnego. W tej chwili nad projektem Komisji obradują Rada oraz Parlament Europejski. W opinii generalnego inspektora ochrony danych osobowych zmiany proponowane przez Komisję Europejską stanowią solidną podstawę europejskich ram regulacyjnych i powinny skutecznie chronić prawo do ochrony danych osobowych, ale podkreślamy potrzebę kontynuacji prac nad ostatecznym kształtem tego reżimu z tego powodu, że wciąż jest w nim jeszcze wiele spraw, które należałoby poprawić.

Do nowych kwestii, na które w 2011 r. patrzyliśmy w troszeczkę dalszej perspektywie, czyli w perspektywie zdarzeń, które będą miały miejsce w kolejnych latach, zaliczyłbym przede wszystkim kwestie związane z biometrią i jej zastosowaniem w poszczególnych sektorach gospodarki, cloud computingu, czyli przetwarzaniu danych w chmurze. To zresztą zakończyło się przyjęciem już w kwietniu 2012 r. memorandum sopockiego, bo akurat w Sopocie je podpisywaliśmy, międzynarodowej grupy ds. ochrony prywatności w telekomunikacji, czyli tzw. grupy berlińskiej.

Również tzw. Internet przedmiotów oraz RFID były jednymi z głównych zagadnień przyszłościowych podejmowanych w 2011 r., także inteligentne liczniki energetyczne, o których państwu już tutaj wspomniałem.

Warto również zwrócić uwagę, że w 2011 r. generalny inspektor ochrony danych osobowych przygotował dokumenty, które miały umożliwić jeszcze wówczas Ministerstwu Spraw Wewnętrznych i Administracji przygotowanie ustawy dotyczącej monitoringu wizyjnego. Generalny inspektor przygotował dokument, przekazując go w sierpniu, przedstawiający uzasadnienie i wstępne założenia prac mających na celu uregulowanie zasad stosowania monitoringu wizyjnego w Polsce. O ile wiemy, ten dokument jest w tej chwili jedną z podstaw prac Ministerstwa Spraw Wewnętrznych nad przygotowaniem odpowiedniego rozwiązania prawnego. Wspomniałem państwu o problemie przetwarzania danych osobowych przez kościoły i inne związki wyznaniowe. Proszę pozwolić mi uzupełnić to jeszcze informacją, że napotykamy tutaj dwa podstawowe problemy, z którymi, jako GIODO, musimy się zmierzyć. Po pierwsze, ustawodawca polski ograniczył uprawnienia organu kontroli danych osobowych w stosunku do kontroli przetwarzania danych przez kościoły i inne związki wyznaniowe. Nie mamy prawa wydawania decyzji w tym zakresie. Nie mamy

prawa prowadzenia inspekcji, co powoduje, że jedynym działaniem, które może być podejmowane przez GIODO, jest żądanie wyjaśnień co do sposobu przetwarzania tychże danych.

Drugim problemem jest natomiast to, że nie mamy możliwości określenia, od którego momentu powinny występować publicznoprawne i cywilnoprawne skutki wystąpienia z Kościoła lub związku wyznaniowego. Zagadnienie formy wystąpienia z Kościoła lub związku wyznaniowego znacząco przekracza uprawnienia generalnego inspektora ochrony danych osobowych i zdecydowanie pozostaje wyłącznie w gestii ustrojodawcy i ustawodawcy, czyli w gestii parlamentu.

 

Apostazja

 

Warto jednak zwrócić uwagę, że de lege ferenda trzeba byłoby zastanowić się nad tym, od kiedy powinniśmy uwzględniać publicznoprawne i cywilnoprawne skutki wystąpienia z Kościoła lub związku wyznaniowego, bo nie mam żadnej wątpliwości, że kościoły i związki wyznaniowe nie mają szczególnych praw do przetwarzania danych osobowych osób, które były kiedyś ich członkami, a z takiego Kościoła czy związku wyznaniowego wystąpiły. Mają natomiast niewątpliwie prawo do przechowywania danych, które zostały zgromadzone w trakcie przynależności takiej osoby do Kościoła lub związku wyznaniowego.

