Prace w Ministerstwie Cyfryzacji

Informacja w administracji publicznej | 4/2019
Sylwia Bielińska

W przypadku twardego Brexitu Wielka Brytania stanie się państwem trzecim na gruncie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1; dalej: RODO) ze wszystkimi tego konsekwencjami. Począwszy od dnia wystąpienia z UE (co do zasady) rozporządzenie RODO przestanie w Wielkiej Brytanii obowiązywać.

W przypadku twardego Brexitu Wielka Brytania stanie się państwem trzecim na gruncie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1; dalej: RODO) ze wszystkimi tego konsekwencjami. Począwszy od dnia wystąpienia z UE (co do zasady) rozporządzenie RODO przestanie w Wielkiej Brytanii obowiązywać.

Brexit a podmioty publiczne

Aktualnie brytyjskie prawo – w zakresie ochrony danych osobowych – uzupełnia tylko bezpośrednio stosowane przepisy RODO. Jakikolwiek transfer danych osobowych do Wielkiej Brytanii będzie przekazywaniem do państwa trzeciego. W związku z tym przepisy, którym należy się poddać, nakładają obowiązek spełnienia dodatkowych wymogów, także przez sektor publiczny.

Przekazanie danych do Wielkiej Brytanii

Każdy podmiot, który jest administratorem danych osobowych lub procesorem i obecnie przekazuje dane do Wielkiej Brytanii, powinien na początek zidentyfikować, jakie dane osobowe, w jakich celach i na jakiej podstawie prawnej obecnie je przekazuje. Potem wybrać i wdrożyć odpowiedni mechanizm, zidentyfikować nową podstawę prawną umożliwiającą przekazywanie danych. Jeśli zachodzi taka konieczność – zmodyfikować wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania, klauzule informacyjne. Jest bardzo prawdopodobne, że zostanie wydana decyzja o zapewnieniu właściwego poziomu ochrony w stosunku do Wielkiej Brytanii, jednak z doświadczeń wynika, że na decyzję poczekamy nawet 2 lata. Konstrukcja przepisów Rozdziału V RODO ma charakter kaskadowy. Po kolejne możliwości sięgamy w przypadku braku możliwości spełnienia tych podstawowych, oferowanych przez RODO. Pierwszy krok i warunek podstawowy to wydanie przez KE wspomnianej decyzji stwierdzającej odpowiedni stopień ochrony na mocy art. 45 RODO. To obecnie mało prawdopodobne.

Ważne

W razie braku decyzji (jak wyżej), także administrator lub podmiot przetwarzający (tu podmiot publiczny) mogą przekazać dane osobowe wyłącznie wtedy, gdy zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej – zgodnie z brzmieniem art. 46 ust. 1 RODO.


Prawa osób, których dane dotyczą i o których mowa w przepisie, muszą być egzekwowalne. Pod pojęciem „skutecznych środków ochrony prawnej” należy rozumieć możliwość zaskarżenia decyzji organu nadzorczego i wysunięcie roszczeń odszkodowawczych. Drugi ustęp tego artykułu od lit. a do f wskazuje katalog możliwości zapewnienia właściwej ochrony.

