Przepisy wprowadzające ustawę o ochronie danych osobowych - niezła czytanka! - cz.2

Kolejny dzień czytania przepisów wprowadzających ustawę o ochronie danych osobowych - a więc część druga. Część 1 znajduje się tutaj >>. Zaczynam zauważać już pewne ciekawe rzeczy.

Przykładowo Ubezpieczeniowy Fundusz Gwarancyjny  (ale są też "inni") o naruszeniu bezpieczeństwa nie będzie informował w ogóle, gdyby miało to byś kosztowne. Jak widać z pewnych powodów są równi i równiejsi. No i notorycznie pojawiają się BIPy oraz "własne strony internetowe", na których rozmaite urzędy będą publikować informacje o wyciekach. Sądziłem, że dla mnie, jako obywatela, strona GIODO (a później Prezesa Urzędu) będzie jedynym miejscem, gdzie dowiem sie, komu dane wyciekły i czy mam się czegoś bać. A teraz już wiem, że raczej się nie dowiem, chyba, że będę monitorować BIPy, różne strony internetowe urzędów, a i to nie pomoże, bo niektórzy są równiejsi i nic nie muszą... Jak to było w filmie Sami Swoi - "Sąd sądem a sprawiedliwość musi być po naszej stronie". No ale może wróćmy do czytania.

Ustawa Prawo o ruchu drogowym kolejne ciekawostki, przykładowo ustanawia się, że:

5a. Podmioty, o których mowa w art. 80ba ust. 1 oraz art. 80c ust. 1 i ust. 2a: (...) wdrażają środki techniczne i organizacyjne w celu ochrony danych osobowych, o których mowa w ust. 5.

Przy czym art. 80a ust. 5 brzmi następująco:

5. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wymagania techniczne i jakościowe w zakresie standardów przesyłanych danych oraz tryb wprowadzania danych do ewidencji, mając na względzie zapewnienie wysokiej jakości przekazywanych danych do ewidencji i jej referencyjny charakter.

Czyli odwołujemy się do rozporządzenia, którego celem jest... uwaga! wysoka jakość danych w ewidencji! Ale tam nie ma nic o bezpieczeństwie? Może jest coś w samym rozporządzeniu. Ale o jakie rozporządzenie chodzi? Śmiertelnik pozostaje bezradny. Na szczęście internety podpowiedziały, że chodzi o rozporządzenie Ministra Cyfryzacji z dnia 30 marca 2016 r. w sprawie wymagań technicznych i jakościowych w zakresie standardów przesyłanych danych do centralnej ewidencji pojazdów. Pech chce, że rzeczywiściew tym rozporządzeniu nie ma nic, ale to nic o ochronie danych osobowych.

Oczywiście klasycznie jest kolejne zwolnienie - wydaje się, że tylko z art. 14, ale chwilę później przemyca się kolejne zwolnienia:

5b. Administrator danych i informacji zgromadzonych w ewidencji przetwarzający dane osobowe na potrzeby centralnej ewidencji pojazdów, jest zwolniony z obowiązku informacyjnego, o którym mowa w art. 14 rozporządzeniaParlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1), zwanego dalej „rozporządzeniem 2016/679”.
(...)
5d. Do przetwarzania danych osobowych zgromadzonych w centralnej ewidencji pojazdów, przepisów art. 15, 18, 19, 20 i 21 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim dane te są nie

I w przypadku wycieku danych nie ma obowiązku stosowania art. 34 ust. 1 czyli osób, których dane dotyczą nie będzie o tym się informować. Well, well, a to Ci prywatność dopiero chronimy! A ciekawe jest, że tu tylko wyłącza się ustęp 1, ale dalej zobaczymy, że wyłącza się stosowanie całego art. 34.

5e. Przepisu art. 34 ust. 1 rozporządzenia 2016/679 nie stosuje się, jeśli administrator danych i informacji zgromadzonych w ewidencji przetwarzający dane osobowe na potrzeby centralnej ewidencji pojazdów, w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.

Czyli teraz zwykły obywatel, zamiast zajrzeć na stronę Prezesa Urzędu, aby zorientować się co i skąd wycieka, będzie musiał śledzić dziesiątki czy setki rozmaitych stron... No nie wiem czy to dobry pomysł, aby projekt ustawy przygotowywało Ministerstwo Cyfryzacji, może jednak lepiej, aby to robił ktoś inny? Może GIODO? :-)

A w ustawie o bibliotekach jest jeszcze ciekawiej!