W tej sprawie zresztą generalny inspektor ochrony danych osobowych swoje stanowisko przedstawił, ostatecznie podsumowując również orzeczenia wydane w 2011 r. i 2012 r. przez sądy administracyjne. Przekazał opinię na ten temat ministrowi administracji i cyfryzacji w kwietniu 2012 r. W opinii generalnego inspektora ochrony danych osobowych autonomia kościołów i związków wyznaniowych, która jest gwarantowana przez konstytucję, nie wyklucza innego uregulowania kwestii uprawnień kontrolnych GIODO i kwestii związanych z rejestracją zbiorów danych osobowych prowadzonych przez kościoły i związki wyznaniowe oraz wydawania decyzji administracyjnych wobec kościołów i związków wyznaniowych. To jest sprawa, która przy kolejnej nowelizacji powinna być przez Wysoką Izbę wzięta pod uwagę i rozpatrzona, bo jak mówię, jedynym podmiotem, który ma prawo decydować o stosunkach państwo – Kościół w tym zakresie, jest niewątpliwie ustrojodawca i ustawodawca.

Podsumowując, wśród zasygnalizowanych kierunków działań organu na przyszłość priorytetem będzie intensyfikacja prac nad wdrożeniem nowych ram prawnych ochrony danych osobowych, tak aby przeszły one próbę czasu i obowiązywały przez wiele lat. Po drugie, po zakończeniu tychże reform poziom ochrony danych osobowych, poziom ochrony prywatności powinien być co najmniej taki sam, jak w tej chwili, ale już w nowym cywilizacyjnie świecie. Natomiast w niektórych przypadkach powinien zostać zdecydowanie podniesiony.

 

Trzeba powiększyć zatrudnienie

 

Zadania realizowane przez generalnego inspektora danych osobowych realizowane są przy niepowiększonej od dwóch lat liczbie pracowników biura generalnego inspektora i przy praktycznie takim samym budżecie. Wprowadzanie nowych obowiązków, wprowadzanie również nowych wymogów dotyczących opiniowania przez generalnego inspektora ochrony danych osobowych działań, które są prowadzone na bardzo rozwijającym się rynku przetwarzania danych, w tej sytuacji jest mocno utrudnione. Biuro ma możliwość działania, ale nie ma żadnej możliwości rozwoju w obecnej chwili i nie ukrywam, że sytuacja finansowa biura i jego pracowników powoduje, że przekształcamy się z wolna w instytucję edukacyjną, która edukuje kadry dla biznesu. To znaczy przychodzą do nas ludzie, którzy u nas uczą się tego, w jaki sposób powinni radzić sobie z bardzo trudnym rynkiem przetwarzania informacji. Natomiast nie jesteśmy w stanie zatrzymać specjalistów w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Ci specjaliści przechodzą do podmiotów przetwarzających dane osobowe i tworzących systemy teleinformatyczne, co generalnie nie jest złym rozwiązaniem, bo mają tam przynajmniej ludzi z pewnym poczuciem, że problem ochrony danych osobowych jest jednym z ważniejszych, który powinien być rozpatrywany na rynku. Tym niemniej utrudnia to znacząco działania generalnego inspektora ochrony danych osobowych, szczególnie że ta wiedza, którą uzyskują u nas prawnicy o informatyce, informatycy o prawie oraz przedstawiciele innych dziedzin o informatyce i o prawie, jest wiedzą, której nigdy nie uzyskają oni na żadnych studiach podyplomowych ani na żadnej uczelni. W tej sytuacji, jak mówię, po części zaczynamy przekształcać się w instytucję edukacyjną, od której jednak wymaga się działania jako organu państwowego, wydawania decyzji i prowadzenia postępowań.

Dziękuję bardzo, pani marszałek.

 

                                                                                                   

                                                                                                                                                                                     

 

16.07 2012