Poselski projekt ustawy o zmianie ustawy o ochronie danych osobowych
projekt dotyczy włączenia zbiorów danych osobowych przetwarzanych przez kościoły i związki wyznaniowe pod kontrolę GIODO
- Kadencja sejmu: 7
- Nr druku: 668
- Data wpłynięcia: 2012-06-12
- Uchwalenie: sprawa niezamknięta
668
• Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października
1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L 281 z
23.11.1995, str. 31, polskie wydanie specjalne rozdz. 13, t. 15, s. 355 ), zwana
dalej „dyrektywą 95/46/WE”. Z punktu widzenia opiniowanej nowelizacji na
uwagę zasługuje, że ustawa stanowi akt implementujący dyrektywę 95/46/WE,
co ustawodawca zaznaczył dodając w jej tytule potwierdzający to odnośnik.
Celem dyrektywy 95/46/WE jest zobowiązanie państw członkowskich do
ochrony praw podstawowych i wolności osób fizycznych, w szczególności ich
prawa do prywatności w odniesieniu do przetwarzania danych osobowych (art.
1 ust. 1 dyrektywy 95/46/WE). Dyrektywa ta ma zastosowanie do
przetwarzania danych osobowych w całości lub w części w sposób
automatyczny oraz innego przetwarzania danych osobowych, stanowiących
część zbioru danych lub mających stanowić część zbioru danych. Dyrektywa
określa również dwa przypadki, w których nie ma ona zastosowania. Ma to
miejsce: 1) w ramach działalności wykraczającej poza zakres prawa
Wspólnoty, jak np. dotyczy danych dotyczących prawa karnego,
bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (dawne
Tytuły V i VI TUE ustanawiające przepisy dotyczące Współpracy
Zagranicznej i Bezpieczeństwa oraz Współpracy Policyjnej i Sądowej w
Sprawach Karnych) oraz 2) danych przetwarzanych przez osobę fizyczną w
trakcie czynności o czysto osobistym lub domowym charakterze (art. 3 ust. 2
dyrektywy 95/46/WE).
Dyrektywa zakazuje państwom członkowskich przetwarzania określonych
kategorii danych osobowych. Państwa członkowskie nie mogą zatem
przetwarzać danych osobowych ujawniających pochodzenie rasowe lub
etniczne, opinie polityczne, przekonania religijne lub filozoficzne,
przynależność do związków zawodowych oraz danych dotyczących zdrowia i
życia seksualnego (art. 8 ust. 1 dyrektywy 95/46/WE). Z punktu widzenia
opiniowanego projektu ustawy na uwagę zasługuje derogacja od tego zakazu,
uwzględniona w art. 8 ust. 2 pkt d dyrektywy 95/46/WE. Przewiduje on, że
3 Odnośnik tek został dodany mocą art. 13 ustawy z dnia 24 sierpnia 2007 r. o zmianie niektórych ustaw w związku
z członkostwem Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. z 2007, Nr 176 poz. 1238).
4 Przetwarzanie danych osobowych oznacza każdą operację lub zestaw operacji dokonywanych na danych
osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja,
porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie,
ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie,
blokowanie, usuwanie lub niszczenie (art. 2 lit. b dyrektywy 95/46/WE)
5 Dane osobowe w rozumieniu tej dyrektywy to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej; osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić
bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka
szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub
społeczną tożsamość (art. 2 lit. a dyrektywy 95/46/WE)
6 Zbiór danych oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych
kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie (art. 2 lit. c
dyrektywy 95/46/WE).
3
zakaz przetwarzania powyżej określonych kategorii danych osobowych nie ma
zastosowania w przypadku, gdy przetwarzanie danych jest dokonywane w
ramach legalnej działalności wspartej odpowiednimi gwarancjami przez
fundację, stowarzyszenie lub inną instytucję nienastawioną na osiąganie zysku,
której cele mają charakter polityczny, filozoficzny, religijny lub związkowy,
pod warunkiem, że przetwarzanie danych odnosi się wyłącznie do członków tej
instytucji lub osób mających z nią regularny kontakt w związku z jej celami
oraz, że dane nie zostaną ujawnione osobie trzeciej bez zgody osób, których
dane dotyczą. Ponadto, pod warunkiem ustanowienia odpowiednich środków
zabezpieczających państwa członkowskie mogą, ze względu na istotny interes
publiczny, ustalić dodatkowe wyłączenia (art. 8 ust. 4 dyrektywy 95/46/WE).
