Przepisy wprowadzające ustawę o ochronie danych osobowych - część 3, (prawie) ostatnia

W projekcie ustawy zauważa się, że dość często reguluje się prawa osób wynikające z art. 12 i 15 rozporządzenia 2016/679 "w ten sposób, że prawa osoby, której dane dotyczą, określone w tych przepisach realizowane są bezpłatnie raz na sześć miesięcy. W pozostałych przypadkach administrator danych ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych".

Zamiast grzebać w ponad stu przepisach i odmiennie to regulować w każdym z nich, może lepiej od razu wrzucić to do ustawy o ochronie danych osobowych - że wszystkie podmioty publiczne tak robią i już?

Moim zdaniem też informacje o ograniczeniach praw  powinny być zamieszczone na stronie GIODO - obywatel nie powinien poznawać swoje prawa lub ich ograniczenia w dziesiątkach ustaw - poniżej kolejne ograniczenie, jedno z wielu, pojawiające się w ustawie o kinematografii - chodzi o poinformowanie, że prawa są realizowane bezpłatnie co np. 6 miesięcy, że naruszenia bezpieczeńśtwa publikuje się na stronach internetowych czy też że nie stosuje się przepisów art. 14 rozporządzenia.

4. Administrator informuje o ograniczeniach, o których mowa w ust. 1-3, na swojej stronie podmiotowej Biuletynu Informacji Publicznej lub na swojej stronie internetowej.

W ustawie o zawodzie tłumacza przysięgłego nie stosuje się art. 58 ust. 1 lit. e i f które organowi nadzorczemu umożliwiają dostęp do danych osobowych oraz dostęp do wszyskich pomieszczeń, o ile chodzi o dane osobowe "które tłumacz przysięgły otrzymał lub pozyskał w wyniku lub w ramach działania objętego obowiązkiem zachowania tajemnicy zawodowej tłumacza przysięgłego".

Zmiany w Prawie o szkolnictwie wyższym - najkrótsza możliwa zmiana, jaką widziałem w tym projekcie - oto cała ona:

Art. 75. W ustawie z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyższym (Dz. U. z 2016 r. poz. 1842, z późn. zm. 12) ) w art. 88 uchyla się ust. 5.

Usuwany ust. 5 odnosi się do zbioru danych osobowych, który był zwolniony z rejestracji, a że zbiorów już nie będzie, to do kosza! Później jeszcze dołączyła Krajowa Szkola Sądownictwa i Prokuratury - też tak krótko - uchylając w art. 56 ust. 2. Taka raczej ciekawostkia.

W ustawie o dokumentach paszportowych ponownie pojawia się wymaganie

4. Informacje o ograniczeniach w stosowaniu rozporządzenia 2016/679 organy, o których mowa w ust. 1, udostępniają na swoich stronach podmiotowych w Biuletynie Informacji Publicznej.”;

Mamy też retencję nieskończoną gdyż:

  • Danych zgromadzonych w Rejestrze Dodowów Osobistych nie usuwa się (ustawa o dowodach osobistych, art. 56)
  • Danych zgromadzonych w rejestrze PESEL i rejestrach mieszkańców nie usuwa się, z zastrzeżeniem art. 10 ust. 6 (ustawa o ewidencji ludności, art. 12a).

Są znowu równi i równiejsi. Nie mogłem zrozumieć, dlaczego w ustawie o systemie informacji oświatowej (a także w ustawie Prawo oświatowoe):

4. Do przetwarzania danych osobowych, o których mowa w ust. 1, nie stosuje się art. 5 ust. 2 rozporządzenia 2016/679 – w zakresie obowiązku wykazywania przestrzegania przepisów art. 5 ust. 1 tego rozporządzenia.

Przypomnię, że art. 5. ust. 2 podkreśla, że administrator jest odpowiedzialny za przestrzeganie przepisów z ust. 1 i musi być w stanie wykazać ich przestrzeganie. Zatem wygląda na to, że "minister właściwy do spraw kultury i ochrony dziedzictwa narodowego lub odpowiednio specjalistyczna jednostka nadzoru, o której mowa w art. 53 ust. 1 ustawy z dnia 14 grudnia 2016 r." nie musi danych ani chronić, ani tym bardziej wykazywać, że je chroni, chociaż dalej okazuje się, że "jakoś" tam będzie je chronił:

6. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu i są przechowywane wyłącznie przez okres niezbędny do realizacji zadań.

