text_structure.xml
82.9 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
<?xml version='1.0' encoding='utf-8'?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include href="PPC_header.xml" />
<TEI>
<xi:include href="header.xml" />
<text>
<body>
<div xml:id="div-1">
<u xml:id="u-1.0" who="#StanisławPiotrowicz">Serdecznie witam wszystkich państwa. Dzień dobry. Otwieram posiedzenie Komisji Sprawiedliwości i Praw Człowieka. W porządku dzisiejszego posiedzenia mamy dwa punkty: punkt pierwszy – rozpatrzenie sprawozdania z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2009 (druk nr 63); punkt drugi – rozpatrzenie sprawozdania z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2010 (druk nr 64). Czy ktoś z państwa ma uwagi do zaprezentowanego porządku dziennego?</u>
<u xml:id="u-1.1" who="#StanisławPiotrowicz">Jeżeli nie ma, to przystępujemy do realizacji.</u>
<u xml:id="u-1.2" who="#StanisławPiotrowicz">Bardzo gorąco witam na dzisiejszym posiedzeniu pana ministra Wojciecha Wiewiórowskiego – generalnego inspektora ochrony danych osobowych wraz z osobami mu towarzyszącymi. W szczególności witam również pana Andrzeja Lewińskiego – zastępcę GIODO. Witam panią/pana… Przepraszam, przeczytam – Mariusza Nowińską?</u>
<u xml:id="u-1.3" who="#komentarz">(Głos z sali: Monikę Krasińską.)</u>
<u xml:id="u-1.4" who="#StanisławPiotrowicz">Przepraszam, panią Monikę Krasińską – dyrektora, panią Urszulę Góral i pana Pawła Makowskiego. Bardzo serdecznie witam wszystkich państwa i bardzo proszę pana ministra o sprawozdanie za rok 2009. Bardzo proszę.</u>
</div>
<div xml:id="div-2">
<u xml:id="u-2.0" who="#WojciechWiewiórowski">Panie przewodniczący, panie posłanki i panowie posłowie. Jeżeli państwo pozwolicie, to chciałbym przedstawić sprawozdanie za rok 2009 i 2010 jako jedno sprawozdanie, ponieważ jest tym samym możliwość porównania różnego rodzaju zdarzeń na przestrzeni tego dwuletniego okresu. Będzie to chyba wygodniejsze rozwiązanie, jeżeli pan przewodniczący nie ma nic przeciwko temu. Oczywiście, jestem przygotowany do przedstawienia obu tych sprawozdań oddzielnie.</u>
</div>
<div xml:id="div-3">
<u xml:id="u-3.0" who="#StanisławPiotrowicz">Bardzo proszę.</u>
</div>
<div xml:id="div-4">
<u xml:id="u-4.0" who="#WojciechWiewiórowski">Dziękuję bardzo serdecznie. Moje dzisiejsze wystąpienie obejmuje sprawozdania z działalności organu ds. ochrony danych osobowych za rok 2009 i 2010, które zostały państwu dostarczone w drukach sejmowych nr 63 i 64. Jednocześnie, ponieważ to sprawozdanie przekazuje paniom i panom posłom w 2012 r., jest możliwość podania pewnych danych statystycznych również za rok 2011. Oczywiście, samo sprawozdanie za rok 2011 zostanie przygotowane odrębnie i dostarczone do Wysokiej Izby. Natomiast już dzisiaj znamy pewne wskaźniki, które pokazują, jak wyglądała sytuacja również w kolejnych latach.</u>
<u xml:id="u-4.1" who="#WojciechWiewiórowski">Jest to też dość szczególne sprawozdanie z tego powodu, że będę przedstawiał wyniki pracy organu w okresie, kiedy urząd ten sprawował mój poprzednik, pan minister Michał Serzycki. Jedynie niespełna 5 miesięcy 2010 r. to okres, kiedy sam sprawowałem ten urząd. Zostałem na niego powołany 4 sierpnia 2010 r., a ściślej mówiąc złożyłem wtedy ślubowanie przed Wysoką Izbą i wówczas rozpocząłem sprawowanie tego urzędu. Niemniej pragnę podkreślić fakt ciągłości pracy samego organu, jakim jest GIODO. Tylko w nielicznych przypadkach odnotować można różnice w wydawanych przez GIODO opiniach, wynikające z odmiennego podejścia kolejnych inspektorów do spraw merytorycznych. Pokażę państwu takie przypadki – to są wyjątkowe przypadki, kiedy miałem inne zdanie niż pan minister Serzycki, w związku z czym w pewnym sensie zmieniła się polityka prowadzona przez Biuro GIODO. Jest to zresztą dość wyraźnie widoczne również w pracach sejmowych. Przypomnę, że w poprzedniej kadencji Sejmu trwały prace nad dość skomplikowanym projektem zmiany ustawy o ochronie danych osobowych. Był to projekt prezydencki wniesiony przez pana prezydenta Lecha Kaczyńskiego. Ten projekt został początkowo bardzo mocno skrytykowany przez wybitne osobowości, tak w środowiskach naukowych, jak i wśród praktyków. Natomiast przez dwa lata prac, które się toczyły nad nim udało się doprowadzić do sytuacji, w której konsens wszystkich partii politycznych pozwolił na przyjęcie tego projektu wspólnymi głosami. Można więc powiedzieć, że cechy związane z osobą danego inspektora nie mają charakteru politycznego i jakiekolwiek zmiany, jeżeli chodzi o samą osobę GIODO nie zmieniają podejścia do zagadnień ochrony danych osobowych.</u>
<u xml:id="u-4.2" who="#WojciechWiewiórowski">Sprawozdanie stanowi wykonanie art. 20 ustawy o ochronie danych osobowych, zgodnie z którym GIODO składa Sejmowi, raz w roku, sprawozdanie ze swojej działalności wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych. Jest to zresztą również implementacja przepisu dyrektywy z 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Pragnę zwrócić uwagę na to, że tym samym organ ochrony danych osobowych jest organem niezależnym również od administracji rządowej, nie wchodzi w skład administracji rządowej. Jest organem ochrony prawa, który sprawozdania swoje kieruje przede wszystkim do Wysokiej Izby.</u>
<u xml:id="u-4.3" who="#WojciechWiewiórowski">Do podstawowych zadań Generalnego Inspektora w zakresie ochrony danych osobowych należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, prowadzenie ogólnokrajowego, jawnego rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, a także uczestnictwo w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. I tego też nasze sprawozdanie w dniu dzisiejszym głównie dotyczy.</u>
<u xml:id="u-4.4" who="#WojciechWiewiórowski">Pierwsza bardzo istotna rzecz, na którą chciałem zwrócić uwagę Wysokiej Komisji, to zauważalny wzrost świadomości obywateli w zakresie prawa do ochrony prywatności i prawa do ochrony danych osobowych. Wpłynęło to m.in. na zdecydowane zwiększenie się liczby skarg wpływających do Biura GIODO. W roku 2009 było to 1049 skarg, a w 2010 r. 1114 skarg, ale jeżeli spojrzymy na szerszy przedział czasowy od 2007 r. do dnia dzisiejszego, to warto zauważyć, że w 2007 r. było to zaledwie 796 skarg formalnych, natomiast w 2011 r. 1272. To oznacza przyrost o ponad 60% w ciągu 5 lat. Ten trend jest jeszcze bardziej widoczny w liczbie pytań i próśb o interpretację aktów prawnych – od 1298 w 2007 r. do 3935 w roku 2011, co oznacza trzykrotny przyrost. Nie wydaje się, żeby w tym czasie nastąpił jakiś kataklizm, jeżeli chodzi o kwestie związane z ochroną prywatności czy ochroną danych osobowych w Polsce, więc raczej nie jest to skutek pojawiających się nowych, trudnych do zinterpretowania przepisów, lecz wzrostu świadomości obywateli w tym zakresie. Bardzo istotną rolę odgrywa tutaj również działalność serwisów internetowych poświęconych ochronie prawa człowieka i obywatela. Coraz więcej choćby pytań, o których tutaj mówimy, czy próśb o interpretację wpływa do nas drogą elektroniczną i jest związana z działalnością, którą moglibyśmy już szeroko nazwać dziennikarstwem obywatelskim, prowadzoną nie tylko przez portale związane z gazetami czy z czasopismami, ale również przez różnego rodzaju portale i serwisy internetowe.</u>
<u xml:id="u-4.5" who="#WojciechWiewiórowski">Najwięcej skarg dotyczyło niejako tradycyjnie przetwarzania danych osobowych w celach marketingowych bez zgody osoby, której dotyczyły, lub pomimo wniesienia przez nią sprzeciwu. Kierowane do GIODO skargi dotyczyły również działań wspólnot i spółdzielni mieszkaniowych, m.in. udostępniania przez nie danych osobowych najemców osobom nieupoważnionym, kwestie związane z wywieszaniem na klatkach schodowych list osób zadłużonych, ale również kwestie związane z wykonywaniem zdjęć i kopii dokumentów tożsamości przez różnego rodzaju podmioty prowadzące działalność gospodarczą. Następną grupą byłyby przypadki ujawniania oświadczeń majątkowych funkcjonariuszy publicznych wraz z zawartymi w nich informacjami o współmałżonku, adresie zamieszkania, ewentualnie adresach nieruchomości stanowiących własność osoby. Ten problem styku transparentności życia publicznego z ochroną prywatności jest jednym z najtrudniejszych w działaniach GIODO, bo nie chcemy doprowadzić do sytuacji, w której przepisy o ochronie danych osobowych są wykorzystywane instrumentalnie do ograniczania transparentności życia publicznego w Polsce. Z drugiej strony, zdajemy sobie sprawę z tego, że bardzo duża część informacji ujawniana w ramach udzielania informacji publicznej albo informacji z oświadczeń majątkowych ma charakter danych niekiedy bardzo wrażliwych dla osób, których te dane dotyczą.</u>
<u xml:id="u-4.6" who="#WojciechWiewiórowski">W opinii GIODO podmioty sektora administracji publicznej nadal mają problemy z udostępnianiem informacji publicznej w trybie przepisów o dostępie do informacji publicznej. W takich sytuacjach organ ds. ochrony danych osobowych wskazywał, że decyzja na temat ujawnienia danych każdorazowo leży po stronie podmiotu, który tą informacją dysponuję. Przypominam państwu, że w Polsce nie ma podmiotu, który zajmowałby się generalnie kontrolą dostępu do informacji publicznej. Taki organ nie został nigdy w Polsce powołany, cały czas trwają dyskusję, czy przypadkiem nie jest taki organ potrzebny. Natomiast GIODO zajmuje się kwestią dostępu do informacji publicznej tylko w takim zakresie, w jakim informacja publiczna może zawierać również dane osobowe i tym samym wpływać od tej strony na sytuację obywatela. Dodać należy również, że podmioty publiczne – najczęściej organy samorządowe – nadal wskazują przepisy ustawy o ochronie danych osobowych jako podstawę odmowy udzielania petentom wielu informacji o charakterze publicznym i tego typu sytuacje są wskazaniem dla GIODO do przeprowadzenia działań edukacyjnych skierowanych do grupy jaką są organy publiczne. Mamy niestety kilka takich przypadków w ostatnich latach, kiedy organy zdecydowanie niesłusznie powoływały się na ochronę danych osobowych jako na powód nieudzielenia informacji publicznej.</u>
<u xml:id="u-4.7" who="#WojciechWiewiórowski">Znaczna liczba skarg dotyczyła kwestii niewłaściwego zabezpieczenia danych osobowych. W większości przypadków przyczyną naruszeń przepisów w tym zakresie było zarówno niedostateczne techniczne zabezpieczenie przetwarzania danych, jak i ignorowanie bądź błędne interpretowanie przepisów dotyczących ochrony danych osobowych przez pracowników zatrudnionych bezpośrednio przy ich przetwarzaniu. Przykładem takich zdarzeń mogą być skargi na działanie komorników sądowych czy naczelników urzędów skarbowych przesyłających wezwania pozbawione kopert, czy też operatorów telekomunikacyjnych, czy też pracowników urzędów miejskich, którzy dostarczając niezabezpieczoną korespondencję – wobec nieobecności adresata – zostawiali ją sąsiadowi czy też w drzwiach mieszkań. Zdarzały się problemy dotyczące znakowania kopert z korespondencją. One również opisane są dość dokładnie w naszym sprawozdaniu. Jeżeli państwo będziecie chcieli uzyskać szczegółowe informacje, oczywiście jestem gotów do ich przedstawienia.</u>
<u xml:id="u-4.8" who="#WojciechWiewiórowski">W 2009 r. szczególnym problemem była dla nas praktyka polegająca na telefonicznej weryfikacji danych kredytobiorców u ich pracodawców. Ta działalność, zdaniem GIODO, jest co do zasady niedopuszczalna, tak z punktu widzenia prawa bankowego, jak i prawa o ochronie danych osobowych. Ten problem w 2009 r. był bardzo wyraźny, w tej chwili może nie dostrzegamy go już tak bardzo – wynika to z twardego stanowiska GIODO w tej sprawie. Porównanie liczby skarg na przestrzeni lat 2009–2010 pozwala zauważyć dwa interesujące trendy. Po pierwsze, wciąż duża liczba skarg dotyczy sektora bankowego, w którym jednocześnie odnotowano spory spadek skarg, czyli można powiedzieć, że liczba skarg dotyczących sektora bankowego, choć wciąż bardzo wysoka, zdecydowanie obniża się z roku na rok. Natomiast, jeżeli chodzi o niepokojące zjawiska, to należało zaliczyć do nich – spodziewany właściwie przy tym rozwoju technologicznym – problem coraz większej liczby skarg dotyczących przetwarzania danych osobowych w Internecie. Dla porównania można powiedzieć, że w 2009 r. było to zaledwie 88 skarg, w 2010 r. już prawie dwukrotnie więcej – ta liczba również ma tendencję do wzrostu.</u>
<u xml:id="u-4.9" who="#WojciechWiewiórowski">Jeżeli chodzi o liczbę kontroli, które są realizowane przez GIODO to tak w dużych sprawozdaniach za każdy rok, jak i w mniejszej informacji, którą dostarczyliśmy państwu przy wejściu do Sali, są podane dokładne liczby. Liczba kontroli utrzymuje się w okolicach dwustu rocznie. To jest liczba kontroli porównywalna do innych krajów Unii Europejskiej o podobnej wielkości co Polska i podobnej organizacji organu ochrony danych osobowych. Naszym zdaniem, zbyt niska jest liczba kontroli i inspekcji, które przeprowadzamy. Tym niemniej trzeba sobie powiedzieć wprost, że bez znaczącej zmiany sytuacji finansowej Biura GIODO zwiększenie liczby kontroli jest niemożliwe, w szczególności jeśli chodzi o kontrole, które są prowadzone poza Warszawą. Powody są dość oczywiste – wysłanie inspektorów poza Warszawę jest konkretnym kosztem dla Biura GIODO, dlatego też, choć wyznaczamy sobie na najbliższy rok zadanie zwiększenia o ponad 10% liczby kontroli, to jednak utrzymujemy się w ramach tych możliwości, które mamy w chwili obecnej.</u>
<u xml:id="u-4.10" who="#WojciechWiewiórowski">Również jeżeli chodzi o opiniowanie aktów prawnych należy powiedzieć, że jest to mniej więcej podobna liczba w ostatnich latach. W 2009 r. było 624 projektów, które do nas trafiły, w 2010 r. – 614, w 2011 r. – 603, gdzie musimy pamiętać, że był to również koniec kadencji, co oznacza, że w tych ostatnich kilku miesiącach znacznie mniejsza liczba aktów prawnych wpływała do nas do zaopiniowania. Mamy tutaj przede wszystkim do czynienia z bardzo szerokim spektrum aktów prawnych, którymi GIODO musi się zajmować. Od typowych związanych z przetwarzaniem danych osobowych po sprawy, które na pierwszy rzut oka niewiele mają wspólnego z ochroną danych osobowych. Takim klasycznym przykładem obecnie znajdującym się w Sejmie jest ustawa – Prawo energetyczne, które na pierwszy rzut oka nie ma wiele wspólnego z kwestiami ochrony danych osobowych, a tak naprawdę stanowi ogromny przełom, jeżeli chodzi o kwestię danych zbieranych o użytkowniku urządzeń energetycznych. To samo dotyczy kwestii związanych z przewozem pasażerów drogą morską, rachunkowością, prawem lotniczym, kwestiami fotoradarów, kwestiami różnego rodzaju systemów teleinformatycznych, które są w Polsce tworzone. Rok 2010 był bardzo istotny z tego powodu, że w tym roku przeprowadzaliśmy opiniowanie aktów prawnych dotyczących kilku dużych systemów teleinformatycznych tworzonych w naszym kraju. Przede wszystkim mówię tutaj o Systemie Informacji w Ochronie Zdrowia, który obecnie zwany jest Systemem Informacji Medycznej, oraz Systemem Informacji Oświatowej. Należy pamiętać, że dotyczy to również innych baz centralnych, które są tworzone w naszym kraju, m.in. Centralnego Rejestru Podmiotów – Krajowej Ewidencji Podatników czy Centralnej Ewidencji i Informacji o Działalności Gospodarczej.</u>
<u xml:id="u-4.11" who="#WojciechWiewiórowski">Projektowanie takich megazbiorów zawierających dane osobowe, w tym dane szczególnie chronione, jest przedsięwzięciem, które budzi zawsze wiele wątpliwości ze strony organu ochrony danych osobowych, gdyż dostęp do takiego zbioru z założenia przysługuje dużo większej liczbie podmiotów i naraża dane osobowe na ryzyko bezprawnej ingerencji bądź wykradzenia. Tu też mogę odwołać się do tego, co dzieje się w obecnej chwili na świecie. Być może do państwa dotarła informacja o swoistej wojnie, którą prowadzą w obecnej chwili Izrael i Arabia Saudyjska na prezentowanie informacji z centralnych baz obywateli i baz bankowych. Izrael jest oskarżany o to, że prezentuje takie dane obywateli Arabii Saudyjskiej, a Arabia Saudyjska odpowiada, że opublikuje takie dane dotyczące mieszkańców Izraela. Oczywiście, zdaję sobie świetnie sprawę z tego, że tego typu systemy będą powstawały w naszym kraju, jednak trzeba pamiętać o tym, że raz rozpoczęty proces gromadzenia danych prawdopodobnie nie zostanie zatrzymany; będzie co najwyżej rozszerzany o nowe dane, a łączone ze sobą rejestry będą prowadziły do sytuacji, w której jeden podmiot będzie miał możliwość uzyskania dostępu do wielu zakresów informacyjnych. I nie chodzi mi tutaj wcale o służby specjalne, które mogą taki dostęp uzyskać. Tak naprawdę taki dostęp jest bardzo rozpowszechniony na poziomie wojewody czy wójta gminy, którzy korzystają z wielu systemów teleinformatycznych w tym samym czasie dla obsługi swoich działań.</u>
<u xml:id="u-4.12" who="#WojciechWiewiórowski">Należy zwrócić uwagę, że w roku 2010 został zakończony proces legislacyjny dotyczący ustawy o zmianie ustawy o ochronie danych osobowych, o czym wspomniałem przed chwilą, który wprowadził kilka nowych rozwiązań do naszego prawa. Między innymi chodzi o możliwość występowania przez GIODO z wystąpieniami do organów publicznych, trochę zbliżonymi do wystąpień generalnych przygotowywanych przez Rzecznika Praw Obywatelskich, ale również po raz pierwszy pojawiła się możliwość wykonywania działalności egzekucyjnej przez GIODO w stosunku do wydawanych przez siebie decyzji – do tej pory tego brakowało. To oczywiście wywołało okrzyki o tym, że Generalny Inspektor uzyskał prawo do karania finansowego osób. To nie do końca prawda, ponieważ istnieje jedynie teoretyczna możliwość nałożenia grzywny w postępowaniu egzekucyjnym. To jest jedyna taka rzecz, która w tej chwili w prawie polskim występuje. Kwestia natomiast tego, czy kary administracyjne powinny być wprowadzone do ustawy o ochronie danych osobowych powróci do nas z tego powodu, że – jak nam wiadomo – w końcu stycznia Komisja Europejska zaproponuje nowe ramy ochrony danych osobowych w UE. Te ramy być może przyjmą postać rozporządzenia, czyli aktu, który tak naprawdę zastąpi ustawę o ochronie danych osobowych, przynajmniej w duże mierze – tam gdzie chodzi o przepisy merytoryczne – i prawdopodobnie wprowadzi ujednolicony system kar administracyjnych na poziomie całej Europy, łącznie z karami osiągającymi poziom miliona euro czy 5% obrotów. Przyznam szczerze, że jest to rozwiązanie, nad którym również tutaj w Sejmie będzie się trzeba poważnie zastanowić, ponieważ jest to rozwiązanie dla Polski nowe.</u>
<u xml:id="u-4.13" who="#WojciechWiewiórowski">Co istotne, warto zwrócić uwagę na to, że utrzymuje się mniej więcej na podobnym poziomie liczba wniosków o przekazanie danych osobowych do państw trzecich. W 2009 r. były to 54 wnioski, w 2010 r. 37 wniosków. Jest to więcej, niż kilka lat temu, ale wciąż stosunkowo nieduża grupa podmiotów uzyskuje takie uprawnienia do przekazania danych poza obszar uznawany przez UE za bezpieczny.</u>
<u xml:id="u-4.14" who="#WojciechWiewiórowski">Jeżeli chodzi o zawiadomienia o popełnieniu przestępstwa, to w 2009 r. skierowanych było ich 27, a w 2010 r. – 23. Przyznaję, że tak liczba zawiadomień, które skierowaliśmy, jak również sposób ich rozpatrzenia każe nam poważnie zastanowić się nad tym, czy ochrona prawnokarna danych osobowych jest na pewno w Polsce skuteczna. Jeżeli w ciągu roku przekazywanych jest przez GIODO zaledwie dwadzieścia kilka tego typu zawiadomień, to pytanie czy aby na pewno poprawnie postawiliśmy akcenty w polskim prawie ochrony danych. Ja oczywiście odbieram rolę GIODO przede wszystkim jako organu, który ma dążyć do usunięcia naruszenia prawa, a nie organu ścigania, co też powoduje, że przede wszystkim zajmujemy się tym, żeby wydać decyzję, która uniemożliwia dalsze przetwarzanie danych w sposób sprzeczny z prawem. W inny krajach Europy istnieje tendencja, żeby najpierw karać, a potem dopiero zajmować się ewentualnym usuwaniem danych. U nas jest dokładnie odwrotna sytuacja. Przyjmuję ją jako pewien zastany stan w działaniu GIODO, ale wydaję mi się, że m.in. w ramach tego sprawozdania możemy podkreślić, że tych przypadków… Może inaczej, jeżeli już kierujemy zawiadomienie o popełnieniu przestępstwa, to mamy do czynienia z sytuacją, którą uważamy za sytuację wysoce naganną. Tymczasem w wielu krajach Europy wychodzi się z założenia, że jest to tak naprawdę delikt administracyjny, który powinien być zawsze karany, natomiast odpowiedzialność karna jest wprowadzona tylko w przypadkach szczegółowych. W Polsce takiego deliktu administracyjnego w rozumieniu karno-administracyjnym nie ma.</u>
<u xml:id="u-4.15" who="#WojciechWiewiórowski">Dobrze. Kilkukrotnie zwracałem tutaj państwa uwagę na to, że mam pewne wątpliwości wynikające z dotychczasowego przebiegu działań GIODO, ale również działalności sądów czy prokurator w tych kwestiach, co też spowodowało, że postanowiliśmy rozpocząć w 2010 r. dyskusję nad kompleksowym przeglądem regulacji prawnych dotyczących ochrony danych osobowych. Zdając sobie sprawę z tego, że nie było możliwości zakończenia tego typu operacji w poprzedniej kadencji Sejmu, bo było to po prostu niewykonalne ze względów czasowych, postanowiliśmy rozpocząć tę pracę od spotkań z użytkownikami na rynku, z „interesariuszami” jak to się nieładnie mówi. Z tego też powodu w grudniu zeszłego roku rozpoczęliśmy okres konsultacji z różnymi podmiotami co do niezbędnych zmian, które powinny być przeprowadzone w prawie ochrony danych osobowych i w prawie ochrony prywatności w Polsce. Mamy zamiar podsumować je w tej chwili, wiosną roku 2012 r. i wówczas przedstawić również Wysokiej Komisji wyniki tych prac.</u>
<u xml:id="u-4.16" who="#WojciechWiewiórowski">Polityka dotycząca ochrony danych osobowych powinna się opierać tak na dobrej legislacji i właściwej podejmowanych działaniach przez administratorów danych osobowych, jak i wzroście świadomości obywateli co do przysługujących im praw. Stąd też bardzo dużą wagę położyło Biuro GIODO w pracę edukacyjną i w kwestie związane ze szkoleniami, które są przeprowadzane przez Biuro i przez jego pracowników. Podjęliśmy współpracę z kilkoma uczelniami w Polsce, przede wszystkim z Uniwersytetem Kardynała Stefana Wyszyńskiego w Warszawie, ale również Akademią Leona Koźmińskiego, Wszechnicą Polską – Szkołą Wyższą Towarzystwa Wiedzy Powszechnej w Warszawie, Szkołą Finansów i Administracji w Gdańsku oraz Wyższą Szkołą Biznesu – National-Louis University w Nowym Sączu. To są działania z roku 2009 i 2010, które były w 2011 r. dalej rozszerzane. Prowadziliśmy również całą serię szkoleń, które były adresowane głównie do przedstawicieli administracji rządowej i samorządowej – to jest liczba ok. 50–60 szkoleń przeprowadzanych w ramach roku. Mamy zwyczaj przeprowadzania takich szkoleń dla zorganizowanej grupy urzędników publicznych tak, aby nie szkolić oddzielnie w każdym urzędzie, tylko prowadzić to nieco szerzej. Również Biuro GIODO zostało wyselekcjonowane do realizacji wizyty studyjnej finansowanej ze środków europejskich będących częścią Programu „Uczenie się przez całe życie”. Jego celem była wymiana informacji na temat najbardziej efektywnych form prowadzenia edukacji dzieci i młodzieży w dziedzinie ochrony danych osobowych. O tym, jak wielkim zainteresowaniem cieszą się takie edukacyjne inicjatywy polskiego organu ochrony danych osobowych świadczą reakcje na poziomie międzynarodowym. Polski organ ochrony danych osobowych był jednym z kandydatów do zdobycia nagrody za nowatorskie rozwiązania w zakresie ochrony danych osobowych w roku 2009. Dotyczyło to V edycji konkursu zorganizowanego przez Agencję Ochrony Danych Osobowych Regionu Madryt. Wyróżniono projekt „eduGIODO”, który został wprowadzony w systemach internetowych GIODO.</u>
<u xml:id="u-4.17" who="#WojciechWiewiórowski">Istotną kwestią było również organizowanie przez nas Spotkań Rzeczników Ochrony Danych Osobowych Państwa Europy Środkowo-Wschodniej. To jest tradycja, która została zapoczątkowana przez pierwszego GIODO w Polsce – panią Ewę Kuleszę i jest do dzisiaj kontynuowana. Piętnaste takie spotkanie odbędzie się na Ukrainie w maju tego roku. Cały czas sekretariat grupy znajduje się w Biurze GIODO. Pan minister Michał Serzycki został również wybrany na wiceprzewodniczącego Grupy Roboczej Art. 29, czyli grupy zajmującej się ochroną danych osobowych na poziomie UE, składającej się z organów ochrony danych osobowych wszystkich krajów członkowskich.</u>
<u xml:id="u-4.18" who="#WojciechWiewiórowski">Panie przewodniczący, Wysoka Komisjo, chyba dzisiaj bardziej niż kiedykolwiek ochrona danych osobowych zyskuje na znaczeniu. W dobie nowych technologii informacyjnych jest zauważalne wzajemne przenikanie się tego, co jest publiczne i tego, co jest prywatne, a coraz więcej obszarów naszego życia prywatnego i zawodowego przenosi się do świata wirtualnego. To oznacza też bardzo poważne wyzwania w zakresie elektronicznej gospodarki, w zakresie elektronicznej administracji i w działaniach w sieci podejmowanych przez indywidualnych obywateli.</u>
<u xml:id="u-4.19" who="#WojciechWiewiórowski">Co jeszcze możemy tutaj wybrać… Myślę, że bardzo charakterystycznym punktem, w którym nowe technologie dotknęły kwestii związanych z szeroką grupą osób w Polsce, są sprawy związane z biometrią i stosowaniem biometrii przez pracodawców. To są sprawy sądowe, które zaczęły się pojawiać w roku 2009. W tamtym roku uzyskaliśmy bardzo ważne orzeczenie ze strony Naczelnego Sądu Administracyjnego w jednej z takich spraw. Kontynuowane były one w kolejnych latach, w 2011 r. potwierdzone kolejnymi orzeczeniami NSA.</u>
<u xml:id="u-4.20" who="#WojciechWiewiórowski">O co chodzi? Chodzi o możliwość przetwarzania przez pracodawców danych biometrycznych pracowników przy rozliczaniu ich obowiązków pracowniczych, przede wszystkim rozliczaniu czasu pracy pracownika. GIODO od zawsze wychodził z założenia, że jest to nadmierna ingerencja w prywatność osób, że polski Kodeks pracy uniemożliwia zbieranie danych biometrycznych do tych celów. Dane biometryczne mogą być zbierane dla celów bezpieczeństwa. Przy niektórych pomieszczeniach, w których przechowywane są np. materiały niebezpieczne czy materiały promieniotwórcze usprawiedliwione jest wykorzystywanie metod biometrycznych do zbierania informacji o tym, kto do takiego pomieszczenia uzyskał dostęp. Natomiast masowe wykorzystywanie tego rozwiązania wobec pracowników jest – naszym zdaniem – zdecydowanym przekroczeniem granic wyznaczonych przez Kodeks pracy. O tyle jestem zadowolony z orzeczeń NSA, że trzy kolejne orzeczenia dotyczyły trzech różnych spraw, a właściwie tych samych spraw, ale w trzech różnych przypadkach. Za pierwszym razem mieliśmy do czynienia z tysiącami pracowników dużego zakładu pracy, dużej fabryki, którzy wszyscy mieli odciskami palców informować o tym, kiedy opuszczają zakład pracy czy kiedy do niego wchodzą. W drugim przypadku mieliśmy do czynienia z urzędem skarbowym. Z urzędem kontroli skarbowej? Tak, to był urząd kontroli skarbowej, który prowadził takie działania, czyli mieliśmy do czynienia z instytucją publiczną. W trzecim przypadku chodziło o szpital. We wszystkich tych trzech przypadkach NSA i w jednym z tych przypadków wojewódzki sąd administracyjny podzieliły zdanie GIODO.</u>
<u xml:id="u-4.21" who="#WojciechWiewiórowski">Zresztą w kwestii związanej z k.p. mamy do czynienia z jednym z tych przypadków, o których wspomniałem na początku swojego wystąpienia, czyli przypadku różnicy zdań pomiędzy panem ministrem Serzyckim oraz mną, która wpłynęła na to, co macie państwo ujawnione w sprawozdaniach. Otóż, w 2009 r. pan minister Serzycki rozpoczął konsultacje dotyczące zmian w celu zliberalizowania przepisów o ochronie danych osobowych w Kodeksie pracy. Prace te zostały w jakimś stopniu podsumowane przekazaniem do Senatu pisma, które zostało potraktowane przez Senat jako petycja w sprawie zmiany art. 21¹ k.p. Zdaję sobie sprawę z tego, że k.p., a szczególnie jego art. 21¹ są bardzo restrykcyjne i wzbudzają duże opory ze strony przedsiębiorców. Zdaję sobie z tego doskonale sprawę, ale uważam, że to nie GIODO powinien być tym, kto będzie dążył do zliberalizowania tych przepisów z tego powodu, że dość pryncypialnie traktuję nazwę swojego urzędu. To jest Generalny Inspektor Ochrony Danych Osobowych, a nie generalny inspektor danych osobowych, czyli – krótko mówiąc – naszym zadaniem jest w tej sytuacji stanięcie po stronie tych, których dane są chronione. Jeżeli przedsiębiorcy mają w tej kwestii inne zdanie, a mają, jestem otwarty na dyskusję i z chęcią będą tę dyskusję prowadził.</u>
<u xml:id="u-4.22" who="#WojciechWiewiórowski">Natomiast z pewnością w obecnej chwili nie uważam, żeby było dobrym pomysłem liberalizowanie przepisów k.p., szczególnie w zakresie informowania o karalności pracownika. Jeżeli doprowadzimy do sytuacji, w której każdy potencjalny pracodawca będzie mógł zapytać każdego potencjalnego kandydata do pracy o to, jaka jest jego przeszłość kryminalna, to doprowadzimy do sytuacji, w której być może resocjalizacja skazanych przestanie być sensowna. Po prostu nie będziemy w stanie zaproponować osobie skazanej za dowolne przestępstwo żadnej pracy, ponieważ za każdym razem oceniana będzie ona tylko pod tym kątem, w związku z czym, jeżeli miałyby się pojawić jakiekolwiek wyjątki w tym zakresie, to one powinny się pojawiać sektorowo, czyli powinny być kierowane do konkretnego sektora – tak jak jest dzisiaj. Dla urzędników publicznych jest tego typu wyjątek, dla pracowników policji czy służb specjalnych jest tego typu wyjątek. Jeżeli takie dalsze wyjątki są potrzebne, jestem gotów na dyskusję. Natomiast zmiana całości k.p. wydaje się, że mogłaby być dokładnie przeciwskuteczna. Jak mówię, jest to jednak rzadki przypadek różnicy zdań, która pojawiła w latach 2009–2010 w pracy Biura GIODO.</u>
<u xml:id="u-4.23" who="#WojciechWiewiórowski">Pod koniec 2010 r. większy nacisk położyliśmy również na współpracę międzynarodową Biura GIODO, co jest związane ze wspomnianymi przygotowaniami do zmian podstaw prawnych ochrony danych osobowych na poziomie europejskim, ponieważ w listopadzie 2010 r. ogłoszony został przez KE komunikat w tej sprawie. Od tego czasu Biuro GIODO z dużo większym zaangażowaniem uczestniczy w pracach tak KE, jak i organów doradczych przy niej powołanych, jak również w pracy innych ciał międzynarodowych. Jednocześnie zwracamy uwagę na to, że w tym samym czasie toczą się prace nad zmianą Konwencji 108 Rady Europy dotyczącej ochrony danych osobowych, co również wymusza na nas ponowne przyjrzenie się zasadom ochrony danych osobowych w naszym kraju.</u>
<u xml:id="u-4.24" who="#WojciechWiewiórowski">Kończąc, jestem chętny odpowiedzieć na wszelkie pytania, które panie posłanki i panowie posłowie chcieliby zadać, jednocześnie informując, że w najbliższym czasie przekażemy również sprawozdanie z roku 2011, które w tej chwili jest przygotowywane w Biurze GIODO.</u>
</div>
<div xml:id="div-5">
<u xml:id="u-5.0" who="#StanisławPiotrowicz">Serdecznie dziękuję panu ministrowi za obszerne i wnikliwe sprawozdanie, zarówno te przedstawione w formie pisemnej, jak i te wygłoszone podczas obecnego posiedzenia. Wspomniał pan minister w swoim sprawozdaniu o dwudziestu kilku wnioskach stanowiących zawiadomienie o przestępstwie, podkreślając, że wiązały się one z wyjątkowo rażącymi naruszeniami prawa. Czy mógłby pan minister przykładowo przytoczyć, jakie to przypadki – zdaniem pana ministra – zasługiwała właśnie na takie miano?</u>
</div>
<div xml:id="div-6">
<u xml:id="u-6.0" who="#WojciechWiewiórowski">Przede wszystkim były to sytuacje, w których osoba, która dokonała naruszenia przepisów dotyczących ochrony danych osobowych nie usuwała tego naruszenia natychmiast po tym, kiedy została do tego zobowiązana przez GIODO, bądź kiedy trafiła do niej informacja na ten temat. Niestety mamy z takim sytuacjami od czasu do czasu do czynienia, kiedy mimo tego, że informujemy o tym, że to działanie ma charakter naruszający ustawę o ochronie danych osobowych, dany podmiot – powiedziałbym – świadomie uchyla się od swoich obowiązków. W takich sytuacjach kierujemy zawiadomienie. Jest to również sytuacja, kiedy podmioty nie współpracują z Biurem GIODO bądź z organami ścigania.</u>
<u xml:id="u-6.1" who="#WojciechWiewiórowski">Tego typu działania były podjęte również w sytuacjach, kiedy doszło do dużych wycieków danych osobowych, przekazania danych dotyczących dużej liczby osób. Przychodzi mi w tej chwili do głowy… Podam w takim razie przykłady, których dotyczyły nasze kontrole, czyli sytuacje, kiedy z naszych kontroli wynikało, iż doszło do złamania ustawy o ochronie danych osobowych. Przykładowo, w jednej z kontroli ustalono, że jednostki kontrolowane przetwarzały dane osobowe, co do których nie miały uprawnień. Chodziło tutaj o bezpodstawne przetwarzanie danych osobowych kandydatek na matki-zastępcze, czyli tzw. surogatek oraz danych osób zainteresowanych ich wynajęciem. Chodziło o podmiot, który zajmował się swego rodzaju pośrednictwem w wynajmie surogatek. Tego typu działalność nie jest w Polsce działalnością dopuszczalną, a przetwarzanie tego typu danych, a w szczególności danych wrażliwych – danych dotyczących stanu zdrowia osób – nie było uprawnione. Tę działalność próbowano kwalifikować jako świadczenie usług w zakresie pracy tymczasowej, co było praktycznym przykładem próby ominięcia przepisów prawnych, stąd też mieliśmy tutaj do czynienia również z wnioskiem skierowanym do prokuratury. To chyba najlepszy przykład, który potraktowałbym jako rażący.</u>
</div>
<div xml:id="div-7">
<u xml:id="u-7.0" who="#StanisławPiotrowicz">Dziękuję bardzo panu ministrowi. Proszę bardzo, czy są jakieś pytania do pana ministra? Bardzo proszę, pan poseł Zbonikowski.</u>
</div>
<div xml:id="div-8">
<u xml:id="u-8.0" who="#ŁukaszZbonikowski">Dziękuję, panie przewodniczący. Wysoka Komisjo, korzystając z wizyty pana inspektora i dyskusji nad jego sprawozdaniem chciałem zapytać o taką, być może dość szczegółową i konkretną sprawę, jednak przez skalę w jakiej dotyka ona milionów obywateli, bo wszystkich kierowców w Polsce, myślę, że warto jednak ją rozstrzygnąć, tym bardziej że na pewno będą pojawiały się tego typu pytania. Otóż, w zeszłym roku wszedł nowy system elektronicznego wysyłania mandatów za pośrednictwem fotoradarów. Nie robi już tego Policja, gdzie funkcjonariusz siedział i identyfikował ze zdjęcia konkretną postać i wysyłał mandat, przez co tylko kilka procent zrobionych zdjęć było tak naprawdę rozsyłanych, bo człowiek w terminie nie był w stanie się wyrobić. Zamieniono to na automatyczne rozsyłanie mandatu do właściciela pojazdu, a nie do faktycznego kierowcy, za pośrednictwem komputera na podstawie tablicy rejestracyjnej i Centralnej Ewidencji Pojazdów i Kierowców. To jest do zrozumienia, nawet w kilku krajach takie systemy już funkcjonują. Tylko jest zdziwienie właścicieli, którzy w ostatnich miesiącach otrzymują takie wezwania do zapłaty mandatu sprzed miesiąca, sprzed dwóch miesięcy. Często bez zdjęcia nie mogą sobie przypomnieć, czy sami jechali, czy ktoś inny. Mamy niby dowód dokonania wykroczenia za pomocą fotoradaru, ale bez fotografii i człowiek ma do wyboru: albo przyznaje się i płaci mandat z punktami, albo mówi, że nie wie kto prowadził i płaci więcej bez punktów. Rodzą się pytania, bo – po pierwsze – wielu kierowców odbiera to po prostu jako administracyjne wezwanie do zapłaty, więc nie działa system motywacyjny „popełniłeś wykroczenie, musisz być ukarany”, tylko „jak zapłacisz jakąś kwotę, to masz spokój od administracji”. O co chodzi? Dlaczego pytanie do GIODO? Chodzi o to, że przynajmniej wojewódzki szczebel Inspekcji Transportu Drogowego, który się tym zajmuje informuje, że nie rozsyła mandatów ze zdjęciami właśnie ze względu na zalecenia GIODO, co wydaję się dosyć absurdalne. Jednak jest to organ administracyjny upoważniony do korzystania z ewidencji, czyli bazy danych. Wysyła mandaty nie publicznie, tylko do konkretnej osoby, która jest w rejestrze i jest to droga organ administracyjny-obywatel, więc chyba tutaj nie ma jakieś tajemnicy i ochrony danych osobowych. Stąd obywatel powinien nie tylko za pomocą pisemnego oświadczenia być informowany, że został zarejestrowany, ale również mieć możliwość zobaczenia się na tym zdjęciu i ewentualnie ustalenia, kto naprawdę jego pojazdem kierował. Uważam, że to byłoby uczciwsze dla obywatela, żeby mógł to wydarzenie sprzed miesiąca, dwóch, a czasem trzech dookreślić i poddać się karze albo wskazać prawdziwego kierowcę. Proszę o rozwianie moich wątpliwości i potwierdzenie, że nie ma tutaj zalecenia GIODO, aby nie wysyłać zdjęć z fotoradaru do obywateli, którzy mają być ukarani. Jak mówię, proceder się rozwija, bo od paru miesięcy działa elektroniczny system rozsyłania i tysiące kolejnych kierowców, którzy popadli w takie wykroczenie będą się zastanawiać nad tego rodzaju korespondencją od ITD. Dziękuję bardzo.</u>
</div>
<div xml:id="div-9">
<u xml:id="u-9.0" who="#StanisławPiotrowicz">Dziękuję bardzo. Bardzo proszę, panie ministrze.</u>
</div>
<div xml:id="div-10">
<u xml:id="u-10.0" who="#WojciechWiewiórowski">Panie pośle, dotknął pan bardzo kompleksowej sprawy. Postaram się bardzo krótko wyjaśnić. Od razu odpowiadając jakby od końca na pańskie pytanie – nie jest mi znane żadne zalecenie tego typu, które byłoby kierowane przez GIODO. Nikt z moich pracowników nie przypomina sobie w tej chwili, żeby w jakiekolwiek formie tego typu zalecenie były kierowane. Mogło się zdarzyć tak, że przy konkretnej kontroli konkretnej straży gminnej uznaliśmy, że jest jakiś problem z przetwarzaniem danych ze zdjęć. Taka sytuacja mogła mieć miejsce. Natomiast z pewnością generalnego wskazania tego typu nie było.</u>
<u xml:id="u-10.1" who="#WojciechWiewiórowski">Problem jest jednak skomplikowany. Muszę go podzielić jakby na dwie części. Po pierwsze na to, co działo się w latach 2009–2010 i – po drugie – na to, co działo się w roku 2011. Otóż, jak państwo być może pamiętacie, w 2010 r. Wysoka Izba uchwaliła nowe przepisy dotyczące fotoradarów, które przesunęły właśnie te uprawnienia w dużej mierze do ITD. Zanim zostały one przesunięte, czyli w tym okresie, o którym w tej chwili mówimy, w 2009–2010 r. GIODO miał mnóstwo wątpliwości co do sposobu przetwarzania danych z fotoradarów przede wszystkim przez straże gminne i straże miejskie. Było to powodem wielu przeprowadzonych kontroli oraz kilku pism, które kierował GIODO do ministra właściwego ds. spraw wewnętrznych, czyli de facto do pana ministra Rapackiego. Było to również powodem przeprowadzenia kompleksowej kontroli przez samego Ministra Spraw Wewnętrznych i Administracji (jeszcze wówczas) oraz kontroli, którą przeprowadziła Najwyższa Izba Kontroli w ostatnich miesiącach. Te wszystkie działania ujawniły bardzo dużą skalę przekroczeń prawa po stronie straży miejskich i straży gminnych. Z naszego punktu widzenia najbardziej rażącymi przykładami były sytuacje, kiedy straż gminna de facto outsourcowała całe to zagadnienie, czyli wynajmowała firmę, która wstawiała fotoradary, zbierała zdjęcia oraz przygotowywała całość materiału, który był rozsyłany później do kierowców. Mamy kilka przypadków, w których sam materiał przesłany do kierowców nie był nawet podpisany przez pracownika straży gminnej, a jedynie wkładane były tam wzory podpisów odpowiednio uprawnionej osoby ze straży gminnej.</u>
<u xml:id="u-10.2" who="#WojciechWiewiórowski">To zresztą spowodowało, że rozpoczęły się również prace w Sejmie. W Ministerstwie Infrastruktury zdawano sobie w sprawę z tego, że problem istnieje. Ostatecznie projekt został zgłoszony jako projekt poselski i tu muszę, niestety, powiedzieć z przykrością, że GIODO nie był pytany o opinię w sprawie nowej ustawy fotoradarowej i nie wyrażał takiej opinii. Myśmy o tym, że w ogóle ta ustawa jest w Sejmie zorientowali się na etapie, kiedy ona trafiła do komisji senackiej. Wcześniej nie wiedzieliśmy o tym, że ona jest w ogóle procedowana. Osobiście uważam nową ustawę fotoradarową za niezłą. To znaczy, sam pomysł, który tam został zrealizowany, wydaje się być sensowny. Co więcej, ciekawe jest stworzenie zautomatyzowanego systemu obsługi fotoradarów. Tyle tylko, że istnieje jakaś dramatyczna różnica pomiędzy tekstem aktu prawnego, a uzasadnieniem do niego. O ile w tekście aktu prawnego cały czas czytamy, że ITD dokonuje jakiejś czynności, o tyle w uzasadnieniu jest wprost napisane, że robi to program komputerowy. Ja osobiście, szczególnie jako naukowiec nie ma nic przeciwko temu, ponieważ uważam, że systemy automatycznego rozstrzygania są ciekawym rozwiązaniem w administracji i znam bardzo ciekawe doświadczenia np. australijskie dotyczące tego zagadnienia. Z chęcią, jako osoba zajmująca się tym naukowo dłużej bym o tym opowiadał, ale powiem, że to jest dobry pomysł, tyle tylko, że mamy bardzo duże wątpliwości dotyczącego tego, czy ITD jest przygotowana do tego działania. Na razie, nie przedstawiając jeszcze państwu sprawozdania z działalności za rok 2011, mogę tylko powiedzieć, że w momencie wejścia w życie tych przepisów rozpoczęliśmy inspekcję w ITD, która na razie wykazała brak przygotowania tej instytucji do zawiadowania całością tego systemu.</u>
<u xml:id="u-10.3" who="#WojciechWiewiórowski">Natomiast wracając do pytania, na które odpowiadałem na początku, z pewnością nie było tutaj zalecenia, żeby te informacje były przekazywane bez zdjęć. Tak jak słusznie pan mówi, jeżeli przyjmiemy, że każdy działa tu zgodnie z prawem, to istnieje poprawna podstawa prawna w postaci ustawy, istnieje organ publiczny, który się zajmuje tą sprawą i istnieje po drugiej stronie osoba, która jest właścicielem samochodu o danych numerach rejestracyjnych. Dlatego nie widzę tutaj żadnego problemu z punktu widzenia ochrony danych osobowych. Natomiast bardzo dużym problemem jest dla mnie każda sytuacja, kiedy zajmuje się tym nie organ władzy publicznej, tylko np. kiedy jest to outsourcowane do instytucji zewnętrznych, co – jak mówię – zdarzało się w przeszłości.</u>
</div>
<div xml:id="div-11">
<u xml:id="u-11.0" who="#StanisławPiotrowicz">Dziękuję bardzo panu ministrowi. Bardzo proszę, o zadanie pytania prosił pan przewodniczący Robert Biedroń. Proszę bardzo.</u>
</div>
<div xml:id="div-12">
<u xml:id="u-12.0" who="#RobertBiedroń">Dziękuję, panie przewodniczący. Panie ministrze, chciałem zapytać o kwestie związane z okresem sprawozdawczym. Chciałem zapytać czy w tych latach w kręgu zainteresowania GIODO znajdowała się kwestia ochrony danych osobowych znajdujących się w zasobach kościołów i związków wyznaniowych. Interesuje mnie także, czy Generalny Inspektor interesował się sposobem ich zarządzania. Chodzi mi głównie o dane osób, które wystąpiły z kościołów tudzież związków wyznaniowych, ale ich dane osobowe nadal są przetwarzane w księgach parafialnych.</u>
<u xml:id="u-12.1" who="#RobertBiedroń">Chciałem też zapytać, czy w świetle przegranego przez GIODO w grudniu 2011 r. procesu przed WSA w Warszawie GIODO zastanowił się nad zmianą polityki automatycznego umarzania postępowań dotyczących naruszania danych osobowych przez podmioty kościelne? Czy sprawy te były w gestii Generalnego Inspektora? Chciałbym przypomnieć Wysokiej Komisji, że WSA w Warszawie podkreślił w swoim wyroku, że GIODO miał obowiązek zajęcia się sprawą dotyczącą przetwarzania tych danych. GIODO nie ustalił też stanu faktycznego i automatycznie przyjął, że sprawa należy tylko i wyłącznie do związku wyznaniowego. Według sądu GIODO nie użył też wszelkich narzędzi prawnych, które miał do dyspozycji, żeby tę sprawę wyjaśnić.</u>
<u xml:id="u-12.2" who="#RobertBiedroń">Mam jeszcze jedno pytanie dotyczące tych spraw. Ile takich spraw było w okresie sprawozdawczym i ile z tych spraw GIODO podjął? Dziękuję bardzo.</u>
</div>
<div xml:id="div-13">
<u xml:id="u-13.0" who="#StanisławPiotrowicz">Proszę bardzo, panie ministrze.</u>
</div>
<div xml:id="div-14">
<u xml:id="u-14.0" who="#WojciechWiewiórowski">Zacznę też od końca. Jestem w stanie podać w ilu sprawach toczą się postępowania sądowe w obecnej chwili. To jest 9 toczących się spraw podobnego typu. Są one na różnym etapie postępowania sądowego – 3 z tych spraw faktycznie już stanęły przed sądem. Co do liczby skarg, które do nas wpływają, to nie jestem w stanie w tej chwili podać dokładnej liczby, nie prowadzimy odrębnej statystyki w tym zakresie. Tym niemniej ta kwestia jest oczywiście bardzo dobrze znana GIODO. Zresztą trzeba powiedzieć, że ona nabrała rozpędu.</u>
<u xml:id="u-14.1" who="#WojciechWiewiórowski">Liczba skarg dotyczących przetwarzania danych przez kościoły i związki wyznaniowe zdecydowanie wzrosła, szczególnie w 2010 r. W 2009 r. to były pojedyncze przypadki, w 2010 i 2011 r. jest ich znacznie więcej. Zacznijmy od tego, że ustawa w dość wyraźny sposób formułuje wyjątki, jeżeli chodzi o zasady kontroli przestrzegania ochrony danych osobowych w kościołach i związkach wyznaniowych. Opierając się na przepisach konstytucji, wprowadzono rozwiązanie, które wyłącza kościoły i związki wyznaniowe spod kompetencji GIODO w pewnym zakresie. Ten zakres dotyczy przetwarzania danych członków kościoła lub związku wyznaniowego i osób, które są z nimi wprost powiązane. W tym przypadku GIODO przede wszystkim nie może wykonać dwóch ze swoich podstawowych działań: po pierwsze – nie może przeprowadzić inspekcji, po drugie – nie może wydać decyzji administracyjnej. Może natomiast występować do kościołów i związków wyznaniowych o wyjaśnienia dotyczące przetwarzania danych osobowych w ramach tych instytucji. W tym przypadku mogę powiedzieć, że GIODO od kilku lat występował z tego typu pytaniami, a teraz w związku ze zwiększającą się liczbą spraw, również pytań tych jest więcej. Różnie wyglądają odpowiedzi ze strony kościoła, niekiedy tych odpowiedzi wręcz nie ma. Natomiast w wielu przypadkach instytucje kościelne powołują się na procedury, które trwają w sprawach osób, które składały skargi do Biura GIODO. Znane są nam również przypadki, kiedy bez przeprowadzenia tego typu procedur różne kościoły i związki wyznaniowe dokonują wpisów w swoich księgach czy systemach komputerowych zgodnych z oczekiwaniami osób, które wystąpiły ze związku.</u>
<u xml:id="u-14.2" who="#WojciechWiewiórowski">Podkreślam, że GIODO od 2010 r. zaczął zajmować się wprost tymi zagadnieniami poprzez wydawanie decyzji. Do tej pory, czyli do 2010 r. nie były wydawane decyzje w tych sprawach. Teraz po raz pierwszy zostały wydane decyzje administracyjne, które tym samym otworzyły drogę do postępowania sądowego w tej sprawie. Mamy do czynienia z bardzo delikatną sytuacją. Otóż, mamy ustawę, która nie jest w stu procentach precyzyjna. Mamy organ władzy publicznej, który ma ograniczenia co do wykonywania przez siebie obowiązków i tworzy to sytuację, w której Biuro GIODO musi się zastanowić, czy chce domniemywać swoje obowiązki i swoje uprawnienia, czy też uznaje, że jest inny organ, który powinien zająć się oceną sytuacji.</u>
<u xml:id="u-14.3" who="#WojciechWiewiórowski">Wydaje się, że w państwie, w którym istnieje trójpodział władzy i w którym istnieje zasada praworządności określona w art. 7 naszej konstytucji, sytuacja wygląda następująco. Mamy przepisy prawne – jeżeli przepisy gdzieś nie są precyzyjne to organ publiczny nie ma prawa domniemywania sobie swoich uprawnień, bo byłoby to sprzeczne z art. 7 Konstytucji, który stanowi, że organ może działać tylko na podstawie prawa i w granicach prawa. Jeżeli więc taki problem się pojawi, a organ nie jest pewny co do swoich uprawnień, a przyznaję, że jako generalny inspektor w niektórych z tych sytuacji nie jestem pewien jak daleko sięgają moje uprawnienia, organami właściwymi do rozstrzygnięcia takich wątpliwości są sądy. W związku z czym sytuacja, w której te sprawy trafiły do rozstrzygnięcia w WSA i NSA nie wydaję mi się sytuacją nienormalną. Wręcz odwrotnie – wydaję mi się ona sytuacją jak najbardziej normalną w demokratycznym państwie prawnym. Natomiast z pewnością Generalny Inspektor na podstawie dziś obowiązujących przepisów nie widzi możliwości wydawania decyzji co do wpisów w księgach parafialnych czy księgach prowadzonych przez kościoły i związki wyznaniowe, bo takiego uprawnienia decyzyjnego nie ma.</u>
<u xml:id="u-14.4" who="#WojciechWiewiórowski">Rzeczywiście prawdą jest, że w grudniu ubiegłego roku zapadło pierwsze orzeczenie WSA w sprawie osoby, która uznała, że jest apostatą – wystąpiła z kościoła – i żądała sprostowania w księdze chrztu w tym przypadku. WSA uznał, że GIODO nie podjął wszystkich działań, które mógł podjąć. Przyznam, że nie widziałem jeszcze uzasadnienia tego wyroku, bo jeszcze do nas nie trafiło. Kiedy uzyskamy takie uzasadnienie zadecydujemy, czy sąd niniejszym stwierdził, że GIODO ma prawo wydania decyzji administracyjnej. Jeżeli tak, to ją wydamy. Jeżeli natomiast WSA uzna, że na czym innym miałyby polegać działania, które mają być podejmowane przez GIODO, również je podejmiemy, bo od tego jest sąd administracyjny, żeby tego typu rzeczy wskazywać. Jeżeli natomiast w jakimś zakresie nie będziemy się zgadzali z linią zaprezentowaną przez WSA, oczywiście wniesiemy kasację. Dzisiaj bez uzasadnienia tego wyroku nie jestem w stanie nic powiedzieć, szczególnie że wczoraj przed WSA zapadł wyrok przeciwny w kolejnej sprawie tego typu. WSA podtrzymał decyzję o umorzeniu postępowania prowadzonego przez GIODO. Co prawda, jest pewna drobna różnica w sytuacji faktycznej pomiędzy obiema tymi sprawami, grudniową i styczniową. Dlatego raz jeszcze mówię – uzyskawszy orzeczenie sądu zobaczymy, czy na tym polega różnica – czy mamy dwa różne orzeczenia w podobnej sprawie, czy też właśnie ta drobna różnica w stanie faktycznym powoduje, że WSA uznał jedno w grudniu, a co innego w styczniu. To dla odmiany wyznaczyłoby GIODO granice działania. Uznawszy, że jeżeli stan faktyczny jest bliższy tej sytuacji to powinien postąpić tak, a jeżeli tamtej sytuacji to powinien postąpić inaczej.</u>
<u xml:id="u-14.5" who="#WojciechWiewiórowski">Natomiast, żeby jeszcze odwołać się do sprawy ochrony danych osobowych w kościołach i związkach wyznaniowych szerzej, to powiem, że w 2009 r. został wydany swego rodzaju podręcznik dla Kościoła Katolickiego dotyczący przetwarzania danych osobowych w kościele. On jest zatytułowany „instrukcja” i oczywiście nie ma żadnego charakteru wiążącego. Jest to poradnik czy też przewodnik po tym, jak dane osobowe tam stosować. Natomiast w 2010 r., czyli też jeszcze w okresie sprawozdawczym, o którym tu mówimy, rozpoczęliśmy prace nad takim samym podręcznikiem dla kościoła prawosławnego, które zakończyły się w marcu już 2011 r. podpisaniem przez jego eminencję metropolitę Sawę oraz moją osobę tego typu poradnika. Z tym zastrzeżeniem, że nie jest to o żadna umowa, bo ja oczywiście nie mam żadnych uprawnień do zawierania umów z kościołami i związkami wyznaniowymi, tylko takim sam poradnik, jak mamy dla bankowości, jak mamy dla nauczycieli, jaki przygotowujemy dla innych grup – jedna z części naszych działań edukacyjnych.</u>
<u xml:id="u-14.6" who="#WojciechWiewiórowski">Ostatnia rzecz – w grudniu zeszłego roku miała odbyć się w Warszawie konferencja poświęcona zasadom przetwarzania danych osobowych w bazach danych prowadzonych przez kościoły i związki wyznaniowe. To jest bardzo ciekawa nisza rynkowa – bazy danych i systemy teleinformatyczne używane do obsługi kościołów i związków wyznaniowych. Przyjęliśmy patronat nad tą konferencją, będąc naprawdę żywo zainteresowani jej efektami. Niestety, ze względu na małą liczbę zgłoszeń uczestników konferencja została przez organizatorów odwołana, czego naprawdę żałuję. Widząc jak te programy komputerowe wyglądają, np. program FARAM 5.0, byłem zainteresowany, jaki jest stosunek prawników i informatyków do tych programów. Dziękuję.</u>
</div>
<div xml:id="div-15">
<u xml:id="u-15.0" who="#StanisławPiotrowicz">Dziękuję bardzo. Bardzo proszę, pani poseł Beata Kempa.</u>
</div>
<div xml:id="div-16">
<u xml:id="u-16.0" who="#BeataKempa">Dziękuję, panie przewodniczący. Panie ministrze, dwie kwestie. Chciałam się ustosunkować i może zapytać pana ministra co do bardzo ważnej kwestii, którą pan poruszył podczas swojego dość obszernego i dobrego sprawozdania, mianowicie, do kwestii zbierania danych biometrycznych przez pracodawców. To jest potężny problem. Zgłaszają się często ludzie, przynajmniej do moich biur. W ubiegłej kadencji tych przypadków było bardzo dużo. W tej sytuacji na piśmie prosiłam o odpowiedź, bo chciałam się do pana jako generalnego inspektora profesjonalnie zwrócić, jak to naprawdę jest z tym zbieraniem przez pracodawców danych biometrycznych. Ten problem ma w tej chwili już skalę ogólnopolską. Pracownicy boją się pisać skargi na swoich pracodawców, boją się nawet pytać o to w sposób formalny, czyli taki, żeby podpisać się pod pismem, bo po prostu boją się utraty pracy. Mówią o tym wprost.</u>
<u xml:id="u-16.1" who="#BeataKempa">Dlatego cieszę się, że dzisiaj się tutaj spotkaliśmy, ponieważ ja widzę tu jeszcze jedno zjawisko. Ktoś, kto produkuje te urządzenia mające zbierać dane… To jest na pewno bardzo dobry biznes, ja tego nie neguję, jednak z formalnego punktu widzenia trzeba by się było temu przyjrzeć. Oczywiście, pan zdaje się nie ma możliwości inicjatywy ustawodawczej, ale ma pan możliwość sugerować np. choćby naszej Komisji Sprawiedliwości i Praw Człowieka, czy nie należałoby jednak przygotować projektu ustawy komisyjnej – ja głośno myślę – czy jakiegoś przepisu szczególnego w konkretnym kontekście zakazującego tego typu praktyk. Zgadzam się z panem, że o ile możemy wyłączyć pewne działy, takie np. jak bezpieczeństwo, gdzie zbieranie takich danych w przypadku wejścia do jakieś posesji, do szczególnie ważnych i chronionych budynków byłoby wskazane, to o tyle w każdym innym przypadku mam bardzo duże wątpliwości, zwłaszcza co do późniejszego przechowywania tych danych i nieograniczonej możliwości ich przetwarzania. Myślę, że to jest poważny problem na tę kadencję czy na ten rok, panie ministrze. Uważam, że powinniśmy być otwarci na regulacje legislacyjne idące w kierunku bardziej szczegółowych rozwiązań, nawet jeśli trzeba by je było wprowadzić jako delikt albo czyn podlegający karze. To jest pierwsza sprawa.</u>
<u xml:id="u-16.2" who="#BeataKempa">Druga rzecz, panie ministrze – ja oczywiście co do tej drugiej kwestii nie wymagam odpowiedzi, bo to też jest sprawa, która pojawiła się niedawno. Mianowicie, po wejściu w życie ustawy o pieczy zastępczej – to nawet wybrzmiało wyraźnie podczas jednego z ostatnich głośnych programów na temat adopcji – istnieją bardzo duże wątpliwości przyszłych rodziców adopcyjnych co do postępowania „przedadopcyjnego”, czyli nie tyle co do samego postępowania, jak co do zbierania akt tego postępowania. Oni nie są zawiadamiani, gdzie akta te są przekazywane i jak są zabezpieczane w sytuacji, kiedy ośrodek adopcyjny zostaje zlikwidowany. Dzisiaj dzieje się to już na skalę masową, bo wszedł niezbyt mądry przepis, który stanowi, że likwidacji ulegają ośrodki publiczne, które nie wykonają więcej niż 10 adopcji, a niepubliczne jeśli nie wykonają więcej niż 20 adopcji. Tak niestety postanowiono w Sejmie, co jest skandalem.</u>
<u xml:id="u-16.3" who="#BeataKempa">Co dalej dzieje się z aktami rodziców, którzy jeszcze nie uzyskali możliwości adoptowania dziecka, czyli nie weszli w procedurę przysposobienia, która toczy się przed sądem rodzinnym? Jak są przechowywane akta jeśli chodzi o sądy to wiemy, jest na to odpowiednia procedura. Ich zmartwienie polega na tym, że nie wiedzą gdzie te akta trafiają i jaki jest stopień ich ochrony. Jest to ważne z tego względu, panie ministrze, że są to dane szczególnie wrażliwe. To co chcą podać i podają – tak stanowi procedura i to jest oczywiście absolutnie legalne – ci przyszli rodzice adopcyjni, to są naprawdę bardzo wrażliwe dane, które powinny być szczególnie chronione, bo jest to często opis najbardziej intymnych sfer ich życia.</u>
<u xml:id="u-16.4" who="#BeataKempa">To jest problem, który – powtarzam – wybrzmiał też już publicznie. Ci ludzie po prostu obawiają się co dalej, czy te dane są przesyłane do marszałków, bo nie ma wskazanych innych ośrodków adopcyjnych, do których mogą być przesyłane. Później zupełnie inaczej też postępuje się z tymi dziećmi. To jest naprawdę bardzo duży problem, ale w samym kontekście ochrony danych osobowych, szczególnie danych wrażliwych, będzie to być może dla pana sprawa problemowa, którą trzeba by przeznaczyć do zbadania w tym czy przyszłym roku. Być może trzeba to będzie również dookreślić przepisami prawa, ponieważ mamy nowe prawo w zakresie pieczy zastępczej i postępowania, które ja nazywam na swój użytek „przedadopcyjnym”, czyli przed właściwym przysposobieniem ustanawianym przez sąd. Dziękuję bardzo.</u>
</div>
<div xml:id="div-17">
<u xml:id="u-17.0" who="#StanisławPiotrowicz">Bardzo proszę, panie ministrze.</u>
</div>
<div xml:id="div-18">
<u xml:id="u-18.0" who="#WojciechWiewiórowski">Dziękuję. Zacznę może od drugiego pytania. Przyznam się, że sprawy nie znam. W tej sprawie jak do tej pory nie wpływały do nas żadne sygnały. Jeżeli gdzieś znajduje się luka prawna dotycząca sposobu przechowywania tych danych, to oczywiście się jej przyjrzymy. Dziękuję tym samym za jej wskazanie. Trzeba pamiętać, że tu jeszcze dochodzą przepisy dotyczące zasobów archiwalnych, które też muszą być wzięte pod uwagę. Przyznaję, że nie znam tych przepisów, więc zerkniemy do tego i zobaczymy…</u>
</div>
<div xml:id="div-19">
<u xml:id="u-19.0" who="#BeataKempa">Ja myślę w ogóle, że – przepraszam, że wejdę w słowo, panie przewodniczący – problem jest nowy i trzeba by zobaczyć, czy to w ogóle zostało dookreślone w przepisach przejściowych, jeśli chodzi o ustawę o pieczy zastępczej. Jest to problem, który jest do mnie zgłaszany. Jest obawa i wielki lęk tych rodziców, którzy dostają informacje, że ośrodek w którym toczyło się ich postępowanie adopcyjne jest likwidowany, a to w tej chwili dzieje się na bardzo dużą skalę.</u>
</div>
<div xml:id="div-20">
<u xml:id="u-20.0" who="#WojciechWiewiórowski">Dziękuję za informację. Jak mówię, tą sprawą się nie zajmowaliśmy, ani w okresie sprawozdawczym, ani w obecnej chwili. Natomiast niektóre inne kwestie związane z adopcją trafiały do Biura GIODO, ale nie ta sprawa.</u>
<u xml:id="u-20.1" who="#WojciechWiewiórowski">Co do pierwszej kwestii, którą pani tutaj poruszyła, to za nią dziękuję, bo nie ukrywam, że była to jedna z ważniejszych rzeczy, którymi zajmowaliśmy się w zeszłym roku. Pod koniec roku została przeprowadzona na Uniwersytecie Kardynała Stefana Wyszyńskiego konferencja dotycząca prawnych i technicznych aspektów biometrii i rozpoczynałem tę konferencję stwierdzeniem jednym i podstawowym: „ Ja nie wiem, co to jest biometria. Ja się zajmuję biometrią od lat i nie wiem, co to jest biometria”. W pewnych sytuacjach mam absolutną pewność, że mamy do czynienia z danymi biometrycznymi: odcisk palca, rozkład żył w dłoni, skan tęczówki, siatkówki – nie ma problemu. Tylko tak naprawdę wszystkie notatki, których dokonałem w tej chwili na marginesie swojego własnego sprawozdania też zawierają dane biometryczne, ponieważ tekst pisany własnoręcznie jest również daną biometryczną z technicznego punktu widzenia. Tyle tylko, że jeżeli te same przepisy mielibyśmy zamiar rozciągnąć na ochronę danych z linii papilarnych i z podpisu własnoręcznego, to trzeba by się zastanowić, czy każdy przechowywany i podpisany dokument jest dokumentem biometrycznym. To oczywisty absurd.</u>
<u xml:id="u-20.2" who="#WojciechWiewiórowski">Pierwszym i podstawowym problemem, jaki mamy w Polsce jest ten, że z prawnego punktu widzenia nie wiem co to jest biometria i jak sobie z nią radzić. Mamy wyspowe regulacje – troszkę uregulowane tu, trochę uregulowane tam. W związku z czym od dawna zwracam uwagę na to, że potrzebujemy generalnej regulacji dotyczącej biometrii i dopiero na niej zbudowania kolejnych rozwiązań, które są w Polsce potrzebne. Do tego czasu, mimo, że – jak mówię – biometrią zajmowałem się i mimo tego, że rozumiem, że jest to bardzo przydatna i przyszłościowa dziedzina nauki, będę jako GIODO musiał być wyjątkowo ostrożny, jeżeli chodzi o jakiekolwiek rozwiązania biometryczne. Uważam je za możliwe do wprowadzenia tylko wtedy, kiedy są adekwatne do celu, który ma być osiągnięty i kiedy istnieje do tego odpowiednia podstawa. Podstawą może być prawo, które tego nakazuje, np. zbieranie odcisków palców od osób zatrzymanych. To jest jedna z sytuacji, kiedy może nastąpić taki nakaz. Podstawą będzie też sytuacja, kiedy mamy do czynienia ze zgodą, ale z prawdziwą zgodą, czyli udzielaną przez osobę, która wie co zostało od niej pobrane i która miała możliwość innej decyzji, czyli nie została do tego zmuszona.</u>
<u xml:id="u-20.3" who="#WojciechWiewiórowski">Niestety, w stosunkach pracy zastosowanie zgody jako podstawy przetwarzania jest – eufemistycznie mówiąc – bardzo problematyczne. Wszystkie trzy przypadki orzeczeń sądowych, o których mówiłem, dotyczyły właśnie sytuacji, kiedy uznaliśmy, że doszło wobec pracownika do przymusy używania danych biometrycznych. Z drugiej strony rozumiem, że w niektórych przypadkach może się okazać, że taki przymus jest konieczny, ale – jak mówiłem – to jest kwestia bezpieczeństwa, a nie stosunków pracy. Moim zdaniem art. 22¹ k.p. jest dzisiaj wystarczająco precyzyjny, żeby uniemożliwić stosowanie danych biometrycznych do rozliczania stosunków pracy. Jednocześnie podkreślam – nie potrzebna jest skarga złożona do Biura GIODO. Jeżeli my otrzymujemy skargę, to musimy rozpocząć postępowanie administracyjne. Natomiast jeżeli dostaniemy zapytanie, zgłoszenie czy różnego rodzaju sygnały, to prawdą jest, że wtedy po stronie urzędu pozostaje decyzja, czy rozpoczynamy w tej sprawie inspekcję. Natomiast w przypadku wykorzystywania danych biometrycznych w środowisku pracy od razu mówię, że po to wygraliśmy te trzy sprawy przed sądem administracyjnym żeby dalej ścigać ten proceder, bo jest to proceder niedopuszczalny.</u>
</div>
<div xml:id="div-21">
<u xml:id="u-21.0" who="#BeataKempa">Oczywiście.</u>
</div>
<div xml:id="div-22">
<u xml:id="u-22.0" who="#WojciechWiewiórowski">Kontrola sektorowa dotycząca tego zagadnienia również zostanie w tym roku wprowadzona.</u>
<u xml:id="u-22.1" who="#WojciechWiewiórowski">Natomiast jeszcze jedno zdanie co do ewentualnej ustawy czy ewentualnych przepisów prawnych. Chciałem tu podkreślić, że się na tym nie znam wystarczająco dobrze, żeby zaproponować rozwiązanie. To jest rozwiązane, które powinno zostać zaproponowane przez kogoś, kto jest wybitnym specjalistą w zakresie biometrii i zastosowań prawnych tego fenomenu, bo tak mógłbym to określić. Ja oczywiście z punktu widzenia ochrony prywatności sprawą się zajmuję. Natomiast niespecjalnie czuję się powołany do tego, ani niespecjalnie czuję się osobą, która wie wystarczająco dużo, żeby decydować czy konkretne techniki czy technologie mają już charakter biometryczny czy nie, albo jakiemu powinny zostać poddane reżimowi. Tutaj jestem otwarty na dyskusję. Natomiast z pewnością to nie GIODO powinien napisać te przepisy, szczególnie, że mają one tylko w drobnym – no może w drobnym to przesada – ale tylko w pewnym zakresie charakter związany z ochroną danych osobowych. Poza tym mamy tam również mnóstwo innych problemów.</u>
<u xml:id="u-22.2" who="#WojciechWiewiórowski">Pierwszy i podstawowy problem, który przedstawię, żeby pokazać jak skomplikowana jest to rzecz, to pytanie – czy jak oddałem krew, to czy oddałem dane biometryczne czy tylko materiał medyczny? A jeżeli oddałem tylko materiał medyczny, to od którego momentu on może stać się daną biometryczną? Przecież tam jest również mój genom, czyli jest możliwość dotarcia do tego, czyja jest to krew. Ja nie znam odpowiedzi na to pytanie. W jaki sposób przechowywany powinien być tego typu materiał? Trzeba pamiętać, że prace nad tym trwają w Ministerstwie Zdrowia, ale przecież pani minister Kudrycka powołała przy Ministerstwie Nauki i Szkolnictwa Wyższego zespół ds. biobankowania. Zespół ten zajmuje się m.in. problemem materiałów, które zawierają dane biometryczne. Uczestniczymy w pracach tego zespołu, bo też uważamy, że jest to jeden z punktów, w którym ta biometria się zaczepia. Dlatego zwracam państwa uwagę, że jest to bardzo kompleksowy problem, w którym ochrona danych osobowych jest tylko pewną częścią. Jestem bardzo chętny do tego, żeby uczestniczyć w tej dyskusji, o czym m.in. świadczy fakt, że wraz z panią rzecznik praw obywatelskich przyjęliśmy patronat nad konferencją, która odbyła się na początku grudnia ubiegłego roku.</u>
</div>
<div xml:id="div-23">
<u xml:id="u-23.0" who="#StanisławPiotrowicz">Bardzo proszę, jeszcze…</u>
</div>
<div xml:id="div-24">
<u xml:id="u-24.0" who="#BeataKempa">Dziękuję, jeszcze tylko w takim razie jedno. Panie ministrze, myślę, że można po prostu śmiało tym ludziom odpowiadać. Najczęstsze pytanie, jakie pada w naszym kierunku jest takie – czy legalne jest to, co robi mój pracodawca? Czy to jest okay z punktu widzenia prawa? To jest proste pytanie pracowników, więc dzisiaj wiemy, jak odpowiedzieć.</u>
<u xml:id="u-24.1" who="#BeataKempa">Natomiast zastanawiam się nad tymi urządzeniami w świetle tego, co pan tutaj powiedział, tego dość poważnego wywodu – czy one są w ogóle legalne?</u>
</div>
<div xml:id="div-25">
<u xml:id="u-25.0" who="#WojciechWiewiórowski">Tak, są legalne. Jeżeli…</u>
</div>
<div xml:id="div-26">
<u xml:id="u-26.0" who="#StanisławPiotrowicz">Proszę.</u>
</div>
<div xml:id="div-27">
<u xml:id="u-27.0" who="#WojciechWiewiórowski">Jeżeli mogę uzupełnić – nie ma powodu, dla którego mielibyśmy odmawiać legalności całej biometrii. To jest przydatne i wykorzystywane, tylko pytanie – w jakich sytuacjach? Podam znowu przykład, kiedy się to bardzo przydaje. Zaczyna się wprowadzać biometrię do bankomatów…</u>
</div>
<div xml:id="div-28">
<u xml:id="u-28.0" who="#BeataKempa">Ja nie mówię o takich sytuacjach, panie ministrze, bo to jest oczywiste. W tych sytuacjach jest to dozwolone prawem, ale w sytuacjach…</u>
</div>
<div xml:id="div-29">
<u xml:id="u-29.0" who="#WojciechWiewiórowski">Urządzenie jest to samo. Jeżeli mówimy o przetwarzaniu danych z odcisków palców…</u>
</div>
<div xml:id="div-30">
<u xml:id="u-30.0" who="#BeataKempa">Tylko jego użycie może być nielegalne?</u>
</div>
<div xml:id="div-31">
<u xml:id="u-31.0" who="#WojciechWiewiórowski">Tak, użycie może być niedozwolone.</u>
</div>
<div xml:id="div-32">
<u xml:id="u-32.0" who="#BeataKempa">Rozumiem. Teraz już rozumiem.</u>
</div>
<div xml:id="div-33">
<u xml:id="u-33.0" who="#WojciechWiewiórowski">Dlatego wszelkie nasze odpowiedzi powinny dotyczyć sposobu używania czegoś, a nie legalności samej techniki. Ponieważ ja jak najbardziej widzę sens działania, które podjął jeden z banków – notabene bank spółdzielczy, wcale nie wielki bank ogólnopolski – wprowadzając zasadę, że można korzystać z bankomatów na dwa sposoby: albo przy pomocy karty, jak do tej pory, albo przy pomocy odcisku palca. Po prostu klient decyduje, czy bardziej chce chronić swoją prywatność, mając kartę, czy też zapomina o karcie wiedząc, że palec zawsze będzie miał przy sobie i z bankomatu będzie w stanie skorzystać. Nie wpływa to na jego sytuację finansową, czyli np. nie ma czegoś takiego, że jeśli wybierzesz biometrię, to masz wyższe odsetki od depozytów bankowych albo niższe opłaty za operacje. Gdyby następowało takie rozróżnienie, to protestowałbym. Natomiast, jeżeli wprowadza się to jako udogodnienie dla klienta, to dlaczegóżby nie.</u>
</div>
<div xml:id="div-34">
<u xml:id="u-34.0" who="#StanisławPiotrowicz">Dziękuję bardzo. Pan poseł, bardzo proszę się przedstawić. Przepraszam, jeszcze nie zdołałem poznać.</u>
</div>
<div xml:id="div-35">
<u xml:id="u-35.0" who="#BorysBudka">Borys Budka. Pan minister wyjaśniał kwestię dotyczącą k.p. Po pierwsze, być może będzie zajmowała się tym Komisja do spraw zmian w kodyfikacjach, a – po drugie – w mojej ocenie art. 22¹ po prostu zakazuje takich praktyk i koniec. Prawo pracy zakazuje wielu praktyk, natomiast wiele złych rzeczy – niestety – jest stosowane ze strony nieuczciwych pracodawców, co nie zmienia faktu, że nie potrzeba nowych przepisów w zakresie ochrony. W mojej opinii przepis ten jest też zbyt restrykcyjny, bo tak naprawdę pozwala on zapytać pracownika tylko o siedem rzeczy, jeżeli przepisy szczególne nie stanowią inaczej. Nawet pozwolę sobie tu zgłosić pewne zastrzeżenia z praktyki, bo np. magazyniera nie mogę zapytać o niekaralność. Rozumiem więc, że te regulacje rzeczywiście mogą potrzebować przemyślenia, np. w zakresie niekaralności lub ewentualnie regulacji przepisami szczególnymi.</u>
<u xml:id="u-35.1" who="#BorysBudka">Natomiast w kwestii zbierania danych według mnie nawet zgoda pracownika nie daje takiej możliwości, ponieważ przepis jest tak skonstruowany, a wszyscy wiemy, jakiego charakteru normy zawiera k.p. Jest tam podstawowa zasada, że nawet gdyby umowa zawierała mniej korzystne postanowienia, to są one nieważne. W związku z tym myślę, że tu nie trzeba kombinować, tylko co najwyżej zgłaszać takie przypadki.</u>
<u xml:id="u-35.2" who="#BorysBudka">Mam jeszcze jedno pytanie, skoro udało mi zgłosić, bo nie chciałbym drugi raz zabierać głosu. W pana ocenie, w jakim zakresie w tych sytuacjach można mówić o naruszenia ustawy o ochronie danych osobowych, a w jakim zakresie prawa do prywatności, czyli jednego z dóbr osobistych? Według mnie to tu jest to podstawowe, społeczne niezrozumienie ustawy o ochronie danych osobowych. W praktyce zawsze, gdy ktokolwiek chce podać do publicznej wiadomości cokolwiek, gdzie występuje imię i nazwisko to mówi się o naruszeniu ustawy o ochronie danych osobowych. Natomiast – w mojej ocenie – mamy ugruntowane przepisy Kodeksu cywilnego, art. 23 i 24, które dają szerszą ochronę – oczywiście, może wolniejszą – prawa do prywatności. Jest tu też inny zakres i dlatego cenię działalność edukacyjną, którą państwo prowadzicie, bo myślę, że to jest podstawa. Ustawa o ochronie danych osobowych jest po prostu źle rozumiana. Chodzi o spisy lokatorów czy nazwisk na domofonach; przykładów z życia można by mnożyć, gdzie nadgorliwość czy strach przed tą ustawą spowodował, że w codziennym życiu zostały utrudnione podstawowe sprawy. W tym zakresie chyba państwo macie dużo lepsze doświadczenie i więcej sygnałów. Dziękuję bardzo.</u>
</div>
<div xml:id="div-36">
<u xml:id="u-36.0" who="#StanisławPiotrowicz">Bardzo proszę, panie ministrze.</u>
</div>
<div xml:id="div-37">
<u xml:id="u-37.0" who="#WojciechWiewiórowski">Dziękuję bardzo, jeżeli chodzi o pańską opinię dotyczącą k.p., to przychodzi mi się z nią całkowicie zgodzić. Przepis art. 22¹ być może jest restrykcyjny, jak twierdzą pracodawcy, ale jest wyraźny. Stanowi tylko o takim konkretnym zakresie danych, które mogą być zbierane i nie ma wątpliwości, że do celów prawa pracy nie mogą być zbierane inne dane.</u>
<u xml:id="u-37.1" who="#WojciechWiewiórowski">Proszę zauważyć jedną rzecz, cały czas posługujemy się sformułowaniem pracodawca-pracownik, natomiast wcale nie jest tak, że w każdym przypadku mamy do czynienia ze zbieraniem danych od pracowników. Bardzo duża liczba tych osób jest zatrudniona na umowę zlecenia, czy na umowę o dzieło, czy też na umowę menadżerską, których akurat przepisy art. 22¹ nie dotyczą. Zawsze mówię wszystkim przedstawicielom pracodawców, którzy dążą do tego, żeby wprowadzić biometrię do oceny czasu pracy, żeby zaczęli od menadżerów. Oni są z reguły zatrudnieni na umowy menadżerskie, czyli nie są zatrudnieni na podstawie umowy o pracę. Niech najpierw wprowadzą to dla kierownictwa swojego zakładu i niech się okaże, że to nie ingeruje w prywatność kierownictwa, to wtedy mogą myśleć o tych, którzy są pracownikami. Oczywiście, to ironia, ale pokazująca również, że problem nie jest taki łatwy, że jeżeli już uznamy, że jest to rozwiązane w k.p., to sprawa jest załatwiona. Wtedy bardzo często te osoby zatrudniane są na innych podstawach.</u>
<u xml:id="u-37.2" who="#WojciechWiewiórowski">Co do prywatności i ochrony danych osobowych to też nie ma żadnych wątpliwości, że ochrona prywatności jest pojęciem znacznie szerszym. Może być dokonywana na różnych gruntach, że tak powiem. I akurat ta ochrona, która jest wprowadzona na gruncie prawa administracyjnego przyjęła u nas konstrukcję ochrony danych osobowych. Natomiast ma pan całkowitą rację, że ochrona na gruncie prawa cywilnego istnieje, działa i dotyczy znacznie szerszego zakresu naruszeń, które mogłyby mieć miejsce, niż tylko samo nieuprawnione przetwarzanie danych osobowych. Znowu podam przykład z ostatnich dni. Jeżeli dowiadujemy się, że w Internecie umieszczona została lista osób, które są posądzane o takie czy inne poglądy polityczne, to jest to z jednej strony problem ochrony dóbr osobistych, który powinien być ścigany przez te osoby indywidualnie, bo to ich dobro zostało naruszone. Ewentualnie jest to ochrona danych osobowych w takim zakresie, w jakim mówimy np. o przetwarzaniu adresów zamieszkania tych osób, a również poglądów politycznych, bo to też jest jedna z danych osobowych, która jest daną wrażliwą. Oddzielmy od siebie tą administracyjną część, którą zajmuje się GIODO od oczywistych zasad ochrony prywatności istniejących w prawie cywilnym i zawsze przez nas podkreślanych.</u>
<u xml:id="u-37.3" who="#WojciechWiewiórowski">Natomiast co do tych domofonów, to ja muszę się przyznać do pewnej zmiany sposobu myślenia. Kiedy w 1997 r. została uchwalona ta ustawa, też byłem jedną z tych osób, które się naśmiewały, że ustawa doprowadziła przede wszystkim do tego, że zniknęły listy lokatorów i zniknęły nazwiska na domofonach. Robiłem tak kiedyś, ale później spróbowałem zorientować się, na czym polega problem i przeprowadziłem kilka prostych operacji myślowych. Po pierwsze, nikt nie zakazuje wieszania listy lokatorów. Można powiesić listę lokatorów, trzeba się tylko tych lokatorów spytać, czy chcą, żeby ich nazwiska tam figurowały, a to już powoduje dwa podstawowe problemy. Po pierwsze, trzeba coś zrobić, co już jest generalnie trudne. Nawet jeśli ktoś chce coś zrobić, to nagle się okazuje, że z ludzi którzy mieszkają na naszej klatce schodowej tylko 1/4 zgadza się na to, żeby ich nazwiska zostały ujawnione na liście lokatorów. Część z nich ma do tego powody, bo są adwokatami, radcami prawnymi, nauczycielami. To są te osoby, które najczęściej chcą ukryć miejsce, w którym mieszkają, czy też ich nie rozpowszechniać, może tak powiedzmy. Niektóre osoby po prostu uważają: „a po co ma być taka informacja?”.</u>
<u xml:id="u-37.4" who="#WojciechWiewiórowski">Nagle okazuje się, że tym pozornie absurdalnym rozwiązaniem, jakim było zdjęcie listy lokatorów dotknęliśmy bardzo ważnego punktu w świadomości naszego społeczeństwa. Proszę państwa, w tym roku Eurobarometr przeprowadził ogólnoeuropejskie badania na temat podejścia do ochrony danych osobowych. Oczywiście różnice między krajami istnieją, np. zaledwie 20% Niemców uważa, że adresy ich zamieszkania to są wrażliwe dane osobowe, które należy chronić. W przypadku Polski ponad 70% osób. Gdzieś w świadomości społecznej jednak jest mocniej zakodowane my home is my castle niż w przypadku Brytyjczyków, którzy nie wykazują aż tak dużej niechęci. Czyli prywatność bywa czymś, co tak naprawdę dobrze oceniać na samym sobie i na osobach najbliższych. Kiedy kilka dni temu schodziłem po klatce schodowej w budynku, w którym mieszkam, przyglądałem się czy na drzwiach wiszą tabliczki z nazwiskami lokatorów. Nigdzie nie było żadnej tabliczki, a przecież pamiętam, że w domu, w którym mieszkałem przez 30 lat w latach 70-tych czy 80-tych na każdych drzwiach znajdowały się tabliczki z informacją kto tam mieszka. Coś się zmieniło.</u>
<u xml:id="u-37.5" who="#WojciechWiewiórowski">Nie możemy więc twierdzić, że jakieś rozwiązania są absurdalne tylko z tego powodu, że wygląda to inaczej, niż wyglądało 20 lat temu. Okazuje się, że tam gdzie mamy sami możliwość zadziałania, tak naprawdę bardziej chronimy tę naszą niezależność od świata zewnętrznego albo to, co się pięknie nazywa w teorii prawa ochrony prywatności „autonomią informacyjną”, czyli tym, że to ja decyduję o tym, co o mnie jest wiadomo.</u>
</div>
<div xml:id="div-38">
<u xml:id="u-38.0" who="#StanisławPiotrowicz">Dziękuję bardzo panu ministrowi. Wobec wyczerpania chętnych do zabrania głosu przystąpimy do głosowania nad przyjęciem sprawozdania, najpierw za rok 2009. Czy nie ma sprzeciwu co do tego, żebyśmy… Dobrze, rozumiem, a później za rok 2010.</u>
<u xml:id="u-38.1" who="#StanisławPiotrowicz">Drodzy państwo, kto jest przeciwny przyjęciu sprawozdania za rok 2009? Nie słyszę sprzeciwu.</u>
<u xml:id="u-38.2" who="#StanisławPiotrowicz">Wobec braku głosu sprzeciwu uznaję, że sprawozdanie zostało przyjęte.</u>
<u xml:id="u-38.3" who="#StanisławPiotrowicz">Kto z państwa jest przeciwny przyjęciu sprawozdania za rok 2010? Też nie słyszę głosów sprzeciwu.</u>
<u xml:id="u-38.4" who="#StanisławPiotrowicz">A zatem uznaję, że obydwa sprawozdania zostały przyjęte.</u>
<u xml:id="u-38.5" who="#StanisławPiotrowicz">Bardzo proszę, pan minister prosił o zabranie głosu.</u>
</div>
<div xml:id="div-39">
<u xml:id="u-39.0" who="#WojciechWiewiórowski">Panie przewodniczący, panie posłanki, panowie posłowie, bardzo dziękuję za przyjęcie sprawozdania. Mam nadzieję, że dalsza nasza współpraca będzie się rozwijała również ku państwa zadowoleniu. Będzie jej dość sporo, nie ukrywam, przede wszystkim ze względu na planowane zmiany tak w prawie polskim, jak w prawie europejskim.</u>
</div>
<div xml:id="div-40">
<u xml:id="u-40.0" who="#StanisławPiotrowicz">Dziękuję bardzo panu ministrowi. Kto z panów posłów zechciałby być sprawozdawcą? Może pan poseł, mógłbym prosić, który ostatni zadawał pytania, a siedzi jako przedostatni? Czy jest akceptacja? Pan poseł Budka, tak? Serdecznie dziękuję.</u>
</div>
<div xml:id="div-41">
<u xml:id="u-41.0" who="#RyszardKalisz">Czy nie ma sprzeciwu co do sprawozdawania przez pana posła Budkę?</u>
</div>
<div xml:id="div-42">
<u xml:id="u-42.0" who="#StanisławPiotrowicz">Nie słyszę sprzeciwu. W związku z tym jest akceptacja.</u>
<u xml:id="u-42.1" who="#StanisławPiotrowicz">Wobec wyczerpania porządku dzisiejszego posiedzenia zamykam posiedzenie Komisji Sprawiedliwości i Praw Człowieka. Bardzo dziękuję wszystkim państwu, dziękuję panu ministrowi i osobom mu towarzyszącym, dziękuję paniom i panom posłom, dziękuję sekretarzom Komisji. Dziękuję bardzo, do widzenia.</u>
</div>
</body>
</text>
</TEI>
</teiCorpus>