2. Do przetwarzania danych osobowych, o których mowa w art. 6 ust. 2d, art. 6a ust. 4a, art. 6b, art. 7 ust. 6a oraz art. 17 ust. 4, nie stosuje się art. 5 ust. 2 rozporządzenia

który brzmi "administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)". Czyli biblioteki nie muszą udowadniać, że chronią dane osobowe...?

W ustawie o komornikach sądowych i egzekucji znowu wyłączenia - przepisów art. 13-15 ust.1 i 3, 18, 19 i 21 ust. 1 rozporządzenia nie stosuje się. Art. 16 rozporządzenia, brzmiący dzisiaj "Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia" ta ustawa też bierze na tapetę i reguluje tak:

Przepisu art. 16 rozporządzenia 2016/679 nie stosuje się, o ile przepisy szczególne przewidują odrębny tryb sprostowania.

Przepisy ustawy o o usługach turystycznych - pojawia się tajemnica hotelarska: "Personel obiektu hotelarskiego jest obowiązany do zachowania w tajemnicy informacji związanych z klientem uzyskanych w związku ze świadczeniem usług hotelarskich”. (art. 35 ust. 5) Później pojawia się coś zupełnie nowego i praktycznego. Pewnie nie raz ktoś Wam (albo Wy komuś) rezerwował nocleg i podawał Wasze dane. Teoretycznie wg dawnych przepisów hotel powinien natychmiast dokonać tzw. obowiązku informacyjnego (czyli przekazać informacje, że ma dane, że jest ich administratorem, jakie są Wasze prawa, itd), czego nikt chyba nie robił. Po zmianach art. 35a będzie pozwalał to zrobić "najpóźniej w chwili rozpoczęcia świadczenia usługi hotelarskiej". W Prawie bankowym pozwoli się na sprawdzenie w Krajowym Rejestrze Karnym pracownika lub osoby ubiegającej się o zatrudnienie. Bank ma mieć prawo żądać danych biometrycznych. (art. 13c ust. 1 i ust. 2) W celu oceny zdolności kredytowej, o której mowa w ust. 1, oraz wykonania obowiązku, o którym mowa w art. 50 ust. 2, bank może przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie.”. Art. 105 pozwala na BIKopodobne instytucje - "Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania, w tym profilowania i udostępniania (...)" Art. 105a w ogóle zezwala na profilowane "przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim" Co ciekawe, banki "mogą przetwarzać, w tym dokonywać profilowania, i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach" m.in. przestępstwa lub uzasadnionego podejrzenia popełnienia przestępstwa na szkodę instytucji finansowych (art. 106d) - czyli banki mogą wymieniać się danymi złoczyńców! Przetwarzanie danych biometrycznych klientów będzie możliwe (art. 112b), ale oczywiście wg zasad okreslonych rozporządzeniem. No i oczywiście uregulowania związane z naruszeniami bezpieczeństwa:

Art. 112e. 1. Banki oraz instytucje utworzone na podstawie art. 105 ust. 4 (...) nie są obowiązane do (...) zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych na podstawie art. 34 rozporządzenia 2016/679, jeżeli takie zawiadomienie może spowodować naruszenie stabilności funkcjonowania sektora bankowego

Czyli w przypadku większego wycieku będziemy milczeć, aby nie spowodować paniki. To ciekawe... Co ciekawe, takie same zapisy znalazły się w innej ustawie w odniesieniu do "instytucji płatniczych oraz instytucji pieniądza elektronicznego". No i jeszcze mamy uprawnienie do przenoszenia danych - w przypadku banku "nie dotyczy przenoszenia danych, które stanowią tajemnicę przedsiębiorstwa". Czyżby należało uznać, że poza historią rachunku, klient raczej nic więcej nie dostanie? Ustawa o ochronie dziedzictwa Fryderyka Chopina (serio? mamy taką ustawę?) wprowadza zapis:

4. Do przetwarzania danych osobowych zawartych we wniosku, o którym mowa w art. 6 ust. 4 pkt 1, nie stosuje się art.14 rozporządzenia 2016/679, w zakresie w jakim dane te pochodzą od podmiotu wnioskującego o przyznanie odznaki.

Trochę uśmiałem się z tego zapisu. Art. 14 stosuje się, jeśli dane pochodzą z innych źródeł, niż osoba, której te dane dotyczą. Więc oczywistą oczywistością jest niestosowanie tego artykułu "w zakresie w jakim dane te pochodzą od podmiotu wnioskującego o przyznanie odznaki". Po co więc taki zapis włączono - nie wiem...

Klasycznie pojawia się też niestosowanie art. 34 jeśli "w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej".

Proponuję, żeby w ustawie o ochronie danych osobowych dokonać zapisu, że wszelkie organy publiczne nie stosują art. 34i mają obowiązek publikować takie informacje w BIK. Może tak będzie łatwiej?