Szybko znalazłem w uzasadnieniu, że:

Ponadto w omawianej ustawie wprowadzono wybrane ograniczenia stosowania art. 5 ust. 2, 13, 14, z uwagi na zbyt wysoki koszt podjęcia działań wymaganych tymi przepisami. (...) wprowadzono ograniczenia wybranych praw podmiotu danych w celu uniknięcia sytuacji ponoszenia nadmiernie wysokich kosztów przez podmioty przetwarzające dane

Jak na razie jest to projekt, więc można liczyć, że takie ograniczenia nie uchowają się. Ale i tak w ogóle wstyd, że zostały zaproponowane. To tak jakbym np. bank stwierdził, że na razie nie chronię danych osobowych, bo to zbyt droga sprawa, ale żeby było zgodnie z prawem - zróbmy sobie ustawę :-)

W ustawie o świadczeniu usług drogą elektroniczną zmienia się, że reguluje wybrane zasady ochrony danych osobowych. Dodano wyraz "wybrane". To oczywiście kosmetyka, ale dalsze zmiany są ciekawsze i moim zdaniem na lepsze.

dawny artykuł 4 w brzmieniu

Art. 4. 1. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta:
1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;
2) może być odwołana w każdym czasie.
2. Usługodawca wykazuje uzyskanie zgody, o której mowa w ust. 1, dla celów dowodowych.

zostaje zastąpiony

Art. 4. Do uzyskania zgody usługobiorcy zastosowanie mają przepisy o ochronie danych osobowych

Kolejna zmiana polega na usunięciu ", w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny"

2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Skoro wyraził zgodę na przetwarzanie danych, to w ten sam sposób wyraża zgodę na prztewarzanie danych osobowych w celu otrzymywania informacji handlowych. Takie proste!

Usuwa się art. 19. ust. 1, 2, 4 i 5 - a więc po zakończeniu korzystania z usługi dane się usuwa teraz. I kropka. Co ciekawe usuwa sie tez to:

Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym przez niego pseudonimem.

W ustawie o systemie informacji w ochronie zdrowia dowiadujemy się, że (art. 9a ust. 2):

Dane przetwarzane w systemach, o których mowa w ust. 1, podlegają ochronie zapewniającej odpowiedni stopień bezpieczeństwa, uwzględniający aktualny stan wiedzy technicznej, charakter i cele przetwarzania danych oraz ryzyko naruszenia praw osób, których dane dotyczą

I czy jest sens dodawać zdania, które w zasadzie są puste, bo już w unijnym "rozporządzeniu 2016/679" określa się, że dane osobowe muszą być "przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)". Jak dla mnie to ustawowa wata.

Ustawa Prawo o aktach stanu cywilnego wspominam, bo rozbawiło mnie brzmienie art. 2 ust. 2 - masło maślane:

(ii)Rejestracji stanu cywilnego dokonuje się w rejestrze stanu cywilnego w formie aktów stanu cywilnego dla odzwierciedlenia stanu cywilnego danej osoby

Oczywiście kolejny raz widzę bełkot na temat zabezpieczeń, nie wiem, po co to w ustawie ma być? Przykładowo art. 5 ust. 2:

2. Utrzymanie i rozwój rejestru stanu cywilnego dla realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw informatyzacji, w tym podejmuje działania mające na celu:
1) zapewnienie ochrony przed nieuprawnionym dostępem do rejestru stanu cywilnego;
2) zapewnienie integralności danych w rejestrze stanu cywilnego;
3) zapewnienie dostępności systemu teleinformatycznego, w którym rejestr jest prowadzony dla podmiotów przetwarzających dane w rejestrze stanu cywilnego;
4) przeciwdziałanie uszkodzeniom systemu teleinformatycznego, w którym rejestr jest prowadzony;
5) określenie zasad bezpieczeństwa przetwarzanych danych w tym danych osobowych;
6) zapewnienie rozliczalności rejestru stanu cywilnego.
(...)
4. Minister właściwy do spraw wewnętrznych zapewnia istnienie wydzielonej sieci zapewniającej łączność elektroniczną umożliwiającą dostęp do rejestru organom, o których mowa w art. 5a.