Transfer danych pomiędzy podmiotami publicznymi

Dla administracji publicznej znaczenie będzie miał prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi (art. 46 ust. 2 lit. a RODO). W tym przypadku nie jest potrzebna ingerencja i zgoda organu nadzorczego, czyli Prezesa UODO. Chodzi o szeroko rozumiane umowy międzynarodowe oraz inne uzgodnienia o wiążącym charakterze. Przesłanka ta będzie miała zastosowanie tylko w przypadku transferu danych pomiędzy podmiotami publicznymi, którego podstawą jest przepis prawa. Zabezpieczenia powinny być zawarte w umowie (uzgodnieniach o wiążącym charakterze), wtedy nie musimy uzyskiwać zezwolenia organu nadzorczego. W motywie 108 RODO czytamy: „organy i podmioty publiczne mogą przekazywać dane organom lub podmiotom publicznym w państwach trzecich lub organizacjom międzynarodowym o analogicznych obowiązkach lub funkcjach, w tym na podstawie przepisów, które powinny znaleźć się w uzgodnieniach administracyjnych, takich jak protokoły ustaleń i które powinny przewidywać egzekwowalne i skuteczne prawa osób, których dane dotyczą”. Drugim wariantem dostępnym dla administracji publicznej, na mocy art. 46 ust. 3 lit. b RODO, jest transfer danych za zgodą Prezesa UODO na podstawie uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą. Postanowienia uzgodnień administracyjnych między organami i podmiotami publicznymi różnią się od umów, o których mowa w art. 46 ust. 2 lit. a RODO. Z powodu ich charakteru potrzebna jest zgoda Prezesa UODO. Zezwolenie organu nadzorczego udzielane jest w formie decyzji administracyjnej. Jeżeli podmiot publiczny nie może oprzeć transferu na art. 45 i 46 RODO, można wykorzystać przepisy zawarte w art. 49 ust. 1 lit. d RODO. Dotyczy to jednak sytuacji, gdy przekazanie nie jest powtarzalne i dotyczy ograniczonej liczby osób, których dane dotyczą oraz gdy administrator zapewnił odpowiednie zabezpieczenia. Musimy wykazać niezbędność przekazania danych osobowych ze względu na ważne względy interesu publicznego. Interes publiczny, o którym mowa, musi być uznany w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator. W motywie 112 preambuły podano przykłady dopuszczalności z uwagi na względy interesu publicznego. Dotyczy to zwłaszcza wymiany danych pomiędzy:
1) organami do spraw konkurencji; 2) organami podatkowymi; 3) organami celnymi; 4) organami nadzoru finansowego; 5) służbami zabezpieczenia społecznego; 6) służbami odpowiedzialnymi za zdrowie publiczne; 7) w przypadku dopingu.

Pamiętać także trzeba, że organy publiczne w ramach przysługujących im uprawnień publicznych, nie mogą oprzeć się na zapisach art. 49 ust. 1 lit. a, b, c. Nie mogą przekazać danych osobowych na podstawie zgody osoby, której dane dotyczą, gdy jest to niezbędne do wykonania umowy między taką osobą a administratorem oraz gdy przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą. Należy w tym miejscu doprecyzować, że RODO posługuje się pojęciami: „organ publiczny” oraz „podmiot publiczny” jednocześnie ich nie definiując. Pojęcia te zostały jednak zdefiniowane w art. 9 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.). Przez organy i podmioty publiczne rozumie się:
1) jednostki sektora finansów publicznych; 2) instytuty badawcze; 3) Narodowy Bank Polski.

Kolejną możliwość, przewidzianą jednak jako wyjątek w sytuacji szczególnej, wskazano w art. 49 ust. 1 lit. g RODO: „przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego”. Przepis dotyczy okoliczności, gdy transfer danych następuje z rejestru mającego służyć jako źródło informacji. Dotyczy dwóch grup przypadków;
1) dane z rejestru są powszechnie dostępne; 2) dane są dostępne dla podmiotów uprawnionych.

W pierwszym przypadku mamy do czynienia z sytuacją, gdy każda osoba zainteresowana ma dostęp przez sieć ­Internet z dowolnej lokalizacji. W drugiej grupie dopuszczalność transferu powinna być ograniczona jedynie do osób uprawnionych. W art. 49 ust. 2 RODO wskazano, że legalny transfer nie obejmuje całości danych osobowych ani całych kategorii danych osobowych zawartych w rejestrze.

Działania organów administracji publicznej

Działania organów administracji publicznej w szczególności mogą polegać na konieczności zawarcia umów międzynarodowych. Przykładem może być np. umowa o wzajemnej pomocy prawnej. Wiąże się np. z wyrokami sądów lub trybunałów oraz decyzjami organów administracyjnych państwa trzeciego, wymagających od administratora lub podmiotu przetwarzającego z państwa członkowskiego przekazania lub ujawnienia danych osobowych. W świetle art. 48 RODO, po wystąpieniu Wielkiej Brytanii z UE, wyrok sądu lub trybunału oraz decyzja organu administracyjnego państwa trzeciego, które wymagają od administratora lub podmiotu przetwarzającego z państwa członkowskiego przekazania lub ujawnienia danych osobowych, mogą zostać uznane lub być egzekwowalne wyłącznie wtedy, gdy opierają się na umowie międzynarodowej, obowiązującej między wzywającym państwem trzecim a Unią lub państwem członkowskim.

Ważne

Zbliżający się Brexit wymaga więc przede wszystkim weryfikacji dotychczasowych umów międzynarodowych zawartych z Wielką Brytanią pod kątem spełnienia wszystkich wymogów, a w braku stosownych uregulowań, ewentualnego ich zawarcia.