Skorzystanie z powyższych derogacji jest notyfikowane Komisji (art. 8 ust. 6
dyrektywy 95/46/WE).
Dyrektywa nakłada na państwa członkowskie wiele zobowiązań
dotyczących ochrony danych. Ich zakres wyznacza ramy uprawnień osób
fizycznych i prawnych (jednostek) do domagania się ochrony ich danych
osobowych przez państwa członkowskie. Najogólniej, dyrektywa wymaga,
państwa członkowskie zapewniały jednostkom prawo dostępu do informacji,
które ich dotyczą, prawo do zweryfikowania tych informacji i sprawdzenia ich
prawdziwości oraz prawo sprzeciwu co do przetwarzania danych, które ich
dotyczą. Państwa Członkowskie zapewniają, że każdej osobie, która poniosła
szkodę wskutek przetwarzania danych osobowych naruszającego ustanowione
wymogi ochrony, przysługuje od administratora tych danych odszkodowanie
za poniesioną szkodę. Państwa członkowskie mają też przyjąć środki w celu
zapewnienia realizacji przepisów dyrektywy, w tym w szczególności określić
sankcje nakładane za naruszenia przepisów tej dyrektywy, a osobom, które
poniosły szkodę wskutek niezgodnej z prawem operacji przetwarzania danych
lub innej czynności niezgodnej z przepisami krajowymi przyjętymi zgodnie z
niniejszą dyrektywą, zapewnić możliwość dochodzenia odszkodowania od
administratora danych osobowych (art. 23 i 24 dyrektywy 95/46/WE).
Państwa członkowskie upoważnione są ograniczyć zakres uprawnień
jednostek gwarantowanych im na mocy dyrektywy 95/46/WE, jeżeli jest to
konieczne dla zabezpieczenia: 1) bezpieczeństwa narodowego, 2) obronności,
3) bezpieczeństwa publicznego, 4) czynności prowadzonych w sprawach
karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających
regulacji, 5) ważnego interesu ekonomicznego lub finansowego państwa
członkowskiego lub UE, 6) funkcji kontrolnych, inspekcyjnych i regulacyjnych
związanych wykonywaniem władzy publicznej w określonych sferach oraz 7)
ochrony osoby, której dane dotyczą oraz praw i wolności innych osób (art. 13
ust. 1 dyrektywy 95/46/WE).
7 Sfery te to: bezpieczeństwo publiczne, czynności prowadzone w sprawach karnych lub sprawach o naruszenie
zasad etyki w zawodach podlegających regulacji i ważny interes ekonomiczny lub finansowy państwa
członkowskiego lub UE.
4
Państwa członkowskie zobowiązane są zapewnić, by jeden lub więcej
organów publicznych był odpowiedzialny za kontrolę stosowania na jego
terytorium przepisów przyjętych przez państwa członkowskie w mocy
omawianej dyrektywy. Organ ten zobowiązany jest postępować w sposób
całkowicie niezależny przy wykonywaniu powierzonych mu funkcji.
Dyrektywa określa zakres uprawnień, jaki ma przysługiwać temu organowi.
Ma on w szczególności mieć uprawnienia dochodzeniowe, w tym prawo
dostępu do danych i prawo gromadzenia informacji oraz uprawnienia
interwencyjne. Organ ten ma być kompetentny do rozpatrywania skarg
dotyczących ochrony praw i wolności w zakresie przetwarzania danych
składanych przez jednostki oraz do pozywania, w przypadku naruszenia
krajowych przepisów przyjętych w celu wdrożenia omawianej dyrektywy (art.
28 dyrektywy 95/46/WE).
