Krzysztof Sobczak: Czy taki przepis będzie zgodny z unijnym rozporządzeniem, którego stosowanie w Polsce ma zapewnić przygotowywana ustawa?
Rafał Rozwadowski: Ten wyjątek od ogólnego obowiązku informacyjnego ma podstawę w rozporządzeniu. Ale projekt naszej krajowej ustawy o ochronie danych osobowych, który podlega dynamicznym przemianom, nie od razu go zawierał. Jest w wersji projektu przyjętej przez rząd i wzbudza spore kontrowersje. Jednak, wyłączenie obowiązku informacyjnego, bo z tym mamy tutaj do czynienia, w przypadku przekazania danych osobowych do przetwarzania innemu podmiotowi wykonującemu zadania publiczne, znajduje oparcie w unijnym rozporządzeniu.
Trzeba jednak pamiętać, że dotyczy to obowiązku informacyjnego, czyli nie mówimy o problemie wyrażenia zgody na przetwarzanie, tylko o prawie do otrzymania informacji m. in. o sposobie i celu przetwarzania naszych danych oraz o podmiocie, który te dane przetwarza.
To będzie ograniczenie naszych praw, jeśli jakaś grupa podmiotów nie będzie musiała nawet nas informować o przetwarzaniu naszych danych?
Tak może być, jeśli ta zmiana zostanie wprowadzona. A to będzie oznaczało konfrontację różnych wartości. Bowiem prawo do prywatności i związana z nim ochrona danych osobowych doznaje pewnych ograniczeń z uwagi na inne wartości, które też są chronione przez prawo. To proponowane ograniczenie prawa do informacji o przetwarzaniu danych osobowych jest motywowane innymi wartościami ważnymi ze społecznego punktu widzenia. To wyłączenie znajduje oparcie m.in. w artykule 23 rozporządzenia, który wskazuje te wartości, które też powinny być chronione jednocześnie.
Jakie to wartości?
To między innymi Bezpieczeństwo narodowe, bezpieczeństwo publiczne, obrona, ale też takie cele publiczne jak budżet państwa, system ubezpieczeń społecznych czy zdrowie publiczne.
Rzeczywiście, to są ważne wartości. Ale czy proponowane środki są proporcjonalne? Łatwo tu o nadużycia, bo taka wartość, jaką jest bezpieczeństwo narodowe jest niezwykle pojemna.
To niesie pewne ryzyka, ponieważ formułowanie takich ogólnych zasad jest o tyle niebezpieczne, że prowadzi do pewnej uznaniowości, która nie zawsze musi być prawidłowa. Dopiero szczegółowa analiza każdego przypadku pozwoli post factum stwierdzić, że było uzasadnienie do zastosowania tego środka.
Moglibyśmy stwierdzić, gdybyśmy wiedzieli, że nasze dane są przetwarzane i jeszcze przekazywane od przetwarzania innym instytucjom. A przecież nie będzie obowiązku informowania o tym.
Zgadza się, to jest słaby punkt tego rozwiązania. Nie bardzo jeszcze wiadomo, jak to może zadziałać w praktyce, ale rzeczywiście podmiot wykonujący zadania publiczne przekazujący innemu podmiotowi dane osobowe nie będzie miał obowiązku informacyjnego względem osoby, której dane przekaże. Będzie natomiast miał obowiązek, na wniosek takiej osoby, udzielić jej informacji, dlaczego takiej informacji nie udzielił.
Ale skąd ta osoba ma wiedzieć, że powinna o to spytać?
Z tym będzie problem. Po lekturze projektu mogę powiedzieć, że np. ta osoba dowie się o tym, bo jakiś inny podmiot zaadresuje do niej korespondencję lub nawiąże z nią kontakt w oparciu o dane, które ta osoba przekazała innemu podmiotowi. Zorientuje się, że nastąpiło przekazanie danych i zwróci się do tego pierwszego podmiotu o wyjaśnienie, dlaczego nie została o tym poinformowana. A ten podmiot, powołując się na projektowany przepis i generalne zasady zawarte w RODO może stwierdzić, że nie było konieczności wykonania takie prawnego obowiązku. I sprawa będzie zamknięta.
A za tym stoją względy bezpieczeństwa państwa, co zamyka taką dyskusję.
Na przykład. I ja w tym momencie nie widzę mechanizmu dalszego drążenia tematu, który pozwalałby takiej osobie zweryfikować, czy faktycznie te względy wystąpiły. Może natomiast pojawić się tu taki pomysł, że ta osoba w momencie przekazywania danych temu pierwszemu podmiotowi już sygnalizowała, że w przypadku jakiegokolwiek przekazywania informacji i danych osobowych innemu podmiotowi wykonującemu zdania publiczne, życzy sobie poinformowania o tym. Albo by poinformować, dlaczego nie ma takiego obowiązku informacyjnego.
To musiałoby być jakieś oświadczenie?
Prawdopodobnie wymagałoby to formy oświadczenia, chociaż trudno teraz przesądzić, w jakiej formie składanego.
Większość takich zgód składamy na gotowych formularzach. Że wyrażamy zgodę, lub nie. A podmiot przyjmujące dane ma obowiązek podsunąć nam taki dokument. Czy te podmioty publiczne miałyby obowiązek proponowania takiego oświadczenia z odpowiednim pouczeniem? Czy na kartce papieru należałoby to napisać, np. po rozmowie z urzędzie skarbowym?
Być może, bo na razie nie ma żadnych zapowiedzi jak miałoby to być zorganizowane.
Może w ustawie powinna być określona formuła takiego zastrzeżenia na przyszłość, że jeśli zamierzalibyście coś robić z moimi danymi, to macie mnie poinformować.
Projekt przewiduje taki zapis, że ta informacja ma być przekazywana tej osobie, której dane są przetwarzane i przekazywane innym podmiotom. Ale na wniosek tej osoby.
A czy ten organ będzie zobowiązany do pouczenia tej osoby, że może złożyć taki wniosek?
To jest kwestia tego, co by inicjowało aktywność tej osoby, która miałaby taki wniosek złożyć. Według mnie to powinno być tak, że na początku tej procedury byłby składany taki wniosek, niejako asekuracyjnie. Nie wiem jednak, jak organy publiczne będą do tego podchodzić.
Mogą nie być tym zainteresowane, jeśli prawo ich do tego nie zobowiąże.
To prawda i to jest problem do poważnej dyskusji nad tym elementem projektu ustawy.