Przepływ danych nieosobowych

Nie wydaje się, aby Brexit stworzył poważne zagrożenia dla przepływu danych nieosobowych pomiędzy UE a Wielką Brytanią. Wprawdzie po bezumownym wyjściu z UE, na terenie UK nie będzie obowiązywał zakaz nieuzasadnionego lokalizowania danych, to jednak stanowisko UK jest w kwestii danych jasne i pozytywne. Brytyjczycy są zwolennikami zapewnienia swobodnego przepływu danych, nie tylko jak dotychczas na Jednolitym Rynku Cyfrowym (JRC) UE, ale także w umowach wolnego handlu (FTA) z państwami trzecimi.

Prace Grupy Roboczej ds. Internetu Rzeczy

Swoje prace kontynuuje Grupa Robocza ds. Internetu Rzeczy. W poprzednich publikacjach dość szczegółowo opisano wyniki jej prac. Prace Grupy skupiają się na analizie możliwości rozwoju technologii IoT w Polsce, w kontekście wzmacniania rozwoju gospodarczego naszego kraju, ze szczególnym uwzględnieniem identyfikacji barier, propozycji zmian prawnych oraz rekomendacji dla polskiego rządu. Przygotowano również raport „IoT w polskiej gospodarce”. Raport diagnozuje aktualną kondycję branży w Polsce, wskazuje obszary, w których stosowanie technologii IoT może przynieść wymierne korzyści dla biznesu i dla Państwa i jednocześnie w znaczący sposób przyczynić się do poprawy jakości życia obywateli. Pełny tekst Raportu „IoT w polskiej gospodarce” dostępny jest na stronie: https://www.gov.pl/web/cyfryzacja/polska-przyszlosci-to-polska-z-internetem-rzeczy. Obecnie realizowany jest drugi etap prac Grupy, którego celem jest szczegółowa analiza przyjętych w I etapie rekomendacji i opracowanie skutecznej ścieżki realizacji wybranych postulatów. Prace toczą się w trzech podgrupach tematycznych:
1. Legislacja – usunięcie barier prawnych o wysokim priorytecie, które uniemożliwiają lub utrudniają wdrożenia innowacyjnych rozwiązań. Celem będzie opracowanie ram prawnych i realizacja wskazanych w raporcie IoT postulatów. 2. Standaryzacja – utworzenie kodeksów dobrych praktyk, standardów, które wspomogą rozwój IoT na rynku polskim. 3. Projekty i finansowanie – wdrożenie przykładowych projektów oraz określenie strumieni finansowych dostępnych dla przedsiębiorców (źródła finansowania wskazano także na konferencji).

Odbyła się konferencja „Finansowanie i wsparcie sektora IoT” poświęcona publicznemu finansowaniu start-­upów oraz małych i średnich przedsiębiorstw, które wdrażają systemy i rozwiązania informatyczne zawierające komponenty Internetu Rzeczy. Organizatorzy dokonali przeglądu dostępnych źródeł finansowania, przewidzianych na realizację inicjatyw i projektów służących efektywnej transformacji cyfrowej naszego kraju, ze szczególnym uwzględnieniem rozwiązań przyczyniających się do usprawniania działalności państwa w obsłudze obywatela, np. podnoszeniu efektywności zarządzania energią elektryczną, czy poprawy jakości życia mieszkańców. Dzięki pracom Grupy, sporządzona została analiza potrzeb polskiej gospodarki związanych z IoT i wskazano konkretne rozwiązania, które powinny być wdrożone na szczeblu ministerstwa i rządu. Wskazano bariery prawne ograniczające rozwój IoT, a także potrzeby wprowadzenia standardów i regulacji dla harmonizacji tej części rynku. W trakcie realizacji drugiego etapu prac Grupy, członkowie starają się pomóc w wypracowaniu przez ministerstwo rozwiązań mających stymulować rozwój firm, produktów i usług związanych z IoT. Drugi etap to także opracowanie skutecznej ścieżki realizacji wybranych postulatów.

Rada do spraw współpracy z kościołami i związkami wyznaniowymi w sprawach przetwarzania przez nie danych

Na mocy zarządzenia Nr 3 Ministra Cyfryzacji z 30.1.2019 r. w sprawie powołania Rady do spraw współpracy z kościołami i innymi związkami wyznaniowymi w sprawach przetwarzania przez nie danych, przewodniczący Rady dr Maciej Kawecki przedłożył ministrowi cyfryzacji końcowy dokument prac Rady. Na spotkaniach omawiano istotne, z punktu widzenia kościołów i związków wyznaniowych, zagadnienia dotyczące przetwarzania danych osobowych. Poniżej przedkładam Państwu wyciąg z tego dokumentu. Jest to odniesienie do najistotniejszych problemów zgłaszanych przez członków Rady.