3. Analiza przepisów projektu pod kątem ustalonego stanu prawa Unii
Europejskiej
Projektowane objęcie zbiorów danych dotyczących osób należących do
kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
przetwarzanych na potrzeby tego kościoła lub związku właściwością GIODO
należy ocenić z punktu widzenia art. 8 dyrektywy 95/46/WE. Przepis ten w ust. 1
zabrania państwom członkowskim przetwarzania danych osobowych
ujawniających ich m.in. przekonania religijne. Art. 8 ust. 2 lit. d) tej dyrektywy
postanawia jednak, że zakaz ten nie dotyczy przetwarzania danych osobowych
dokonywanych w ramach legalnej działalności wspartej odpowiednimi
gwarancjami przez fundację, stowarzyszenie lub inną instytucję nienastawioną na
osiąganie zysku, której cele mają charakter m.in. religijny, pod warunkiem, że
przetwarzanie danych odnosi się wyłącznie do członków tej instytucji lub osób
mających z nią regularny kontakt w związku z jej celami oraz że dane nie zostaną
ujawnione osobie trzeciej bez zgody osób, której jej dotyczą. Ponadto art. 8 ust. 4
dyrektywy 95/46/WE upoważnia państwa członkowskie do ustanowienia
dodatkowych wyłączeń, jeżeli jest to podyktowane istotnym interesem
publicznym. Skorzystanie z powyższej derogacji podyktowane jest tym, by
państwa członkowskie ustanowiły odpowiednie środki zabezpieczające (art. 8 ust.
4 dyrektywy 95/46/WE) oraz notyfikowały ją Komisji (art. 8 ust. 6 dyrektywy
95/46/WE). Obecnie obowiązujące przepisy art. 43 ust. 2 ustawy, wyłączające
zbiory danych dotyczących osób należących do kościoła lub innego związku
wyznaniowego o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego
kościoła lub związku można uznać za objęte derogacją, o której stanowi art. 8 ust.
4 dyrektywy 95/46/WE. Odwołując się do zasady legalizmu zakładającej, że
organy władzy publicznej działają na podstawie i w granicach prawa, przyjąć
można, że derogacja ta była notyfikowana do Komisji Europejskiej, a Polska
ustanowiła wystarczające środki zabezpieczające. Przyjęcie opiniowanej
5
nowelizacji przy poczynieniu takich założeń oznaczałoby, że ustawodawca
rezygnuje z derogacji, w granicach dopuszczalnych na gruncie swobody
regulacyjnej pozostawionej mu dyrektywą 95/46/WE.
Jak wskazano, projekt ustawy zmierza do upoważnienia GIODO do
podejmowania określonych w pkt 1 opinii czynności kontrolnych i nadzorczych
wobec zbiorów danych dotyczących osób należących do kościoła lub innego
związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na
potrzeby tego kościoła lub związku. Jak wspomniano, obecnie obowiązujący art.
43 ustawy nie dopuszcza merytorycznej ingerencji GIODO w sprawach
przetwarzania tego rodzaju danych osobowych. Nowelizacja ten stan rzeczy ma
zmieniać. Rozwiązanie takie jest zgodne z art. 16 TfUE i art. 8 KPP, które
gwarantują każdemu prawo do ochrony danych osobowych na określonych
warunkach oraz przewidują, że ich poszanowanie zapewni niezależny organ.
Nowelizacja jest również zgodna z art. 28 ust. 3 i 4 dyrektywy 95/46/WE.
Przepisy tego artykułu zobowiązują państwa członkowskie do wyposażenia
organu nadzorczego, a taką funkcję w polskim porządku prawnym pełni GIODO,
w uprawnienia dochodzeniowe, interwencyjne, kompetencje do rozpatrywania
skarg dotyczących ochrony praw i wolności w zakresie przetwarzania danych oraz
prawo do pozywania w przypadku naruszenia przepisów krajowych przyjętych
zgodnie z dyrektywą dyrektywy 95/46/WE.
4. Konkluzja
Projekt ustawy o zmianie ustawy o ochronie danych osobowych jest zgodny
z prawem UE.
Akceptował:
Dyrektor Biura Analiz Sejmowych
Zbigniew Wrona
6
Warszawa, 26 czerwca 2012 r.
BAS–WAPEiM–1561/12
Pani Ewa Kopacz
Marszałek Sejmu RP
Opinia w sprawie stwierdzenia, czy poselski projekt ustawy o zmianie
ustawy o ochronie danych osobowych (przedstawiciel wnioskodawców:
poseł Robert Biedroń) jest projektem ustawy wykonującej prawo Unii
Europejskiej w rozumieniu art. 95a Regulaminu Sejmu
Projekt ustawy zmienia art. 43 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926, tekst
jednolity), zwanej dalej „ustawą”. Nowelizacja upoważnia Generalnego
Inspektora Danych Osobowych, zwanego dalej „GIODO”, do wykonywania
określonych kompetencji w odniesieniu do zbiorów danych dotyczących osób
należących do kościoła lub innego związku wyznaniowego, o uregulowanej
sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku. Na jej
podstawie GIODO będzie mógł wydawać decyzje administracyjne i rozpatrywać
skargi w sprawach dotyczących wykonania przepisów o ochronie danych
osobowych (art. 12 ust. 2 ustawy), a także podejmować, w odniesieniu do tych
zbiorów danych, czynności kontrole i środki określone w art. 14 ust. 1 i ust. 3-5,
art. 15-18 ustawy, które mają zapewniać ich ochronę.
