Poselski projekt ustawy o zmianie ustawy o ochronie danych osobowych

Druk nr 668

Warszawa, 13 czerwca 2012 r.
SEJM
RZECZYPOSPOLITEJ POLSKIEJ
VII kadencja



Pani

Ewa
Kopacz
Marszałek Sejmu
Rzeczypospolitej
Polskiej



Na podstawie art. 118 ust. 1 Konstytucji Rzeczypospolitej Polskiej z dnia
2 kwietnia 1997 r. i na podstawie art. 32 ust. 2 regulaminu Sejmu niżej podpisani
posłowie wnoszą projekt ustawy:

- o zmianie ustawy o ochronie danych
osobowych.

Do reprezentowania wnioskodawców w pracach nad projektem ustawy
upoważniamy pana posła Roberta Biedronia.



(-) Maciej Banaszak; (-) Piotr Paweł Bauć; (-) Robert Biedroń; (-) Bartłomiej
Bodio; (-) Jerzy Borkowski; (-) Artur Bramora; (-) Jan Cedzyński; (-) Piotr
Chmielowski; (-) Artur Dębski; (-) Marek Domaracki; (-) Dariusz Cezar
Dziadzio; (-) Wincenty Elsner; (-) Artur Górczyński; (-) Anna Grodzka;
(-) Michał Kabaciński; (-) Adam Kępiński; (-) Krzysztof Kłosowski;
(-) Henryk Kmiecik; (-) Sławomir Kopyciński; (-) Roman Kotliński;
(-) Jacek Kwiatkowski; (-) Andrzej Lewandowski; (-) Tomasz Makowski;
(-) Małgorzata Marcinkiewicz; (-) Maciej Mroczek; (-) Jacek Najder;
(-) Wanda Nowicka; (-) Michał Tomasz Pacholski;
(-)


Janusz Palikot;
(-) Wojciech Penkalski; (-) Andrzej Piątak; (-) Zofia Popiołek; (-) Marek
Poznański; (-) Andrzej Rozenek; (-) Adam Rybakowicz; (-) Armand Kamil
Ryfiński; (-) Paweł Sajak; (-) Marek Stolarski; (-) Halina Szymiec-
Raczyńska; (-) Maciej Wydrzyński.
Projekt

USTAWA
z dnia .......................... 2012 r.
o zmianie ustawy o ochronie danych osobowych


Art. 1.
W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2002.101.926 j.t. z pó . zm)
wprowadza się następujące zmiany:

1) Art. 43 pkt 2 otrzymuje następujące brzmienie:
“2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1, oraz zbiorów, o
których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa
Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę
Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi
nie przysługują uprawnienia okre lone w art. 12 pkt 2, art. 14 pkt 1 i
3-5 oraz art. 15-18.”


Art. 2.
Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
Uzasadnienie
Potrzeba i cel wydania ustawy
Celem niniejszego projektu nowelizacji Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz.U.10.229.1497 z pó n. zm.), jest pełne włączenie zbiorów danych osobowych przetwarzanych przez
ko cioły i związki wyznaniowe pod kontrolę Generalnego Inspektora Ochrony Danych Osobowych
(GIODO).
Konieczno ć dokonania zmian zawartych w tej nowelizacji uzasadnić należy:
- potrzebą zapewnienia podstawowego prawa obywateli do ochrony ich danych osobowych;
- ograniczonymi uprawnieniami kontrolnymi GIODO w przypadku coraz częstszych skarg od obywateli
dotyczących przetwarzania ich danych osobowych przez ko cioły i związki wyznaniowe;
- coraz częstszymi procesami sądowymi wytaczanymi GIODO przez obywateli, których skargi GIODO
umorzył z powodu wymienionego powyżej;
- brakiem uprawnień GIODO do przeprowadzania kontroli zabezpieczeń danych osobowych
przetwarzanych przez ko cioły i związki wyznaniowe;
- niezgodno cią Ustawy o Ochronie Danych Osobowych z Dyrektywą 95/49/WE w zakresie regulacji
dotyczących przetwarzania danych osobowych przez związki wyznaniowe.