Cytat z dokumentu

Archiwa kościołów i innych związków wyznaniowych a ochrona danych osobowych. Czy określając czas, po którym dokumenty kościelne mogą zostać upublicznione przez kościół lub inny związek wyznaniowy, kościół lub inny związek wyznaniowy może stosować swoje własne zasady (czy zagadnienie to objęte jest autonomią kościoła lub innego związku wyznaniowego)?

Materiały archiwalne, wytworzone w ramach statutowej działalności kościołów i innych związków wyznaniowych, mogą stanowić narodowy, niepaństwowy zasób archiwalny, o którym mowa w art. 2 ust. 2 pkt 2 ustawy z 14.7.1983 r. o narodowym zasobie archiwalnym i archiwach (t.j. Dz.U. z 2019 r. poz. 553 ze zm.; dalej: NarZasArchU). Jeżeli dane takie stanowią własność kościoła lub innego związku wyznaniowego i zastosowanie znajdą do nich jedynie przepisy własne kościoła lub innego związku wyznaniowego, okres, po którym te dane mogą zostać udostępnione, określają wewnętrzne zasady kościoła lub innego związku wyznaniowego. W skład narodowego, niepaństwowego zasobu archiwalnego mogą wchodzić także treści, do których zastosowanie znajdą również przepisy prawa państwowego, w tym postanowienia RODO. Tam, gdzie RODO znajduje zastosowanie, możliwe jest dalsze przetwarzanie danych osobowych przez kościoły i inne związki wyznaniowe w oparciu o ogólne przesłanki, o których mowa w art. 6 i 9 RODO, ze szczególnym uwzględnieniem przesłanki prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). Po upływie tego okresu dane te, jeżeli stanowią materiał archiwalny w rozumieniu ww. ustawy, muszą być dalej przechowywane do celów archiwalnych w interesie publicznym, o których mowa w art. 5 ust. 1 lit. e RODO. Przykładem zbioru danych objętego zakresem zastosowania zarówno przepisów powszechnie obowiązującego prawa polskiego, jak i wewnętrznych regulacji kościoła lub innego związku wyznaniowego jest zbiór danych osób, którym odpowiednie władze kościoła lub innego związku wyznaniowego udzielają misji kanonicznej do nauczania religii w szkole.

Czy przetwarzanie danych w zbiorach danych kościołów lub innych związków wyznaniowych do celów archiwalnych jest przetwarzaniem danych w interesie publicznym?

Dane gromadzone w zbiorach danych kościołów i innych związków wyznaniowych są wykorzystywane nie tylko w interesie własnym kościołów lub innych związków wyznaniowych. W procesie działania podmiotów kościelnych wytwarzane są także dokumenty do celów pozakościelnych, np. celem rozliczenia z Zakładem Ubezpieczeń Społecznych. Jeżeli materiał wytworzony przez kościół lub inny związek wyznaniowy ma charakter materiału archiwalnego, a co za tym idzie stanowi narodowy, niepaństwowy zasób archiwalny, to cel przetwarzania danych jest celem archiwalnym w interesie publicznym, ponieważ stanowi „źródło informacji o wartości historycznej o działalności (…) organizacji o charakterze (…) społecznym i gospodarczym, zawodowym i wyznaniowym”, tak jak stanowi o tym art. 1 NarZasArchU.

Zasady przekazywania danych osobowych przez podmiot leczniczy kościołom i innym związkom wyznaniowym. Czy jest potrzeba podjęcia działań legislacyjnych zmierzających do wprowadzenia wyraźnej podstawy prawnej do przekazania przez podmiot leczniczy kościołowi lub innemu związkowi wyznaniowemu danych osobowych pacjenta niebędącego w stanie samodzielnie wyrazić woli uzyskania opieki duszpasterskiej?