Analizowaną nowelizację należy ocenić w świetle przepisów unijnych
gwarantujących osobom fizycznym i prawnym prawo do ochrony ich danych
osobowych. Przepisy te zawarto w art. 16 Traktatu o funkcjonowaniu Unii
Europejskiej (TfUE) (Dz. Urz. UE C 83 z 30.3.2010 r., s. 47) oraz w art. art. 8
Karty Praw Podstawowych Unii Europejskiej (Dz. Urz. UE C 83 z 30.3.2010 r.,
s. 389). Na szczególną uwagę zasługuje dyrektywa 95/46/WE Parlamentu
Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób
fizycznych w zakresie przetwarzania danych osobowych i swobodnego
przepływu tych danych (Dz. Urz. UE L 281 z 23.11.1995, str. 31, polskie
wydanie specjalne rozdz. 13, t. 15, s. 355 ), zwana dalej „dyrektywą 95/46/WE”.
Wynika to z tego, że nowelizowana ustawa stanowi akt implementujący
dyrektywę 95/46/WE, co ustawodawca zaznaczył dodając w jej tytule
potwierdzający to odnośnik.
Projektowane objęcie zbiorów danych dotyczących osób należących do
kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
przetwarzanych na potrzeby tego kościoła lub związku właściwością GIODO
należy ocenić z punktu widzenia art. 8 dyrektywy 95/46/WE. Przepis ten w ust.
1 zabrania państwom członkowskim przetwarzania danych osobowych
1 Odnośnik tek został dodany mocą art. 13 ustawy z dnia 24 sierpnia 2007 r. o zmianie niektórych ustaw w
związku z członkostwem Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. z 2007, Nr 176 poz. 1238).
1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L 281 z
23.11.1995, str. 31, polskie wydanie specjalne rozdz. 13, t. 15, s. 355 ), zwana
dalej „dyrektywą 95/46/WE”. Z punktu widzenia opiniowanej nowelizacji na
uwagę zasługuje, że ustawa stanowi akt implementujący dyrektywę 95/46/WE,
co ustawodawca zaznaczył dodając w jej tytule potwierdzający to odnośnik.
Celem dyrektywy 95/46/WE jest zobowiązanie państw członkowskich do
ochrony praw podstawowych i wolności osób fizycznych, w szczególności ich
prawa do prywatności w odniesieniu do przetwarzania danych osobowych (art.
1 ust. 1 dyrektywy 95/46/WE). Dyrektywa ta ma zastosowanie do
przetwarzania danych osobowych w całości lub w części w sposób
automatyczny oraz innego przetwarzania danych osobowych, stanowiących
część zbioru danych lub mających stanowić część zbioru danych. Dyrektywa
określa również dwa przypadki, w których nie ma ona zastosowania. Ma to
miejsce: 1) w ramach działalności wykraczającej poza zakres prawa
Wspólnoty, jak np. dotyczy danych dotyczących prawa karnego,
bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (dawne
Tytuły V i VI TUE ustanawiające przepisy dotyczące Współpracy
Zagranicznej i Bezpieczeństwa oraz Współpracy Policyjnej i Sądowej w
Sprawach Karnych) oraz 2) danych przetwarzanych przez osobę fizyczną w
trakcie czynności o czysto osobistym lub domowym charakterze (art. 3 ust. 2
dyrektywy 95/46/WE).
Dyrektywa zakazuje państwom członkowskich przetwarzania określonych
kategorii danych osobowych. Państwa członkowskie nie mogą zatem
przetwarzać danych osobowych ujawniających pochodzenie rasowe lub
etniczne, opinie polityczne, przekonania religijne lub filozoficzne,
przynależność do związków zawodowych oraz danych dotyczących zdrowia i
życia seksualnego (art. 8 ust. 1 dyrektywy 95/46/WE). Z punktu widzenia
opiniowanego projektu ustawy na uwagę zasługuje derogacja od tego zakazu,
uwzględniona w art. 8 ust. 2 pkt d dyrektywy 95/46/WE. Przewiduje on, że
3 Odnośnik tek został dodany mocą art. 13 ustawy z dnia 24 sierpnia 2007 r. o zmianie niektórych ustaw w związku
z członkostwem Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. z 2007, Nr 176 poz. 1238).
