text_structure.xml 105 KB
<?xml version='1.0' encoding='utf-8'?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
  <xi:include href="PPC_header.xml" />
  <TEI>
    <xi:include href="header.xml" />
    <text>
      <body>
        <div xml:id="div-1">
          <u xml:id="u-1.0" who="#RyszardKalisz">Otwieram posiedzenie Komisji Sprawiedliwości i Praw Człowieka. Stwierdzam kworum. Porządek dzienny dzisiejszego posiedzenia przewiduje wysłuchanie publiczne w odniesieniu do przedstawionego przez Prezydenta RP projektu ustawy o zmianie ustawy o ochronie danych osobowych (druk nr 488).</u>
          <u xml:id="u-1.1" who="#RyszardKalisz">Na początku chciałbym przedstawić zasady, na jakich odbędzie się wysłuchanie. Po pierwsze, prawo wzięcia udziału w wysłuchaniu publicznym, dotyczącym projektu ustawy mają podmioty, które po ogłoszeniu w formie druku, w trybie określonym w art. 35 ust. 1 zgłosiły do Sejmu, co najmniej 10 dni przed dniem wysłuchania publicznego, zainteresowanie pracami nad projektem ustawy z zastrzeżeniem ustępu 2.</u>
          <u xml:id="u-1.2" who="#RyszardKalisz">Od razu informuję podmioty, które zgłosiły się później, iż uzyskały moją zgodę na wzięcie udziału w wysłuchaniu.</u>
          <u xml:id="u-1.3" who="#RyszardKalisz">Wysłuchanie publiczne może się odbyć tylko na jednym posiedzeniu Komisji. Porządek dzienny posiedzenia Komisji, na którym przeprowadza się wysłuchanie publiczne, nie może wywołać innych punktów porządku dziennego. Przewodniczący Komisji ustala kolejność, oraz czas wystąpień podmiotów, które biorą udział w wysłuchaniu publicznym.</u>
          <u xml:id="u-1.4" who="#RyszardKalisz">Na posiedzeniu, na którym przeprowadza się wysłuchanie publiczne, podmiot, o którym mowa w ust. 1, może wystąpić tylko raz. Nie ma więc wystąpień ad vocem. Nie ma też ustosunkowania się do innych wypowiedzi. Powtarzam, podmiot, który się zgłosił, występuje tylko raz. Tak stanowi regulamin Sejmu.</u>
          <u xml:id="u-1.5" who="#RyszardKalisz">Jednocześnie informuję, że jest to klauzula generalna. W szczególnie uzasadnionych przypadkach przewodniczący Komisji może przerwać posiedzenie, na którym jest wysłuchanie publiczne, z powodu bardzo ważnych, nie dających się przewidzieć przyczyn.</u>
          <u xml:id="u-1.6" who="#RyszardKalisz">Informuję, że jest ustalona kolejność wystąpień poszczególnych osób. Przedstawia się ona następująco:</u>
          <u xml:id="u-1.7" who="#RyszardKalisz">Pan Jerzy Bańka, Związek Banków Polskich,</u>
          <u xml:id="u-1.8" who="#RyszardKalisz">Pan Tadeusz Białek, Związek Banków Polskich,</u>
          <u xml:id="u-1.9" who="#RyszardKalisz">Pan Maciej Byczkowski, Stowarzyszenie Administratorów Bezpieczeństwa Informacji,</u>
          <u xml:id="u-1.10" who="#RyszardKalisz">Pani Dominika Domańska, Viewpoint Group,</u>
          <u xml:id="u-1.11" who="#RyszardKalisz">Pani Magdalena Garbacz, Polska Konfederacja Pracodawców Prywatnych Lewiatan,</u>
          <u xml:id="u-1.12" who="#RyszardKalisz">Pani Anna Kadzikiewicz, Viewpoint Group,</u>
          <u xml:id="u-1.13" who="#RyszardKalisz">Pani Alicja Kopeć, Polska Konfederacja Pracodawców Prywatnych Lewiatan,</u>
          <u xml:id="u-1.14" who="#RyszardKalisz">Pan Mariusz Krzysztofek, Fortis Bank Polska SA,</u>
          <u xml:id="u-1.15" who="#RyszardKalisz">Pan Paweł Litwiński, Stowarzyszenie Administratorów Bezpieczeństwa Informacji,</u>
          <u xml:id="u-1.16" who="#RyszardKalisz">Pan Piotr Małecki, Viewpoint Group,</u>
          <u xml:id="u-1.17" who="#RyszardKalisz">Pan Krzysztof Markowski, Biuro Informacji Kredytowej SA,</u>
          <u xml:id="u-1.18" who="#RyszardKalisz">Pani Agnieszka Marzec, Biuro Informacji Kredytowej SA,</u>
          <u xml:id="u-1.19" who="#RyszardKalisz">Pan Mariusz Odziemczyk, Viewpoint Group,</u>
          <u xml:id="u-1.20" who="#RyszardKalisz">Pan Krzysztof Pietraszkiewicz, Związek Banków Polskich,</u>
          <u xml:id="u-1.21" who="#RyszardKalisz">Pan Maciej Sankowski, Viewpoint Group,</u>
          <u xml:id="u-1.22" who="#RyszardKalisz">Pan Arkadiusz Sekściński, Viewpoint Group,</u>
          <u xml:id="u-1.23" who="#RyszardKalisz">Pan Marek Szwed-Lipiński, osoba fizyczna,</u>
          <u xml:id="u-1.24" who="#RyszardKalisz">Pani Anna Wojciechowska-Nowak, Fundacja im. Stefana Batorego,</u>
          <u xml:id="u-1.25" who="#RyszardKalisz">Pani Anna Ankiewicz KG MSWiA,</u>
          <u xml:id="u-1.26" who="#RyszardKalisz">Pan Grzegorz Cyganik, Polska Izba Ubezpieczeń,</u>
          <u xml:id="u-1.27" who="#RyszardKalisz">Pan Maciej Dietrich, Raiffeisen Bank Polska SA Warszawa,</u>
          <u xml:id="u-1.28" who="#RyszardKalisz">Pani Katarzyna Domańska, Stowarzyszenie Marketingu Bezpośredniego,</u>
          <u xml:id="u-1.29" who="#RyszardKalisz">Pan Michał Jaworski, Polska Izba Informatyki i Telekomunikacji,</u>
          <u xml:id="u-1.30" who="#RyszardKalisz">Pan Ksawery Konarski, PIIiT,</u>
          <u xml:id="u-1.31" who="#RyszardKalisz">Pan Andrzej Maciążek, PIU,</u>
          <u xml:id="u-1.32" who="#RyszardKalisz">Pani Marta Nieścierowicz, Holistyczne Zarządzanie Informacją,</u>
          <u xml:id="u-1.33" who="#RyszardKalisz">Pani Iwona Pilars-Ratyńska, PIU,</u>
          <u xml:id="u-1.34" who="#RyszardKalisz">Pan Jan, Grzegorz Prądzyński, PIU,</u>
          <u xml:id="u-1.35" who="#RyszardKalisz">Pan Stefan Szyszko, PIU,</u>
          <u xml:id="u-1.36" who="#RyszardKalisz">Pani Małgorzata Więch, Polska Izba Handlu.</u>
          <u xml:id="u-1.37" who="#RyszardKalisz">Na koniec wystąpi Pan Michał Serzycki, generalny inspektor ochrony danych osobowych, oraz wnioskodawca, przedstawiciel Kancelarii Prezydenta. Lista mówców liczy 35 osób. Jeśli przyjmiemy, że posiedzenie będzie trwało dwie i pół godziny, to każdy z mówców będzie miał 5 minut na wysłuchanie. Będę tego przestrzegał. Jak widać, zainteresowanie tą problematyką jest duże. Informuję, iż posiedzenie jest nagrywane. Zostanie z tego sporządzony stenogram. Każdy podmiot na wniosek będzie mógł zapoznać się z nagraniem i stenogramem oraz nanieść stosowne uwagi. Proszę o zabranie głosu Pana Jerzego Bańkę, Związek Banków Polskich.</u>
        </div>
        <div xml:id="div-2">
          <u xml:id="u-2.0" who="#JerzyBańka">Mam uprzejmą prośbę o przestawienie kolejności, tak żeby w pierwszej kolejności głos zabrał pan dyrektor Krzysztof Pietraszkiewicz. Umożliwi mu to wzięcie udziału w innym spotkaniu.</u>
        </div>
        <div xml:id="div-3">
          <u xml:id="u-3.0" who="#RyszardKalisz">Wyrażam zgodę. Pan Krzysztof Pietraszkiewicz będzie występował jako pierwszy, a pan Jerzy Bańka jako czternasty. Proszę o zabranie głosu pana Krzysztofa Pietraszkiewicza, prezesa Związku Banków Polskich.</u>
        </div>
        <div xml:id="div-4">
          <u xml:id="u-4.0" who="#KrzysztofPietraszkiewicz">Chciałbym wszystkim podziękować za możliwość zaprezentowania opinii. Chcę też powiedzieć, że dla nas ochrona danych osobowych ma ogromne znaczenie ze względów profesjonalnych i prawnych. W Polsce w ostatnich kilkunastu latach dokonał się duży postęp w tym zakresie. Mamy prawo być z tego dumni. Powinniśmy teraz zrobić wszystko, aby kolejne przedsięwzięcia były elementem kompromisu, najlepszych rozwiązań, najlepszych praktyk. Chodzi też o to, żebyśmy znaleźli dobre rozwiązanie tego, co leży w interesie wszystkich obywateli, państwa i rozwoju rodzimej przedsiębiorczości.</u>
          <u xml:id="u-4.1" who="#KrzysztofPietraszkiewicz">Chcę również wyrazić ogromne uznanie dla działań w tym przedmiocie instytucji państwa, w szczególności Generalnego Inspektora Ochrony Danych Osobowych. Dalsze moje słowa, choć będą krytyczne, nie pomniejszają w żaden sposób roli tej instytucji w naszym kraju.</u>
          <u xml:id="u-4.2" who="#KrzysztofPietraszkiewicz">Chcę wszakże powiedzieć, że są pewne przykłady w gospodarce, które budzą nasz niepokój. Po pierwsze, jako podmioty gospodarcze, ale także jako obywatele, otrzymujemy sprzeczne impulsy ze strony GIODO w zakresie prawnych regulacji. Rozwiązania te rodzą sprzeczne dyspozycje. Na przykład mamy chronić bezpieczeństwo obrotu gospodarczego, a jednocześnie identyfikować klientów. Z kolei inne dyspozycje i praktyki uniemożliwiają identyfikację klientów i przeciwdziałanie przestępstwom.</u>
          <u xml:id="u-4.3" who="#KrzysztofPietraszkiewicz">Po drugie, spotykamy nagminną praktykę interpretowania ustaw przez różne podmioty w dowolny sposób. W związku z tym, weszliśmy na ścieżkę niekończących się sporów prawnych, które kosztują, wprowadzają niepewność obrotu gospodarczego i w konsekwencji przenoszą się na naszych klientów. Polska zamiast stać się centrum obrotu gospodarczego, mając nowoczesne technologie i świetnie przygotowanych fachowców, będzie powoli stawać się pustynią.</u>
          <u xml:id="u-4.4" who="#KrzysztofPietraszkiewicz">Konsekwencje biznesowe są takie, że, po pierwsze, muszą wzrastać koszty, ponieważ wzrasta niepewność obrotu gospodarczego. Po drugie, dla klientów pojawia się mitręga. Podam przykład. Na mocy interpretacji przepisów i niejasnych rozstrzygnięć prawnych, musieliśmy usunąć kilkanaście milionów danych z naszych zasobów. W wyniku tego pozbyliśmy się informacji o części osób nierzetelnych w przeszłości, ale pozbyliśmy się także informacji o osobach rzetelnych, których dane będziemy musieli odtworzyć. Zbieranie danych, także tych pozytywnych, służy temu, aby klient otrzymał usługę szybko i na dobrych warunkach.</u>
          <u xml:id="u-4.5" who="#KrzysztofPietraszkiewicz">Zrobiliśmy niedawno takie badanie. Gdyby Sejm w ostatniej chwili nie zweryfikował dyspozycji, o jaką zabiegało GIODO, 69% dobrych klientów, musiałoby od nowa zbierać swoje dane we wszystkich bankach.</u>
          <u xml:id="u-4.6" who="#KrzysztofPietraszkiewicz">Pragnę zwrócić uwagę, że obecnie 75% klientów posiada rachunki i zobowiązania nie w jednym banku, a co najmniej w dwóch lub w trzech bankach. Mając 13.500 placówek, proszę sprawdzić, w ilu miejscach należy ustalić, czy konkretny klient przypadkiem nie zaciągnął zobowiązań. Mamy na rynku 650 odrębnych banków. Sprawdzanie „na piechotę” jest szaleństwem, generuje warunki, w których nie można w sposób nowoczesny pracować.</u>
          <u xml:id="u-4.7" who="#KrzysztofPietraszkiewicz">W związku z tym chcę powiedzieć, że kilka propozycji, które zostały przedstawione, wymagają rzetelnej dyskusji i konsultacji. Szczerze mówiąc, mam trochę żalu w tej sprawie. Zwykle było tak, że w ważnych sprawach toczyły się konsultacje. W tym przypadku pominięto środowiska najbardziej zainteresowane, przy tym rzetelnie wywiązujące się ze swoich zobowiązań. Nie postawiono nam pytania o skutki i konsekwencje. Myślę, że trzeba to naprawić.</u>
          <u xml:id="u-4.8" who="#KrzysztofPietraszkiewicz">Uważam również, iż powinniśmy zacieśniać kontakty pomiędzy tymi, którzy zajmują się przetwarzaniem danych a nadzorcami. Niestety, te kontakty w ostatnich miesiącach uległy wyraźnemu osłabieniu. My jesteśmy gotowi do takiej współpracy. Zapraszamy do koalicji w zakresie bezpieczeństwa obrotu gospodarczego. Jesteśmy po tej samej stronie i wierzymy, że uda nam się wypracować najlepsze rozwiązania.</u>
          <u xml:id="u-4.9" who="#KrzysztofPietraszkiewicz">Panie przewodniczący, panie i panowie posłowie. Mam postulat i prośbę do pana przewodniczącego oraz do pana ministra, a za jego pośrednictwem do pana prezydenta, żeby rozważyć utworzenie przy GIODO specjalnej rady konsultacyjnej. W jej ramach można by omawiać różne pojawiające się kwestie. To nie jest działanie przeciwko jakiejś instytucji. Chcemy upowszechniać jak najlepsze praktyki, rozmawiać z reprezentantami klientów i różnymi instytucjami, na przykład z Rzecznikiem Praw Obywatelskich, a także z przedstawicielami nadzoru nad ochroną danych osobowych.</u>
          <u xml:id="u-4.10" who="#KrzysztofPietraszkiewicz">Chodzi po prostu o to, żeby realizując słuszne i dobre cele, nie wydawali nadmiernych pieniędzy, bo, moim zdaniem, nie ma takiej potrzeby. Leży to w naszym wspólnym, dobrze pojętym interesie. Pragnę zadeklarować w imieniu sektora bankowego, że zawsze, o każdej porze jesteśmy gotowi do rozmowy w szukaniu najlepszych rozwiązań. Jesteśmy instytucją stale nadzorowaną, staramy się sprostać wymogom prawa, potrzebom klientów i stymulować rozwój gospodarczy. Liczę na to, że te wnioski, które pojawią się w dalszej dyskusji, zostaną wysłuchane i zrealizowane. W tej ustawie jest kilka bardzo ważnych kwestii, które wymagają zmian. Mam nadzieję, że dzisiejsze posiedzenie okaże się bardzo pożyteczne dla pań i panów posłów.</u>
          <u xml:id="u-4.11" who="#KrzysztofPietraszkiewicz">Chcę zwrócić uwagę na następującą kwestię. Uważam za niecelowe kwestionowanie outsourcingu w Polsce. Niesłuszne jest podważanie tego, że przetwarzanie danych dla celów statystycznych jest czymś złym. Moim zdaniem, jest to konieczne, jeśli chcemy stosować nowe metody statystyczne. W Polsce w roku ubiegłym banki udzieliły 23 mln sztuk kredytów i pożyczek. To jest normalna produkcja. Bez zastosowania nowych metod statystycznych nie będziemy skutecznie służyć gospodarce. Będą rosły koszty kredytów, co obróci się przeciwko wszystkim, zwłaszcza klientom.</u>
          <u xml:id="u-4.12" who="#KrzysztofPietraszkiewicz">Panie przewodniczący, liczę na to, że inni mówcy wskażą na inne ważne kwestie, które wymagają przedyskutowania. Zwracam się do pana ministra GIODO z prośbą o szukanie najlepszych rozwiązań. Nadmierna restrykcyjność w zakresie ochrony danych, nie jest słusznym rozwiązaniem.</u>
        </div>
        <div xml:id="div-5">
          <u xml:id="u-5.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu pana Tadeusza Białka ze Związku Banków Polskich.</u>
        </div>
        <div xml:id="div-6">
          <u xml:id="u-6.0" who="#TadeuszBiałek">W uzupełnieniu do wystąpienia pana prezesa Krzysztofa Pietraszkiewicza, chciałem wspomnieć o dwóch kwestiach, które budzą szczególne wątpliwości. Pierwsza, to możliwość odwołania zgody. Chcę zaznaczyć, że prawo wspólnotowe ogranicza się do pojęcia zgody. Nie stanowi w ogóle w przedmiocie odwołania zgody. Uzupełnienie definicji zgody o możliwość jej odwołania bez przekonywującego uzasadnienia w projekcie ustawy budzi poważne wątpliwości.</u>
          <u xml:id="u-6.1" who="#TadeuszBiałek">Swobodna możliwość odwoływania zgody stoi w sprzeczności z podstawowymi zasadami prawa cywilnego w zakresie składania oświadczeń woli. Tym samym pogłębiać będzie stan niepewności prawnych, zakłócać pewność obrotu, a w praktycznym aspekcie będzie przekładać się na rezygnację z popierania tej najpewniejszej przesłanki przetwarzania danych osobowych na rzecz przesłanki usprawiedliwionego celu, która zdecydowanie gorzej chroni dane osobowe.</u>
          <u xml:id="u-6.2" who="#TadeuszBiałek">Nie wspomnę już o tym, że usuwanie zgód w systemach informatycznych przyczyni się do generacji dodatkowych, zbędnych kosztów.</u>
          <u xml:id="u-6.3" who="#TadeuszBiałek">Druga kwestia to nakładanie kar pieniężnych przez GIODO. Dualizm występowania odrębnych sankcji karnych i systemu kar pieniężnych, jest niespotykany w regulacjach prawnych państw członkowskich Unii Europejskiej. Dyrektywa określa tylko wymóg, aby krajowe ustawodawstwa, zapewniały skuteczną ochronę danych. Nie stanowi natomiast o konieczności zastosowania kar pieniężnych, obok dodatkowych sankcji karnych.</u>
          <u xml:id="u-6.4" who="#TadeuszBiałek">Taki dualizm, naszym zdaniem, godzi w podstawową, konstytucyjną zasadę demokratycznego państwa prawa.</u>
        </div>
        <div xml:id="div-7">
          <u xml:id="u-7.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu pana Macieja Byczkowskiego ze Stowarzyszenia Administratorów Bezpieczeństwa Informacji.</u>
        </div>
        <div xml:id="div-8">
          <u xml:id="u-8.0" who="#MaciejByczkowski">Mam pytanie do pana przewodniczącego. Czy w uzupełnieniu mojego wystąpienia może zabrać głos pan doktor Litwiński w kwestii wspólnego stanowiska Stowarzyszenia?</u>
        </div>
        <div xml:id="div-9">
          <u xml:id="u-9.0" who="#RyszardKalisz">Bardzo proszę. Po panu głos zabierze pan Paweł Litwiński, a następnie pani Dominika Domańska.</u>
        </div>
        <div xml:id="div-10">
          <u xml:id="u-10.0" who="#MaciejByczkowski">Stowarzyszenie Administratorów Bezpieczeństwa Informacji reprezentuje grupę zawodową w Polsce, która jest nierozerwalnie związana z ustawą o ochronie danych osobowych. Ustawa wprowadza obowiązek wyznaczenia przez administratora danych administratora bezpieczeństwa informacji. Nadzoruje on przestrzeganie zasad ochrony danych osobowych zgodnie z obowiązującymi w tym zakresie przepisami prawa.</u>
          <u xml:id="u-10.1" who="#MaciejByczkowski">Na co dzień administratorzy bezpieczeństwa informacji zajmują się problemami związanymi z przetwarzaniem danych osobowych w polskich organizacjach, instytucjach oraz w podmiotach gospodarczych. Z tego powodu każda zmiana ustawy bezpośrednio dotyczy ich pracy.</u>
          <u xml:id="u-10.2" who="#MaciejByczkowski">Stowarzyszenie Administratorów Bezpieczeństwa Informacji opowiada się za wprowadzeniem do ustawy przepisów zapewniających skuteczniejsze wykonanie obowiązków określonych w ustawie o ochronie danych osobowych.</u>
          <u xml:id="u-10.3" who="#MaciejByczkowski">W opinii Stowarzyszenia projekt ustawy, który jest przedmiotem prac, nie wpłynie na zwiększenie gwarancji ochrony danych osoby, której one dotyczą. Jego istotą jest zwiększanie ilości nowych przepisów karnych, wprowadzenie nowych kompetencji władczych GIODO oraz rozrost aparatu administracyjnego tego organu.</u>
          <u xml:id="u-10.4" who="#MaciejByczkowski">Zdaniem Stowarzyszenia kierunek zmian powinien zmierzać do zwiększenia kompetencji kontroli wewnętrznej w jednostkach administratorów danych przez wzrost znaczenia roli administratora bezpieczeństwa informacji. Takie rozwiązania są w innych państwach Unii Europejskiej.</u>
          <u xml:id="u-10.5" who="#MaciejByczkowski">Oprócz tego zmianie powinny ulec te przepisy ustawy o ochronie danych osobowych, które powodują największe problemy w wykonaniu obowiązku ochrony danych. Zdaniem Stowarzyszenia, rozwiązaniem zmierzającym do poprawy skuteczności ustawy będzie właśnie zwiększenie roli kontroli wewnętrznej administratora bezpieczeństwa informacji, która jest aktualnie określona w art. 36 ust. 3 ustawy.</u>
          <u xml:id="u-10.6" who="#MaciejByczkowski">Proponujemy takie zmiany z następujących powodów. Po pierwsze, obecny przepis art. 36 ust. 3 nie stanowi wystarczającej podstawy do prawidłowego funkcjonowania administratora bezpieczeństwa informacji, ze względu na niesprecyzowanie kompetencji administratora, nieokreślenie jego statusu i usytuowania w strukturze jednostki administracyjnej. Po drugie, osoba wewnątrz jednostki znająca jej specyfikę może skutecznie nadzorować wykonanie przepisów ustawy, jeżeli zapewni się jej odpowiednie umocowanie i zakres uprawnień. Po trzecie, zwiększenie roli ADI, może stanowić alternatywę dla proponowanego w projekcie ustawy utworzenia jednostek zamiejscowych Biura GIODO. Będzie to obciążało budżet państwa i powodowało niepotrzebne koszty na administrację.</u>
          <u xml:id="u-10.7" who="#MaciejByczkowski">W opinii Stowarzyszenia nawet rozbudowany aparat administracyjny GIODO nie będzie w stanie skutecznie skontrolować wszystkich podmiotów przetwarzających dane osobowe. Doświadczenia innych państw, takich jak Holandia i Niemcy wskazują, że jest możliwe wprowadzenie przepisów prawa zapewniających skuteczniejsze funkcjonowanie kontroli wewnętrznej w zakresie przetwarzania danych osobowych.</u>
          <u xml:id="u-10.8" who="#MaciejByczkowski">SABI przeanalizowało problem wśród własnych członków i współpracowników. Z przeprowadzonych badań jednoznacznie wynika, że obecnie ABI nie może skutecznie wykonywać swoich funkcji, i dla zmiany tej sytuacji niezbędne są działania ustawodawcy.</u>
          <u xml:id="u-10.9" who="#MaciejByczkowski">W opinii Stowarzyszenia w wyniku nowelizacji ustawy ABI powinien uzyskać możliwość sprawowania skutecznej kontroli przestrzegania przepisów o ochronie danych osobowych poprzez zagwarantowanie mu odpowiednich kompetencji oraz niezależnego statusu zawodowego, na przykład podległość bezpośrednio pod administratora danych. Należy określić zakres obowiązków ABI, jak również wymogi kwalifikacyjne wobec ABI, które zapewnią w pełni profesjonalne wykonywanie tej funkcji.</u>
          <u xml:id="u-10.10" who="#MaciejByczkowski">Jednocześnie ustawowym zadaniem GIODO stanie się współpraca z ABI. Specjalny Zespół Stowarzyszenia opracował wstępną propozycję zmian przepisu art. 36 ust. 3. Jeżeli Komisja Sejmu zechce włączyć pod obrady naszą propozycję, przedstawimy nasz projekt ze stosownym uzasadnieniem.</u>
          <u xml:id="u-10.11" who="#MaciejByczkowski">Skuteczniejsze wykonywanie obowiązków ustawowych można również zapewnić poprzez zmianę przepisów ustawy o ochronie danych osobowych, które budzą wątpliwości i powodują praktyczne trudności. Do podstawowych problemów należy zaliczyć kwestie przedmiotowego zakresu przepisów ustawy, zakresu podmiotowego, kwestię powierzenia przetwarzania danych osobowych czy zabezpieczeń technicznych i organizacyjnych. W tej kwestii szczegóły przedstawi pan doktor Litwiński.</u>
          <u xml:id="u-10.12" who="#MaciejByczkowski">Stowarzyszenie ABI jest przeciwne wprowadzeniu kar finansowych w kształcie zaproponowanym w projekcie ustawy. System kar jest, w naszej opinii, wadliwie skonstruowany z następujących powodów. Po pierwsze, został oparty na zasadzie uznaniowości organu. Kary nakładane za utrudnienie przeprowadzenia kontroli nie zostały doprecyzowane, gdyż ustawa w sposób bardzo ogólny określa kompetencje kontrolne GIODO i związane z tym obowiązki kontrolowanego. W przypadku podjęcia kontroli, przepisy winny szczegółowo określać zasady i tryb przeprowadzenia takiej czynności prawnokarnej. Występuje to najczęściej w przepisach wykonawczych. Uważamy, że w sytuacji zagrożenia karą finansową kwestia utrudnienia kontroli powinna być dokładnie opisana w rozporządzeniu, w szczególności tryb przeprowadzenia kontroli oraz obowiązki osoby, która ją wykonuje i kontrolowanego. W przypadku kar za niewykonanie nakazu GIODO, projekt nowelizacji niepotrzebnie tworzy alternatywny do egzekucji w administracji system kar służących do przymuszenia realizacji obowiązków. Najpierw powinna zostać przeanalizowana skuteczność dotychczasowego stosowania przez GIODO środków egzekucyjnych, czego nie uczyniono.</u>
          <u xml:id="u-10.13" who="#MaciejByczkowski">Uważamy, że wybór systemu kar powinien być poddany raz jeszcze skutecznej analizie, dla zapewnienia jego przejrzystości, a w obecnej nowelizacji należy usunąć rozdział 7a dotyczący tej kwestii.</u>
          <u xml:id="u-10.14" who="#MaciejByczkowski">Zdaniem Stowarzyszenia, na uwzględnienie zasługują stanowiska Sądu Najwyższego i Naczelnego Sądu Administracyjnego w sprawie projektu nowelizacji ustawy przesłane do marszałka Sejmu. Według Sądu Najwyższego system nowych sankcji GIODO powiela środki egzekucyjne w administracji. Bardziej właściwym rozwiązaniem będzie nowelizacja ustawy o postępowaniu egzekucyjnym w administracji. NSA wskazuje na wadliwe przepisy proceduralne dotyczące kontroli sądowo-administracyjnych na decyzje GIODO w zakresie nakładanych kar finansowych.</u>
          <u xml:id="u-10.15" who="#MaciejByczkowski">W podsumowaniu Stowarzyszenie ABI popiera stanowiska innych organizacji w sprawie projektu prezydenckiego nowelizacji. Szczególnie chodzi o to, że nie przeprowadzono konsultacji przy projektowaniu nowelizacji ustawy. Uważamy, że szczególnie tego typu zmiany winny być dyskutowane ze środowiskiem ABI. Uniemożliwiono też dopełnienia zgłoszeń do prezydenta w sprawie nowelizacji ustawy. Zmiany ustawy ograniczono głównie do wprowadzenia nowego rodzaju sankcji administracyjnych i karnych. Inne zmiany mają charakter fragmentaryczny, podczas gdy ustawa wymaga daleko idących zmian usuwających trudności w wykonywaniu obowiązków, o czym wyżej wspomniałem.</u>
          <u xml:id="u-10.16" who="#MaciejByczkowski">Projekt przewiduje zbyt dużą odpowiedzialność karną za naruszenie obowiązków rejestracyjnych. Wykonanie tego wymogu jest wystarczająco chronione aktualnie obowiązującymi przepisami, zawartymi w art. 53 ustawy. Nowa kompetencja GIODO do występowania (art. 19a) powoduje wątpliwości w zakresie wzajemnych relacji pomiędzy stronami.</u>
        </div>
        <div xml:id="div-11">
          <u xml:id="u-11.0" who="#RyszardKalisz">Proszę o kończenie. Czas minął, a ustalone zasady nas obowiązują.</u>
        </div>
        <div xml:id="div-12">
          <u xml:id="u-12.0" who="#MaciejByczkowski">Podsumowując, uważamy, że w działalności GIODO nastąpi nieprawidłowe przemieszanie uprawnień rzecznika i kompetencji władczych organu administracji publicznej.</u>
        </div>
        <div xml:id="div-13">
          <u xml:id="u-13.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu pana Pawła Litwińskiego ze Stowarzyszenia Administratorów Bezpieczeństwa Informacji.</u>
        </div>
        <div xml:id="div-14">
          <u xml:id="u-14.0" who="#PawełLitwiński">W uzupełnieniu wypowiedzi pana prezesa Macieja Byczkowskiego, chciałbym zwrócić uwagę na dwie kwestie. Po pierwsze, na istniejące rozwiązania w zakresie pozycji prawnej ABI w wybranych porządkach prawnych Unii Europejskiej. W ustawie holenderskiej, w art. 63, została w sposób instytucjonalny zabezpieczona niezależność ABI. Nie można otrzymywać poleceń od administratora danych. ABI musi mieć możliwość swobodnego wykonywania swoich obowiązków. Administrator bezpieczeństwa informacji nie może być narażony na negatywne konsekwencje wykonywania swoich obowiązków.</u>
          <u xml:id="u-14.1" who="#PawełLitwiński">Jednocześnie art. 64 ustawy holenderskiej o ochronie danych osobowych bardzo precyzyjnie określa zakres obowiązków. Ustawodawca holenderski posługuje się tutaj pojęciem nadzoru czyli, odwołuje się do doktryny prawa administracyjnego, kontroli, a także uprawnieniami władczymi służącymi do usunięcia stwierdzonych naruszeń obowiązujących przepisów prawa.</u>
          <u xml:id="u-14.2" who="#PawełLitwiński">Również niemiecka federalna ustawa o ochronie danych osobowych bardzo precyzyjnie określa zakres uprawnień i obowiązków ABI. Jeżeli chodzi o jego pozycję w strukturze administratora danych, ustawodawca niemiecki stwierdził, że ABI powinien być podległy bezpośrednio osobie zarządzającej administratorem danych osobowych. ABI nie może być narażony na negatywne konsekwencje wykonywania swoich obowiązków.</u>
          <u xml:id="u-14.3" who="#PawełLitwiński">Z kolei, jeżeli mówimy o obowiązkach w niemieckiej federalnej ustawie o ochronie danych osobowych, to tutaj zostały one sprowadzone do kontroli prawidłowego wykorzystywania oprogramowania, służącego do ochrony danych czy do podejmowania działań sygnalizacyjnych w celu zaznajomienia osób przetwarzających dane z przepisami o ochronie danych osobowych. Co bardzo istotne, niemiecki ustawodawca federalny w całości skorzystał z rozwiązania zawartego w dyrektywach Parlamentu Europejskiego i Rady Europy dotyczących ochrony danych osobowych. Wiążą się z tym pewne konkretne korzyści dla administratora danych.</u>
          <u xml:id="u-14.4" who="#PawełLitwiński">Jeżeli taki administrator bezpieczeństwa zostanie ustanowiony, to administrator danych osobowych jest zwolniony z obowiązku rejestracji zbiorów danych osobowych. Jest także zwolniony z procedury tak zwanej „uprzedniej kontroli”. Chodzi tutaj o kontrole GIDO w zakresie przetwarzania wrażliwych zbiorów danych osobowych. Widać tutaj pewną myśl przewodnią, która przyświecała temu rozwiązaniu. Rozwijamy kontrolę wewnętrzną, rozwijamy kontrole wykonywane w ramach administratora danych, w zamian ograniczeniu ulegają władcze kompetencje federalnego inspektora ochrony danych osobowych.</u>
          <u xml:id="u-14.5" who="#PawełLitwiński">Przechodzę do drugiej kwestii. Chodzi o przepisy, które w istotny sposób hamują rozwój usług związanych z przetwarzaniem danych osobowych w Polsce. Chcę tutaj zwrócić uwagę na art. 3 polskiej ustawy o ochronie danych osobowych. Określa on zakres podmiotowy zastosowania ustawy. W tym przepisie jest istotna luka. Dotyczy on podmiotów mających swoją siedzibę na terenie Rzeczypospolitej Polskiej i w tak zwanych „państwach trzecich”. Nic nie mówi na temat podmiotów mających siedzibę w państwach europejskiego obszaru gospodarczego. Stąd bardzo istotny element niepewności w związku z podejmowaniem działalności gospodarczej na terenie Polski przez podmioty z terenu Unii Europejskiej.</u>
          <u xml:id="u-14.6" who="#PawełLitwiński">Druga szczegółowa kwestia. Chodzi o tak zwane „podpowierzenie” danych osobowych do przetwarzania. Mam na myśli powierzenie podwykonawcy usługi przetwarzania danych. Ten problem w naszym ustawodawstwie nie został uregulowany. Doświadczenia ustawodawców europejskich, na przykład ustawodawcy słowackiego, skłaniają do wniosku, że możliwość regulacji prostej i wyczerpującej jest jak najbardziej potrzebna.</u>
        </div>
        <div xml:id="div-15">
          <u xml:id="u-15.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu panią Dominikę Domańską z firmy Viewpoint Group. Nieobecna. Proszę o zabranie głosu panią Magdalenę Garbacz z Polskiej Konfederacji Pracodawców Prywatnych „Lewiatan”.</u>
        </div>
        <div xml:id="div-16">
          <u xml:id="u-16.0" who="#MagdalenaGarbacz">Dziękuję, panie przewodniczący. Na wstępie chciałabym powtórzyć niektóre fragmenty wystąpienia pana prezesa Pietraszkiewicza na temat konsultowania tego projektu z różnymi organizacjami, a w zasadzie braku takich konsultacji.</u>
          <u xml:id="u-16.1" who="#MagdalenaGarbacz">„Lewiatan” nie brał udziału w konsultacjach, bo nie był do nich zaproszony. Moja organizacja została wymieniona w uzasadnieniu jako ta, która ten projekt konsultowała. Mieliśmy możliwość zapoznania się z projektem dopiero w dniu, w którym został on przekazany do Kancelarii Sejmu i stał się drukiem sejmowym.</u>
          <u xml:id="u-16.2" who="#MagdalenaGarbacz">W związku z tym na etapie powstawania projektu ustawy żadnych uwag nie mogliśmy zgłosić. Jest to pierwszy moment, że możemy formułować na ten temat nasze uwagi. Generalna uwaga do projektu dotyczy braku jasności w zakresie celów, jakie nowelizacja ma realizować. Czytając projekt i jego uzasadnienie, widać wyraźny rozdźwięk między treścią projektu a treścią uzasadnienia. Na przykład wbrew twierdzeniom zawartym w uzasadnieniu zaproponowane przepisy nie zwiększają ochrony danych osobowych. Nakładają jedynie sankcje karne i inne obowiązki administracyjne. Nie ma to wiele wspólnego z ochroną danych poszczególnych osób. Wydaje się wątpliwe czy wzmacnia to ochronę danych osobowych. Zgodnie z informacją GIODO w roku ubiegłym wpłynęło do tej instytucji około 800 skarg na niewłaściwe przetwarzanie danych osobowych.</u>
          <u xml:id="u-16.3" who="#MagdalenaGarbacz">Mimo twierdzeń zawartych w uzasadnieniu o nieskuteczności sankcji karnych, projektodawca wprowadza dwa nowe zachowania, penalizuje dwa czyny jako przestępstwa, co nie wydaje się do końca racjonalne.</u>
          <u xml:id="u-16.4" who="#MagdalenaGarbacz">Przechodzę do generalnej oceny zaproponowanych przepisów. Po pierwsze, chcę zwrócić uwagę na wprowadzenie nowego rozdziału kar pieniężnych. Nie mam wątpliwości, że prawomocne decyzje muszą być wykonywane. Stoimy na stanowisku, że należy znowelizować ustawę o postępowaniu egzekucyjnym w administracji i wyposażyć GIODO w instrumenty pozwalające na korzystanie z tej regulacji, a nie wprowadzać przepisów egzekucyjnych w ustawie o ochronie danych osobowych.</u>
          <u xml:id="u-16.5" who="#MagdalenaGarbacz">Rozwiązanie takie zaburza spójność systemu prawnego. Odnośnie do samych przepisów dotyczących kar pieniężnych ich lektura budzi poważne wątpliwości interpretacyjne w zakresie, jakie informacje mają być przekazywane GIODO. Czy podstawą wymierzenia kary będzie brak informacji do GIODO, czy informacja niepełna i przekazana nie w terminie?</u>
          <u xml:id="u-16.6" who="#MagdalenaGarbacz">Penalizuje się dwa nowe zachowania, między innymi przetwarzanie danych przed zarejestrowaniem zbioru. Wysokość sankcji za ten występek odpowiada sankcjom karnym za przestępstwa przewidziane w Kodeksie karnym, na przykład za prowadzenie pojazdu mechanicznego pod wpływem alkoholu, wykonywanie zabiegu lekarskiego bez zgody pacjenta, przestępstwo bigamii, rozpijanie małoletniego, czy niewykonanie obowiązku alimentacyjnego. Wysokość sankcji jest podobna, ale czy takie zachowania można porównać ze sobą?</u>
          <u xml:id="u-16.7" who="#MagdalenaGarbacz">Następna kwestia. Chodzi mi o obowiązek aktualizacyjny. Idziemy tutaj o wiele dalej niż dyrektywa unijna, która nie nakazuje nawet rejestracji zbiorów. W projekcie jest obowiązek rejestracji zbiorów, rozbudowany obowiązek jego aktualizacji i sankcje karne za niewykonywanie tych obowiązków. Jako przykład mogę wskazać, iż tylko w jednej z firm ubezpieczeniowych sam przyrost nowych osób, którym powierza się przetwarzanie danych osobowych, wynosi 18.000 w skali roku. Przepraszam, chodzi tu o wszystkie firmy ubezpieczeniowe w Polsce.</u>
          <u xml:id="u-16.8" who="#MagdalenaGarbacz">Zgodnie z projektem GIODO powinien otrzymać informacje o każdej z tych osób: imię, nazwisko i adres. Czy naprawdę przekazywanie tych danych jest konieczne, skoro firmy powierzające przetwarzanie takie dane już posiadają? Umowy z nimi zawierane są na piśmie. Czy nie jest wystarczające, żeby te informacje przekazać tylko GIODO, na każde jego żądanie?</u>
          <u xml:id="u-16.9" who="#MagdalenaGarbacz">Ostatnia kwestia, na którą chciałabym zwrócić uwagę. Chodzi o sprawę odwołalności zgody na przetwarzanie danych osobowych. Tutaj również idziemy dalej niż dyrektywa unijna. Dostrzegając dzisiejsze wątpliwości interpretacyjne, chcę zwrócić uwagę na problem z odwołalnością zgody na przetwarzanie danych wrażliwych. Zgoda ta jest jedyną podstawą przetwarzania. Nie mówimy o sytuacji, gdy osoba fizyczna nie chce mieć już nic wspólnego z danym podmiotem i nie życzy sobie, aby on przetwarzał jej dane. Chce być objęta umową ubezpieczenia i podkreśla, że nie chce, aby jej dane osobowe były przetwarzane. W znaczący sposób utrudni to wykonanie takiej umowy, a być może, w pewnych sytuacjach nawet uniemożliwi. Tutaj także zwracamy uwagę na to, żeby zastanowić się, czy w takim przypadku odwołalność zgody w każdej sytuacji nie będzie miała wpływu na obowiązki zakładów ubezpieczeń. Obowiązki te leżą po ich stronie w wyniku zawarcia umowy ubezpieczenia.</u>
          <u xml:id="u-16.10" who="#MagdalenaGarbacz">Podsumowując, liczymy, iż projekt, który nie jest doprecyzowany i nie rozwiązuje rzeczywistych problemów, nie stanie się obowiązującym prawem. Będzie dalsza możliwość pracy nad nim, żeby wypracować takie przepisy, które będą odpowiadać na potrzeby przedsiębiorców, osób fizycznych i prawnych, a także instytucji, która ten projekt zgłosiła.</u>
        </div>
        <div xml:id="div-17">
          <u xml:id="u-17.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu panią Annę Kadzikiewicz z Viewpoint Group. Jest nieobecna, wobec tego pani Alicja Kopeć z Polskiej Konfederacji Pracodawców Prywatnych „Lewiatan”.</u>
        </div>
        <div xml:id="div-18">
          <u xml:id="u-18.0" who="#AlicjaKopeć">Koleżanka omówiła szczegółowo stanowisko PKPP „Lewiatan”. Postaram się mówić krótko. Chciałabym zwrócić uwagę na dwie sprawy. Po pierwsze, moim zdaniem, główną wadą tego projektu jest to, że stara się on uregulować, co nie znaczy polepszyć, tylko pewien fragment zagadnienia.</u>
          <u xml:id="u-18.1" who="#AlicjaKopeć">Ustawa działa już wiele lat. W tym czasie sytuacja rynkowa uległa znacznej zmianie. Jest to materia, która wymaga głębszej analizy. Niektóre sprawy nie są objęte nowelizacją projektu, na przykład kwestia administratorów bezpieczeństwa informacji czy pewne elementy samoregulacji przedsiębiorców. Dobrym przykładem może być ustawa o zwalczaniu nieuczciwych praktyk rynkowych, gdzie element samoregulacji jest mocno podkreślony. Myślę, że wpisuje się on w pewną filozofię działania Unii Europejskiej.</u>
          <u xml:id="u-18.2" who="#AlicjaKopeć">Na koniec chciałabym się odnieść do pewnej tezy zawartej w uzasadnieniu projektu. Nie mogę się zgodzić z tym, że tak mała liczba aktów oskarżenia wnoszonych do sądu przez prokuratorów wynika z ich przekonania, że czyny zabronione przez ustawę o ochronie danych osobowych mają niską szkodliwość społeczną. Wydaje mi się, że jest jeszcze druga przyczyna. Jest duża niejasność przepisów i wątpliwości interpretacyjne. Powoduje to, że często trudno jest takiemu przedsiębiorcy przypisać winę. Pamiętajmy, że chodzi o czyny polegające na rażącym niedbalstwie z winy umyślnej.</u>
          <u xml:id="u-18.3" who="#AlicjaKopeć">Chciałabym zwrócić uwagę na to, że duża liczba tych spraw zostaje ujawniona w toku kontroli. Jak zaznaczyłam wyżej, w ocenie prokuratury szkodliwość społeczna tych czynów jest niewielka. To powoduje, że prokurator zastanawia się nad wniesieniem aktu oskarżenia. Bez dodatkowej analizy wprowadzenie w projekcie nowych przepisów karnych jest nieporozumieniem. Tworzymy w ten sposób „martwe przepisy”, których obywatele nie będą przestrzegać.</u>
        </div>
        <div xml:id="div-19">
          <u xml:id="u-19.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu pana Mariusza Krzysztofka, Fortis Bank Polska SA.</u>
        </div>
        <div xml:id="div-20">
          <u xml:id="u-20.0" who="#MariuszKrzysztofek">Podzielam argumenty moich przedmówców i nie będę ich powtarzał. W swoim wystąpieniu skupię się na obawie przed popełnieniem kolejnego błędu legislacyjnego w tej ustawie. Odniosę się tutaj do propozycji zmiany przepisów o zgodzie na przetwarzanie danych osobowych, a właściwie o dopuszczalności odwołania tej zgody.</u>
          <u xml:id="u-20.1" who="#MariuszKrzysztofek">Zgadzam się, że nie jest rzeczą przesądzoną we wszystkich komentarzach, że ta zgoda nie może podlegać odwołaniu. Jakkolwiek dominującą opinią jest to, że zawsze może być odwołana, bo przemawia za tym autonomia jednostki, beneficjenta tej ochrony.</u>
          <u xml:id="u-20.2" who="#MariuszKrzysztofek">Wiemy jednocześnie, że w praktyce zgoda taka jest odbierana, na przykład na przetwarzanie danych w celach marketingowych, w przypadku gdy przedmiotem tych działań marketingowych miałyby być produkty i usługi świadczone przez podmioty należące do grupy kapitałowej, do której należy też administrator danych, do banków, do innych instytucji finansowych, do których należy także Fortis Bank Polska SA.</u>
          <u xml:id="u-20.3" who="#MariuszKrzysztofek">Jeżeli uwzględnimy możliwość wniesienia w obecnym stanie prawnym sprzeciwu wobec przetwarzania danych osobowych w tych celach oraz żądania wstrzymania przetwarzania danych, to obawiam się, że po kilku latach działania tej ustawy, pojawią się pytania, czym różni się instytucja żądania zaprzestania przetwarzania danych osobowych, sprzeciwu wobec przetwarzania danych osobowych i odwołania tej zgody.</u>
          <u xml:id="u-20.4" who="#MariuszKrzysztofek">Ta ustawa jest skierowana nie tylko do administratorów danych, ale także do osób, których dane dotyczą. To te osoby będą formułować te pytania. To one będą je przekuwać w skargi kierowane do GIODO. Ten z kolei będzie je kierował do administratorów danych. Pytanie, czy to w jakikolwiek zwiększa ochronę danych osobowych w stosunku do stanu obecnego? W moim przekonaniu zwiększa wątpliwości interpretacyjne, których i tak nie jest mało.</u>
          <u xml:id="u-20.5" who="#MariuszKrzysztofek">Druga sprawa, do której chciałbym się odnieść, to kwestia dopuszczalności odwołania zgody na przetwarzanie danych osobowych. W uzasadnieniu projektu padł argument, zgodnie z którym dopuszczalność odwołania zgody na przetwarzanie danych osobowych jest analogiczna do tej, jaką spotykamy w ustawie o świadczeniu usług drogą elektroniczną. Tutaj nie ma analogii. To są zupełnie inne rozwiązania. Tam zgoda jest wyłączną podstawą przetwarzania danych osobowych w celu prowadzenia marketingu za pośrednictwem kanałów elektronicznych. W ustawie o ochronie danych osobowych, sytuacja jest zupełnie inna. Przywołałbym równie nieadekwatny przykład, natomiast bardzo zbliżony do tego, który dotyczy usług świadczonych drogą elektroniczną. Mam na myśli art. 105a, który wprost mówi o odwołaniu zgody na przetwarzanie danych osobowych wyrażonej przez klienta w praktyce banku, po wygaśnięciu zobowiązania, dla celów określonych w tym przepisie. Tu też nie ma analogii. Możliwość odwołania zgody, nie może abstrahować od tego, w jakim otoczeniu prawnym takie rozwiązanie jest wprowadzane.</u>
          <u xml:id="u-20.6" who="#MariuszKrzysztofek">Krótko na temat przepisów karnych. Mam wrażenie, iż uzasadnienie wprowadzenia zmian przepisów, myślę tutaj o karach pieniężnych, jest wątpliwe. Na stronie 6 uzasadnienia czytam, że: „uzasadnieniem dla kar pieniężnych jest to, że na 462 zawiadomienia o podejrzeniu popełnienia przestępstwa, skierowanym przez GIODO, jedynie w 58 przypadkach skierowano do sądów akty oskarżenia. Pozostałe sprawy umorzono z uwagi na znikomą społecznie szkodliwość czynu”. Jedna z pań już do tej kwestii się odniosła. Być może, oznacza to poważną krytykę Prokuratury, ale to nie jest problem, który załatwi nowelizacja ustawy.</u>
          <u xml:id="u-20.7" who="#MariuszKrzysztofek">Konkluzja jest, moim zdaniem, inna. Nie kwestionujemy skuteczności działań prokuratury. Uznajemy, że były podstawy do podjęcia takich, a nie innych rozstrzygnięć. Mamy wątpliwości, czy aparat administracji należy wyposażać w instrumenty stosowania kar wobec instytucji i osób w przypadkach, w których organy ustrojowo powołane do tego, aby ścigać przestępstwa, uznały, że to ściganie jest niezasadne.</u>
          <u xml:id="u-20.8" who="#MariuszKrzysztofek">Z uzasadnienia nie wynika, aby poziom ochrony danych osobowych w Polsce, poziom zagrożenia przestępczością w tym zakresie był większy niż w innych krajach Unii Europejskiej. Uważam, iż nie ma podstaw, aby te przepisy karne tak radykalnie zaostrzać.</u>
        </div>
        <div xml:id="div-21">
          <u xml:id="u-21.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu pana Piotra Małeckiego z Viewpoint Group. Nie ma. Wobec tego głos zabierze pan Krzysztof Markowski z Biura Informacji Kredytowej SA.</u>
        </div>
        <div xml:id="div-22">
          <u xml:id="u-22.0" who="#KrzysztofMarkowski">Na wstępie chciałbym zacytować fragment wyroku wojewódzkiego sądu administracyjnego. Moim zdaniem, bardzo trafnie wskazuje na istotę przepisów ochrony danych osobowych. Cytuję fragment wyroku: „Zadaniem ustawy o ochronie danych osobowych nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest zakres przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu jej przetwarzania. Omawiana ustawa w art. 1 stwierdza, że dane osobowe mogą być przetwarzane, jeśli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości”.</u>
          <u xml:id="u-22.1" who="#KrzysztofMarkowski">Moim zdaniem, jest to bardzo mądre stwierdzenie. W naszej dyskusji powinniśmy je brać pod uwagę, w całym procesie decyzji związanych z ochroną danych osobowych. Doświadczenia Biura Informacji Kredytowej są w tym zakresie bardzo bogate. Jak wynika ze sprawozdania za 2006 rok, znaczącą pozycją jest informacja o współpracy BIK z GIODO.</u>
          <u xml:id="u-22.2" who="#KrzysztofMarkowski">Możemy stwierdzić, że decyzje GIODO świadczą o oderwaniu się od przepisów, które służą ochronie innych wartości. Generalnie obserwuję kwestionowanie przepisów ustaw przyjętych przez Sejm. Gdy Sejm przyjmuje ustawę, w której jest powiedziane, że taka instytucja jak GIODO może przetwarzać dane osobowe, to po interpretacji czytam w decyzji, że jednak nie może. W konsekwencji sprawy muszą rozstrzygać sądy administracyjne.</u>
          <u xml:id="u-22.3" who="#KrzysztofMarkowski">Równocześnie procedura administracyjna jest tak specyficzna, że niejednokrotnie odnoszę wrażenie, iż znajduje się w jakimś nierealnym świecie, gdyż drugą instancją jest ta sama instancja, która podejmuje decyzje. Możemy złożyć wniosek o ponowne rozpatrzenie sprawy do tej samej instytucji, która wcześniej podjęła decyzję. W mojej praktyce nie zdarzyło się, żeby instytucja, ponownie rozpatrując na nasz wniosek sprawę, zmieniła swoją decyzję. Powielane są w rozstrzygnięciu drugiej instancji te same sformułowania i argumenty. Jest to sytuacja, która musi budzić zdumienie i niepokój.</u>
          <u xml:id="u-22.4" who="#KrzysztofMarkowski">Chciałbym poruszyć kwestię odwołania zgody osoby. Dyrektywa Komisji Europejskiej nie przewiduje instytucji odwołania zgody osoby. Definicja zgody osoby w formule dyrektywy Komisji Europejskiej wydaje się być bardziej pogłębiona. Według niej zgoda osoby, której dane dotyczą, oznacza konkretne, świadome i dobrowolne wskazanie przez osobę na to, że wyraża przyzwolenie na przetwarzanie jej danych osobowych. Co oznacza zatem wycofanie zgody? Czy dana osoba była tego w pełni świadoma? Pozyskiwanie zgód jest podstawą kształtowania relacji w biznesie. Tym rozwiązaniem chce się wprowadzić element niepewności, zwłaszcza że przepisy ustawy przewidują w art. 32 możliwość żądania zaprzestania przetwarzania danych osobowych w określonych sytuacjach. Zdaniem wnioskodawcy te przepisy są niewystarczające i nie chronią praw osób. Nie ma potrzeby wprowadzać tego typu rozwiązań, które łamią logikę budowania relacji pomiędzy uczestnikami obrotu gospodarczego. Jest to też sprzeczne z przepisami Kodeksu cywilnego. Jakie skutki rzeczywiste może rodzić odwołanie takiej zgody? Czy klient po wycofaniu musi zwrócić koszty, które poniósł przedsiębiorca? Na ten temat wnioskodawcy się nie wypowiadają.</u>
        </div>
        <div xml:id="div-23">
          <u xml:id="u-23.0" who="#RyszardKalisz">Dziękuję. Teraz głos zabierze pani mecenas Agnieszka Marzec z Biura Informacji Kredytowej SA.</u>
        </div>
        <div xml:id="div-24">
          <u xml:id="u-24.0" who="#AgnieszkaMarzec">Przyłączając się do głosów wszystkich przedmówców, chciałabym podzielić pogląd wyrażony przez przedstawicieli PKPP „Lewiatan”. Podkreślili oni, że proponowana zmiana, wbrew temu co zapisane, jest w uzasadnieniu. W moim przekonaniu nie zmierza do rozszerzenia zakresu ochrony danych osobowych osób fizycznych i konsumentów. Zwiększa jedynie sankcje nakładane na administratorów. Jednocześnie w sposób zdecydowany rozszerza zakres uprawnień instytucji GIODO.</u>
          <u xml:id="u-24.1" who="#AgnieszkaMarzec">Projekt przepisów ustawy nie zwiększa zakresu ochrony danych osobowych jednostki. W szczególności przykładem tego jest proponowany rozdział 7, a więc wprowadzenie sankcji karnych. Na ten temat wypowiedziało się już wielu uczestników dyskusji. Całkowicie podzielam pogląd, że wprowadzenie dodatkowych sankcji pieniężnych nakładanych na administratorów danych jest tworzeniem pewnego dualizmu sankcji karnych, niespotykanego w krajach Unii Europejskiej. Możliwość egzekwowania tych kar istnieje obecnie w postępowaniu egzekucyjnym. Zdaniem GIODO, jednym z powodów wprowadzenia nowych sankcji w projekcie jest brak skuteczności przepisów karnych, obowiązujących w dotychczasowej ustawie. Wydaje się, że warto postawić pytanie, dlaczego ten brak skuteczności dotychczas występował? Kto zawinił GIODO, czy prokuratura? Niezależnie od tego jaka padnie odpowiedź, istotne jest, że nieudolność organów państwa nie może być powodem wprowadzania nowych sankcji nakładanych na podmioty działające na rynku.</u>
          <u xml:id="u-24.2" who="#AgnieszkaMarzec">W sposób zdecydowany przeciwstawiamy się tego typu propozycjom. Przykładem rozszerzenia zakresu kompetencji GIODO są kolejne artykuły proponowane w tej nowelizacji. Pierwszy z nich to art. 19a. Chodzi o wystąpienia GIODO do instytucji publicznych, ale też prywatnych. Należy postawić pytanie, jakie skutki prawne będzie rodzić takie wystąpienie GIODO oraz czego ma dotyczyć? Obecna redakcja tego przepisu jest wysoce nieprecyzyjna. Naszym zdaniem, instytucja wystąpienia może wywołać niekorzystne skutki dla podmiotu, pod adresem którego będzie sporządzona. Można sobie wyobrazić taką sytuację, że GIODO występuje do podmiotu gospodarczego z pewnymi postulatami, a następnie w decyzji powołuje się na nie i nakazuje podjęcie określonych działań.</u>
          <u xml:id="u-24.3" who="#AgnieszkaMarzec">Należy też wyjaśnić, jakie środki prawne przysługiwałyby podmiotowi, do którego takie wystąpienie trafi w sytuacji, gdyby z określonymi żądaniami GIODO podmiot się nie zgadzał. Warto też podkreślić aspekt ekonomiczno-organizacyjny takich wystąpień. Może się zdarzyć, że podmiot zostanie, mówiąc kolokwialnie, „zasypany” takimi wystąpieniami. Stawia to podmiot w trudnej sytuacji, zmuszając go do poniesienia dodatkowych kosztów funkcjonowania.</u>
          <u xml:id="u-24.4" who="#AgnieszkaMarzec">Chciałam też odnieść się do propozycji zawartej w art. 13a. Daje on Generalnemu Inspektorowi prawo tworzenia jednostek terenowych. Moim zdaniem, jest to sprzeczne z prawem. Chcę też zwrócić uwagę na ekonomiczny aspekt tej propozycji, zwłaszcza w kontekście polityki „taniego państwa”. Uważam, że szereg tego typu uprawnień na szczeblu regionalnym realizują powiatowi rzecznicy praw konsumentów. To do nich w pierwszym rzędzie zwracają się osoby niezadowolone z tego, że ich dane osobowe są przetwarzane bez ich zgody.</u>
        </div>
        <div xml:id="div-25">
          <u xml:id="u-25.0" who="#RyszardKalisz">Dziękuję. Pan Mariusz Odzieńczyk z Viewpoint Group jest nieobecny. Głos ma pan Jerzy Bańka ze Związku Banków Polskich.</u>
        </div>
        <div xml:id="div-26">
          <u xml:id="u-26.0" who="#JerzyBańka">Chciałbym zwrócić uwagę na kwestie, które dotychczas nie zostały poruszone. W szczególności, chcę się odnieść do pierwszego czytania, które odbyło się na posiedzeniu Komisji. Był tam przedstawiony jednostronny, „czarny obraz” ochrony danych osobowych w Polsce, który grozi katastrofą. Chcę sprzeciwić się takiemu postrzeganiu rzeczywistości, bowiem jest ona wyraźnie nieprawdziwa.</u>
          <u xml:id="u-26.1" who="#JerzyBańka">W ocenie Związku Banków Polskich ochrona danych osobowych nie może mieć charakteru bezwzględnego. Nie może być traktowana w uproszczony sposób, jako wymóg dochowania określonych danych w tajemnicy. Z cytowanych przez przedmówców przepisów ustawy wcale to nie wynika. Nie taki jest cel tej regulacji.</u>
          <u xml:id="u-26.2" who="#JerzyBańka">Ustawa, co wynika z uzasadnienia, miała doprowadzić do zwiększenia zakresu ochrony praw osób, których dane dotyczą. Jest to główna teza uzasadnienia. Tymczasem przepisy zaproponowane w tej noweli służyć mają czemu innemu. W gruncie rzeczy mają służyć wzmocnieniu uprawnień władczych administracji, która zajmuje się ochroną danych osobowych.</u>
          <u xml:id="u-26.3" who="#JerzyBańka">Projekt nie podejmuje nawet próby rozwiązania najważniejszych problemów, związanych z ochroną danych osobowych, zgłaszanych wielokrotnie przez różnych przedstawicieli administratorów i przedsiębiorców. Paradoksalnie te propozycje ujęte w projekcie, służące między innymi restrykcyjności, nie służą ochronie praw obywateli. Generują natomiast nieuzasadnione koszty, które będą ponosić beneficjenci tej ustawy. Można postawić pytanie, co się w Polsce takiego wydarzyło, że jest potrzeba wzmocnienia restrykcyjności tej ustawy? Konieczne jest zapewnienie równowagi pomiędzy prawami osób, których dane dotyczą i prawami przedsiębiorców.</u>
          <u xml:id="u-26.4" who="#JerzyBańka">Pamiętajmy o tym, że w większości przypadków przedsiębiorcy zatrudniają tychże konsumentów, czyli te osoby, których dane będą chronione. Istnieje duże zagrożenie, że ustawa będzie negatywnie oddziaływać na małych przedsiębiorców, których nie stać na zapewnienie profesjonalnej obsługi prawnej, po to, aby obsługiwać różne wystąpienia i decyzje GIODO.</u>
          <u xml:id="u-26.5" who="#JerzyBańka">Konieczne jest przeprowadzenie analizy wszystkich skutków, jakie przyniesie ta nowela, w szczególności dla polskich przedsiębiorców. Bowiem obawiamy się pogorszenia warunków konkurencji, zwiększenia kosztów działalności, powstania dodatkowego ryzyka prawnego, co nie będzie obojętne dla polskiej gospodarki. Już są złe przykłady takich decyzji inwestorów, którzy obawiając się złego i nieprzyjaznego dla przedsiębiorców prawa, zmieniają swoje decyzje w zakresie lokowania inwestycji i przenoszą je do innych krajów członkowskich, głównie do starych krajów Unii, gdzie kultura prawna jest na zupełnie innym poziomie.</u>
          <u xml:id="u-26.6" who="#JerzyBańka">Kwestia konsultacji z organizacjami i przedstawicielami rynku. Powiedziano już na ten temat dużo. Dzisiaj widać, jakie są skutki takiego zaniechania. Jak przekłada się to na jakość stanowionego prawa.</u>
          <u xml:id="u-26.7" who="#JerzyBańka">Chciałbym jeszcze odnieść się do wyposażenia GIODO w uprawnienia do nakładania kar pieniężnych. Skoro ma to służyć egzekucji prawomocnych decyzji, to przecież można to było zrobić poprzez nowelizację przepisów ustawy o postępowaniu egzekucyjnym w administracji. Pytanie, dlaczego ta nowela nie zawiera takiej propozycji?</u>
          <u xml:id="u-26.8" who="#JerzyBańka">Konkludując, chciałbym stwierdzić, że projekt ten nie wzmacnia ochrony danych osobowych osób fizycznych, a jego przepisy wprost rodzą zagrożenie dla konkurencyjności polskich przedsiębiorców i rozwoju całej gospodarki.</u>
        </div>
        <div xml:id="div-27">
          <u xml:id="u-27.0" who="#RyszardKalisz">Dziękuję. W kolejności głos mieli zabrać panowie Maciej Sankowski i Arkadiusz Sekściński z Viewpoint Group. Są nieobecni. Wobec tego głos ma pan Marek Szwed-Lipiński, jako osoba fizyczna.</u>
        </div>
        <div xml:id="div-28">
          <u xml:id="u-28.0" who="#MarekSzwedLipiński">Z braku czasu odniosę się tylko do niektórych ustępów nowelizowanej ustawy o ochronie danych osobowych. Na początek kwestia odwołalności zgody na przetwarzanie danych osobowych. Nie możemy zapominać, że ochrona danych osobowych jest częścią prywatności osób fizycznych. Musimy w związku z tym wykorzystać dorobek orzecznictwa i doktryny w zakresie ochrony prywatności. Nie ulega wątpliwości, że zgoda na przetwarzanie danych osobowych, zgoda na naruszenie prywatności, jest zgodą odwoływalną. Kwestie praktyczne mogą jedynie ograniczać się do skutków odwołania takiej zgody.</u>
          <u xml:id="u-28.1" who="#MarekSzwedLipiński">Do podobnych wniosków doszła grupa robocza w art. 29 do spraw ochrony danych osobowych, która w swoich dokumentach stwierdza, że zgoda na przetwarzanie danych osobowych może być swobodnie odwołana. Jako przykład podaję dokument sporządzony przez grupę nr WB 114.</u>
          <u xml:id="u-28.2" who="#MarekSzwedLipiński">Wprowadzenie takiego przepisu do definicji zgody może spowodować ten skutek, że pojawią się wątpliwości, czy przez pierwsze dziesięć lat obowiązywania ustawy o ochronie danych osobowych brak takiego przepisu oznaczał, że zgoda ta nie mogła być skutecznie odwołana?</u>
          <u xml:id="u-28.3" who="#MarekSzwedLipiński">Kolejna kwestia, którą chciałem omówić: chodzi o dostosowanie art. 33 ust. 1 ustawy o ochronie danych osobowych do art. 32 ust. 1–5a. Nasuwa się pytanie, dlaczego oba przepisy tylko w takim zakresie są skorelowane? Art. 32 dotyczy praw przysługujących osobom fizycznym, których dane osobowe przetwarzane są w zbiorach. Takiego ograniczania nie zawiera art. 33. Dlaczego pogłębiamy różnice w systemach informatycznych pomiędzy przetwarzaniem danych osobowych w zbiorach i poza zbiorami? Czy ta nowelizacja nie powinna pójść trochę dalej?</u>
          <u xml:id="u-28.4" who="#MarekSzwedLipiński">Następna sprawa, którą chcę się zająć, to rejestracja zbiorów danych osobowych. Zaproponowana nowelizacja powoduje dostosowanie tekstu ustawy do obowiązującego obecnie rozporządzenia wykonawczego do tej ustawy. Wprowadza konieczność aktualizacji zgłoszenia rejestracyjnego w każdym nowym przypadku powierzenia przetwarzania danych nowemu podmiotowi. Wydaje się, że przepisy te nakazują dokonywanie aktualizacji w chwili wejścia w życie obecnej noweli, także w odniesieniu do historycznych już umów powierzenia, to znaczy takich, które w momencie wejścia nowelizacji nie obowiązują.</u>
          <u xml:id="u-28.5" who="#MarekSzwedLipiński">Jednocześnie przepisy ustawy o ochronie danych osobowych nie zawierają przepisów pozwalających na aktualizację zgłoszenia rejestracyjnego przez wykreślenie nieaktualnych już umów powierzenia, co spowoduje, że akta takie będą miały charakter przyrostowy.</u>
          <u xml:id="u-28.6" who="#MarekSzwedLipiński">Kończąc, chciałbym jeszcze zatrzymać się przy karach finansowych. Popieram głosy stwierdzające, że kwestie egzekucji wynikające z decyzji GIODO winny być realizowane na postawie przepisów ustawy o postępowaniu egzekucyjnym w administracji, a nie wprowadzać odrębne instrumenty prawne.</u>
          <u xml:id="u-28.7" who="#MarekSzwedLipiński">Jednocześnie wskazać należy, iż przepisy dotyczące kar pieniężnych nie posługują się jednolitym kryterium, w niektórych przepisach jest mowa o wymierzaniu tych kar w złotych polskich, w niektórych o równowartości w euro. Chciałem zwrócić uwagę, że średni kurs euro będzie przeliczany na dzień wydania decyzji. Należy zapytać, czy nie byłoby lepiej, gdyby przyjąć tutaj inny instrument prawny? Wzorem może być, na przykład art. 5 ustawy o ochronie konkurencji i konsumentów, który petryfikuje stały roczny kurs waluty wykorzystany do tego typu przeliczeń. Może się zdarzyć, że kurs średni NBP, będzie znany następnego dnia po wydaniu decyzji.</u>
        </div>
        <div xml:id="div-29">
          <u xml:id="u-29.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu panią Annę Wojciechowską-Nowak z Fundacji im. Stefana Batorego; Program Przeciw Korupcji.</u>
        </div>
        <div xml:id="div-30">
          <u xml:id="u-30.0" who="#StefanaBatorego">Chcę poinformować, że Fundacja występuje tutaj w charakterze obserwatora. W związku z tym nie zgłaszamy uwag merytorycznych.</u>
        </div>
        <div xml:id="div-31">
          <u xml:id="u-31.0" who="#RyszardKalisz">Dziękuję. Głos ma pani Ewa Woźniak z Polskiej Konfederacji Pracodawców Prywatnych „Lewiatan”.</u>
        </div>
        <div xml:id="div-32">
          <u xml:id="u-32.0" who="#EwaWoźniak">Stanowisko PKPP „Lewiatan” zostało już przedstawione. Chcę natomiast zwrócić uwagę kolejny już raz, że projekt zmian nie jest zgodny z ustawodawstwem europejskim. Przykładem może być nakładanie kar, podwójna karalność, którą można oddziaływać na przedsiębiorców. Kolejnym zbyt restrykcyjnym przepisem jest obowiązek rejestracji zbioru danych. W chwili obecnej wprowadza się jeszcze dodatkową powinność aktualizacji tych zbiorów, obowiązek aktualizacji danych o podmiotach, którym powierzono przetwarzanie tych danych.</u>
          <u xml:id="u-32.1" who="#EwaWoźniak">Chciałam tutaj zwrócić uwagę na uzasadnienie do tej zmiany. Prawodawca uzasadnia to tym, że jest to dostosowanie przepisów ustawy do wymagań formularza, w którym jest wprowadzone rozporządzenie. Nam wydaje się, że to rozporządzenie powinno być dostosowane do wymagań ustawy, a nie odwrotnie.</u>
          <u xml:id="u-32.2" who="#EwaWoźniak">Wprowadzenie obowiązku aktualizacji powoduje szereg problemów czysto technicznych. Dużo podmiotów powierza nagminnie przetwarzanie danych osobowych swoim kontrahentom. W związku z tym GIODO zostanie zarzucone takimi wnioskami. Jednocześnie po stronie przedsiębiorców zajdzie konieczność zatrudnienia nowych osób do wykonania tych obowiązków. Pociągnie to za sobą dodatkowe koszty funkcjonowania przedsiębiorstwa, które odbiją się na klientach.</u>
          <u xml:id="u-32.3" who="#EwaWoźniak">Wydaje się nam, że projekt zbyt restrykcyjnie podchodzi do obowiązków typowo organizacyjnych. Nowela nie wprowadza nowych kategorii ochrony danych osób, których dotyczą. Wyrażenie zgody na przetwarzanie danych oraz możliwość jej odwoływania, co podkreślało wielu przedmówców, nie polepszy sytuacji prawnej przedsiębiorców. Trzeba zwrócić uwagę na to, że prawo osoby, której dane dotyczą, nie zawsze zostanie w sposób należyty zauważone. W przypadku, gdy mamy procesy windykacyjne w firmach ubezpieczeniowych, odwołanie zgody na przetwarzanie danych może stanowić trudny element wykonania umowy, realizacji praw przedsiębiorców i praw osób, których one dotyczą.</u>
          <u xml:id="u-32.4" who="#EwaWoźniak">Postulowaliśmy wielokrotnie, aby zgoda na przetwarzanie danych wrażliwych nie musiała być wyrażona w formie pisemnej. Nie wymaga tego od nas dyrektywa unijna. Dyrektywa wymaga natomiast, aby zgoda była wyraźna. Wprowadzenie obowiązku zgody w formie pisemnej powoduje często, że przedsiębiorcy nie są w stanie zebrać wszystkich wymaganych dokumentów i potrzebnych informacji. Nie sprzyja to obrotowi gospodarczemu, nie ułatwia działania przedsiębiorcom i osób prywatnym.</u>
        </div>
        <div xml:id="div-33">
          <u xml:id="u-33.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu pana Macieja Dietricha z Raiffeisen Bank Polska SA.</u>
        </div>
        <div xml:id="div-34">
          <u xml:id="u-34.0" who="#MaciejDietrich">Uzupełniając głosy w dzisiejszej dyskusji w sprawie nowelizacji ustawy o ochronie danych osobowych, kilka uwag krytycznych. Nikt nie kwestionuje, że możliwość odwołania zgody na przetwarzanie danych nie dotyczy wszystkich pozostałych przypadków, określonych w art. 23, poza udzielaniem takiej zgody w celach marketingowych.</u>
          <u xml:id="u-34.1" who="#MaciejDietrich">Musimy zdać sobie sprawę, że w obrocie funkcjonuje wiele umów, zwłaszcza w sferze usług. Tutaj podmioty na zasadzie umów bilateralnych występują w roli sprzedawców swoich produktów, w roli pośredników lub też działają w obszarze zbierania chociażby zgód na przetwarzanie danych osobowych w ramach swojej działalności gospodarczej.</u>
          <u xml:id="u-34.2" who="#MaciejDietrich">Tego typu działalność trwa już 3 lata, jest wynagradzane wzajemnie lub w inny sposób. Ceny usług działalności marketingowej są kształtowane odrębnie. Bez wątpienia najlepszym rozwiązaniem jest stwierdzenie, iż jest możliwość cofnięcia zgody. Zgadzam się z tezami dotyczącymi teorii oświadczeń opisanych i zawartych w Kodeksie cywilnym.</u>
          <u xml:id="u-34.3" who="#MaciejDietrich">Należy zwrócić uwagę na fakt, iż powstanie problem, co ze zgodami, które były udzielone przed wejściem w życie tej noweli, jeżeli jej treść pozostanie niezmieniona. Najłatwiej przejść nad tym do porządku dziennego i nie wprowadzać przepisu intertemporalnego, który regulowałby tę kwestię.</u>
          <u xml:id="u-34.4" who="#MaciejDietrich">Powstanie też problem, czy było możliwe dotychczasowe odwoływanie zgody? Kolejna sprawa. Obowiązek aktualizacji, zwłaszcza w zakresie podmiotu, któremu powierzono przetwarzanie w trybie art. 31. Dzisiejsza wiedza GIODO o skali zjawiska powierzania danych, bez obowiązków administracyjnych, jest tylko taka, na jaką pozwala kontrola prowadzona przez GIODO. Zagadnienie nie jest zbadane, natomiast tego typu praktyka jest powszechna. Koszty tej swoistej aktualizacji danych będzie ponosił administrator, natomiast koszty przyjmowania tych informacji o podmiotach, którym powierzono przetwarzanie danych w trybie art. 31, ponosić będzie GIODO. W praktyce oznacza to, że będą nimi obciążeni wszyscy podatnicy.</u>
          <u xml:id="u-34.5" who="#MaciejDietrich">Sprawa ostatnia. Wspomniany tutaj dualizm kar pieniężnych i sankcji prawnych winien być uregulowany w sposób odmienny. Kary pieniężne, których cele są inne niż cele przepisów karnych, winne być egzekwowane na podstawie przepisów ustawy o postępowaniu egzekucyjnym w administracji. Zgadzam się z tezą, że system prawa wymaga sankcji karnych. Muszą być one adekwatne do stopnia społecznej szkodliwości czynu, które są przewidziane w dyspozycjach tych przepisów karnych. Porównanie wprowadzonych w noweli sankcji karnych z innymi przepisami karnymi, zawartymi nie tylko w Kodeksie karnym, wskazuje na to, że granice tych rozwiązań w zakresie penalizacji zostały w sposób znaczny przekroczone.</u>
        </div>
        <div xml:id="div-35">
          <u xml:id="u-35.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu panią Katarzynę Domańską ze Stowarzyszenia Marketingu Bezpośredniego.</u>
        </div>
        <div xml:id="div-36">
          <u xml:id="u-36.0" who="#KatarzynaDomańska">Na wstępie chciałabym podziękować za zaproszenie Stowarzyszenia do prac związanych z nowelizacją ustawy o zmianie ustawy o ochronie danych osobowych. Chcę jednocześnie podkreślić, że Stowarzyszenie skupia ponad 100 podmiotów zajmujących się w swojej działalności przetwarzaniem danych osobowych.</u>
          <u xml:id="u-36.1" who="#KatarzynaDomańska">Współpraca z GIODO na rzecz praw ochrony konsumenta, w tym zapewnienia prawa do prywatności, jest dla nas absolutnym priorytetem. Wyraz temu daliśmy, tworząc Kodeks dobrych praktyk i podpisując w styczniu tego roku porozumienie z GIODO o współpracy. Ma ona na celu nie tylko wymianę informacji w sferze teorii, ale także działania praktyczne.</u>
          <u xml:id="u-36.2" who="#KatarzynaDomańska">Pragniemy, jako Stowarzyszenie, wytyczać lepsze standardy w naszej branży i popierać dobre rozwiązania praktyczne. Mamy pewne uwagi i zastrzeżenia do nowelizowanej ustawy. Chciałabym je teraz pokrótce wymienić.</u>
          <u xml:id="u-36.3" who="#KatarzynaDomańska">W opinii Stowarzyszenia wątpliwości budzi fakt wprowadzenia systemu kar pieniężnych, przy jednoczesnym utrzymaniu sankcji karnych z tytułu naruszenia przepisów ustawy. Chciałabym podkreślić, że wprowadzenie kar pieniężnych nie stanowi wymogu wynikającego z dyrektywy unijnej w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, oraz swobodnego przepływu tychże danych.</u>
          <u xml:id="u-36.4" who="#KatarzynaDomańska">Dyrektywa ta pozostawia państwom członkowskim swobodny wybór sposobu tej ochrony. Należy więc odróżnić środki ochrony administracyjnej, w tym kary pieniężne nakładane przez krajowe organy ochrony danych osobowych, od sankcji karnych. Na wprowadzenie pierwszego rozwiązania, czyli systemu kar pieniężnych, zdecydowały się między innymi Portugalia, Malta, Słowacja, Estonia, Holandia i Czechy. W państwach tych nie ustanowiono jednak równoległego systemu sankcji karnych. Proponowane w nowelizacji rozwiązanie, zgodnie z którym wprowadzi się system kar pieniężnych, przy jednoczesnym utrzymaniu sankcji karnych, jest więc rozwiązaniem skrajnie niekorzystnym dla administratora danych. Będzie też rozwiązaniem niespotykanym w ustawodawstwie państw członkowskich Unii Europejskiej.</u>
          <u xml:id="u-36.5" who="#KatarzynaDomańska">Kolejna sprawa, która budzi nasz niepokój, to wprowadzenie w nowelizacji dwóch kategorii czynów zabronionych. Stoi to w sprzeczności z tezą podkreślaną w uzasadnieniu o nieskuteczności dotychczasowych sankcji karnych. Projektodawca uznaje z jednej strony sankcje karne za mało efektywne, z drugiej wprowadza kolejne typy przestępstw.</u>
          <u xml:id="u-36.6" who="#KatarzynaDomańska">Niezależnie od proponowanych zmian, w ocenie Stowarzyszenia zasadne jest wskazanie jeszcze dwóch zagadnień, które winne być objęte nowelizacją tej ustawy. Są one ważne z punktu widzenia naszej branży marketingowej. Z tego powodu chciałam o nich teraz powiedzieć.</u>
          <u xml:id="u-36.7" who="#KatarzynaDomańska">Pierwsza sprawa dotyczy zgody na przetwarzanie danych osobowych wrażliwych. Zgodnie z art. 27 ust. 2 przetwarzanie tak zwanych danych osobowych wrażliwych dopuszczalne jest między innymi w sytuacji, gdy osoba, której zmiany dotyczą, wyrazi na to zgodę na piśmie. Analogiczny przepis dyrektywy unijnej nr 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tychże danych wymaga, aby zgoda na przetwarzanie danych wrażliwych była udzielona wyraźnie, nie wymagając jednocześnie dla wyrażenia takiego oświadczenia jakiejś szczególnej formy.</u>
          <u xml:id="u-36.8" who="#KatarzynaDomańska">W naszej opinii istnieje stan niezgodności pomiędzy przepisami prawa wspólnotowego a przepisami GIODO. Stan ten utrudnia czy wręcz uniemożliwia zbieranie danych osobowych wrażliwych poprzez takie instrumenty i środki jak telefon i internet. Uwzględniając powyższe uwagi, zasadna jest zmiana art. 27 poprzez zastąpienie zwrotu: „wyrazi na to zgodę na piśmie” na: „wyrazi na to zgodę”.</u>
          <u xml:id="u-36.9" who="#KatarzynaDomańska">Drugie zagadnienie, które jest istotne dla naszej branży, dotyczy dopuszczalności tak zwanego „podpowierzenia” danych osobowych do przetwarzania. Chodzi o to, że w praktyce funkcjonowania instytucji powierzenia danych osobowych do przetwarzania podmiot przetwarzający dane osobowe na zlecenie korzysta często z usług podwykonawców. Świadczą oni specjalistyczne usługi, na przykład w zakresie niszczenia danych. W praktyce GIODO jest ono dopuszczalne, jeżeli umowa powierzenia danych do przetwarzania zezwala w sposób wyraźny na korzystanie z usług dalszych podwykonawców. Brak jest jednak wyraźnego przepisu GIODO, który zezwalałby na tak zwane „podpowierzenie” danych osobowych do przetwarzania.</u>
          <u xml:id="u-36.10" who="#KatarzynaDomańska">W naszej ocenie zasadne jest wprowadzenie takich zmian w art. 31, aby wzorem rozwiązań funkcjonujących w krajach Unii Europejskiej, między innymi ustawy słowackiej, podmiot przetwarzający dane osobowe na zlecenie był uprawniony do korzystania z usług podwykonawców, to jest do dalszego powierzania danych osobowych do przetwarzania. Warunkiem legalności takiego działania winien być zapis w umowie wyraźnego upoważnienia do dalszego, kolejnego upoważnienia do przetwarzania danych osobowych. Jednocześnie chciałam podkreślić, że jesteśmy otwarci na współpracę i deklarujemy dalszą chęć pracy nad tym projektem.</u>
        </div>
        <div xml:id="div-37">
          <u xml:id="u-37.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu pana Michała Jaworskiego z Polskiej Izby Informatyki i Telekomunikacji.</u>
        </div>
        <div xml:id="div-38">
          <u xml:id="u-38.0" who="#MichałJaworski">Dyskusja nad ustawą i jej nowelizacją jest bardzo trudna bez odniesienia jej do kontekstu technologicznego. Można mieć wrażenie, zwłaszcza w odniesieniu do opinii pań i panów posłów, że jest to problem wielkich centrów obliczeniowych, w których przetwarza się ogromną liczbę danych. Tymczasem jest to przede wszystkim problem małych i średnich przedsiębiorstw, a może nawet – obywatelski. Chcę uzmysłowić ten kontekst. 100% średnich i dużych przedsiębiorstw oraz 90% małych wykorzystuje dzisiaj komputery. W ciągu półtorej godziny, a tyle trwa nasza dyskusja, w Polsce kupiono 2000 komputerów. Polacy nabywają rocznie ponad 3.000.000 tych urządzeń. Ponad 50% gospodarstw domowych jest wyposażonych w komputery. Ponad 4.500.000 Polaków dokonuje zakupów przez internet i ta liczba stale rośnie o kilkadziesiąt procent rocznie.</u>
          <u xml:id="u-38.1" who="#MichałJaworski">Związek Banków Polskich poinformował, że w ubiegłym roku założono kilkadziesiąt milionów kont internetowych. Stajemy się społeczeństwem informatycznym. Jest potrzeba dalszego wykorzystania informatyki do bieżących działań i realizacji zadań. Wykorzystywanie komputerów przenośnych, „usieciowienie”, internet, to normalne działania polskich małych i średnich przedsiębiorstw.</u>
          <u xml:id="u-38.2" who="#MichałJaworski">W związku z tym powinniśmy zapytać, czy obecna ustawa dobrze służy tym potrzebom? Dodatkowo chcę powiedzieć, że internet stał się medium, w którym aktywność obywatelska odgrywa coraz większe znaczenie. To powoduje, że w sieci pojawia się określony zbiór danych osobowych. W świetle tego, czy można automatycznie stosować przepisy obowiązującej dzisiaj ustawy?</u>
          <u xml:id="u-38.3" who="#MichałJaworski">Dodajmy do tego obrazu jeszcze sprawę informatyki jako polskiej specjalności, polskiego źródła miejsc pracy. Wielokrotnie przedmówcy podnosili sprawę outsourcingu. W Polsce jest 100.000 studentów, którzy kształcą się na kierunku informatycznym. Wczoraj, jak donosi prasa, po raz kolejny nasi studenci wygrali wielki, międzynarodowy konkurs.</u>
          <u xml:id="u-38.4" who="#MichałJaworski">Informatyka to ogromna szansa dla rozwoju naszego kraju. Blokując pewne możliwości świadczenia bardzo dobrze płatnych usług informatycznych, choćby z krajów Unii Europejskiej, zamykamy najlepsze miejsca pracy. Takimi rozwiązaniami prawnymi zmuszamy młodych informatyków do szukania pracy za granicą.</u>
          <u xml:id="u-38.5" who="#MichałJaworski">Jako Polska Izba Informatyki i Telekomunikacji jesteśmy za nowelizacją ustawy. Postęp technologiczny wymaga, żeby prawo regulowało także nowe zjawiska w tej dziedzinie. Jesteśmy za tym, aby ta ustawa chroniła osoby, które powierzają innym swoje dane osobowe. Jednocześnie jesteśmy przeciwni większej penalizacji za uchybienia, które mają, tak naprawdę, charakter sprawozdawczości. To jest nasz podstawowy zarzut wobec tej nowelizacji.</u>
          <u xml:id="u-38.6" who="#MichałJaworski">Deklaruję, że jesteśmy gotowi do dalszych konsultacji i współpracy.</u>
        </div>
        <div xml:id="div-39">
          <u xml:id="u-39.0" who="#RyszardKalisz">Dziękuję. Głos ma pan Ksawery Konarski z Polskiej Izby Informatyki i Telekomunikacji.</u>
        </div>
        <div xml:id="div-40">
          <u xml:id="u-40.0" who="#KsaweryKonarski">W krótkim uzupełnieniu wypowiedzi pana prezesa Jaworskiego, w imieniu PIIiT, zgłaszamy zasadnicze zastrzeżenia w sprawie projektowanych sankcji za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Po otrzymaniu projektu nowelizacji ustawy PIIiT dokonała analizy ponad 30 porządków prawnych, głównie ustaw, członków europejskiego obszaru gospodarczego, a więc tych państw, które zobowiązały się do wprowadzenia regulacji prawnych w zakresie ochrony danych osobowych.</u>
          <u xml:id="u-40.1" who="#KsaweryKonarski">Z całym przekonaniem stwierdzamy, że w przypadku przyjęcia nowelizacji w tym kształcie, polska ustawa będzie najbardziej restrykcyjna wśród 30 państw, członków europejskiego obszaru gospodarczego. Ta restrykcyjność polega przede wszystkim na kumulatywnym wprowadzeniu rozbudowanych sankcji karnych i dodatkowych sankcji administracyjnych w postaci kar pieniężnych. Podkreślamy, nie kwestionujemy faktu podanego w uzasadnieniu projektu nowelizacji, że w wielu krajach są wprowadzane kary pieniężne, jako sankcje administracyjne w wysokości wyższej niż w projekcie.</u>
          <u xml:id="u-40.2" who="#KsaweryKonarski">Zabrakło w uzasadnieniu projektu wskazania, że krajach, w których wprowadzono wysokie kary pieniężne, nie ma sankcji karnych, a jeśli są, to w minimalnym zakresie. Unikalność polskiego projektu polega na tym, że rozbudowano katalog sankcji karnych i wprowadzono sankcje administracyjne.</u>
          <u xml:id="u-40.3" who="#KsaweryKonarski">Swoje stanowisko opieramy na fakcie, że wśród 30 ustawodawstw krajów UE nie ma tak rozbudowanego katalogu sankcji karnych. Nadto proponuje się wprowadzenie dwóch nowych występków. Katalog będzie więc liczył łącznie 9 takich czynów zabronionych przez prawo. Podkreślam jednocześnie, że nie kwestionuję penalizacji występków stanowiących największe zagrożenie dla ochrony danych osobowych.</u>
          <u xml:id="u-40.4" who="#KsaweryKonarski">Analiza ustawodawstw innych państw wskazuje na to, że polski ustawodawca, w naszej opinii, powinien usunąć kilka występków z tej ustawy. Zwracamy też uwagę na pewną niekonsekwencję ustawodawcy. Uzasadnia on konieczność wprowadzenia sankcji administracyjnych w postaci kar pieniężnych niską efektywnością sankcji karnych, po czym, w tym samym projekcie, wprowadza nowe sankcje karne. Naszym zdaniem jest tu brak spójności miedzy treścią przepisów a ich uzasadnieniem.</u>
          <u xml:id="u-40.5" who="#KsaweryKonarski">Na koniec odniosę się do novum, to jest kar pieniężnych w postaci sankcji administracyjnej. Kilkakrotnie podkreślano trafnie, i my ten pogląd podzielamy, że jeśli ustawodawca zdecyduje się na takie rozwiązanie, to powinien to zrobić poprzez nowelizację przepisów ustawy o postępowaniu egzekucyjnym w administracji, a nie przez zmianę przepisów ustawy o ochronie danych osobowych. O tym, że to stanowisko jest właściwe merytorycznie, najlepiej świadczy fakt, że taki sam pogląd zaprezentowało Biuro Studiów i Analiz Sądu Najwyższego.</u>