Rzeczywisty stan w dziedzinie objętej niniejszą nowelizacją
Ograniczone podstawowe prawo obywateli do ochrony ich danych osobowych z
powodu ograniczonych uprawnień kontrolnych GIODO.
Ustawa o Ochronie Danych Osobowych (dalej UoODO) gwarantuje każdemu prawo do uaktualnienia i
sprostowania danych osobowych jej dotyczących (art. 32.1.6 UoODO). W przypadku wykazania przez
osobę, że jej dane są nieprawdziwe lub nieaktualne administrator danych osobowych jest zobowiązany do
ich uaktualnienia bez zbędnej zwłoki (art 35.1 UoODO). Jeżeli administrator nie dopełni tego obowiązku,
osoba której dane są nieprawdziwe ma prawo wystąpić do GIODO z wnioskiem o wydanie nakazu
aktualizacji danych (art 35.2 UoODO), za Generalny Inspektor na podstawie art 12.2 jest zobowiązanych
do rozpatrzenia złożonej skargi i wydanie decyzji administracyjnej. Proces aktualizacji danych przez
GIODO (decyzja administracyjna) jest regulowany w UoODO w artykułach 14.1, 14.3-14.5, 15-18.

Przepisy UoODO nie pozwalają na wydawanie decyzji administracyjnych w przypadku danych
osobowych przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę
Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego, Centralne Biuro Antykorupcyjne,
uprawnionych funkcjonariuszy w trakcie przeprowadzania czynno ci operacjno-rozpoznawczych oraz...
związki wyznaniowe (art. 43.2 UoODO). Zrozumiałym jest, że ABW, AW, SKW, SWW, CBA oraz
policja przetwarzają dane osobowe ze względu na bezpieczeństwo państwa oraz obywateli. Znajduje
również uzasadnienie ograniczenie uprawnień kontrolnych GIODO wobec podmiotów odpowiadających
za administrację tymi danymi. Niezrozumiałym jest natomiast, że takimi samymi przywilejami poufno ci
i niezależno ci cieszą się administratorzy danych osobowych przetwarzanych przez związki wyznaniowe.
Związki wyznaniowe nie prowadzą wszak uprawnionej przez prawo działalno ci służącej szeroko
pojętemu bezpieczeństwu państwa lub jego obywateli.

Z powodu zapisu w art. 43.2 UoODO obywatele, którzy zgodnie z ustawą żądają aktualizacji swoich
danych osobowych przetwarzanych przez ko cioły są przez tą samą ustawę kierowani do Generalnego
Inspektora, któremu UoODO nie pozwala na wydanie decyzji administracyjnej w tej sprawie. Na istnienie
tego “ lepego koła” zwracał wielokrotnie uwagę sam GIODO - kilka przykładów poniżej:
a) Dyskusja nad sprawozdaniem z działalności Generalnego Inspektora
Ochrony Danych Osobowych 2009-2010
12 stycznia 2012 roku odbyło się w polskim parlamencie posiedzenie sejmowej Komisji Sprawiedliwo ci
i Praw Człowieka. W trakcie posiedzenia Komisja rozpatrzyła sprawozdania z działalno ci Generalnego
Inspektora Ochrony Danych Osobowych w latach 2009 i 2010. Odpowiadając na pytania posłów GIODO
zauważa, że nie może interweniować w sprawie danych osobowych przetwarzanych niezgodnie z prawem
przez ko cioły z powodu niejasno ci w prawie polskim: "(...) Ten zakres dotyczy przetwarzania danych
członków kościoła lub związku wyznaniowego i osób, które są z nimi wprost powiązane. W tym przypadku
GIODO przede wszystkim nie może wykonać dwóch ze swoich podstawowych działań: po pierwsze – nie
może przeprowadzić inspekcji, po drugie – nie może wydać decyzji administracyjnej. (...) Mamy przepisy
prawne – jeżeli przepisy gdzieś nie są precyzyjne to organ publiczny nie ma prawa domniemywania sobie
swoich uprawnień, bo byłoby to sprzeczne z art. 7 Konstytucji, który stanowi, że organ może działać tylko
na podstawie prawa i w granicach prawa. Jeżeli więc taki problem się pojawi, a organ nie jest pewny co
do swoich uprawnień, a przyznaję, że jako generalny inspektor w niektórych z tych sytuacji nie jestem
pewien jak daleko sięgają moje uprawnienia, organami właściwymi do rozstrzygnięcia takich wątpliwości
są sądy. W związku z czym sytuacja, w której te sprawy trafiły do rozstrzygnięcia w WSA i NSA nie
wydaje mi się sytuacją nienormalną. Wręcz odwrotnie – wydaje mi się ona sytuacją jak najbardziej
normalną w demokratycznym państwie prawnym. Natomiast z pewnością Generalny Inspektor na
podstawie dziś obowiązujących przepisów nie widzi możliwości wydawania decyzji co do wpisów w
księgach parafialnych czy księgach prowadzonych przez kościoły i związki wyznaniowe, bo takiego
uprawnienia decyzyjnego nie ma."
b) Informacja opublikowana na oficjalnej stronie GIODO
GIODO na swojej stronie internetowej w “Odpowiedziach na pytanie” podaje wyja nienie, dlaczego nie
może wydawać decyzji administracyjnych.
Pytanie:
Jakie są podstawy prawne wyłączenia Generalnego Inspektora Ochrony Danych Osobowych ze
sprawowania pełnego nadzoru nad przetwarzaniem danych osobowych w zbiorach prowadzonych przez
Kościół?
Odpowied :
Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia w postaci
wydawania decyzji administracyjnych, przeprowadzania czynności kontrolnych, wglądu do dokumentów
oraz wstępu do pomieszczeń, w których przetwarzane są przez Kościół dane osobowe w odniesieniu do
zbiorów dotyczących osób należących do Kościoła i przetwarzanych na jego potrzeby, natomiast
Generalny Inspektor Ochrony Danych Osobowych może występować w takich sprawach o wyjaśnienia,
sygnalizować nieprawidłowości, ewentualnie zawiadamiać o popełnieniu przestępstwa (art. 43 ust. 2
ustawy).
ródło: .
Nowelizacja ma ten stan prawny zmienić i objąć powyżej wskazane zbiorów
danych osobowych kontrolą sprawowaną przez GIODO.
Ustawa ma wejść w życie po upływie 14 dni od dnia ogłoszenia.


2. Stan prawa Unii Europejskiej w materii objętej projektem

Kwestie ochrony danych osobowych są regulowane prawem Unii
Europejskiej. W tej mierze należy zwrócić szczególną uwagę na następujące
przepisy:
• art. 16 Traktatu o funkcjonowaniu Unii Europejskiej (TfUE) (Dz. Urz. UE C
83 z 30.3.2010 r., s. 47). Zgodnie z tym artykułem każda osoba ma prawo do
ochrony danych osobowych jej dotyczących (ust. 1). Parlament Europejski i
Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady
dotyczące ochrony osób fizycznych w zakresie przetwarzania danych
osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez
państwa członkowskie w wykonywaniu działań wchodzących w zakres
zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu
takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych
organów (ust. 2). Zasady przyjęte na podstawie tego artykułu pozostają bez
uszczerbku dla zasad szczególnych przewidzianych w art. 39 Traktatu o Unii
Europejskiej (TUE).
• art. 8 Karty Praw Podstawowych Unii Europejskiej (KPP UE) (Dz. Urz. UE C
83 z 30.3.2010 r., s. 389). Stanowi on, że każdy ma prawo do ochrony danych
osobowych, które go dotyczą (ust. 1). Dane te muszą być przetwarzane
rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej
uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do
zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania
(ust. 2.). Przestrzeganie tych zasad podlega kontroli niezależnego organu (art.
3).

1 Por. wyrok WSA w Warszawie z dnia 7 maja 2012 r., syng. akt II SA/Wa 2767/11.
2 Na uwagę zasługują również dwie deklaracje, przyjęte przez konferencję międzyrządową podpisującą Traktat z
Lizbony, a mianowicie deklaracje 20. i 21. W deklaracji 20., odnoszącej się do art. 16 TfUE, konferencja
oświadczyła, że w każdym przypadku, w którym na podstawie art. 16 TfUE mają zostać przyjęte zasady dotyczące
ochrony danych osobowych, które mogłyby mieć bezpośredni wpływ na bezpieczeństwo narodowe, powinno to
być należycie wzięte pod uwagę. Konferencja przypomniała, że prawodawstwo mające zastosowanie (w
szczególności dyrektywa 95/46/WE) zawiera szczególne odstępstwa w tym zakresie. W deklaracji 21. w sprawie
ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i
współpracy policyjnej konferencja przyznała, że konieczne może okazać się wprowadzenie zasad szczególnych
dotyczących ochrony danych osobowych i swobodnego przepływu tych danych w dziedzinach współpracy
wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, zapewnianej na podstawie art. 16 TfUE,
ze względu na szczególny charakter tych dziedzin. Deklaracje te, pomimo że nie mają mocy prawnie wiążącej,
stanowią wskazówkę interpretacyjną, pomocną przy wykładni art. 16 TfUE.
2