4 Przetwarzanie danych osobowych oznacza każdą operację lub zestaw operacji dokonywanych na danych
osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja,
porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie,
ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie,
blokowanie, usuwanie lub niszczenie (art. 2 lit. b dyrektywy 95/46/WE)
5 Dane osobowe w rozumieniu tej dyrektywy to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej; osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić
bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka
szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub
społeczną tożsamość (art. 2 lit. a dyrektywy 95/46/WE)
6 Zbiór danych oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych
kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie (art. 2 lit. c
dyrektywy 95/46/WE).
3
zakaz przetwarzania powyżej określonych kategorii danych osobowych nie ma
zastosowania w przypadku, gdy przetwarzanie danych jest dokonywane w
ramach legalnej działalności wspartej odpowiednimi gwarancjami przez
fundację, stowarzyszenie lub inną instytucję nienastawioną na osiąganie zysku,
której cele mają charakter polityczny, filozoficzny, religijny lub związkowy,
pod warunkiem, że przetwarzanie danych odnosi się wyłącznie do członków tej
instytucji lub osób mających z nią regularny kontakt w związku z jej celami
oraz, że dane nie zostaną ujawnione osobie trzeciej bez zgody osób, których
dane dotyczą. Ponadto, pod warunkiem ustanowienia odpowiednich środków
zabezpieczających państwa członkowskie mogą, ze względu na istotny interes
publiczny, ustalić dodatkowe wyłączenia (art. 8 ust. 4 dyrektywy 95/46/WE).
Skorzystanie z powyższych derogacji jest notyfikowane Komisji (art. 8 ust. 6
dyrektywy 95/46/WE).
Dyrektywa nakłada na państwa członkowskie wiele zobowiązań
dotyczących ochrony danych. Ich zakres wyznacza ramy uprawnień osób
fizycznych i prawnych (jednostek) do domagania się ochrony ich danych
osobowych przez państwa członkowskie. Najogólniej, dyrektywa wymaga,
państwa członkowskie zapewniały jednostkom prawo dostępu do informacji,
które ich dotyczą, prawo do zweryfikowania tych informacji i sprawdzenia ich
prawdziwości oraz prawo sprzeciwu co do przetwarzania danych, które ich
dotyczą. Państwa Członkowskie zapewniają, że każdej osobie, która poniosła
szkodę wskutek przetwarzania danych osobowych naruszającego ustanowione
wymogi ochrony, przysługuje od administratora tych danych odszkodowanie
za poniesioną szkodę. Państwa członkowskie mają też przyjąć środki w celu
zapewnienia realizacji przepisów dyrektywy, w tym w szczególności określić
sankcje nakładane za naruszenia przepisów tej dyrektywy, a osobom, które
poniosły szkodę wskutek niezgodnej z prawem operacji przetwarzania danych
lub innej czynności niezgodnej z przepisami krajowymi przyjętymi zgodnie z
niniejszą dyrektywą, zapewnić możliwość dochodzenia odszkodowania od
administratora danych osobowych (art. 23 i 24 dyrektywy 95/46/WE).
Państwa członkowskie upoważnione są ograniczyć zakres uprawnień
jednostek gwarantowanych im na mocy dyrektywy 95/46/WE, jeżeli jest to
konieczne dla zabezpieczenia: 1) bezpieczeństwa narodowego, 2) obronności,
3) bezpieczeństwa publicznego, 4) czynności prowadzonych w sprawach
karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających
regulacji, 5) ważnego interesu ekonomicznego lub finansowego państwa
członkowskiego lub UE, 6) funkcji kontrolnych, inspekcyjnych i regulacyjnych
związanych wykonywaniem władzy publicznej w określonych sferach oraz 7)
ochrony osoby, której dane dotyczą oraz praw i wolności innych osób (art. 13
ust. 1 dyrektywy 95/46/WE).
7 Sfery te to: bezpieczeństwo publiczne, czynności prowadzone w sprawach karnych lub sprawach o naruszenie
zasad etyki w zawodach podlegających regulacji i ważny interes ekonomiczny lub finansowy państwa
członkowskiego lub UE.
4
Państwa członkowskie zobowiązane są zapewnić, by jeden lub więcej
organów publicznych był odpowiedzialny za kontrolę stosowania na jego
terytorium przepisów przyjętych przez państwa członkowskie w mocy
omawianej dyrektywy. Organ ten zobowiązany jest postępować w sposób
całkowicie niezależny przy wykonywaniu powierzonych mu funkcji.
Dyrektywa określa zakres uprawnień, jaki ma przysługiwać temu organowi.
Ma on w szczególności mieć uprawnienia dochodzeniowe, w tym prawo
dostępu do danych i prawo gromadzenia informacji oraz uprawnienia
interwencyjne. Organ ten ma być kompetentny do rozpatrywania skarg
dotyczących ochrony praw i wolności w zakresie przetwarzania danych
składanych przez jednostki oraz do pozywania, w przypadku naruszenia
krajowych przepisów przyjętych w celu wdrożenia omawianej dyrektywy (art.
28 dyrektywy 95/46/WE).
3. Analiza przepisów projektu pod kątem ustalonego stanu prawa Unii
Europejskiej
Projektowane objęcie zbiorów danych dotyczących osób należących do
kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
przetwarzanych na potrzeby tego kościoła lub związku właściwością GIODO
należy ocenić z punktu widzenia art. 8 dyrektywy 95/46/WE. Przepis ten w ust. 1
zabrania państwom członkowskim przetwarzania danych osobowych
ujawniających ich m.in. przekonania religijne. Art. 8 ust. 2 lit. d) tej dyrektywy
postanawia jednak, że zakaz ten nie dotyczy przetwarzania danych osobowych
dokonywanych w ramach legalnej działalności wspartej odpowiednimi
gwarancjami przez fundację, stowarzyszenie lub inną instytucję nienastawioną na
osiąganie zysku, której cele mają charakter m.in. religijny, pod warunkiem, że
przetwarzanie danych odnosi się wyłącznie do członków tej instytucji lub osób
mających z nią regularny kontakt w związku z jej celami oraz że dane nie zostaną
ujawnione osobie trzeciej bez zgody osób, której jej dotyczą. Ponadto art. 8 ust. 4
dyrektywy 95/46/WE upoważnia państwa członkowskie do ustanowienia
dodatkowych wyłączeń, jeżeli jest to podyktowane istotnym interesem
publicznym. Skorzystanie z powyższej derogacji podyktowane jest tym, by
państwa członkowskie ustanowiły odpowiednie środki zabezpieczające (art. 8 ust.
4 dyrektywy 95/46/WE) oraz notyfikowały ją Komisji (art. 8 ust. 6 dyrektywy
95/46/WE). Obecnie obowiązujące przepisy art. 43 ust. 2 ustawy, wyłączające
zbiory danych dotyczących osób należących do kościoła lub innego związku
wyznaniowego o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego
kościoła lub związku można uznać za objęte derogacją, o której stanowi art. 8 ust.
4 dyrektywy 95/46/WE. Odwołując się do zasady legalizmu zakładającej, że
organy władzy publicznej działają na podstawie i w granicach prawa, przyjąć
można, że derogacja ta była notyfikowana do Komisji Europejskiej, a Polska
ustanowiła wystarczające środki zabezpieczające. Przyjęcie opiniowanej
5
nowelizacji przy poczynieniu takich założeń oznaczałoby, że ustawodawca
rezygnuje z derogacji, w granicach dopuszczalnych na gruncie swobody
regulacyjnej pozostawionej mu dyrektywą 95/46/WE.
Jak wskazano, projekt ustawy zmierza do upoważnienia GIODO do
podejmowania określonych w pkt 1 opinii czynności kontrolnych i nadzorczych
wobec zbiorów danych dotyczących osób należących do kościoła lub innego
związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na
potrzeby tego kościoła lub związku. Jak wspomniano, obecnie obowiązujący art.
43 ustawy nie dopuszcza merytorycznej ingerencji GIODO w sprawach
przetwarzania tego rodzaju danych osobowych. Nowelizacja ten stan rzeczy ma
zmieniać. Rozwiązanie takie jest zgodne z art. 16 TfUE i art. 8 KPP, które
gwarantują każdemu prawo do ochrony danych osobowych na określonych
warunkach oraz przewidują, że ich poszanowanie zapewni niezależny organ.
Nowelizacja jest również zgodna z art. 28 ust. 3 i 4 dyrektywy 95/46/WE.
Przepisy tego artykułu zobowiązują państwa członkowskie do wyposażenia
organu nadzorczego, a taką funkcję w polskim porządku prawnym pełni GIODO,
w uprawnienia dochodzeniowe, interwencyjne, kompetencje do rozpatrywania
skarg dotyczących ochrony praw i wolności w zakresie przetwarzania danych oraz
prawo do pozywania w przypadku naruszenia przepisów krajowych przyjętych
zgodnie z dyrektywą dyrektywy 95/46/WE.
4. Konkluzja
Projekt ustawy o zmianie ustawy o ochronie danych osobowych jest zgodny
z prawem UE.
Akceptował:
Dyrektor Biura Analiz Sejmowych
Zbigniew Wrona
6
Warszawa, 26 czerwca 2012 r.
BAS–WAPEiM–1561/12
Pani Ewa Kopacz
Marszałek Sejmu RP
Opinia w sprawie stwierdzenia, czy poselski projekt ustawy o zmianie
ustawy o ochronie danych osobowych (przedstawiciel wnioskodawców:
poseł Robert Biedroń) jest projektem ustawy wykonującej prawo Unii
Europejskiej w rozumieniu art. 95a Regulaminu Sejmu
Projekt ustawy zmienia art. 43 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926, tekst
jednolity), zwanej dalej „ustawą”. Nowelizacja upoważnia Generalnego
Inspektora Danych Osobowych, zwanego dalej „GIODO”, do wykonywania
określonych kompetencji w odniesieniu do zbiorów danych dotyczących osób
należących do kościoła lub innego związku wyznaniowego, o uregulowanej
sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku. Na jej
podstawie GIODO będzie mógł wydawać decyzje administracyjne i rozpatrywać
skargi w sprawach dotyczących wykonania przepisów o ochronie danych
osobowych (art. 12 ust. 2 ustawy), a także podejmować, w odniesieniu do tych
zbiorów danych, czynności kontrole i środki określone w art. 14 ust. 1 i ust. 3-5,
art. 15-18 ustawy, które mają zapewniać ich ochronę.
Analizowaną nowelizację należy ocenić w świetle przepisów unijnych
gwarantujących osobom fizycznym i prawnym prawo do ochrony ich danych
osobowych. Przepisy te zawarto w art. 16 Traktatu o funkcjonowaniu Unii
Europejskiej (TfUE) (Dz. Urz. UE C 83 z 30.3.2010 r., s. 47) oraz w art. art. 8
Karty Praw Podstawowych Unii Europejskiej (Dz. Urz. UE C 83 z 30.3.2010 r.,
s. 389). Na szczególną uwagę zasługuje dyrektywa 95/46/WE Parlamentu
Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób
fizycznych w zakresie przetwarzania danych osobowych i swobodnego
przepływu tych danych (Dz. Urz. UE L 281 z 23.11.1995, str. 31, polskie
wydanie specjalne rozdz. 13, t. 15, s. 355 ), zwana dalej „dyrektywą 95/46/WE”.
Wynika to z tego, że nowelizowana ustawa stanowi akt implementujący
dyrektywę 95/46/WE, co ustawodawca zaznaczył dodając w jej tytule
potwierdzający to odnośnik.
Projektowane objęcie zbiorów danych dotyczących osób należących do
kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
przetwarzanych na potrzeby tego kościoła lub związku właściwością GIODO
należy ocenić z punktu widzenia art. 8 dyrektywy 95/46/WE. Przepis ten w ust.
1 zabrania państwom członkowskim przetwarzania danych osobowych
1 Odnośnik tek został dodany mocą art. 13 ustawy z dnia 24 sierpnia 2007 r. o zmianie niektórych ustaw w
związku z członkostwem Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. z 2007, Nr 176 poz. 1238).
Dokumenty związane z tym projektem:
-
668
› Pobierz plik
Projekty ustaw
![Budownictwo mieszkaniowe I-VI 2024: o 43% więcej rozpoczętych budów [© S. Engels - Fotolia.com]](https://s3.egospodarka.pl/grafika2/budownictwo/Budownictwo-mieszkaniowe-I-VI-2024-o-43-wiecej-rozpoczetych-budow-260983-50x33crop.jpg "Budownictwo mieszkaniowe I-VI 2024: o 43% więcej rozpoczętych budów [© S. Engels - Fotolia.com]")
Budownictwo mieszkaniowe I-VI 2024: o 43% więcej rozpoczętych budów