          <u xml:id="u-40.6" who="#KsaweryKonarski">PIIiT zależy na wprowadzeniu lepszych standardów ochrony danych osobowych i wprowadzeniu wyższego poziomu przestrzegania tych przepisów. Chcielibyśmy poddać pod rozwagę GIODO analizę działań innych regulatorów. Ich zadaniem ustawowym jest ochrona podobnych wartości, jak na przykład ochrona własności. Dobrą tendencją europejską jest kładzenie nacisku na tak zwany soft law, wprowadzanie różnego rodzaju zaleceń, zachęcanie branży do wprowadzania aprobowanych przez GIODO kodeksów deontologicznych. Wydaje się, że stanowi to skuteczniejszy instrument realizowania przepisów ustawy o ochronie danych osobowych niż wprowadzanie do ustawy kolejnych sankcji karnych, czy wysokich kar pieniężnych. W imieniu PIIiT deklarujemy chęć wszelkiej współpracy w tego typu inicjatywach.</u>
        </div>
        <div xml:id="div-41">
          <u xml:id="u-41.0" who="#RyszardKalisz">Dziękuję. Głos zabierze pan Grzegorz Cyganik z Polskiej Izby Ubezpieczeń.</u>
        </div>
        <div xml:id="div-42">
          <u xml:id="u-42.0" who="#GrzegorzCyganik">Panie przewodniczący, PIU ustaliła, że będą dwa wystąpienia. Proszę, aby teraz głos zabrał pan Andrzej Maciążek, członek Zarządu PIU, a następnie pan Stefan Szyszko, dyrektor departamentu PIU.</u>
        </div>
        <div xml:id="div-43">
          <u xml:id="u-43.0" who="#RyszardKalisz">Głos ma pan Andrzej Maciążek z PIU.</u>
        </div>
        <div xml:id="div-44">
          <u xml:id="u-44.0" who="#AndrzejMaciążek">Dziękuję za możliwość przedstawienia opinii samorządu PIU na forum Komisji. Po analizie projektu PIU nie kwestionuje konieczności nowelizacji obecnej ustawy. Naszym zdaniem, przedstawiona propozycja nowelizacji nie odpowiada na problemy zgłaszane przez wiele środowisk, w tym rynek ubezpieczeniowy.</u>
          <u xml:id="u-44.1" who="#AndrzejMaciążek">Nowela nie poprawia skuteczności ochrony danych osobowych, nie jest pod tym względem lepsza od obecnie obowiązującej ustawy. Projekt wprowadza do prawa krajowego bardziej restrykcyjne przepisy niż wymaga tego odpowiednia dyrektywa Unii Europejskiej.</u>
          <u xml:id="u-44.2" who="#AndrzejMaciążek">W uzasadnieniu przedłożonego projektu zmian ustawy nie znajdujemy jednak analiz potwierdzających dużą skalę zagrożeń w zakresie braku ochrony danych w Polsce. Nie ma tam nawet incydentalnych przykładów mogących uzasadniać propozycję zaostrzenia prawa.</u>
          <u xml:id="u-44.3" who="#AndrzejMaciążek">PIU stoimy na stanowisku, że każda implementacja dyrektyw unijnych do prawa krajowego powodująca w efekcie, że normy prawa krajowego są zaostrzone w stosunku do poziomu przyjętego w Unii Europejskiej, pogarsza warunki konkurencyjne dla prowadzenia zadań biznesowych w Polsce dla wszystkich podmiotów działających na rynku.</u>
          <u xml:id="u-44.4" who="#AndrzejMaciążek">Krajowy system prawny jest postrzegany jako element konkurencji z punktu widzenia decyzji biznesowych, dotyczących podejmowania lub kontynuowania działalności przez instytucje finansowe, w tym firmy ubezpieczeniowe na konkurencyjnym rynku krajów Unii Europejskiej. Dla inwestora branżowego decyzja o niepodjęciu działalności w Polsce lub o zmianie dotychczasowej formy prawnej na przykład ze spółki akcyjnej na formułę oddziału, czyli taką, która nie podlega Komisji Kontroli Nadzoru Finansowego, jest decyzją biznesową.</u>
          <u xml:id="u-44.5" who="#AndrzejMaciążek">Sama decyzja, z punktu widzenia polskiego rynku finansowego, może mieć wymiar decyzji o charakterze strategicznym, polegającej na realizacji przez państwo polityki gospodarczej.</u>
          <u xml:id="u-44.6" who="#AndrzejMaciążek">PIU uważa, iż nowela w takim kształcie może być szkodliwa dla gospodarki Polski. Powinna być zasadniczo zmieniona lub napisana od początku, ze wsparciem konsultacji społecznych, których tutaj zabrakło. Tworzenie tak ważnej społecznie i gospodarczo ustawy bez konsultacji z organizacjami zrzeszającymi dużych administratorów danych niesie w sobie duże ryzyko popełnienia błędów merytorycznych. Jest dobrym obyczajem, że organizacje samorządowe poszczególnych sektorów rynku kapitałowo-finansowego uczestniczą w procesie legislacyjnym, przedstawiając swoje uwagi i opinie. Pozwalają one autorom tych projektów legislacyjnych ich skonfrontowanie i porównanie. Po pierwsze, z praktyką rynkową, po drugie, z potencjalnymi skutkami zmian prawa dla działalności podmiotów rynkowych i po trzecie, z przewidzianymi skutkami projektów legislacyjnych dla klientów tych instytucji i przedsiębiorstw, których zmiany mogą dotyczyć.</u>
          <u xml:id="u-44.7" who="#AndrzejMaciążek">W imieniu PIU deklaruję nasz aktywny udział w przyszłych pracach nad przedstawionym projektem ustawy o zmianie ustawy o ochronie danych osobowych.</u>
        </div>
        <div xml:id="div-45">
          <u xml:id="u-45.0" who="#RyszardKalisz">Dziękuję. Głos ma pan Stefan Szyszko z Polskiej Izby Ubezpieczeń.</u>
        </div>
        <div xml:id="div-46">
          <u xml:id="u-46.0" who="#StefanSzyszko">W swoim wystąpieniu skonkretyzuję tezy pana Andrzeja Maciążka. Po pierwsze, raz jeszcze podkreślam, że nowela jest nadmiarowa w stosunku do dyrektywy Unii Europejskiej oraz, co jest istotne, działań naszych konkurentów gospodarczych. Mam tu na myśli inne państwa europejskiego obszaru gospodarczego.</u>
          <u xml:id="u-46.1" who="#StefanSzyszko">Po drugie, nowela w takim kształcie jest szkodliwa gospodarczo dla Polski. Powinna być zasadniczo przerobiona albo napisana od początku, ze wsparciem konsultacji społecznych, których tutaj zabrakło. Tworzenie tak ważnej społecznie ustawy bez konsultacji z różnymi organizacjami zrzeszającymi administratorów danych, jest złym pomysłem i nie powinno być praktykowane w przyszłości. Jeszcze raz podkreślę, że nie kwestionujemy konieczności nowelizacji obecnej ustawy w wielu obszarach. Ta propozycja, z którą mamy do czynienia, nie odpowiada na zgłaszane przez wiele środowisk problemy i nie spowoduje lepszej, skuteczniejszej ochrony danych osobowych w porównaniu z obecnie obowiązującą ustawą, a to było głównym argumentem zgłoszenia obecnej nowelizacji.</u>
          <u xml:id="u-46.2" who="#StefanSzyszko">Rozwinę teraz przedstawione tutaj tezy. Po pierwsze, dlaczego ta propozycja jest nadmiarowa w stosunku do wymagań dyrektywy i działań naszych konkurentów gospodarczych? Część moich uwag będzie powtórzeniem tego, co mówili przedmówcy, ale pozwolę sobie je przypomnieć w formie podsumowania.</u>
          <u xml:id="u-46.3" who="#StefanSzyszko">Po pierwsze, nowela w dalszym ciągu zachowuje różnice między prawem polskim a prawem innych państw europejskich, w tym dyrektyw, w zakresie ochrony danych osobowych. Jest ona nadmiernie restrykcyjna tam, gdzie dyrektywa pozostawia dowolność. Wraca tu problem penalizacji rejestracji zbiorów. Należy pamiętać, że dyrektywa nie ma na celu penalizacji działań, ale ochronę zdrowej konkurencji w obrocie gospodarczym. Tutaj tego brakuje.</u>
          <u xml:id="u-46.4" who="#StefanSzyszko">Naszym zdaniem, rejestracja zbiorów powinna być zniesiona, bo ona nie jest obowiązkowa. Racjonalnym wydaje się, że w momencie wprowadzenia tej ustawy do polskiego obszaru prawnego było to działanie jak najbardziej sensowne. Po 10 latach jej funkcjonowania należałoby rozważyć odstąpienie od tego obowiązku.</u>
          <u xml:id="u-46.5" who="#StefanSzyszko">Wraca tu problem dublowanych potencjalnie kar administracyjnych i kar pozbawienia wolności. Ta surowość wcale nie wynika z dyrektywy, zwłaszcza w połączeniu z obowiązkiem rejestracji z dopełnieniem staranności przy jego wykonaniu. My kwestionujemy w ogóle racjonalność utrzymania samego tego obowiązku.</u>
          <u xml:id="u-46.6" who="#StefanSzyszko">Kraje tak zwanej „nowej Europy” mają prawo znacznie prostsze i obarczone mniejszym ciężarem biurokratycznym. Jest to bardzo istotny argument, bo to są nasi potencjalni konkurenci, jeśli chodzi o lokalizację aktywności gospodarczej. Ponadto raz jeszcze podkreślę, że nowela nie odpowiada na zgłaszane postulaty objęcia nią obszarów nowych technologii, takich jak „serwisy społecznościowe” i szeregu innych form aktywności w sieci oraz tych wszystkich problemy, o których mówił pan prezes Jaworski z PIIiT.</u>
          <u xml:id="u-46.7" who="#StefanSzyszko">Niezwykle ważne kwestie, na które projekt nie odpowiada, to sprawy powierzenia oraz podpowierzenia danych osobowych. Niezajęcie się tym obszarem w tak ważnym akcie prawnym oznacza po prostu ignorowanie rzeczywistości gospodarczej i negatywnie wpłynie na naszą gospodarczą konkurencyjność.</u>
          <u xml:id="u-46.8" who="#StefanSzyszko">Biorąc pod uwagę praktykę polskiego sądownictwa, jeśli chodzi o orzecznictwo w sprawach karnych, proponowane wysokości kary, jako norma powszechnie obowiązująca wszystkich administratorów danych osobowych, wydaje się nieadekwatnie wysoka. Myślę, że stąd bierze się częsta praktyka sądów i prokuratury umarzających większość tego rodzaju spraw.</u>
          <u xml:id="u-46.9" who="#StefanSzyszko">Skupię się jeszcze na skomentowaniu tezy, dlaczego projekt tej ustawy jest szkodliwy gospodarczo dla Polski. Wprowadzenie bardziej restrykcyjnej regulacji niż wymaga tego dyrektywa unijna oraz działanie ponad to, co robią kraje, które odniosły sukces ogólnogospodarczy, w tym we wprowadzaniu gospodarki elektronicznej, jak na przykład Estonia, w oczywisty sposób osłabia konkurencyjność Polski. Przetwarzanie danych, w tym danych osobowych, to dynamicznie rozwijająca się dziedzina gospodarki każdego kraju w Europie i na świecie.</u>
          <u xml:id="u-46.10" who="#StefanSzyszko">Zachowując troskę o bezpieczeństwo danych osobowych, sektor ubezpieczeniowy dokłada ogromnej troski, aby temu zadaniu sprostać. Nie możemy jednak z tym przesadzać, żeby nie pogorszyć, w sposób zdecydowany, klimatu inwestycyjnego.</u>
          <u xml:id="u-46.11" who="#StefanSzyszko">Polska potrzebuje inwestycji w nowe technologie, w tym w centra danych. Wspominali o tym przedmówcy. Może stać się istotnym graczem na rynku „outsourcingu globalnego”. Jeśli będziemy mnożyć prawne restrykcje ponad poziom naszej europejskiej konkurencji, to sami sprawimy, że nie doczekamy się tych inwestycji, na które czekamy. To wszystko przekłada się na miejsca pracy dla wykształconych ludzi. Dobre prawo o ochronie danych osobowych może ograniczyć emigrację zarobkową najbardziej wykształconych kadr. Nadmierna restrykcyjność tej ochrony jest zwyczajnie sprzeczna z interesem narodowym.</u>
          <u xml:id="u-46.12" who="#StefanSzyszko">Odpowiem teraz na pytanie, dlaczego projekt nowelizacji tej ustawy nie będzie lepiej chronił danych osobowych niż dotychczas obowiązująca ustawa. Przede wszystkim nowela nie rozwiązuje obecnego stanu prawnego. Wymierza surowe i dotkliwe kary, a jednocześnie nie nakazuje przywrócenia stanu zgodnego z prawem. Nowelizacja nie realizuje zasady równości stron w obrocie gospodarczym, o czym dzisiaj wielokrotnie już mówiono. Może to mieć wpływ na rozwój małych i średnich przedsiębiorstw. W propozycji nowelizacji nie jest wyraźnie akcentowana specyfika przetwarzania danych w odniesieniu do administracji. Trzeba pamiętać, że to stąd, a nie z sektora komercyjnego, płyną dzisiaj największe zagrożenia dla ochrony prywatności, a więc i dla ochrony danych osobowych.</u>
          <u xml:id="u-46.13" who="#StefanSzyszko">Adresatem zaostrzonego systemu kar w nowelizacji nie jest jednak głównie administracja. Trudno mi sobie wyobrazić karę 100.000 euro nałożoną na ministerstwo lub urząd gminy. W odniesieniu do administracji należy operować innymi instrumentami prawnymi. Są tutaj najwięksi administratorzy, i właśnie w sektorze publicznym występują najpoważniejsze zagrożenia w zakresie ochrony danych. O wiele poważniejsze niż w największych firmach komercyjnych.</u>
          <u xml:id="u-46.14" who="#StefanSzyszko">Przykładem obszaru obecnie słabo chronionego jest przetwarzanie danych osób prowadzących samodzielnie działalność gospodarczą. W jednym miejscu ich dane są chronione, a w innym muszą być celowo w określonym zakresie upublicznione.</u>
          <u xml:id="u-46.15" who="#StefanSzyszko">Następną kwestię określę jako fikcję prawną. Jest zupełnie pominięta w obecnym kształcie ustawy. Mam na myśli to, że ochrona danych osobowych poszczególnych administratorów wygląda dramatycznie różnie. Z punktu widzenia obowiązującej ustawy, obowiązek ochrony danych jest jednakowy zarówno dla takiej instytucji jak szpital czy firma ubezpieczeniowa, jak i na przykład zakład gastronomiczny. W obu przypadkach musi być jednolita polityka w zakresie bezpieczeństwa danych i taka sama instrukcja zarządzania systemem informatycznym. Mówiono tutaj o kłopotach ze spełnieniem tego rodzaju wymagań. Już dzisiaj realizacja tych obowiązków jest fikcją. Należy podziękować GIODO, że działa racjonalnie i nie obejmuje kontrolą niektórych zakładów, na przykład produkujących frytki.</u>
          <u xml:id="u-46.16" who="#StefanSzyszko">Nowela ustawy powinna ten obraz fikcji uporządkować, ale tego nie czyni. Inny segment nieujęty w projekcie. W słowackiej ustawie o ochronie danych osobowych jest zapis o przeciwdziałaniu i zwalczaniu przestępczości ubezpieczeniowej. Dobrze będzie, jeśli podobny zapis znajdzie się w naszej ustawie. Potrzebne jest nowe podejście systemowe do regulacji danych osobowych, popieram pomysł „soft law” i apeluję, żeby w noweli pojawił się obowiązek wydawania przez GIODO rekomendacji mającej określoną rangę i status prawny administratora. Kary w projekcie są wzorowane na ustawodawstwie Hiszpanii, tyle tylko, że hiszpańskie GIODO wydało kilkadziesiąt takich rekomendacji.</u>
        </div>
        <div xml:id="div-47">
          <u xml:id="u-47.0" who="#RyszardKalisz">Dziękuję. Proszę o zabranie głosu panią Małgorzatę Więch, Polska Izba Handlu. Jest nieobecna. Wobec tego pan Andrzej Lewiński, przedstawiciel Generalnego Inspektora Ochrony Danych Osobowych.</u>
        </div>
        <div xml:id="div-48">
          <u xml:id="u-48.0" who="#AndrzejLewiński">Występuję w trudnej roli, po fali krytyki projektu. Generalny Inspektor kontynuuje prace poprzedniczki, pani doktor Ewy Kuleszy. Pozwolę sobie zacytować jedno jej zdanie wypowiedziane na koniec kadencji, to jest w dniu 9 czerwca 2006 roku. „Mój następca powinien dążyć do wzmocnienia prawnych instrumentów, żeby ustawa o ochronie danych osobowych była rzeczywiście wykonywana”. Podkreśliła, że obecnie jest wiele zagrożeń dla bezpieczeństwa danych wynikających z rozwoju nowych technologii. Przepisy muszą więc dawać powołanym do tego organom skuteczniejsze prawne możliwości ochrony danych osobowych.</u>
          <u xml:id="u-48.1" who="#AndrzejLewiński">Ta nowelizacja była już gotowa w 2005 roku. Można mieć wątpliwości, czy obecna dyskusja dotyczy nowelizacji ustawy, czy sprawozdania GIODO za 2007 rok. Taka dyskusja nad sprawozdaniem odbędzie się za kilka miesięcy, bo dokumenty w tej sprawie GIODO przekazał już marszałkowi Sejmu, zgodnie z obowiązującymi w tym zakresie przepisami.</u>
          <u xml:id="u-48.2" who="#AndrzejLewiński">Na wiele pytań szczegółowych GIODO odpowie podczas prac w podkomisji. Chciałbym wypowiedzieć się w kilku najważniejszych sprawach. Nie mogę zgodzić się z opinią, że projekt ustawy jest najbardziej restrykcyjny w Europie. Jest to absolutna nieprawda. Nasza propozycja kar dotyczy następujących sytuacji.</u>
          <u xml:id="u-48.3" who="#AndrzejLewiński">Pierwsza dotyczy tego, że administrator danych zobowiązany został prawomocną decyzją GIODO do przywrócenia stanu zgodnego z prawem. Podam przykład. Firma przetwarza dane medyczne, dane sensytywne, wymienione w art. 27. Decyzją administracyjną GIODO zakazuje przetwarzania danych i nakazuje przywrócenie stanu zgodnego z prawem. Firma nie zgadza się z decyzją i składa odwołanie. Następuje ponowne rozpatrzenie, które jest niekorzystne dla administratora. Występuje więc do Wojewódzkiego Sądu Administracyjnego. Wreszcie następuje kasacja Naczelnego Sądu Administracyjnego. Administrator, mimo niekorzystnych dla niego rozstrzygnięć, kontynuuje swoją działalność. W moim przekonaniu, powiem to wyraźnie, mamy do czynienia z przestępcą i przestępstwem. Dopiero wówczas GIODO może wymierzyć karę. Dodam, że sankcja ta również może zostać zaskarżona.</u>
          <u xml:id="u-48.4" who="#AndrzejLewiński">To nie są kary na wzór Hiszpanii, jak powiedział pan Szyszko. W tym kraju nakłada się mandaty za naruszenie ustawy. W naszym projekcie nie ma takich rozwiązań. Kary są przewidziane dla firm, które uporczywie uchylają się od obowiązku przywrócenia stanu zgodnego z prawem. Dodam, że wachlarz kar w Hiszpanii jest bardzo szeroki.</u>
          <u xml:id="u-48.5" who="#AndrzejLewiński">Inny stan faktyczny, który rodzi odpowiedzialność karną. Administrator danych odmawia inspektorowi GIODO prawa do przeprowadzenia kontroli lub ją utrudnia. Takie przypadki są dość częste. Za to nie ma sankcji karnych, tak samo jak za odmowę wykonania decyzji administracyjnej. Sankcje karne określone w art. 49 i w następnych nie są sankcjami GIODO. Są sankcjami ogólnymi, orzekanymi przez sąd. Przypomnę, że w tym przypadku każdy obywatel może zgłosić wniosek do organów ścigania o podejrzeniu popełnienia przestępstwa popełnionego przez firmę, związanego z brakiem ochrony danych.</u>
          <u xml:id="u-48.6" who="#AndrzejLewiński">Są to dwie odrębne sprawy. Odnotowaliśmy inicjatywę legislacyjną Zrzeszenia Marketingu Bezpośredniego, polegającą na tym, żeby wprowadzić tak zwane kary mandatowe. Jaka wtedy byłaby reakcja państwa, gdyby inspektor miał uprawnienia do nakładania mandatów?</u>
          <u xml:id="u-48.7" who="#AndrzejLewiński">Te kary, moim zdaniem, mają na celu realizację prawa europejskiego. Mówię o tym, bo były głosy stwierdzające, że prawo europejskie nie przewiduje tego typu sankcji i kar. Posłużę się tutaj cytatem z Konwencji Rady Europy nr 108, art. 10: „Każda ze stron zobowiązuje się do wprowadzenia odpowiednich sankcji i odszkodowań, w przypadku naruszeń przepisów wewnętrznych, wprowadzających w życie podstawowe zasady ochrony danych.” Art. 24 dyrektywy Parlamentu Europejskiego nr 95/46: „Państwa członkowskie przyjmują odpowiednie środki w celu zapewnienia pełnej realizacji postanowień niniejszej dyrektywy oraz, w szczególności, określą sankcje, jakie należy nałożyć w przypadku naruszenia postanowień przyjętych na podstawie dyrektywy.”</u>
          <u xml:id="u-48.8" who="#AndrzejLewiński">Jesteśmy krajem, który ma, w mojej ocenie, najmniejsze możliwości egzekucji przepisów ustawy o ochronie danych osobowych. Nam chodzi o edukację i szkolenia w tej dziedzinie. Objęliśmy nimi prokuraturę i sędziów. Otrzymaliśmy obietnicę, że w walce z tą patologią prokuratorzy będą skuteczniejsi.</u>
          <u xml:id="u-48.9" who="#AndrzejLewiński">Sprawa egzekucji administracyjnej. Był pomysł, aby znowelizować ustawę o postępowaniu egzekucyjnym w administracji. Rozważaliśmy, czy GIODO może działać na podstawie przepisów tej ustawy. W naszej ocenie, nie możemy z nich skorzystać. Może wystąpić kolizja interesów. W postępowaniu egzekucyjnym dużą rolę odgrywa urząd wojewody. Może się jednak zdarzyć, że w stosunku do niego lub podległych mu instytucji GIODO może skierować sankcje karne. Jak wtedy zachowa się wojewoda?</u>
          <u xml:id="u-48.10" who="#AndrzejLewiński">W moim przekonaniu projekt nie przewiduje nadmiernych restrykcji i sankcji ze strony GIODO. Z niepokojem słyszę, że przepisy tej ustawy mogą wywołać falę emigracji zarobkowej i ucieczkę młodych informatyków na przykład do Irlandii. Przypomnę więc, że akurat ten kraj ma najlepiej zorganizowany system prawny ochrony danych osobowych, łącznie z sankcjami określanymi jako tak zwane „codzienne”. Jestem też przekonany, że nasze działania w żadnym stopniu nie przyczynią się do kryzysu gospodarczego w Polsce.</u>
          <u xml:id="u-48.11" who="#AndrzejLewiński">Polska Izba Handlu, której przedstawiciela dzisiaj brakuje, zrzeszająca rzemieślników i prywatny handel nie miała poważniejszych zastrzeżeń do projektu. Zwróciła tylko uwagę na to, czy najniższa kara 1000 euro nie jest zbyt wysoka. Środowisko zawodowe PIH nie potwierdziło, że małe i średnie przedsiębiorstwa nie będą się mogły z tego powodu rozwijać.</u>
          <u xml:id="u-48.12" who="#AndrzejLewiński">Naszym zdaniem, kary wynikają najogólniej z zapisów dyrektywy unijnej, którą wyżej zacytowałem. Chciałem jeszcze zatrzymać się przy kwestii zgody. Nie wprowadzamy zasady wycofania zgody. Jest ona dyskusyjna w doktrynie. Chodzi nam tylko o skończenie z pewną dowolnością. Zgoda na jej wycofanie jest oświadczeniem woli. Nie jest to czynność prawna. Obywatel musi mieć prawo do wycofania zgody na przetwarzanie jego danych osobowych. Filozofia ochrony danych osobowych, to przede wszystkim prawo do wolności osobistej oraz prawo do bezpieczeństwa. Obserwujemy tendencję, że w obecnych rozwiązaniach prawnych prawo bezpieczeństwa osobistego ma wyższą rangę od prawa do wolności. Nawet w Stanach Zjednoczonych słychać głosy, że za cenę poczucia bezpieczeństwa poświęcono prawo do wolności osobistej. Do tego dochodzi trzeci element – rynek i biznes. Ten trzeci element niepokoi GIODO.</u>
          <u xml:id="u-48.13" who="#AndrzejLewiński">Na międzynarodowej konferencji, która odbyła się w roku ubiegłym, prezes PIIiT postawił tezę, żeby przestać chronić przetwarzanie danych zwykłych, bo to jest fikcja. Czy taki jest cel dzisiejszych wypowiedzi pewnych podmiotów? Uważam, że z punktu widzenia interesu społecznego jest to stanowisko nie do przyjęcia. Narusza konstytucję i prawo europejskie. Jesteśmy otwarci na dyskusję, przyjęliśmy i realizujemy Kodeks dobrych praktyk. Wprowadzimy mechanizm samoregulacji. Prowadzimy na ten temat rozmowy ze środowiskiem lekarskim, konsultujemy się z organizacją „Lewiatan”. Nie jesteśmy od ochrony prawa wolności gospodarczej. Kończąc, chciałbym zacytować paniom i panom wypowiedź pani profesor Lipowicz: „Godność człowieka, jako naczelna wartość państwa prawa, leży u podstaw ochrony danych osobowych. Naruszenie prawa do intymności i prywatności to ingerencja w psychikę, która może być trwalszą i boleśniejszą dyskryminacją niż fizyczne tortury”.</u>
          <u xml:id="u-48.14" who="#AndrzejLewiński">Ostatnie zdanie. Komercja, działania firm skierowane wyłącznie na zysk, muszą być podporządkowane także prawom człowieka, prawom do prywatności i ochrony danych osobowych, co jest głównym zadaniem GIODO. Prof. Lipowicz podkreśliła także, iż trzeba powstrzymać nadmierne apetyty podmiotów rynkowych. Musi być pewna równowaga pomiędzy podmiotami działającymi na rynku i wolnością pojedynczego człowieka, który jest słabszą stroną w tej grze. Raport londyński „o społeczeństwie pod nadzorem” określa symulację skutków braku rzeczywistej ochrony danych. Jeżeli nie wprowadzimy skutecznych regulacji prawnych w tej ustawie, to ochrona danych osobowych będzie niedostateczna.</u>
        </div>
        <div xml:id="div-49">
          <u xml:id="u-49.0" who="#RyszardKalisz">Dziękuję. Chciałbym zapytać przedstawiciela pana Prezydenta, czy chciałby Pan zabrać głos? Proszę pan Krzysztof Kondrat.</u>
        </div>
        <div xml:id="div-50">
          <u xml:id="u-50.0" who="#KrzysztofKondrat">Chciałbym powiedzieć kilka zdań ogólnych, stanowiących pewne podsumowanie dyskusji. To nie jest miejsce na proponowanie szczegółowych rozwiązań legislacyjnych. Przypomnę, że nie jest to nowelizacja, wprowadzająca ochronę danych osobowych. Jest to propozycja w dużej mierze techniczna, doprecyzowująca pewne przepisy. Nadto wyposaża ona GIODO, jako organ administracji publicznej, w dodatkowe instrumenty prawne w zakresie ochrony danych osobowych.</u>
          <u xml:id="u-50.1" who="#KrzysztofKondrat">Nie jest prawdą, że GIODO jest podmiotem konkurencyjnym, starającym się zniszczyć przedstawicieli instytucji, którzy tu dzisiaj występowali. Jest to organ władzy publicznej zobowiązany do przestrzegania pewnych zasad wprowadzonych w Polsce i w prawie europejskim. W noweli proponujemy stworzenie pewnych narzędzi umożliwiających pełne i skuteczne działanie GIODO.</u>
          <u xml:id="u-50.2" who="#KrzysztofKondrat">Nie zgodzę się z tezą, że ta nowela nie wzmacnia ochrony danych osobowych. Przewrotnie powiem, że likwidacja GIODO lub ograniczenie jego kompetencji powinny zwiększyć ochronę danych, z czym przecież trudno się zgodzić.</u>
          <u xml:id="u-50.3" who="#KrzysztofKondrat">Nie podzielam też wyrażonego poglądu, że konkurencyjność polskiego rynku zależy od precyzyjnych przepisów ustawy o ochronie danych osobowych. Nie jest tak, że jeśli zwiększamy kompetencje GIODO, wprowadzamy nowe rozwiązania legislacyjne w celu skuteczniejszego działania, to osłabiamy rynek, konkurencyjność i warunki rozwijania przedsiębiorczości.</u>
          <u xml:id="u-50.4" who="#KrzysztofKondrat">Z żalem stwierdzam, że w wystąpieniach było mało głosów merytorycznych, proponujących nowe rozwiązania. Deklaracje współpracy z GIODO były w dużym stopniu bardzo ogólne. Tylko w przypadku głosu przedstawiciela Fortis Bank Polska dostrzegłem merytoryczną analizę projektu i konkretne propozycje zmian. Liczę, że podczas posiedzenia podkomisji dyskusja będzie miała charakter bardziej konkretny i merytoryczny.</u>
        </div>
        <div xml:id="div-51">
          <u xml:id="u-51.0" who="#RyszardKalisz">Dziękuję. Chciałbym wszystkim mówcom podziękować za głosy w dyskusji. Informuję, że posłowie, którzy brali udział w pracach komisji, dokonają odpowiedniej analizy wysłuchanych dzisiaj wystąpień. Propozycje natury legislacyjnej i merytorycznej zostaną przeanalizowane także przez Biuro Legislacyjne Sejmu i poddane swoistej weryfikacji. Nic, co zostało tu powiedziane, nie powinno nam umknąć. Dziękuję raz jeszcze za przybycie.</u>
          <u xml:id="u-51.1" who="#RyszardKalisz">Zamykam posiedzenie Komisji Sprawiedliwości i Praw Człowieka, poświęcone wysłuchaniu publicznemu projektu ustawy o zmianie ustawy o ochronie danych osobowych przedstawione przez Prezydenta RP.</u>
        </div>
      </body>
    </text>
  </TEI>
</teiCorpus>