Ustawa Prawo o ustroju sądów powszechnych całkowicie odbiera prawo do sprostowania danych osobowych(pojawia się to w kilku miejscach, zależnie jakich danych dotyczy:

art. 168a §4. Przepisu art. 16 rozporządzenia 2016/79 nie stosuje się, chyba że przepisszczególny stanowi inaczej.

W końcu trafiłem na precyzyjne przepisy/zapisy dotyczące wyliczenia tego, jak długo dane muszą być przechowywane - przykładem jest tu ustawa o Żandarmerii Wojskowej i wojskowych organach porządkowych:

8. Informacje, o których jest mowa w ust. 7 są przechowywane przez okres 5 lat od zakończenia postępowania kwalifikacyjnego, z wyjątkiem dokumentacji badania psychologicznego zakończonego wynikiem pozytywnym, którą przechowuje się przez okres 20 lat, licząc od dnia przeprowadzenia badania.

Ustawa o transporcie drogowym wciąż żyje zbiorami danych- pojawiają się one w art. 55a. Może tam prawnicy nie zorientowali się, że zbiory danych osobowych jako takie przestają istnieć? Ale na plus pojawia sie znowu coś z retencji:

8. Inspekcja Transportu Drogowego przetwarza dane osobowe przez okres, w którym są one niezbędne do realizacji jej ustawowych zadań. Inspekcja Transportu Drogowego dokonuje, nie rzadziej niż co 5 lat, weryfikacji potrzeby dalszego przetwarzania tych danych, usuwając dane zbędne.

Jako, że pracowałem dość długo w ubezpieczeniach, to z sentymentem przyglądam się zmianom w ustawie o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze UbezpieczycieliKomunikacyjnych. I oczywiście trafiam na perełkę -Fundusz, jeśli będzie "za drogo", to nie stosuje art. 34 unijnego rozporządzenia(art. 98b) - przyznaję, że ładnie sobie to wywalczyli... ale może to tylko propozycja zapisów?

Następnie jest "opłata w rozsądnej wysokości", ale nie dodaje się, że to wynikać ma z poniesionych kosztów.

Art. 136b. Prawo osoby, której dane dotyczą, określone w art. 15-22 i art. 34 ogólnego rozporządzenia o ochronie danych, Biuro realizuje bezpłatnie raz na sześć miesięcy. W pozostałych przypadkach Biuro może pobrać opłatę w rozsądnej wysokości.

Pamiętacie, jak wspominałem "tych" od ustawy o muzeach? Oni pojawiają się jeszcze raz. Gołym okiem ich wyłapałem - to na pewno oni, medaliści od przystępnego języka:

Art. 6a. 1. Dane osobowe, o których mowa w art. 8 ust. 1a, art. 14a ust. 1a, art. 22ust. 7, art. 23 ust. 3, art. 24a ust. 1a, art. 25 ust. 3, art. 27 ust. 2, art. 29 ust. 4a, art. 30 ust.2a, art. 32 ust. 11, art. 34 ust. 2b, art. 35a, art. 36 ust. 9, art. 38 ust. 1c, art. 50a, art. 59aust. 3, art. 58a, art. 74 ust. 3, art. 81 ust. 3, art. 82a ust. 3, art. 83 ust. 2, art. 83a ust. 2a, art. 90 ust. 3, art. 91 ust. 5, art. 98 ust. 2a, art. 99a, art. 101a, art. 105a oraz art. 106 ust. 5,podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu i są przechowywane wyłącznie przez okres niezbędny do realizacji zadań.

Uwielbiam to. Chyba ten, kto wymyślił WWW to miał na myśli taką plątaninę odnośników.

W ustawie o swobodzie działalności gospodarczej dowiemy się, że "po upływie 10 lat od dnia wykreślenia przedsiębiorcy z CEIDG usunięciu podlegają dane wpisane do CEIDG przed dniem tego wykreślenia".

Prawo telekomunikacyjne pozwala także na profilowanie (art. 57):

W celu dokonania oceny wiarygodności płatniczej użytkownika końcowego, o której mowa w ust. 2 pkt 2 oraz w ust. 3, dostawca usług może przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie, o ile dostawca usług wdrożył właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Uff, jutro pozostała trzecia część. Zauważam już powtarzające się wyłączenia i podejście do raportowania naruszeń, ale dzisiaj jeszcze za wcześnie na wnioski. Poza tym dzisiaj i tak jest nieco chaotycznie, w końcu już jest druga w nocy. A ja z nosem w przepisach :-)