Opieka duszpasterska w podmiocie leczniczym wobec pacjenta może być sprawowana bez potrzeby przekazywania jego danych osobowych kościołowi lub innemu związkowi wyznaniowemu. Ponadto wprowadzenie przepisu nakładającego obowiązek gromadzenia przez podmioty wykonujące działalność leczniczą danych o wyznaniu pacjenta, a następnie przekazywania ich właściwym kościołom lub związkom wyznaniowym stanowiłoby dodatkowe i nieproporcjonalne obciążenie o charakterze administracyjnym dla ww. podmiotów i zatrudnianego przez nie personelu medycznego. W szczególności należy wyróżnić dwa typy sytuacji:
1) gdy do placówki leczniczej trafia osoba fizycznie niezdolna do wyrażenia woli do objęcia jej opieką duszpasterską, należałoby określić, kto w imieniu pacjenta wskazuje, do którego kościoła lub innego związku wyznaniowego należy się zwrócić. Taka osoba musiałaby mieć status przedstawiciela ustawowego, a w związku z tym, że niewiele osób przedstawiciela ustawowego posiada, to w konsekwencji przepis ograniczałby możliwość skorzystania z opieki duszpasterskiej wielu pacjentom; 2) gdy do podmiotu wykonującego działalność leczniczą trafia osoba świadoma, której stan zdrowia mógłby się w późniejszym czasie pogorszyć wskutek czego utrudniony byłby kontakt z pacjentem, przy przyjęciu pacjenta na oddział należałoby pytać go o właściwy dla jego wyznania kościół lub inny związek wyznaniowy, co bez wątpienia mogłoby zostać uznane za nadmiarowe zbieranie danych.

Należy również zauważyć, że kwestia związana z powiadomieniem instytucji wskazanej przez pacjenta w razie pogorszenia się jego stanu zdrowia, zagrożenia życia lub w razie jego śmierci jest uregulowana w art. 28 ust. 1 ustawy z 15.4.2011 r. o działalności leczniczej (t.j. Dz.U. z 2018 r. poz. 2190 ze zm.). Tym samym, w aktualnym stanie prawnym pacjent, przy przyjęciu do podmiotu leczniczego lub w trakcie pobytu, może wskazać, że na wypadek np. pogorszenia stanu zdrowia chce, by zawiadomić określony kościół lub inny związek wyznaniowy lub wskazaną osobę duchowną.

Omówiono zagadnienia dotyczące okresu, po którym można upublicznić dokumenty kościelne. Czy w tym zakresie kościół lub inny związek wyznaniowy może stosować swoje własne zasady i czy jest to objęte autonomią związku wyznaniowego? Czy mają tu zastosowanie przepisy RODO?

Materiały archiwalne wytworzone w ramach statutowej działalności kościołów i innych związków wyznaniowych mogą stanowić narodowy, niepaństwowy zasób archiwalny, o którym mowa w art. 2 ust. 2 pkt 2 ­NarZasArchU. Jeżeli stanowią własność kościoła lub innego związku wyznaniowego to zastosowanie znajdą do nich jedynie przepisy własne kościoła lub innego związku wyznaniowego. Okres, po którym mogą zostać te dane udostępnione określają wewnętrzne zasady kościoła lub innego związku wyznaniowego. W skład narodowego, niepaństwowego zasobu archiwalnego mogą wchodzić także treści, do których zastosowanie znają także przepisy prawa państwowego, w tym RODO. Tam, gdzie RODO znajduje zastosowanie, możliwe jest dalsze przetwarzanie przez kościoły i inne związki wyznaniowe danych osobowych w oparciu o ogólne przesłanki, o których mowa w art. 6 i 9 RODO, ze szczególnym uwzględnieniem przesłanki prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). Po upływie tego okresu dane te, jeżeli stanowią materiał archiwalny w rozumieniu ww. ustawy, muszą być dalej przechowywane do celów archiwalnych w interesie publicznym, o którym mowa w art. 5 ust. 1 lit. e RODO.
Zachęcamy do śledzenia wydarzeń organizowanych przez Ministerstwo Cyfryzacji i odwiedzania stron internetowych ministerstwa.
Sylwia Bielińska - Główny Specjalista, Departament Zarządzania Danymi, Ministerstwo Cyfryzacji

Podstawa prawna

  • art. 5 ust. 1 lit. e, art. 6, art. 9, art. 45, art. 46, art. 48, art. 49 ust. 1 lit. d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1)
  • art. 9 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.)
  • art. 1, art. 2 ust. 2 pkt 2 ustawy z 14.7.1983 r. o narodowym zasobie archiwalnym i archiwach (t.j. Dz.U. z 2019 r. poz. 553 ze zm.)
  • art. 28 ust. 1 ustawy z 15.4.2011 r. o działalności leczniczej (t.j. Dz.U. z 2018 r. poz. 2190 ze zm.)