Dalej mamy retencję danych:

„Art. 28. 1. Akty stanu cywilnego oraz akta zbiorowe rejestracji stanu cywilnego kierownik urzędu stanu cywilnego przechowuje przez okres:
1) 100 lat - akty urodzenia oraz akta zbiorowe rejestracji stanu cywilnego dotyczące aktu urodzenia;
2) 80 lat - akty małżeństwa, akty zgonu oraz akta zbiorowe rejestracji stanu cywilnego dotyczące aktu małżeństwa i aktu zgonu.
2. Okresy, o których mowa w ust. 1, są liczone od końca roku kalendarzowego, w którym nastąpiło sporządzenie aktu stanu cywilnego.

W ustawie o leczeniu niepłodności (jak w wielu innych ustawach) znowu zapisy o bezpieczeństwie: "dane gromadzone w rejestrze podlegają ochronie zapewniającej odpowiedni stopień bezpieczeństwa, uwzgledniający aktualny stan wiedzy technicznej, charakter i cele przetwarzania danych oraz ryzyko naruszenia praw osób, których dane dotyczą". Konieczność zabezpieczenia danych osobowych dotyczy wszystkich przetwarzających dane osobowe i nie ma sensu takiego zapisu dodawać do (jakiejkolwiek) ustawy...

Pojawiają się takie same zapisy w propozycjach zmian do "ustawy o zmianie ustawy – Prawo o ruchu drogowym oraz niektórych innych ustaw". Niezłe cudo! Nie można było zmienić właściwych ustaw, lepiej było zmienić ustawę która zmieniała inne ustawy? Łaaa! To znacząco ułatwiało przeanalizowanie zmian! Na moje laickie oko zmiany w ustawach zmieniających ustawy powinny być zabronione!

Ustawa o działalności ubezpieczeniowej i reasekuracyjnej - w art. 38 w ust. 6 i 8 wyraz „pisemnej” zastępuje się wyrazem „wyraźnej” - co oznacza, że nowa treść będzie brzmieć następująco:

Art. 38. ust. 6
Wystąpienie zakładu ubezpieczeń o informacje, o których mowa w ust. 2 (informacje o stanie zdowia ubezpieczonego lub ubezpieczanego - przyp. aut), wymaga pisemnej wyraźnej zgody ubezpieczonego lub osoby, na rachunek której ma zostać zawarta umowa ubezpieczenia, albo jej przedstawiciela ustawowego.
Art. 38 ust. 8
Zakład ubezpieczeń może uzyskać odpłatnie od Narodowego Funduszu Zdrowia dane o nazwach i adresach świadczeniodawców, którzy udzielili świadczeń opieki zdrowotnej w związku z wypadkiem lub zdarzeniem losowym będącym podstawą ustalenia jego odpowiedzialności oraz wysokości odszkodowania lub świadczenia. Wystąpienie zakładu ubezpieczeń o te informacje wymaga wyraźnej pisemnej zgody ubezpieczonego albo jego przedstawiciela ustawowego.

W Prawie oświatowym pojawia się to, co już kilka razy pojawiło się w innych ustawach- wyłączenie stosowania art. 5 ust. 2 w zakresie obowiązku wykazywania przestrzegania przepisów art. 5. ust. 1. Czyli kto będzie wykazywał przestrzeganie przepisów - Prezes Urzędu Ochrony Danych Osobowych?

Ustawa wprowadza zmiany jeszcze w innych regulacjach, ale ze nie znalazłem tam nic szczególnie ekscytującego. Warto jednak pamiętać o nich - w końcu dotykają one tematyki ochrony danych osobowych - oto one:

  • o powszechnym obowiązku obrony Rzeczypospolitej Polskiej (art. 49b)
  • o zaopatrzeniu inwalidów wojennych i wojskowych oraz ich rodzin
  • o uposażeniu żołnierzy niezawodowych
  • o odznakach i mundurach
  • o orderach i odznaczeniach
  • Karta Nauczyciela
  • Prawo o adwokaturze (dodano sporo!)
  • o radcach prawnych
  • o księgach wieczystych i hipotece
  • o pracownikach urzędów państwocych
  • o narodowych zasobie archiwalnym i archiwach
  • o Rzeczniku Praw Obywatelskich
  • Prawo geodezyjne i kartograficzne
  • Prawo o notariacie
  • o organizowaniu i prowadzeniu działalności kulturalnej
  • o prawie autorskim i prawach pokrewnych
  • o zakładowym funduszu świadczeń socjalnych
  • o własności lokali
  • o ochronie zdrowia psychicznego
  • o autostradach płatnych oraz o Krajowym Funduszu Drogowym
  • o muzeach
  • o bibliotekach
  • o gospodarce nieruchomościami
  • Prawo o ustroju sądów wojskowych
  • o publicznej służbie krwi
  • o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych
  • Ordynacja podatkowa
  • o Instytucie Pamięci Narodowej - Komisji Ścigania zbrodni przeciwko Narodowi Polskiemu (nie wiedziałem, że mamy taką ustawę)
  • o broni i amunicji
  • o Rzeczniku Praw Dziecka
  • o Krajowym Rejestrze Karnym
  • o spółdzielniach mieszkaniowych
  • o zawodzie psychologa i samorządzie zawodowym psychologów
  • o ochronie praw lokatorów, mieszkaniowym
  • o dodatkach mieszkaniowych
  • o kuratorach sądowych
  • o świadczeniu przez prawników zagranicznych pomocy prawnej w Rzeczypospolitej Polskiej (hehe, ale cudo!)
  • Prawo o ustroju sądów administracyjnych
  • o zasobie gminy i o zmianie Kodeksu cywilnego
  • o Sądzie Najwyższym
  • o zatrudnieniu socjalnym
  • o ochronie zabytków i opiece nad zabytkami
  • o służbie wojskowej żołnierzy
  • o dochodach jednostek samorządu terytorialnego
  • o świadczeniach rodzinnych
  • o pomocy społecznej
  • o funduszach inwestycyjnych i zarzadzaniu alternatywnymi funduszami inwestycyjnymi
  • o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych
  • o odpowiedzialności za naruszenie  dyscypliny finansów publicznych
  • o informatyzacji działalności podmiotów realizujących zadania publiczne
  • o kinematografii
  • Prawo o szkolnictwie wyższym
  • o przeciwdziałaniu narkomanii
  • o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego
  • o dokumentach paszportowych
  • o biokomponentach i biopaliwach ciekłych
  • o Państwowym Ratownictwie Medycznym
  • o ujawnianiu informacji o dokumentach organów bezpieczeństwa państwa z lat 1944 – 1990 oraz treści tych dokumentów (wow, znowu ciekawe!)
  • o drogowych spółkach specjalnego przeznaczenia
  • o zapasach ropy naftowej, produktów naftowych i gazu ziemnego oraz zasadach postępowania w sytuacjach zagrożenia bezpieczeństwa paliwowego państwa i zakłóceń na rynku naftowym
  • o lekarzu sądowym
  • o licencji doradcy restrukturyzacyjnego (oooo!)
  • o pomocy osobom uprawnionym do alimentów
  • o prawach pacjenta i Rzeczniku Praw Pacjenta
  • o służbie cywilnej
  • o Krajowej Szkole Sądownictwa i Prokuratury
  • o bezpieczeństwie imprez masowych
  • o obywatelstwie polskim
  • o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym
  • o finansach publicznych
  • o dyscyplinie wojskowej
  • o spółdzielczych kasach oszczędnościowo-kredytowych
  • o grach hazardowych
  • o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych
  • o ochronie informacji niejawnych
  • Kodeks wyborczy
  • o Centrum Polsko-Rosyjskiego Dialogu i Porozumienia (serio!)
  • o działalności leczniczej 
  • o Krajowej Radzie Sądownictwa
  • o wspieraniu rodziny i systemie pieczy zastępczej
  • o przygotowaniu i realizacji inwestycji w zakresie obiektów energetyki jądrowej oraz inwestycji towarzyszących
  • o samorządzie pielęgniarek i położnych
  • o zawodach pielęgniarki i położnej
  • o weteranach działań poza granicami państwa
  • Prawo pocztowe
  • o odpadach
  • o zasadach realizacji programów w zakresie polityki spójności
  • o charakterystyce energetycznej budynków
  • o odnawialnych źródłach energii
  • Prawo o zgromadzeniach
  • o zawodzie fizjoterapeuty
  • o produktach biobójczych
  • Prawo o prokuraturze
  • ustawa o pomocy państwa w wychowaniu dzieci
  • o bezpieczeństwie obrotu prekursorami materiałów wybuchowych
  • o szczególnych zasadach wykonywania niektórych zadań z zakresu informatyzacji działalności organów Krajowej Administracji Skarbowej
  • o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym
  • o Krajowej Administracji Skarbowej
  • o organizacji i trybie postępowania przed Trybunałem Konstytucyjnym
  • Prawo oświatowe 

Dobra, to teraz czas przejść do ustawy właściwej oraz przepisów przejściowych. Zapraszam do ostatniej części

Poprzednie części: