text_structure.xml
94.2 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
<?xml version='1.0' encoding='UTF-8'?>
<teiCorpus xmlns:xi="http://www.w3.org/2001/XInclude" xmlns="http://www.tei-c.org/ns/1.0">
<xi:include href="PPC_header.xml"/>
<TEI>
<xi:include href="header.xml"/>
<text>
<body>
<div xml:id="div-1">
<u xml:id="u-1.0" who="#PrzewodniczacyposelMarekAst">Otwieram posiedzenie Komisji Sprawiedliwości i Praw Człowieka. Bardzo serdecznie witam państwa posłów, którzy uczestniczą zdalnie w dzisiejszym posiedzeniu Komisji. Witam zaproszonych gości, przede wszystkim bardzo serdecznie witam pana Mirosława Sanka, zastępcę prezesa Urzędu Ochrony Danych Osobowych, który przedstawi dzisiaj informację, która jest przedmiotem posiedzenia Komisji. Witam też uczestniczącą zdalnie w posiedzeniu przedstawicielkę Najwyższej Izby Kontroli panią Katarzynę Szymańską, głównego specjalistę w Departamencie Porządku i Bezpieczeństwa Wewnętrznego w Najwyższej Izbie Kontroli. Informuję, że posiedzenie zostało zwołane przez marszałek Sejmu na podstawie art. 198j ust. 2 regulaminu Sejmu i będzie prowadzone z wykorzystaniem środków komunikacji elektronicznej umożliwiających porozumiewanie się na odległość.</u>
<u xml:id="u-1.1" who="#PrzewodniczacyposelMarekAst">W tym momencie proszę członków Komisji o zalogowanie się do systemu do głosowania. Ci, którzy są obecni w sali, będą głosowali przy użyciu legitymacji poselskich, natomiast wszyscy pozostali posłowie za pomocą tabletu. Jeżeli państwo zdążyli się już zalogować, to zarządzam głosowanie w celu sprawdzenia kworum. Wobec tego proszę o naciśnięcie dowolnego przycisku. Przez jakiś czas pozostawimy to głosowanie sprawdzające otwarte, tak że jak tylko dostanę komunikat, że… Kworum już jest, mam informację z sekretariatu, że mamy kworum. Zatem będziemy mogli przystąpić do rozpatrzenia porządku dziennego dzisiejszego posiedzenia.</u>
<u xml:id="u-1.2" who="#PrzewodniczacyposelMarekAst">Mamy dwa punkty. Rozpatrzenie sprawozdania z działalności prezesa Urzędu Ochrony Danych Osobowych w roku 2018 z druku nr 85 oraz rozpatrzenie sprawozdania z działalności prezesa Urzędu Ochrony Danych Osobowych w roku 2019 z druku nr 583. Rozumiem, że po prostu pan prezes przedstawi te dwa sprawozdania łącznie, a następnie będziemy nad tymi sprawozdaniami dyskutować. Oddaję głos panu prezesowi w celu przedstawienia sprawozdania z działalności za lata 2018–2019.</u>
</div>
<div xml:id="div-2">
<u xml:id="u-2.0" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Bardzo serdecznie dziękuję panie przewodniczący. Panie przewodniczący, panie i panowie posłowie, szanowni państwo, to dla mnie duży zaszczyt, że mogę reprezentować prezesa Urzędu Ochrony Danych Osobowych w tak ważnym dla działalności organu administracyjnego obowiązku, jakim jest przedstawienie sprawozdania, w tym przypadku zbiorczego z dwóch ostatnich lat kalendarzowych działalności. Oczywiście ten materiał, który państwo otrzymaliście, przedstawił to sprawozdanie w pewnym skrócie, w którym wydaje mi się, że powinno być zawarte. Wydobył najistotniejsze aspekty działalności – wnioski, najważniejsze ustalenia zrealizowanych przez organ do spraw ochrony danych osobowych ustawowych zadań, a także oceny stanu przestrzegania przepisów o ochronie danych osobowych. To jest szczególne zadanie, które przypada mi także z tego względu, że w zeszłym roku mieliśmy zmianę na stanowisku prezesa Urzędu Ochrony Danych Osobowych. Upłynęła kadencja pani doktor Edyty Bielak-Jomaa i zastąpił ją wybrany przez Sejm, za zgodą Senatu, pan prezes Jan Nowak.</u>
<u xml:id="u-2.1" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Drugi aspekt to aspekt kadrowy. Aspekt prawno-organizacyjny jest jeszcze istotniejszy, ponieważ w tym dwuleciu przypada oczywiście bardzo poważna zmiana ram prawnych, zarówno w aspekcie krajowym, jak i unijnym, potocznie zwana RODO, czyli ogólne rozporządzenie o ochronie danych osobowych. RODO co prawda weszło w życie w 2016 roku, ale jego stosowanie bezpośrednio zawieszono do maja 2018 roku. W ślad za tym dostosowano w granicach dopuszczalnych przez ogólne rozporządzenie krajowy stan prawny, zarówno uchwalając nową ustawę o ochronie danych osobowych i wprowadzając legislację w zakresie zbiorczym pod potoczną nazwą ustawy zapewniającej stosowanie rozporządzenia RODO. Jest to bardzo rozległa zmiana i jak państwo oczywiście wiecie, tego typu poważne regulacje pociągają za sobą poważne zmiany w praktyce i w pragmatyce działania organu, który jest właściwy do monitorowania przestrzegania prawa w tym zakresie.</u>
<u xml:id="u-2.2" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Proszę państwa, sprawozdanie stanowi oczywiście wykonanie art. 59 RODO, a także bliźniaczego do niego art. 50 ustawy o ochronie danych osobowych i jest przedstawiane Sejmowi, przekazywane Radzie Ministrów, innym organom jak rzecznik praw obywatelskich, rzecznik praw dziecka, prokurator generalny, Europejska Rada Ochrony Danych Osobowych czy Komisja Europejska.</u>
<u xml:id="u-2.3" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Prezes Urzędu Ochrony Danych Osobowych jest jednoosobowym organem administracji publicznej, zajmującym się zagadnieniami mającymi swoje konstytucyjne umocowanie. Przypominam, że to nie jest tylko porządek prawa unijnego i ustawowego, to jest przede wszystkim konstytucja (art. 47 i art. 51), a więc norma w konstytucji dotycząca ochrony prywatności i ochrony danych osobowych. Wszystkie te aspekty, wszystkie kierunki interpretacji prawniczej powinny nam towarzyszyć w patrzeniu na cały system ochrony danych osobowych.</u>
<u xml:id="u-2.4" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Podstawę działania Urzędu Ochrony Danych Osobowych stanowi wspomniane już ogólne rozporządzenie, ustawa o ochronie danych osobowych z 24 maja 2018 r. oraz wydane na jej podstawie akty wykonawcze. Zadania, jakie przypadają prezesowi Urzędu Ochrony Danych Osobowych, określa przede wszystkim art. 57 RODO. Należą do tego między innymi, a właściwie przede wszystkim: monitorowanie i egzekwowanie przestrzegania ogólnego rozporządzenia, w szczególności zaś rozpatrywanie skarg w sprawach wykonania przepisów ogólnego rozporządzenia i prowadzenie w tym zakresie postępowań administracyjnych; podejmowanie czynności w sprawie zgłaszanych przez administratorów naruszeń ochrony danych osobowych – systemowa kompetencja organu; prowadzenie postępowań w ramach współpracy i wzajemnej pomocy z organami nadzorczymi państw członkowskich; sporządzanie projektów pism procesowych w toku postępowań przed sądami; przedstawianie sądom poglądów w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych; opiniowanie projektów aktów prawnych dotyczących ochrony danych osobowych, w tym udział w konferencjach uzgodnieniowych w związku z rozpatrywaniem tych projektów; wydawanie opinii i stanowisk oraz kierowanie wystąpień o podjęcie działań zmierzających do wyeliminowania nieprawidłowości w procesach przetwarzania danych osobowych przez podmioty określonego sektora, a także opiniowanie projektów kodeksów postępowań, to także nowe zadanie, przedkładamy do organu nadzorczego; wydawanie administracyjnych kar pieniężnych. UODO prowadzi także działania kontrolne przestrzegania przepisów o ochronie danych osobowych i w razie stwierdzenia uchybień prowadzi postępowania administracyjne w takich sprawach. Ich skutkiem jest wystąpienie o zastosowanie odpowiednich środków w celu przywrócenia stanu zgodnego z prawem. W przypadku stwierdzenia naruszenia przepisów, tak jak powiedziałem, nałożenie administracyjnej kary pieniężnej.</u>
<u xml:id="u-2.5" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Ważnym zadaniem nałożonym na organ nadzorczy przepisami ogólnego rozporządzenia o ochronie danych osobowych jest także realizacja obowiązków i uprawnień przez administratorów i inspektorów ochrony danych. Zadania te polegają między innymi na przyjmowaniu zawiadomień o wyznaczeniu inspektora ochrony danych, udzielaniu odpowiedzi na pytania do inspektorów ochrony danych oraz udzielaniu odpowiedzi na pytania od administratorów i podmiotów przetwarzających, przygotowaniu wystąpień w sprawach dotyczących statusu i zadań inspektorów ochrony danych oraz podejmowanie działań informacyjnych i edukacyjnych. Art. 57 RODO wskazuje także na inne ważne zadania organu nadzorczego. Z mojej perspektywy pracy w urzędzie najistotniejsze dla jakości ochrony danych osobowych w państwach członkowskich jest upowszechnianie i podnoszenie w społeczeństwie wiedzy z zakresu ochrony danych osobowych.</u>
<u xml:id="u-2.6" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Proszę państwa, jeśli chodzi o wymienione przeze mnie zadania, nie jest to kompletna lista, bo tych zadań jest dużo, natomiast przedstawię najistotniejsze zagadnienia wybrane w obu sprawozdaniach w takim porządku, jak je tutaj przedstawiłem. Sprawozdanie z działalności organów za 2018 rok to jest pierwsze sprawozdanie pod rządami nowego reżimu prawnego. Oczywiście jak mówiłem, w sprawozdaniu z 2019 roku przedstawię w szerokim zakresie praktyczne aspekty stosowania przepisów RODO w krajowym porządku prawnym. 2019 rok to jest pierwszy pełny i regularny rok stosowania rozporządzenia ogólnego i nowych ram ochrony danych osobowych. Można również powiedzieć, że jest to okrzepły rok stosowania nowych regulacji w tym zakresie.</u>
<u xml:id="u-2.7" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Proszę państwa, najistotniejsze zadanie pod względem ilościowym, a zapewne także i jakościowym, to rozpatrywanie skarg indywidualnych. W tym okresie, który obejmują oba sprawozdania, widać wyraźnie drastyczną dynamikę napływu skarg i pytań prawnych. Oczywiście jest to zjawisko nie tyle przewidywane, co spodziewane wraz z upowszechnieniem zagadnienia ważności ochrony danych osobowych. Wykorzystanie ilościowe takiego elementu środków prawnych przysługujących obywatelom jak skarga była oczywista, a po drugie, pożądana przez urząd. Liczba skarg to jest oczywiście także jakaś wypadkowa zainteresowania i poziomu świadomości ochrony danych osobowych i zagrożeń, jakie mogą ich spotkać.</u>
<u xml:id="u-2.8" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Przechodząc do liczb, to zmiana stanu prawnego, do której doszło za sprawą ogólnego rozporządzenia, spowodowała właśnie ten drastyczny wzrost i w 2018 roku do organu nadzorczego wpłynęło 5565 skarg, przy czym zaznaczam, że do 24 maja, więc ostatniego dnia przed bezpośrednim stosowaniem tych skarg, było niecałe 1000, a w okresie od 25 maja do końca 2018 roku skarg było 4550. Pełny pierwszy rok 2019 odznaczył się liczbą 9304 skarg i różnica rok do roku to wyraźnie ponad 3500 skarg. Co ważne, prezes Urzędu Ochrony Danych Osobowych w obu tych latach rozstrzygał w sprawach, które wielokrotnie były już przedmiotem postępowania w latach ubiegłych. Powtarzalność tematów poruszanych w skargach i pytaniach, jak i podejście administratorów do poszczególnych zagadnień oznacza, że świadomość osób, których dane dotyczą, jak i administratorów danych w zakresie praw i obowiązków związanych z ochroną danych osobowych, jest nadal niewystarczająca.</u>
<u xml:id="u-2.9" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">W przedłożonym państwu podwójnym dokumencie mamy pełny wykaz jakościowy przedstawionych prezesowi skarg. Ja je tylko syntetycznie podsumuję. Podsumowanie skarg zgłoszonych do Urzędu Ochrony Danych Osobowych w związku z obowiązywaniem RODO wykazało, że najczęściej dotyczyły one udostępnienia danych osobowych osobom nieuprawnionym oraz nieprawidłowego zabezpieczenia danych osobowych. Duża część skarg dotyczyła także niespełnienia obowiązków informacyjnych wynikających z RODO bądź też spełnienia ich tylko w części. Należy zauważyć, że także w okresie obowiązywania poprzedniej ustawy wdrażającej dyrektywę, ustawy z 1997 roku, wiele podmiotów miało problem z tymi oraz z adekwatnymi obowiązkami pod poprzednim reżimem prawnym. Z tego powodu podmioty te nie wiedziały, w jaki sposób powinny wypełniać obowiązek informacyjny po zmianie przepisów. Z drugiej zaś strony zagadnienie to w dalszym ciągu przysparza trudności także osobom, których dane dotyczą wnioskującym niejednokrotnie o zbyt szeroki zakres informacji. Tak więc z jednej strony informacja może być wadliwa w swojej niepełności, z drugiej strony takie bardzo rzetelne realizowanie jej, być może nawet nadmiarowe, wprowadza pewne komplikacje i obciążenie dla adresatów tego typu obowiązku informacyjnego.</u>
<u xml:id="u-2.10" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Cześć skarg dotyczyła przetwarzania danych osobowych pracowników przez pracodawcę. To jest bardzo istotny aspekt. Może jeszcze bardziej syntetycznie to podsumowując powiem, że są trzy fronty skarg i trzy fronty ochrony danych z perspektywy prezesa Urzędu. Są to szeroko rozumiane zatrudnienie, służba zdrowia i szkolnictwo, z głównym naciskiem systemu oświaty, a więc najwyższego. Wśród skarg najczęściej zgłaszanych przez pacjentów wymienić należy te dotyczące między innymi nieudostępniania przez placówki lecznicze kopii danych pacjenta. Praktyka taka wynika najczęściej ze złożenia przez pacjenta nieprecyzyjnego wniosku. W celu rozwiązania wątpliwości, które pojawiły się w tym zakresie, na stronie UODO został zamieszczony komunikat jak realizować prawa pacjenta do otrzymania kopii danych osobowych oraz kopii dokumentacji medycznej.</u>
<u xml:id="u-2.11" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Często kwestionowano także stosowanie monitoringu wizyjnego. To jest właściwie czwarty front, z którego wynika bardzo dużo problemów w stosowaniu. Monitoring traktowany jest przez RODO jako instrument szalenie inwazyjny w zakresie prywatności osób, których dane dotyczą i jego regulacja, a właściwie postrzeganie regulacji, napotyka na bardzo wiele problemów.</u>
<u xml:id="u-2.12" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Podobnie jak w poprzednich latach sprawozdawczych swoje skargi składali także lekarze, którzy kwestionowali przetwarzanie ich danych osobowych na portalach internetowych, których użytkownicy mogą wyrazić opinię o jakości odbytej wizyty lekarskiej. Ponadto należy zauważyć, że także po 25 maja 2018 roku utrzymywał się silny w poprzednich latach trend składania skarg na udostępnienie danych osobowych dzieci oraz ich rodziców przez podmioty przeprowadzające szczepienia ochronne na rzecz organów inspekcji sanitarnej. Odnotowano też liczne skargi na wykorzystywanie danych do celów marketingowych. Niektórzy administratorzy błędnie podchodzą do kwestii wyrażanych sprzeciwów dotyczących marketingu własnych produktów i usług uznając, że ich klienci godzą się w sposób dorozumiany na przetwarzanie danych osobowych w celach marketingowych. Są też i tacy, którzy wciąż nie kwalifikują informacji o uaktywnieniu usługi, polegającej na otrzymywaniu informacji o bieżących promocjach, jako marketingu własnych produktów i usług, co w ocenie prezesa jest nieuprawnione.</u>
<u xml:id="u-2.13" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Należy podkreślić bardzo istotny fakt, że mimo ponad dwudziestu lat obowiązywania prawa o ochronie danych osobowych, bo dochodzimy do rocznicy dwudziestej piątej, w polskim porządku prawnym nadal odnotowujemy przypadki wysyłania, po pierwsze, niezabezpieczonych kopert zawierających dane, a tym bardziej, co szczególnie istotne, tak zwanych danych wrażliwych. Praktyka ta jest szczególnie niepokojąca, gdy robią to podmioty lecznicze, jak to było w przypadku wysyłania do rodziców małoletnich dzieci odkrytych wezwań na szczepienia, bez kopert. Organ ochrony danych osobowych wielokrotnie spotykał są również ze skargami dotyczącymi bezprawnego udostępniania danych osobowych zawartych w dokumentacji medycznej i opiniach psychologicznych po uzyskaniu pełnoletności pacjenta jego byłym opiekunom prawnym lub osobom przez tych opiekunów upoważnionych.</u>
<u xml:id="u-2.14" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Podsumowując ten rozdział o postępowaniach zainicjowanych skargami oraz wszczętymi z urzędu, w 2019 roku prezes Urzędu Ochrony Danych Osobowych wydał 1369 decyzji administracyjnych kończących postępowanie, a inicjowanych przez skargi osób indywidualnych i stanowi to przewagę o 842 decyzje względem roku 2018. Wtedy wydano 527 decyzji administracyjnych.</u>
<u xml:id="u-2.15" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Orzecznictwo sądów administracyjnych. Teraz omówię sprawy decyzji lub postanowień prezesa Urzędu Ochrony Danych Osobowych. W roku 2018 wniesiono do Wojewódzkiego Sądu Administracyjnego w Warszawie 77 skarg na decyzje lub postanowienia wówczas jeszcze generalnego inspektora ochrony danych osobowych. Ustawa o ochronie danych osobowych z 24 maja, jak państwo wiecie, zmienia nazwę organu i urzędu go obsługującego. Liczba ta stanowi wzrost o 15% w stosunku do poprzedniego niesprawozdawczego 2017 roku. W poprzednim roku do WSA w Warszawie wniesiono 89 takich skarg. W omawianym roku 2018 sądy administracyjne nie orzekały jeszcze merytorycznie w sprawach dotyczących RODO. Wojewódzki Sąd Administracyjny w Warszawie jedynie w 19 sprawach negatywnie ocenił rozstrzygnięcia generalnego inspektora, natomiast w ponad 70 przypadkach oddalił lub odrzucił skargi na decyzję GIODO. Z kolei Naczelny Sąd Administracyjny w trzech sprawach oddalił skargi kasacyjne wniesione przez GIODO, a w 16 potwierdził stanowisko organu, nie przychylając się do skarg kasacyjnych składanych przez skarżących lub administratorów danych. W dwóch latach sprawozdawczych sądy administracyjne w wyniku prowadzonych postępowań w większości wydawały orzeczenia potwierdzające słuszność rozstrzygnięć stanowiących przedmiot decyzji generalnego inspektora, a następnie prezesa Urzędu Ochrony Danych Osobowych. Należy również odnotować, że decyzje sądów administracyjnych stwierdzające bezczynność generalnego inspektora, później prezesa Urzędu w analizowanych latach 2018–2019, były wynikiem szerszych problemów związanych z brakiem odpowiednich zasobów kadrowych biura. Znaczące zwiększenie nastąpiło dopiero w drugiej połowie 2018 roku, a w praktyce w ostatnim kwartale tego roku, ponieważ środki uruchomione na ten cel, choć zwiększenie dotacji było pewne w związku z datą wprowadzenia w życie czy rozpoczęcia bezpośredniego stosowania RODO, to jednak środki te były uruchomione z dużym poślizgiem.</u>
<u xml:id="u-2.16" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Odnośnie do zagadnienia pytań prawnych. Działalność edukacyjna prezesa UODO jest realizowana między innymi poprzez udzielanie odpowiedzi na pytania prawne. To bardzo ważna forma działalności edukacyjnej urzędu – odpowiedzi na otrzymane sygnały dotyczące problemów związanych z interpretacją przepisów prawa. Pytania prawne stanowią impuls do podejmowania określonych działań z urzędu, także działalności w zakresie edukacji społecznej. Co roku do urzędu ochrony wpływa kilka tysięcy pytań prawnych. W obu sprawozdaniach zakres tematyczny pytań prawnych był bardzo szeroki, dużo bardziej szczegółowy wykaz znajdziecie państwo w przedłożonych sprawozdaniach, natomiast patrząc na sprawę rodzajowo w zakresie pytań prawnych, mieliśmy do czynienia głównie z pytaniami w zakresie szeroko rozumianej działalności administracji publicznej oraz sądownictwa, bankowości, finansów, ubezpieczeń, tak jak mówiłem zatrudnienia, szkolnictwa, służby zdrowia oraz mieszkalnictwa. Problem spółdzielni mieszkaniowych i praktyk informacyjnych spółdzielni to pierwszy zauważalny przejaw działalności generalnego inspektora zaraz po uchwaleniu ustawy i powołaniu tego organu. Jak widzicie państwo, problem trwa dalej.</u>
<u xml:id="u-2.17" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Jeżeli chodzi o wystąpienia, to na podstawie art. 52 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych prezes urzędu może wystąpić o podjęcie stosownych działań w celu zapewnienia skutecznej ochrony danych osobowych, a także do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. W wystąpieniach tych prezes zamieszcza wnioski o zmianę obowiązujących regulacji prawnych lub występuje o wprowadzenie nowych przepisów dotyczących przetwarzania danych osobowych, a także o zmianę praktyk w podmiotach, do których wystąpienia te były kierowane.</u>
<u xml:id="u-2.18" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Źródłem wystąpień prezesa były zarówno luki prawne w dziedzinie ochrony prywatności i respektowania prawa podmiotu danych do ochrony jego danych osobowych, jak i niedokładności w istniejących i nowo tworzonych regulacjach prawnych. Stan taki skutkował w następstwie niejednolitą praktyką administratorów danych, wymuszając reakcję organu do spraw ochrony danych osobowych. Wśród tematów wystąpień prezesa w latach 2018–2019 dominowały te, które dotyczyły stosowania przez banki i inne instytucje finansowe jednolitych standardów postępowania w zakresie prawa kredytobiorcy do uzyskania informacji na temat czynników szeroko rozumianych algorytmów, które miały wpływ na dokonaną ocenę jego zdolności kredytowej; niezgodnej z prawem sprzedaży przez pracowników banków baz danych klientów i wycieku takich baz danych w instytucjach bankowych; usług Poczty Polskiej i innych dostarczycieli korespondencji; w zakresie możliwości realizowania przez klientów wpłat na rachunek bankowy w formie werbalnej; zapewnienia zgodności unormowań dotyczących tak zwanych rachunków uśpionych z przepisami o ochronie danych osobowych; pozyskiwania kopii dokumentów, w tym dokumentów tożsamości oraz stosowania środków bezpieczeństwa finansowego w celu identyfikacji klienta; ujawniania numeru PESEL w podpisie elektronicznym i jawności tego numeru w Krajowym Rejestrze Sądowym; zakresu danych osobowych, które urzędy miast i gmin mają prawo udostępniać osobom dotkniętym przemocą oraz osobom podejrzanym o stosowanie przemocy w rodzinie; pozyskiwania szerokiego zakresu danych nabywców węglowych, to też jest temat, który ma bardzo długą tradycję w urzędzie; pozyskiwania danych osobowych na potrzeby programu badań statystycznych statystyki publicznej na rok 2019 i pozyskiwania zgody na przetwarzanie danych osobowych w celach marketingowych oraz zasad publikowania danych osobowych na stronach Biuletynu Informacji Publicznej.</u>
<u xml:id="u-2.19" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Przechodzę do kolejnego, bardzo istotnego sektora działalności prezesa, to są podjęte i przeprowadzone kontrole. W 2018 roku przeprowadzono łącznie 72 kontrole. Od 1 stycznia do 24 maja 2018 roku przeprowadzono łącznie 40 kontroli zgodności przetwarzania danych z obowiązującymi wówczas przepisami. W późniejszym okresie tego roku przeprowadzono łącznie 32 kontrole na podstawie ogólnego rozporządzenia o ochronie danych osobowych. W 2019 roku przeprowadzono łącznie 98 kontroli i w wieloletniej perspektywie porównawczej mogę powiedzieć, że suma około 100 kontroli to szeroko rozumiana norma dla organu administracyjnego właściwego w zakresie ochrony danych osobowych. Kontrole prowadzone są w ramach zatwierdzonego przez prezesa planu kontroli bądź na podstawie pozyskanych informacji dotyczących nieprawidłowości w trybie kontroli doraźnej. Kontrole doraźne zainicjowane są między innymi skargami bądź sygnałami od obywateli, a także przesłanymi przez administratorów zgłoszeniami naruszeń ochrony danych osobowych czy doniesieniami medialnymi, których, jak państwu wiadomo, cały czas jest dość dużo.</u>
<u xml:id="u-2.20" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">W analizowanych latach sprawozdawczych czynnościami kontrolnymi objęto brokerów danych, firmy windykacyjne, instytucje finansowe, serwisy internetowe, stowarzyszenia, portale internetowe, organizatora loterii, banki w zakresie profilowania klientów i potencjalnych klientów, podmioty lecznicze w ramach badania procesów wystawiania i obsługi elektronicznych zwolnień lekarskich, urzędy miast, starostwa, urząd marszałkowski, przedsiębiorstwo wodociągów i kanalizacji, przedsiębiorstwo zarządzające kompleksowym systemem gospodarki odpadami komunalnymi, ZUS, Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych, Krajową Izbę Rozliczeniową, a także działalność firm zajmujących się telemarketingiem. Podkreślić należy, że w toku kontroli w spółdzielniach mieszkaniowych i wspólnotach stwierdzono, że podmioty te nie wyznaczyły inspektora danych, bo w ich ocenie w świetle RODO nie mają takiego obowiązku, jako że są podmiotami niepublicznymi, które przetwarzają dane osobowe na niewielką skalę. Tymczasem odnosząc się do innych przesłanek ujętych w rozporządzeniu, tutaj odsyłam głównie do art. 36–39 RODO, wskazać należy, że w związku ze stosowaniem monitoringu spółdzielnie te, wykonując regularne i systematyczne monitorowanie, to jest wierny cytat z art. 37, osób i mienia, robią to jednak na dużą skalę, a więc jednoznacznie można stwierdzić, że tego typu podmioty objęte są obowiązkiem wyznaczenia inspektora ochrony danych. Ja tylko przypomnę, że naruszenie w tym zakresie jest tak samo poważnie traktowane przez RODO jak naruszanie praw osób, których dane dotyczą, obowiązków dotyczących bezpieczeństwa czy podstawowych zasad przetwarzania danych.</u>
<u xml:id="u-2.21" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Kontrolerzy UODO wykazali też kontrole doraźne, które dotyczyły wtórnego przetwarzania danych osobowych pozyskanych ze źródeł powszechnie dostępnych bądź zakupionych baz danych oraz naruszeń ochrony danych polegających na uzyskaniu nieuprawnionego dostępu bądź niezamierzonej publikacji danych. Kontrolami doraźnym objęto firmy windykacyjne w związku z przeprowadzeniem przez nie tak zwanych giełd wierzytelności, publikacją danych dłużników, a także instytucje zajmujące się udzielaniem tak zwanych chwilówek. Podsumowując kontrole należy wskazać, że obowiązki określone w przepisach o ochronie danych nie były wykonywane przez kontrolowane jednostki najczęściej z powodu błędnej interpretacji przepisów o ochronie danych osobowych oraz braku wystarczających środków finansowych, niezbędnych do pokrycia kosztów związanych z wdrożeniem właściwych rozwiązań wynikających z przepisów ogólnego rozporządzenia.</u>
<u xml:id="u-2.22" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Przechodzę do nowej kompetencji, jaką jest przyjmowanie naruszeń; nowej oczywiście na podstawie rozporządzenia ogólnego. Do tej pory obowiązek ten ciążył wyłącznie na administratorach z sektora telekomunikacyjnego. Teraz obejmuje wszystkich administratorów. Uzyskanie przez organ nadzorczy informacji o danym naruszeniu ochrony danych osobowych pozwala mu na reakcję i może doprowadzić do ograniczenia skutków takiego naruszenia, co przekłada się na zwiększenie poziomu ochrony praw i wolności osób, których dane dotyczą. W okresie 7 miesięcy jego bezpośredniego stosowania, czyli od końca maja do końca 2018 roku, UODO dokonał analizy 2446 zgłoszeń naruszeń pod kątem występowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, w tym 1882 naruszenia zostały zgłoszone przez podmioty sektora prywatnego, a pozostałe 564 przez podmioty z sektora publicznego. Z kolei w następnym roku prezes dokonał analizy 6039 zgłoszeń naruszeń. 3894 to jest sektor prywatny, zaś 2145 sektor publiczny, a 69 zgłoszono w międzynarodowym systemie informatycznym, co też umożliwia RODO. W przypadku sektora prywatnego najwięcej zgłoszeń wpłynęło od podmiotów telekomunikacyjnych, ubezpieczeniowych, banków, podmiotów finansowych oraz służby zdrowia. W publicznym to są jednostki samorządu terytorialnego, szkoły, przedszkola, żłobki oraz placówki służby zdrowia. W przypadku sektora prywatnego najczęściej zgłaszane naruszenia ochrony danych osobowych, tutaj bardzo pobieżnie przedstawię państwu te problemy, bo one korespondują ze skargami i zapytaniami, dotyczyły problemu obsługi udostępnienia danych osobie innej niż adresat w nieprawidłowo zaadresowanej korespondencji, nieprawidłowa wysyłka, błędy programistyczne w informatycznych systemach zabezpieczających, ataki hakerskie, zagubienie dokumentacji, kradzież danych klientów i pracowników.</u>
<u xml:id="u-2.23" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Wzrost liczby zgłoszeń naruszeń ochrony danych osobowych w 2019 roku wynika z jednej strony ze większej świadomości administratorów co do ich obowiązków wynikających z RODO, a z drugiej, z obawy przed konsekwencjami w postaci nakładania administracyjnych kar pieniężnych. W zgłoszeniach naruszeń przodują podmioty prywatne, w szczególności prowadzące działalność w sektorach telekomunikacyjnych. Tak jak powiedziałem, rok 2019 był pierwszym rokiem przyjmowania przez UODO zgłoszeń naruszeń ochrony danych od administratorów przetwarzających dane osobowe. W związku z zapobieganiem i zwalczaniem przestępczości, to jest osobny sektor regulacji prawnej, mamy w tym zakresie dyrektywę, którą implementowała ustawa. Dyrektywa nosi potocznie nazwę dyrektywy policyjnej i od chwili wejścia w życie ustawy z dnia 14 grudnia 2018 r., właśnie implementującej tę dyrektywę, do Urzędu Ochrony Danych Osobowych zaczęły napływać zgłoszenia naruszeń na podstawie tych przepisów. Podkreślenia wymaga, że w odniesieniu do podmiotów sektora prywatnego w dwóch przypadkach, wynikających ze zgłoszonych naruszeń ochrony danych osobowych, prezes Urzędu Ochrony Danych Osobowych nałożył administracyjne kary pieniężne. Chodzi o związek piłki nożnej oraz spółkę z o.o.</u>
<u xml:id="u-2.24" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Po roku stosowania RODO na stronie internetowej urzędu opublikowane zostały obszerne wskazówki pod tytułem „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”. W poradniku znalazły się między innymi wskazówki dotyczące pojęcia naruszenia oraz obsługi tego typu środka prawnego. Wsparciem dla administratorów były także porady telefoniczne. Urząd prowadzi dawną infolinię cieszącą się dużą popularnością i wysoką oceną w zakresie dostępności.</u>
<u xml:id="u-2.25" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Egzekucja administracyjna to działania egzekucyjne podjęte przez GIODO od 1 stycznia do 24 maja 2018 roku na podstawie przepisów implementujących dyrektywę z 1995 roku ustawy o ochronie danych osobowych. W tym okresie egzekucji administracyjnej podlegało 36 decyzji administracyjnych generalnego inspektora, zawierających nałożony na strony nakaz do wykonania. Spośród decyzji wydanych w 2018 roku, stosując też cenzurę do 24 maja, wydano 29 decyzji na skutek postępowania zainicjowanego skargą.</u>
<u xml:id="u-2.26" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Działania egzekucyjne po 20 maja do 31 grudnia 2018 roku. Możemy powiedzieć, że przeprowadzono postępowanie egzekucyjne w przypadku 50 decyzji administracyjnych zawierających nałożony na stronę nakaz do wykonania o charakterze niepieniężnym. Dokonując podziału tych decyzji według sektorów 35 dotyczyło sektora prywatnego, a 12 publicznego. W omawianym okresie, czyli cały czas to jest druga połowa 2018 roku, urząd prowadził działania egzekucyjne wobec decyzji odnoszących się do sektora organów ścigania i sądów oraz z zakresu współpracy z administratorami danych. W 2019 roku prowadzona była egzekucja administracyjna w przypadku 118 decyzji administracyjnych. Może na tym etapie to zagadnienie zakończę i przejdę do wątku, który bardzo powszechnie kojarzy się z zastosowaniem nowych ram prawnych w zakresie ochrony danych osobowych. To jest nowa kompetencja spoczywająca na organie właściwym do spraw ochrony danych, czyli nakładanie administracyjnych kar pieniężnych. W toku przeprowadzonych postępowań w ośmiu przypadkach prezes, stosując przysługujące mu rozwiązania naprawcze, przewidziane w art. 58 ust. 2 oraz korespondującym z nim art. 83 RODO, zdecydował o nałożeniu kary administracyjnej. Karą objęte zostały następujące podmioty: spółka prowadząca sprzedaż online, spółka przetwarzająca dane z rejestrów publicznych, to była pierwsza chronologicznie kara, wspólnota mieszkaniowa, spółka zajmująca się ochroną mienia i ludzi, stowarzyszenie sportowe, spółka zarządzająca nieruchomościami, burmistrz miasta oraz spółka prowadząca marketing w sieci. Nakładając kary, organ nadzorczy podkreślił, że stwierdzone naruszenia miały znaczną wagę oraz poważny charakter. Nałożone kary pieniężne były skutkiem niezapewnienia przez ukarany podmiot bezpieczeństwa i poufności przetwarzania danych osobowych kilkuset osób, jak w przypadku związku piłki nożnej, naruszenie ochrony danych poprzez uzyskanie dostępu do bazy danych ponad 2 mln klientów, jak w przypadku (…), niedopełnienia obowiązku informacyjnego, czyli (…), utrudnienia realizacji prawa do wycofania zgody, to jest firma (…), niezawarcia umowy powierzenia, to jest przypadek burmistrza miasta Aleksandrów Kujawski, przetwarzania danych pochodzących z monitoringu wizyjnego bez umowy powierzenia, dotyczący spółki zarządzania nieruchomościami w Warszawie, brak upoważnień do przetwarzania danych przez pracowników mających dostęp do monitoringu, to także z kolei spółka zajmująca się ochroną osób i mienia, naruszenia zasady rozliczalności, integralności i poufności poprzez niewdrożenie narzędzi umożliwiających prawidłowe przetwarzanie danych osobowych z monitoringu (dotyczyło to wspólnoty mieszkaniowej).</u>
<u xml:id="u-2.27" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Przechodzę do legislacji. Uprawnienia organu nadzorczego do opiniowania w zakresie ochrony danych osobowych projektów, aktów prawnych. Przepraszam bardzo, oczywiście wszystkie kary, które wymieniłem, dotyczyły roku 2019, w 2018, jeżeli dobrze pamiętam, prezes nie nałożył żadnej kary w tym zakresie i na tej podstawie prawnej.</u>
<u xml:id="u-2.28" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Uprawnienie organu nadzorczego do opiniowania w zakresie ochrony danych osobowych projektów, aktów prawnych i rozporządzeń pozwala na eliminowanie nieprawidłowości dotyczących przetwarzania danych osobowych już na etapie tworzenia prawa. W 2018 i 2019 roku realizacja tego zadania powiązana była z informowaniem innych organów o wymogach, jakie na ich działalność nakłada ogólne rozporządzenie o ochronie danych osobowych. W przygotowanych opiniach legislacyjnych z tego okresu wskazywano na konieczność uwzględnienia przepisów ogólnego rozporządzenia o ochronie danych w projektowanych aktach prawnych. Na podstawie przeanalizowanych przez urząd aktów prawnych można wskazać zauważalną już na etapie tworzenia prawa tendencję do naruszania zasady minimalizacji danych. Prowadzone katalogi czy proponowane katalogi danych osobowych najczęściej zawierały otwarte katalogi poprzez stosowanie sformułowań „co najmniej” albo „w szczególności”, co w konsekwencji pozwalało na możliwość zbierania danych osobowych nadmiarowych na podstawie domniemanych podstaw prawnych. Jak wiadomo, jest to niezgodne z zasadą minimalizacji danych zawartą w art. 5 RODO.</u>
<u xml:id="u-2.29" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Uwagi do projektowanych ustaw dotyczyły przede wszystkim przepisów regulujących prowadzenie rejestrów zawierających dane osobowe. Brak było określenia celu przetwarzania danych w wielu projektach aktów prawnych. Projektodawcy często stosują przepis w brzmieniu: „celem przetwarzania danych jest realizacja zadań danego organu”. Oczywiście musimy konkretyzować cele. Brak jest przepisów stanowiących o wspomnianym wyżej ograniczeniu czasowym. To z kolei odesłanie do konkretnie rozumianej zasady ograniczenia czasu przetwarzania danych. Okres retencji. Błędem było także określanie przez projektodawcę w przepisach zgody jako podstawy prawnej do przetwarzania danych w przypadku posiadania innej podstawy prawnej, w tym przypadku głównie wykonywania umowy, a przede wszystkim, jeżeli chodzi o administrację publiczną, na podstawie obowiązującego prawa. Częstym błędem popełnianym przez projektodawców było również szczątkowe regulowanie przetwarzania danych osobowych, w tym danych szczególnie chronionych w ustawach i dalsze doprecyzowanie takiego przetwarzania w rozporządzeniach wykonawczych będących przecież aktami prawnymi niższego rzędu w konstytucyjnym katalogu źródeł prawa lub regulowanie podstawy i procesów przetwarzania danych osobowych również z art. 9, czyli danych wrażliwych wyłącznie w aktach podustawowych. Obowiązek regulowania takich kwestii w ustawie wynika wprost z art. 51 konstytucji, mówiącego o autonomii informacyjnej jednostki. Organ wielokrotnie postulował również odejście od koncepcji konkretnego wskazywania podmiotów, które mają pełnić rolę administratora danych. Przepisy RODO wskazują, że wyraźne wskazanie, sprecyzowanie administratora nie jest konieczne, a projektodawca powinien wyznaczyć, jakie cele będzie realizował podmiot przetwarzający dane i sposoby takiego przetwarzania, nie konkretyzując przy tym, kto ma być administratorem. Co roku do urzędu wpływa kilkaset projektów aktów prawnych do zaopiniowania. Liczba ta utrzymuje się wciąż na stałym poziomie od 600 do 700 w skali roku. Opierając się na danych z 2019 roku praca ta była udziałem zaledwie 10 pracowników i proszę to potraktować jako część całości. Każdy departament obsługując poszczególne zadania w zakresie właściwości organu cierpi na braki kadrowe.</u>
<u xml:id="u-2.30" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Bardzo istotną perspektywą działalności organów, które jak państwo wiecie, są siecią organów w krajach Unii Europejskiej, a szerzej na terenie europejskiego obszaru gospodarczego, a więc Unii Europejskiej, Norwegii, Islandii i Liechtensteinu, to współpraca międzynarodowa także w kierunku wymiany praktyk, ale przede wszystkim w kierunku harmonizacji i uspójnienia regulacji. Do zadań prezesa należy współpraca międzynarodowa z organami nadzorczymi innych państw członkowskich. Pracownicy urzędu uczestniczą w szeregu spotkań grup roboczych działających na zlecenie organów unijnych. Udział ten miał kluczowe znaczenie nie tylko z punktu widzenia przestrzegania mechanizmu spójności z Rozdziału VII RODO, ale również, jak potwierdza doświadczenie, pierwszego roku stosowania RODO z punktu widzenia wypracowania wspólnych stanowisk z europejskimi wytycznymi. Właściwie tutaj czas przeszły jest nieuzasadniony, ponieważ wciąż jest tego typu potrzeba. Nie tak dawno EROD wydał bardzo istotne wytyczne w zakresie interpretacji pojęcia administratora. Polski organ do spraw ochrony danych osobowych bierze również udział w pracach Komitetu Konsultacyjnego Rady Europy, współpracuje z rzecznikami ochrony danych innych krajów, w szczególności w ramach grupy rzeczników ochrony danych osobowych państw Europy Środkowej i Wschodniej, której jest założycielem i w której pełni rolę sekretariatu. Uczestniczy także w organizowanych cyklicznie międzynarodowych konferencjach rzeczników ochrony danych i prywatności, wiosennych konferencjach europejskich organów ochrony danych oraz w warsztatach rozpatrywania spraw. Podkreślenia wymaga, że wyżej wymienione wiosenne konferencje są najważniejszym adresem na corocznym spotkaniu wszystkich rzeczników ochrony danych osobowych w państwach członkowskich Unii Europejskiej, innych państw europejskich oraz przedstawicieli Komisji Europejskiej, Rady Europy oraz innych organów zajmujących się ochroną danych osobowych. W ramach swojej aktywności międzynarodowej UODO sporządza także informacje mające znaczenie dla stanowiska Polski w sprawach dotyczących ochrony danych osobowych, stanowiących przedmiot postępowań prowadzonych przez Trybunał Sprawiedliwości Unii Europejskiej. Informacje te stanowią część materiału wyjściowego do udzielanych przez stosowny organ ze strony Polski odpowiedzi na pytanie prejudycjalne TSUE.</u>
<u xml:id="u-2.31" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Edukacja. Na każdym kroku staram się podkreślać wagę tej działalności prezesa w zakresie edukacji społecznej. To przede wszystkim budowanie świadomości społecznej dotyczącej zasad ochrony danych osobowych. Odbywa się ona poprzez współpracę urzędu z różnymi podmiotami publicznymi. Szczególnie chwalimy sobie współpracę z Ministerstwem Edukacji Narodowej, z Narodowym Instytutem Samorządu Terytorialnego, z kościelnym inspektorem ochrony danych, Krajową Szkołą Administracji Publicznej, rzecznikiem praw pacjentów, rzecznikiem praw dziecka i Politechniką Śląską. Ta lista jest naprawdę bogata i jestem pewien, że będzie cały czas rosnąć. Ponadto prezes Urzędu patronuje wielu wydarzeniom, których tematyka jest zbieżna z zakresem działań organu. W latach 2018–2019 przeprowadzonych zostało 76 szkoleń sektorowych, cieszących się wielką popularnością. Oczywiście od jakiegoś czasu prowadzimy je w trybie zdalnym. Na uwagę zasługują także cyklicznie organizowane kampanie edukacyjne, podczas których wspólnie z innymi podmiotami podejmujemy działania na rzecz ochrony prywatności i danych osobowych.</u>
<u xml:id="u-2.32" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Prezes Urzędu ma świadomość tego, że dla urzeczywistnienia prawa jednostki do poszanowania jej prawa do prywatności i ochrony danych osobowych nie wystarczy sama ochrona prawna. Obowiązek zachowania szczególnej ostrożności i staranności w procesie przetwarzania danych osobowych spoczywa w równym stopniu na administratorze danych, jak i na osobie, której dane te dotyczą. Ani przepisy prawa, ani Urząd Ochrony Danych Osobowych nie uchronią obywatela przed przejęciem jego danych przez nieuprawniony podmiot, o ile on sam nie zadba o ochronę swoich danych i nie będzie świadomy swoich praw. Dlatego prowadzenie konsekwentnej polityki informacyjnej i edukacyjnej, zmierzającej do upowszechnienia wiedzy o prawach i obowiązkach zarówno administratorów danych, jak i osób, których dane dotyczą, jest nadal jednym z najważniejszych kierunków działań organów. Zwracam się do wszystkich państwa posłów o przyjęcie naszej prośby o aktywne włączenie się w edukację społeczną w tym zakresie. Ogólne rozporządzenie jest dokumentem dosyć wymagającym dla osoby je stosującej. Im więcej edukacji, im więcej informacji, im więcej działania w terenie, im więcej odpowiedzi na pytania, a pytania są coraz bardziej profesjonalne, tym świadomość zagrożeń jest większa. Urząd w większości, jak przejrzałem dla państwa te rodziny działalności, działa następczo. Dzięki edukacji, dzięki podniesieniu świadomości społecznej możemy naprawdę działać profilaktycznie. W tym celu przygotowane zostały przez urząd ochrony także publikacje i filmy o charakterze edukacyjnym. Wszystko jest dostępne na naszej stronie. Oczywiście mówiłem także o poradnikach i wytycznych, które wydaje urząd w zakresie poszczególnych sektorów. One są dostępne na stronie, tak że nie będę ich przytaczał. Jest to bardzo istotna i bardzo absorbująca osoby fizyczne część naszej działalności w zakresie edukacji publicznej.</u>
<u xml:id="u-2.33" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Podsumowując, panie przewodniczący, szanowni państwo, w 2018 roku minęło dwadzieścia lat od wejścia w życie ustawy o ochronie danych osobowych uchwalonej w 1997 roku i to funkcjonowanie urzędu w zauważalny sposób wpłynęło na podniesienie poziomu świadomości społeczeństwa. Tak jak mówię, wciąż jest tego mało. To jest zadanie ciągłe i nieustające. Wobec rozporządzenia obowiązywania nowych ram prawnych, przede wszystkim rozporządzenia ogólnego i towarzyszącej mu ustawy o ochronie danych z 10 maja 2018 roku, zasadniczej zmianie uległ dotychczasowy sposób podejścia do ochrony danych osobowych. Nowe regulacje spowodowały konieczność samodzielnej oceny ryzyka przez administratorów, kluczowego pojęcia w praktyce stosowania nowych rozwiązań i zarządzaniu w organizacjach, ryzyka wiążącego się z przetwarzaniem danych osobowych dla praw i wolności osób, których dane dotyczą oraz wdrożenia przez te podmioty odpowiednich środków technicznych i organizacyjnych, adekwatnych do zdiagnozowanych wcześniej ryzyk.</u>
<u xml:id="u-2.34" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Analiza spraw, którymi prezes zajmował się przez 2 lata, w tym w szczególności zgłaszanych skarg i pytań prawnych oraz naruszeń, które wpływały do organu w wyniku zgłoszeń dokonywanych przez administratorów, pozwoliła na zidentyfikowanie problemów związanych z ochroną danych osobowych w związku ze stosowaniem RODO. Problemów, które najczęściej pojawiają się zarówno po stronie podmiotów danych, jak i administratorów. W odniesieniu do skarg i pytań prawnych wskazać można, że w szczególności podmioty sektora administracji publicznej dość dobrze sprostały określonym w RODO obowiązkom. Wiele podmiotów we właściwy sposób wypełniło obowiązek informacyjny. Dobrze radzono sobie także z doborem środków zapewniających bezpieczeństwo danych osobowych. Można powiedzieć, że nawet zaczęto wdrażać zasady ochrony danych osobowych już na etapie projektowania, co jest jedną z zasad bezpieczeństwa ujętych w RODO. Dowodzą tego kontrole i prezentowane przez urząd analizy ryzyka i oceny skutków na przykład dla monitoringu miejskiego. Nawet zarejestrowana duża liczba zgłoszeń naruszeń ochrony danych osobowych może być również dowodem na spełnienie obowiązku informacyjnego wobec osób, których dane osobowe zostały naruszone. Świadczy to jednocześnie o właściwym podejściu do tego nowego zadania wprowadzonego przez RODO. Powyższe działania, zwłaszcza właściwe komunikowanie się z podmiotami danych, przyczyniają się jednocześnie do wzrostu świadomości obywateli. Przez to w 2019 roku liczba skarg i pytań skierowanych do prezesa utrzymuje się na niezmienionym, bardzo wysokim poziomie. Niemniej w codziennej praktyce urzędu zdarzają się problemy z właściwym stosowaniem RODO, które częściowo wynikają z niespójności lub niejasności przepisów sektorowych. Dlatego prezes UODO podejmuje działania mające na celu ich eliminację, jak na przykład przygotowywanie materiałów informacyjno-edukacyjnych czy kierowanie wystąpień o rozważenie stosownych zmian prawa. Instrumentem pomocnym w zapewnieniu zgodności z RODO mogą być także wspomniane wcześniej kodeksy postępowania. Ich celem jest pomoc we właściwym stosowaniu przepisów. Jeżeli dobrze pamiętam, 30 września ukończyliśmy konsultacje kodeksów w zakresie placówek oświatowych. Prezes Urzędu Ochrony Danych Osobowych wspiera wszystkie działania środowiska, zarówno prywatne jak i publiczne, które zdecydują się na opracowywanie dokumentów zwanych w RODO kodeksami postępowania.</u>
<u xml:id="u-2.35" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Podkreślenia wymaga, że dopiero kolejne lata sprawozdawcze pozwolą na dokonanie pierwszych analiz w zakresie trendów dotyczących stosowania i przestrzegania przepisów RODO w Polsce, jednakże obecnie można już z całą pewnością stwierdzić, że choć poziom wiedzy z zakresu ochrony danych stale wzrasta, to jest on w dalszym ciągu niewystarczający. Powyższe potwierdza zarówno liczba skarg wpływających do urzędu, jak i tematyka pytań. Tym samym należy podkreślić, że poza podstawowymi działaniami urzędu, jakimi są między innymi rozpatrywanie skarg, naruszenia, prowadzenie działalności legitymizacyjnej, uzasadnione i niezbędne jest prowadzenie dalszych działań edukacyjnych. Dziś już możemy stwierdzić, że po upływie dwóch lat stosowania nowego prawa o ochronie danych osobowych, perspektywa ochrony danych osobowych w nowych ramach jest już stałym elementem działalności organizacji i podmiotów zobowiązanych. Na pewno państwo mieli takie wrażenie w 2018 roku, że temat jest traktowany inflacyjnie, że za dużo się o nim mówi, że obowiązki są niejasne, że społeczeństwo odrzuci taką regulację jako zasadniczo niepotrzebną. Do marca tego roku uzyskaliśmy potwierdzenie, powszechne i masowe potwierdzenie, że te rozwiązania w większości się przyjęły. Po drugie, że zostały uznane za pożądane i skuteczne. Po trzecie, że wcale nie jak nas straszono, nie osłabiły biznesu, gospodarki coraz bardziej opartej na przetwarzaniu danych w masowej skali, ale wyzwoliły element rywalizacji między podmiotami działającymi w tej sferze właśnie do pozytywnego wyścigu, kto lepiej zapewni ochronę danych osobowych. Dlaczego mówię o marcu? Ponieważ od czasu pandemii i powszechnego uzdalniania realizacji niektórych zadań w domenie publicznej można było odnieść wrażenie, że aspekt ochrony danych osobowych czy aspekt prywatności jest aspektem nadmiarowym, przeszkadzającym w pracy w trybie nadzwyczajnym. Okazało się, że można to świetnie połączyć. Te dwa lata doświadczeń przed epoką powszechnego uzdalniania okazały się na tyle skuteczne i dobre, że aspekt ochrony danych w trybie pracy czy wykonywania usług publicznych okazał się w ocenie prezesa pozytywny. Świadczy o tym naprawdę znikoma ilość skarg, jeżeli chodzi o problem wynikający z danych usług, ilość zapytań, które są profesjonalne i trafne, a ich ilość także nie jest ponadstandardowa.</u>
<u xml:id="u-2.36" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Proszę państwa, podsumowując to jednym zdaniem. Jestem pewien, że okres nadzwyczajny związany z epidemią minie, natomiast pozytywne nastawienie do nowych ram nie minie i będzie dalej pozytywne. Świadomość konieczności tych rozwiązań będzie coraz bardziej powszechna. Na zakończenie jeszcze raz państwa bardzo uprzejmie poproszę o włączenie się w pracę w zakresie edukacji społecznej w swoich okręgach wyborczych, wśród swoich wyborców, obywateli, z którymi państwo macie kontakt.</u>
<u xml:id="u-2.37" who="#ZastepcaprezesaUrzeduOchronyDanychOsobowychMiroslawSanek">Panie przewodniczący, szanowni państwo, bardzo dziękuję. Mam wrażenie, że zająłem państwu bardzo dużo czasu, ale z mojej prywatnej perspektywy zawęziłem się okrutnie, wręcz zbrodniczo. Jest to drobiazg w aspekcie tego, co organ administracyjny w tym zakresie w dwa lata wykonał. Dziękuję bardzo.</u>
</div>
<div xml:id="div-3">
<u xml:id="u-3.0" who="#PrzewodniczacyposelMarekAst">Dziękuję bardzo, panie prezesie. Rzeczywiście obszerna informacja, ale przedstawiona w syntetyczny sposób. Za tę syntezę bardzo dziękuję. Panie Danielu, czy możemy już sprawdzić, jak wyglądamy z kworum i zamknąć już głosowanie dotyczące kworum? Kto z państwa w sali się nie zalogował, to jest okazja.</u>
</div>
<div xml:id="div-4">
<u xml:id="u-4.0" who="#PoselKatarzynaPiekarska">A mnie złapało? Przepraszam, czy system mnie zauważył?</u>
</div>
<div xml:id="div-5">
<u xml:id="u-5.0" who="#PrzewodniczacyposelMarekAst">Z całą pewnością, pani poseł. Jest obecnych 22 posłów, a zatem mamy kworum niezbędne do prowadzenia tych obrad i podejmowania uchwał. W tej sytuacji otwieram dyskusję. Kto z państwa chciałby zabrać głos? Wiem, że pani przewodnicząca…</u>
</div>
<div xml:id="div-6">
<u xml:id="u-6.0" who="#PoselKamilaGasiukPihowicz">Jeszcze pani Barbara Dolniak.</u>
</div>
<div xml:id="div-7">
<u xml:id="u-7.0" who="#PrzewodniczacyposelMarekAst">Tak, pani Barbara Dolniak. Tak że pani przewodnicząca pierwsza. Proszę bardzo.</u>
</div>
<div xml:id="div-8">
<u xml:id="u-8.0" who="#PoselKamilaGasiukPihowicz">Dziękuję, panie przewodniczący. Przedstawił pan tutaj, panie prezesie, bardzo szczegółowe wyliczenia, statystyki odnośnie do poszczególnych skarg, rodzaju decyzji, które były wydawane przez prezesa. Zatem ja sobie pozwolę zadać pytanie. W ilu sprawach prezes Urzędu Ochrony Danych Osobowych wydał postanowienia o wszczęciu z urzędu postępowania wobec organu państwowego, w sprawie przetwarzania danych osobowych w związku z obowiązkiem organu udostępnienia informacji publicznej, w sytuacji, gdy zapadł już prawomocny wyrok sądu administracyjnego, który stwierdzał bezczynność organu w udostępnianiu takiej informacji? Chciałabym panu zadać pytanie, w ilu sprawach wszczętych w sytuacji, o której przed chwileczką powiedziałam, prezes Urzędu Ochrony Danych Osobowych wydał takie postanowienie w trybie art. 70 ustawy o ochronie danych osobowych, które zobowiązywałoby organ państwowy do ograniczenia przetwarzania danych osobowych, poprzez nakazanie powstrzymania się od ich upubliczniania oraz udostępnienia w jakiejkolwiek formie innym podmiotom w sytuacji, gdy zapadł już prawomocny wyrok sądu administracyjnego, który stwierdza właśnie bezczynność organu w udostępnianiu takiej informacji? Pewnie wszyscy pamiętamy, pan zapewne też, bo była to bardzo głośna sprawa, że prezes UODO wydał w dniu 29 lipca 2019 roku postanowienie o wszczęciu z urzędu wobec Kancelarii Sejmu postępowania w sprawie przetwarzania danych osobowych sędziów, zawartych w wykazie sędziów popierających zgłoszenia kandydatów do Krajowej Rady Sądownictwa. W ślad za wyżej wspomnianym przeze mnie postanowieniem prezes UODO wydał postanowienie, właśnie z dnia 29 lipca, które zobowiązało Kancelarię Sejmu do ograniczenie tego przetwarzania danych osobowych sędziów, które były zawarte w wykazie sędziów popierających kandydatów do KRS-u, poprzez powstrzymanie się od ich upubliczniania oraz udostępniania w jakiejkolwiek formie innym podmiotom do czasu wydania decyzji kończącej postępowanie w tej sprawie. Istotne jest to, że powyżej przytoczone postanowienia zostały wydane w sytuacji, w której sądy administracyjne prawomocnie orzekły, że Kancelaria Sejmu ma obowiązek udostępnić w trybie informacji publicznej listy poparcia dla kandydatów na członków Krajowej Rady Sądownictwa. Wiemy o tym z autopsji, bo zarówno wyrok WSA z 29 sierpnia 2018 roku, jak i wyrok Naczelnego Sądu Administracyjnego z 28 czerwca 2019 roku zostały wydane w sprawie, w której składałam wniosek, a następnie skargi. W tym kontekście moje zaciekawienie budzi po prostu, w ilu jeszcze sprawach prezes UODO wykazał się takim zaangażowaniem, wydał analogiczne postanowienia w sytuacji, gdy prawomocne orzeczenia sądowe już stwierdzały, że organ ma obowiązek udostępnić określoną informację publiczną?</u>
<u xml:id="u-8.1" who="#PoselKamilaGasiukPihowicz">Kolejne moje pytanie dotyczy tego, czy prezes Urzędu Ochrony Danych Osobowych rozważał wszczęcie z urzędu postępowania w sprawie udostępnienia Poczcie Polskiej danych osobowych wyborców w związku z wydaną przez pana premiera Mateusza Morawieckiego, z rażącym naruszeniem prawa, przypomnę tutaj wyrok wojewódzkiego sądu administracyjnego z 15 września, bardzo świeży, decyzją jeszcze z kwietnia 2020 roku w przedmiocie polecenia Poczcie Polskiej realizacji działań w zakresie przeciwdziałania COVID-19, które zmierzały do przygotowania i przeprowadzenia wyborów prezydenckich w trybie korespondencyjnym?</u>
<u xml:id="u-8.2" who="#PoselKamilaGasiukPihowicz">Kolejne moje pytanie dotyczy tego, dlaczego prezes UODO tak sprawnie wszczął postępowanie w sprawie udostępnienia informacji publicznej, w tym wydał postanowienie o czasowym ograniczeniu przetwarzania danych osobowych w sprawie KRS, a jednocześnie nie podejmował najwyraźniej żadnych czynności, chyba, że za chwileczkę się od pana dowiemy, że jakieś czynności podjął, w sprawie masowego przetwarzania danych osobowych na rzecz tych trefnych wyborów korespondencyjnych? Ja niestety, muszę to przyznać z przykrością, bo jest to bardzo ważny urząd, mam takie wrażenie, że Urząd Ochrony Danych Osobowych jest takim naprawdę klasycznym przykładem politycznej kolonizacji, która została dokonana przez PiS. Jest to jeden z kluczowych organów państwa, który niestety zamiast w ręce eksperckie, trafia do byłego radnego PiS…</u>
</div>
<div xml:id="div-9">
<u xml:id="u-9.0" who="#ZastepcaprezesaUODOMiroslawSanek">Panie przewodniczący, bardzo prosiłbym o ucięcie publicystki.</u>
</div>
<div xml:id="div-10">
<u xml:id="u-10.0" who="#PoselKamilaGasiukPihowicz">Proszę mi nie przerywać. Efektem tego jest brak działań w sprawie bezprawnego udostępniania Poczcie Polskiej danych wyborców czy niezgodna z przepisami próba zablokowania publikacji list poparcia do Krajowej Rady Sądownictwa. Te właśnie działania pokazują, że nie były to działania umocowane w prawie i merytorycznie uzasadnione, ale niestety były motywowane politycznie.</u>
</div>
<div xml:id="div-11">
<u xml:id="u-11.0" who="#PrzewodniczacyposelMarekAst">Dziękuję, pani przewodnicząca. Pani poseł Barbara Dolniak. Czy pani poseł Dolniak już jest na łączach? Proszę bardzo.</u>
</div>
<div xml:id="div-12">
<u xml:id="u-12.0" who="#PoselBarbaraDolniak">Już jestem. Ja w zasadzie muszę powiedzieć, że również zamierzam zadać pytanie w związku z przedstawionymi informacjami, tak naprawdę o podstawę prawną i o jej uzasadnienie, które chciałabym usłyszeć podczas obrad Komisji. Jak to jest możliwe, że mogło dojść do niewykonania prawomocnego wyroku Naczelnego Sądu Administracyjnego, co tak naprawdę prowadzi do naruszenia fundamentów państwa prawa i zasad rządzących wymiarem sprawiedliwości. Prawomocne orzeczenie, czy to jest orzeczenie sądu powszechnego czy sądu administracyjnego, wiąże również inne sądy i inne organy państwa. Próba zablokowania tak naprawdę aktem administracyjnym wykonania wyroku NSA spowoduje, że zaistnieje nam nowa sytuacja, że prawomocny wyrok sądu będzie mógł być wstrzymany w każdej sytuacji, jeżeli tylko urzędnik uzna, że wszczyna oto postępowanie wyjaśniające i to go motywuje do wydania postanowienia, w gruncie rzeczy o wstrzymaniu prawomocnego wyroku. Sąd powszechny, na przykład sąd cywilny, może wstrzymać wykonanie prawomocnego wyroku tylko w ściśle określonych przypadkach, a nie w sposób dowolny, bo wszczął jakiekolwiek inne postępowanie i w ten sposób wydaje decyzję o otrzymaniu wykonania wyroku. W związku z tym mamy sytuację, dla mnie jako prawnika niezrozumiałą, która spowodowała, że doszło do wszczęcia postępowania, które usprawiedliwiło, nie za bardzo wiadomo na jakiej podstawie prawnej, wstrzymanie prawomocnego wyroku. W związku z tym chciałabym tutaj usłyszeć, jakie motywacje kierowały przy podjęciu takiej decyzji, która tak naprawdę podważa poczucie stabilności systemu prawnego, jaka wiąże się z obowiązkiem wykonywania prawomocnych orzeczeń sądów. W uzasadnieniu tej decyzji prezes UODO stwierdził, że zostało uprawdopodobnione, iż może dojść do naruszenia przepisów o ochronie danych wskutek wykonania przez kancelarię prawomocnego wyroku NSA. No, ale Naczelny Sąd Administracyjny, co zresztą znalazło swój wyraz w uzasadnieniu decyzji Naczelnego Sądu Administracyjnego, brał te wszystkie okoliczności pod uwagę. Właśnie te dotyczące możliwości naruszenia danych wrażliwych określonych osób.</u>
<u xml:id="u-12.1" who="#PoselBarbaraDolniak">Proszę pamiętać o tym, że zgodnie z obowiązującymi przepisami sędziowie, gdy wykonują swoje obowiązki zawodowe, nie korzystają z takiej ochrony. Ich nazwiska znajdują się w treści wyroku i nikt tych nazwisk nie wymazuje i nikt tych nazwisk nie ukrywa. Zresztą sędzia orzekający ma również wizytówkę ze swoim imieniem i nazwiskiem w trakcie rozprawy. Naczelny Sąd Administracyjny podkreślił także, że stanowisko uznające możliwość czynienia przez organy administracji publicznej ustaleń sprzecznych z prawomocnym orzeczeniem sądu jest nie do pogodzenia z art. 2 konstytucji, to jest zasadą demokratycznego państwa prawa i art. 7 konstytucji, zasadą legalizmu. To stanowisko pozostaje również w sprzeczności z art. 187 konstytucji. Zgodnie z tym przepisem to NSA i inne sądy administracyjne sprawują kontrolę działalności administracji publicznej, a nie organ administracji publicznej, jakim jest organ, którego dotyczy dzisiejsze posiedzenie Komisji. W związku z tym niedopuszczalnym było, żeby doszło do zakwestionowania w takiej formule, jaka zaistniała, prawomocnego orzeczenia sądu. W związku z tym chciałabym usłyszeć, jak odnosi się do tego pan prezes w świetle zarówno obowiązujących przepisów proceduralnych, jak i przede wszystkim w świetle wskazanych przeze mnie przepisów konstytucji. Dziękuję bardzo.</u>
</div>
<div xml:id="div-13">
<u xml:id="u-13.0" who="#PrzewodniczacyposelMarekAst">Dziękuję, pani poseł. Pani poseł Piekarska.</u>
</div>
<div xml:id="div-14">
<u xml:id="u-14.0" who="#PoselKatarzynaPiekarska">Panie przewodniczący, pani przewodnicząca, szanowni państwo, chciałam zadać pytanie dotyczące monitoringu wizyjnego. Pan o tym wspominał. To są relatywnie nowe regulacje, które weszły, więc trudno powiedzieć, że jest tutaj jakaś duża praktyka orzecznicza, ale z punktu widzenia pana urzędu chciałam się dowiedzieć, jak pan ocenia stosowanie obowiązujących regulacji, jeśli chodzi o monitoring wizyjny w zakładach pracy, w szkołach oraz w szpitalach? Jakie są przede wszystkim kwestie, na które należy zwrócić uwagę?</u>
<u xml:id="u-14.1" who="#PoselKatarzynaPiekarska">Kolejna sprawa. Zachęcał pan do takiej, jeśli tak mogę powiedzieć, dydaktycznej działalności edukacyjnej ze strony parlamentarzystów. Wydaje mi się, że to jest dobry pomysł, choć oczywiście w czasach pandemii jest to siłą rzeczy ograniczone, ale też chciałabym się zapytać, jakimi materiałami państwo dysponujecie i możecie przekazać? To już tak zupełnie technicznie.</u>
<u xml:id="u-14.2" who="#PoselKatarzynaPiekarska">Kolejna kwestia, która jest związana z Pocztą Polską, a nie dotyczy tego okresu, o którym pan mówił, ale wydaje mi się dosyć istotna. Mianowicie ponieważ Poczta Polska osobom na kwarantannie nie dostarczała przesyłek pocztowych i tym samym zostały jej wydane dane tych osób, które są na kwarantannie. Krytykował to rzecznik praw obywatelskich, że to jest jednak naruszenie praw obywatelskich w zakresie dostępności do danych.</u>
<u xml:id="u-14.3" who="#PoselKatarzynaPiekarska">Ostatnia sprawa, chyba dosyć interesująca. TSUE wypowiedział się odnośnie do przechowywania danych telekomunikacyjnych na potrzeby służb, że jest to niezgodne z prawem unijnym. Co prawda Trybunał Sprawiedliwości nie wypowiadał się bezpośrednio o Polsce, bo dotyczyło to przepisów obowiązujących we Francji, Wielkiej Brytanii i Belgii, ale eksperci, którzy zajmują się tym zagadnieniem, są pewni, że również polskie obowiązujące przepisy nie wytrzymałyby tej próby, jeśli chodzi o prawo unijne. Chciałam się zapytać, czy ten obszar działalności był, to jest względnie nowa sprawa, ale czy był zauważony przez pana urząd? Dziękuję bardzo.</u>
</div>
<div xml:id="div-15">
<u xml:id="u-15.0" who="#PrzewodniczacyposelMarekAst">Proszę bardzo, pani poseł Ueberhan.</u>
</div>
<div xml:id="div-16">
<u xml:id="u-16.0" who="#PoselKatarzynaUeberhan">Witam i dziękuję za głos. Szanowny panie prezesie i szanowna Komisjo, unijne ogólne rozporządzenie o ochronie danych RODO ujednolica standardy ochrony danych w państwach członkowskich, a co za tym idzie, wymusza na administratorach danych i podmiotach przetwarzających zmianę kultury przetwarzania danych. Te regulacje dotyczą wszystkich podmiotów prowadzących działalność w Unii Europejskiej, też w Polsce, a więc także kościołów i innych związków wyznaniowych. W trakcie mojej krótkiej, ale już rocznej działalności poselskiej otrzymałam wiele zgłoszeń, które wskazują na to, że parafie kościelne przetrzymują dane osób, nawet po ich wystąpieniu po apostazji z Kościoła katolickiego. Chciałam zapytać, bo pan prezes też wspominał, że spływało wiele skarg, że obywatele korzystają szeroko z możliwości, które daje im RODO. Chciałam zapytać, czy wśród tych skarg są również skargi na przetrzymywanie danych po czasie, kiedy powinny zostać wykreślone i jakie jest stanowisko UODO w tej sprawie? Dziękuję.</u>
</div>
<div xml:id="div-17">
<u xml:id="u-17.0" who="#PrzewodniczacyposelMarekAst">Dziękuję bardzo. Panie prezesie, oddaję głos.</u>
</div>
<div xml:id="div-18">
<u xml:id="u-18.0" who="#ZastepcaprezesaUODOMiroslawSanek">Bardzo dziękuję za wszystkie pytania, jak najbardziej bardzo interesujące. Ja bym podzielił je częściowo osobowo, częściowo przedmiotowo, bo faktycznie niektóre wątki się pojawiały. Zacznę może od Poczty Polskiej. Faktycznie są to zagadnienia dotyczące 2020 roku, ale w związku z tym, że mamy okazję widzieć się rzadko, jestem otwarty na odpowiedzi na wszystkie pytania. Ja niestety nie do końca rozumiem przedmiot dociekań pani przewodniczącej. Co było niewłaściwego ze strony urzędu odnośnie do projektu ustawy tak potocznie zwanej fundującą głosowanie korespondencyjne?</u>
</div>
<div xml:id="div-19">
<u xml:id="u-19.0" who="#PoselKamilaGasiukPihowicz">Panie prezesie, ja przede wszystkim pytałam o to, czy państwo podjęli interwencję w związku z bezprawnym oczekiwaniem danych osobowych od samorządów przez Pocztę Polską? Czy państwo podjęli jakąkolwiek interwencję w tej sprawie? Jest to interwencja w związku z decyzją wydaną przez, tak jak powiedziałam, premiera Mateusza Morawieckiego, z rażącym naruszeniem prawa, o czym w pierwszej instancji stwierdził wyrok wojewódzkiego sądu administracyjnego, decyzją dokładnie z dnia 16 kwietnia 2020 roku w przedmiocie polecenia Poczcie Polskiej realizacji działań polegających na ściąganiu danych osobowych od jednostek samorządu terytorialnego. Jak pan wie, większość samorządów odmówiła, kierując się szacunkiem dla prawa, szacunkiem dla obowiązujących przepisów, dla konstytucji i nie zrealizowała tej decyzji. I słusznie znajduje to potwierdzenie ze wspomnianym przeze mnie wyroku. Dlatego pytam, czy państwo podjęli jakąkolwiek interwencję w tej sprawie i pytam o to na kanwie tego, że w innych sprawach, takich jak dostęp do list poparcia dla sędziów KRS, podejmowali państwo zupełnie kuriozalne decyzje, oczekując, że decyzja administracyjna będzie ważniejsza aniżeli prawomocny wyrok wydany w imieniu Rzeczypospolitej. Stąd moje pytanie.</u>
</div>
<div xml:id="div-20">
<u xml:id="u-20.0" who="#ZastepcaprezesaUODOMiroslawSanek">Dziękuję bardzo za to doprecyzowanie. Muszę się odnieść do kwestii ilości. Faktycznie zdaję sobie sprawę, że w praktyce działalności prezesa Urzędu Ochrony Danych Osobowych te dwa tematy były powszechnie zauważone przez parlamentarzystów, przez opinię publiczną i przez media. Natomiast mówiłem tutaj o tysiącach czynności podejmowanych przez prezesa, tak więc proszę mieć też tę proporcję na uwadze. Wracając do kwestii projektu ustawy, to ten projekt wpłynął do Urzędu Ochrony Danych Osobowych i był analizowany, natomiast nie wpłynęły skargi w zakresie bezpodstawnego, jak to przewodnicząca ujęła, oczekiwania przekazywania danych. Tak, jak najbardziej istnieją różne czynniki inicjujące postępowanie kontrolne organu administracyjnego, który ma właściwości kontrolne, natomiast tak jak mówię, do urzędu tego typu sygnały nie dotarły.</u>
<u xml:id="u-20.1" who="#ZastepcaprezesaUODOMiroslawSanek">Jeżeli chodzi o KRS, o dane sędziów w załączniku, oczywiście mówimy tutaj wszyscy skrótowo, to sprawa z jednej strony była przedstawiana bardzo intensywnie w trybie publicystycznym, co dało się też zauważyć w pytaniach zadawanych przez panią poseł, ale ma także wymiar czysto obiektywny i czysto prawniczy. Należy się odnieść do tego, że postanowienie, które wystosował prezes Urzędu Ochrony Danych Osobowych, nie wstrzymywało żadnego prawomocnego wyroku. Było skierowane do Kancelarii Sejmu w zakresie zawieszenia…</u>
</div>
<div xml:id="div-21">
<u xml:id="u-21.0" who="#PoselKamilaGasiukPihowicz">Ale…</u>
</div>
<div xml:id="div-22">
<u xml:id="u-22.0" who="#PrzewodniczacyposelMarekAst">Pani przewodnicząca, czy może pani naprawdę dać odpowiedzieć? Pani może się wypowiadać swobodnie…</u>
</div>
<div xml:id="div-23">
<u xml:id="u-23.0" who="#PoselKamilaGasiukPihowicz">Pan prezes też mi przerywał w trakcie wypowiedzi…</u>
</div>
<div xml:id="div-24">
<u xml:id="u-24.0" who="#PrzewodniczacyposelMarekAst">Pani przewodnicząca, proszę dać odpowiedzieć.</u>
</div>
<div xml:id="div-25">
<u xml:id="u-25.0" who="#ZastepcaprezesaUODOMiroslawSanek">Przepraszam, że pani przerwałem, to się już więcej nie powtórzy. Postanowienie dotyczyło zawieszenia przetwarzania danych. Adresatem tego postanowienia była Kancelaria Sejmu. Nie miało to nic wspólnego z prawomocnym czy nieprawomocnym wyrokiem sądu administracyjnego i miało po prostu inny przedmiot. Jeżeli pozwoliliście mi państwo, za co bardzo dziękuję, mówić bardzo długo i intensywnie o ochronie praw osób fizycznych, bo tak naprawdę RODO to jest ochrona osób fizycznych w związku z przetwarzaniem ich danych, a nie ochroną danych osobowych, to jakkolwiek by to nie zabrzmiało, prezes Urzędu Ochrony Danych Osobowych będąc organem niezależnym, niepolitycznym, nie może powstrzymywać się przed wykonywaniem swoich ustawowych uprawnień i upoważnień ze względu na to, że być może spotka się to z krytyką publicystyczno-polityczną. Nie może wyjmować pewnej grupy podmiotów, osób fizycznych ze względu na obawy medialnej krytyki, ponieważ jest to zachowanie głęboko dyskryminacyjne.</u>
<u xml:id="u-25.1" who="#ZastepcaprezesaUODOMiroslawSanek">Jak pani zapewne nie wie, a może pani wie, prezes Urzędu Ochrony Danych Osobowych wystosował oświadczenie, do którego panią odsyłam, ponieważ tam jest coś, czego mi brakowało, głównie w pani pytaniu. Pani poseł Dolniak zwraca uwagę na inne aspekty, natomiast wszelkie tego typu rozstrzygnięcia dotyczące tego, kto jest adresatem, kto jest przedmiotem, w jakim zakresie podjęto to postanowienie, jaki miało związek z innymi wyrokami czy innymi postanowieniami, przede wszystkim, że tego typu postanowienie kończyło postępowanie skargowe, ponieważ w tej sprawie wniesiono skargę osoby fizycznej, której dane dotyczyły. Tak, dlaczego mamy wykluczać tych ludzi? Proszę mi podać podstawę prawną, a nie publicystyczną, dla której te osoby miałyby być pozbawione reakcji urzędu, organu, który jest właściwy do monitorowania przestrzegania prawa w zakresie ochrony danych osobowych?</u>
</div>
<div xml:id="div-26">
<u xml:id="u-26.0" who="#PoselKamilaGasiukPihowicz">Odpowiadając na pana pytanie, chciałabym zwrócić uwagę na to, że okoliczności były takie, że podjęta przez prezesa decyzja była decyzją, która de facto wstrzymała możliwość wykonania prawomocnego wyroku Naczelnego Sądu Administracyjnego. Właśnie na tę okoliczność powoływała się pani marszałek Sejmu mówiąc, że ostatecznego, prawomocnego wyroku Naczelnego Sądu Administracyjnego wydanego w imieniu Rzeczpospolitej nie wykona.</u>
<u xml:id="u-26.1" who="#PoselKamilaGasiukPihowicz">Jeżeli pan mówi, że była to tylko i wyłącznie decyzja merytoryczna, to ja panu powiem, że na niekorzyść tej tezy działa to, że skarga została złożona przez osobę najbardziej zainteresowaną w tej sprawie, a mianowicie pana sędziego Nawackiego, o którym wiadomo było powszechnie, że jest właśnie tym sędzią, który nie zdobył wystarczającej liczby podpisów, a w konsekwencji bardzo mu zależało na tym, żeby nie upublicznić list poparcia, bo podpisy w jego sprawie zostały chociażby wycofane. Doskonale pan wie, że obecny prezes UODO ma także pewną historię polityczną. Był radnym obecnej opcji rządzącej i to wszystko wskazuje, panie prezesie, na to, że tak wyjątkowe postanowienie jak to, które zostało wydane. Właśnie dlatego pytałam o liczbę wydanych takich postanowień, aby pokazać, że działanie prezesa UODO w tej sprawie było absolutnie wyjątkowym. Działaniem, które zapewne jest działanie zupełnie bez precedensu i było motywowane politycznie. Było motywowane tym, aby chronić interes partii rządzącej. I co więcej, było zgodne z interesem partii rządzącej, której zależało na tym, aby list poparcia nie upubliczniać ze szkodą właśnie dla interesu publicznego, pokazując, że nie ma szacunku dla prawa, dla prawomocnych ostatecznych wyroków, które w Polsce są wydawane przez sądy.</u>
</div>
<div xml:id="div-27">
<u xml:id="u-27.0" who="#PrzewodniczacyposelMarekAst">Proszę kontynuować, panie prezesie.</u>
</div>
<div xml:id="div-28">
<u xml:id="u-28.0" who="#ZastepcaprezesaUODOMiroslawSanek">Dziękuję bardzo, panie przewodniczący. Jest dużo nieścisłości w pojęciach prawniczych, których państwo używacie, co ma dużą wadę, swoje znaczenie i swoje konsekwencje prawne. Ja nie mogę sobie pozwolić, a też prywatnie państwu powiem, że nie mam na to ochoty, by wdawać się w jakiekolwiek polemiczne, partyjno-polityczne rozważania czy polemiki, ponieważ mnie to po prostu nie interesuje. Pani poseł ma inne stanowisko, inne zadania i inne środki. Ja takich środków mieć nie mogę, a też podkreślam, nie chcę.</u>
<u xml:id="u-28.1" who="#ZastepcaprezesaUODOMiroslawSanek">Idąc trochę od końca, co do historii politycznej, proszę rozgraniczyć dwie sprawy, niezależność i apartyjność takich organów, jak na przykład prezes Urzędu Ochrony Danych Osobowych czy na przykład prezes Najwyższej Izby Kontroli, która dotyczy wyłącznie wykonywania obowiązków w trakcie sprawowania tego urzędu. Nie można czynić zarzutu z przeszłości, z przeszłej przynależności i przenosić tego faktu na domniemanie faktu naruszenia niezależności w zakresie sprawowania swojego urzędu, ponieważ na przykład nikt nie miał pretensji do poprzedniego pana prezesa Najwyższej Izby Kontroli, gdyż oceniana była jedynie jego niezależność w zakresie wykonywania zadań w trakcie sprawowania tej funkcji. Jest to słuszne podejście. Właściwie tak należy rozumieć niezależność, apartyjność i apolityczność organów tego typu, dlatego proszę mieć to na względzie, ponieważ tego typu elastyczne podejście do pojęć i interpretacji może spotkać się z kontrą w postaci bezpodstawnego zarzutu pod adresem organu administracyjnego, świadczącego o tym, że przypisuje pani zależność i partyjność. Na to muszą być już naprawdę podstawy faktyczne w tym zakresie, kiedy dany organ sprawuje swoje władztwo, a nie wcześniej czy później i mają dotyczyć wykonywanych czynności w tym zakresie.</u>
<u xml:id="u-28.2" who="#ZastepcaprezesaUODOMiroslawSanek">Wracając do bardzo istotnej sprawy, tak jak mówiłem, odnośnie pytania pani poseł Dolniak, mówiąc bardziej potocznie może, postępowanie było obok tego wyroku. Postępowanie zawieszało przetwarzanie danych, w tym przypadku ujawnianie danych przez kancelarię i nie odnosiło się w ogóle do decyzji sądu administracyjnego. Było postępowaniem oczywiście, nie decyzją, a w przypadku prezesa Urzędu Ochrony Danych Osobowych wynikającą, a właściwie kończącą postępowanie skargowe. Jego adresatem była Kancelaria Sejmu. Natomiast wyrok sądu administracyjnego nie nakazywał ujawnienia czy upublicznienia Kancelarii Sejmu danej listy zawierającej dane sędziów popierających kandydatów do KRS-u, tylko uchylał jej decyzję o zaprzestaniu, odmowie ujawnienia tych danych. Tak więc kancelaria na podstawie tego wyroku była zobowiązana do przeprowadzenia tego postępowania ponownie. Kwestię tego ponowionego postępowania traktuje postanowienie prezesa Urzędu Ochrony Danych Osobowych, które – jak wszyscy wiemy – zostało objęte kontrolą sądowo-administracyjną. Chociaż nie jest to oczywiście moja sprawa, ale wydaje mi się, że nie jest to prawdą, bo w końcu finalnie ujawniono przecież ten załącznik i nie jest prawdą, że któryś z sędziów, oczywiście bardzo mocno i intensywnie lustrowanych przez media, miał – powiedzmy – wady formalne w zgłoszeniu. Tak, teraz jednak przełamałem własne ograniczenia i wdaję się w polemikę. Bardzo proszę o sprawdzenie tego, łącznie z tym czy wszelkie inne zarzuty kierowane pod adresem tych kandydatów okazały się zasadne. Po tym fakcie, jaki mieliśmy, to znaczy po sfinalizowanej, prawomocnej kontroli sądowo-administracyjnej postanowienia prezesa. Co do szczegółów odwołuję się także do widniejącej na stronie prezesa Urzędu Ochrony Danych Osobowych informacji z 20 maja 2020 roku, wyjaśniającej sprawę podstaw prawnych do wystosowania takiego postanowienia adresata w związku z wyrokiem administracyjnym oraz w związku z nieuprawnionymi i kompletnie niestosownymi zarzutami, które miały miejsce w przestrzeni publicznej.</u>
<u xml:id="u-28.3" who="#ZastepcaprezesaUODOMiroslawSanek">Odnosząc się do innych pytań, pani przewodnicząca pytała się o KRS, o Pocztę Polską i o coś trzeciego, co pozwoliłem sobie napisać bardzo niewyraźnie.</u>
</div>
<div xml:id="div-29">
<u xml:id="u-29.0" who="#PoselKamilaGasiukPihowicz">Pytałam o zależność tych dwóch kwestii. Pytałam, ile takich decyzji i w takim trybie zostało wydanych.</u>
</div>
<div xml:id="div-30">
<u xml:id="u-30.0" who="#ZastepcaprezesaUODOMiroslawSanek">Taką decyzję wydano jedną i można ubolewać, że jest ich tak mało, natomiast z faktu ilości nie należy krytykować jakościowo tej decyzji i jej prawomocności.</u>
</div>
<div xml:id="div-31">
<u xml:id="u-31.0" who="#PoselKamilaGasiukPihowicz">Jest to informacja, która pozwoli nam ocenić, czy była to wyjątkowa i czym motywowana decyzja.</u>
</div>
<div xml:id="div-32">
<u xml:id="u-32.0" who="#PrzewodniczacyposelMarekAst">Dobrze, ale pani przewodnicząca, nie polemizujmy i to jeszcze bez mikrofonu.</u>
</div>
<div xml:id="div-33">
<u xml:id="u-33.0" who="#PoselKamilaGasiukPihowicz">Dobrze, padło pytanie do mnie to odpowiadam, panie przewodniczący.</u>
</div>
<div xml:id="div-34">
<u xml:id="u-34.0" who="#PrzewodniczacyposelMarekAst">Proszę bardzo, panie prezesie.</u>
</div>
<div xml:id="div-35">
<u xml:id="u-35.0" who="#ZastepcaprezesaUODOMiroslawSanek">Dziękuję bardzo. Ja mam nadzieję, że przynajmniej jakoś częściowo omówiłem główne wątki podniesione przez panią Dolniak w sprawie kwestii związku z wyrokiem prawomocnym sądu administracyjnego i mam nadzieję, że moja odpowiedź konsumuje, przynajmniej w jakiejś części, pytania obu pań poseł.</u>
<u xml:id="u-35.1" who="#ZastepcaprezesaUODOMiroslawSanek">Odnosząc się do pytań pani poseł Piekarskiej. Bardzo dziękuję za to pytanie o monitoring wizyjny, ponieważ jest to środek, który pokazuje, po co w ogóle wprowadzono, oczywiście częściowo, dlaczego w ogóle myślano o reformie rozwiązań prawnych w Unii Europejskiej w tym zakresie. Monitoring wizyjny oczywiście służy bezpieczeństwu, natomiast pod warunkiem, że trafia w dobre ręce. RODO, ale nie tylko RODO, a w ślad za tym wszystkie materiały...</u>
</div>
<div xml:id="div-36">
<u xml:id="u-36.0" who="#PoselKatarzynaPiekarska">Administratorem danych jest na przykład pracodawca…</u>
</div>
<div xml:id="div-37">
<u xml:id="u-37.0" who="#ZastepcaprezesaUODOMiroslawSanek">Na przykład, tak, ale to jest też monitoring w szkole, w zakładzie służby zdrowia i tak dalej. Oczywiście motywem nowej regulacji był gwałtowny rozwój nowoczesnych technologii, także w zakresie monitorowania osób fizycznych. Traktuje się je jako bardzo inwazyjny środek wkraczający w prywatność, stąd też bardzo wysoko podniesiona jest poprzeczka dotycząca zasad bezpieczeństwa stosowania takiego środka. Wydaje się, że już od pierwszego dnia, a właściwie, z tego co pamiętam, to nawet już przed rozpoczęciem stosowania bezpośredniego ogólnego rozporządzenia Europejska Rada Ochrony Danych wystosowała zbiór wytycznych odnośnie do monitoringu wizyjnego. Na pewno Urząd Ochrony Danych Osobowych w pierwszych tygodniach czy w pierwszych miesiącach, zdaje się, że to był sierpień 2018 roku, kiedy wydaliśmy wytyczne dotyczące monitoringu... Dosyć intensywną pracą wykazał się prawodawca w zakresie zmian art. 22 Kodeksu pracy oraz bodajże art. 108 Prawa oświatowego, gdzie wydano taką stopniową kaskadową regulację odnośnie do wprowadzenia zakazu, wyjątków od tego zakazu, wprowadzania klauzul bezpieczeństwa i pokrewnych w stosowaniu i oceny stosowania zgodności z prawem tego środka. Wskazywano, które miejsca mogą być objęte monitoringiem wizyjnym. Wskazano, jak długo można przetrzymywać dane pochodzące z nagrania z monitoringu i wskazano, jakie konkretnie cele mają być osiągane tym środkiem.</u>
</div>
<div xml:id="div-38">
<u xml:id="u-38.0" who="#PoselKatarzynaPiekarska">Ja przepraszam, ale moje pytanie szło właśnie w takim kierunku, jak te przepisy są realizowane? Bo one są rzeczywiście nowe i jak one zostały przyjęte i jak jest z ich przestrzeganiem?</u>
</div>
<div xml:id="div-39">
<u xml:id="u-39.0" who="#ZastepcaprezesaUODOMiroslawSanek">Jeszcze niestety nie możemy mówić o wnioskach, bo mamy sektorową kontrolę w tym zakresie. Ilość skarg i pytań, proszę mnie nie konfrontować z faktami, bo to będzie moja szacunkowa i czysto subiektywna ocena, bo właśnie trzecie lub czwarte miejsce, jeżeli chodzi o ilość skarg, to jest monitoring wizyjny. Z jednej strony mamy dużą aktywność prawodawcy, który mógł obok RODO, które i tak odnosiło się do tego zagadnienia i w motywach, i w wytycznych grupy, prawodawca dookreślił to w zmianie ustaw zapewniających stosowanie RODO w ustawach branżowych. Wydaje mi się, że Urząd także stanął na wysokości zadania, ponieważ wydaliśmy dwurodzajowe wytyczne w tym zakresie, a i tak możemy mówić o dużym deficycie pewności stosowania tego środka. Zarówno od strony administratora, jak i osób, których dane mogą dotyczyć. To jest jeden z najbardziej skomplikowanych problemów, które są na tym polu i nie sądzę, żeby on znalazł szybko swoje rozwiązanie, ponieważ musimy ważyć na tym terenie przy użyciu tak inwazyjnego środka bardzo sprzeczne wartości. Powiedzmy, że z jednej strony dowodowo roszczeniowe środki w zakresie szeroko rozumianego bezpieczeństwa, a z drugiej bardzo głęboką i niepożądaną inwazję w prywatność.</u>
<u xml:id="u-39.1" who="#ZastepcaprezesaUODOMiroslawSanek">Jeżeli chodzi o bardzo konkretne, bardzo dobre i ciekawe pytanie przedmiotowe odnośnie do Poczty Polskiej, która, jak rozumiem, nie odbierała, czy nie wysyłała do…</u>
</div>
<div xml:id="div-40">
<u xml:id="u-40.0" who="#PoselKatarzynaPiekarska">Nie dostarczała.</u>
</div>
<div xml:id="div-41">
<u xml:id="u-41.0" who="#ZastepcaprezesaUODOMiroslawSanek">Nie dostarczała, tak?</u>
</div>
<div xml:id="div-42">
<u xml:id="u-42.0" who="#PoselKatarzynaPiekarska">To, że nie dostarczała, to oczywiście jest jakiś problem, ale to, na czym skupił się pan rzecznik praw obywatelskich, to kwestia przekazania danych, które te osoby mają. Ja wiem, że to jest 2020 rok, ale tak jak pan wspomniał, że rzadko się spotykamy i może byłoby w ogóle zasadne, żeby zaprosić pana odnośnie do dziedziny ochrony danych osobowych w kontekście pandemii. Może kiedyś zrobić nawet nie sprawozdanie, bo ja rozumiem, że to musi być sprawozdanie, które musi być przyjęte i tak dalej, ale może właśnie byłoby zasadne, żeby na ten temat porozmawiać, jeżeli pan oczywiście może powiedzieć. Zdaję sobie sprawę, że wykracza to poza sprawozdanie.</u>
</div>
<div xml:id="div-43">
<u xml:id="u-43.0" who="#ZastepcaprezesaUODOMiroslawSanek">Jak najbardziej wykracza i nie powinienem tego mówić, ale ja tej sprawy nie znam. Wiem, że jej nie ma w urzędzie, nie trafiła do nas żadną z dróg, natomiast przyznam się, że śledząc materiały prasowe, jeżeli nie mamy skarg, to jest to jednak jakaś podstawa do wszczęcia. Ja tej sprawy nie znam, natomiast przyjmuję ją do wiadomości, przekażę ją do urzędu, bo ona jest bardzo ciekawa i faktycznie może sprawiać wrażenie budowania zbioru danych osobowych szczególnej kategorii, wrażliwych danych z art. 9. Jest to oczywiście możliwe przy pewnych celach, przy bardzo konkretnej podstawie prawnej i oczywiście przy zachowaniu wszystkich środków ostrożności i zasad bezpieczeństwa w RODO. Temat jest na tyle ciekawy, że z pewnością się temu przyjrzymy.</u>
<u xml:id="u-43.1" who="#ZastepcaprezesaUODOMiroslawSanek">Bardzo dobrym tematem jest oczywiście kwestia orzeczenia czy przygotowania do orzeczenia TSUE w zakresie przetrzymywania danych przez służby specjalne. Z jednej strony proszę pamiętać, że to jest element wynikający z wdrożenia dyrektywy policyjnej, czyli dyrektywy o zapobieganiu i zwalczaniu przestępczości i tak dalej, ale przede wszystkim to jest zakres wyłączenia stosowania RODO w zakresie przedmiotowym. Wynika to z art. 1 RODO oraz motywu 4 preambuły RODO, który stanowi o podstawie wyłączenia w generalnej klauzuli bezpieczeństwa narodowego. To oczywiście nie znaczy, że tego typu przestrzeń działań na danych jest prawnie irrelewantna, bo z tego wynika oczywiście podłoże do roszczeń w zakresie ochrony dóbr osobowych. Jak najbardziej, patrząc na to od strony zasad przetwarzania danych, wymagany jest okres retencji. Nie można przetrzymać tego typu danych, nikt nie może pozwolić sobie na przetrzymywanie danych bez okresu końcowego. Jestem też pewien, że z jednej strony sytuacja w dyskusji, w dyskursie publicznym będzie narastać w tym przedmiocie, aczkolwiek ona faktycznie jest, jeżeli nie na obrzeżach stosowania elementów systemu nowej ramy prawnej, to być może po prostu poza nim. Co nie znaczy, że na przykład poza kontrolą parlamentarną.</u>
<u xml:id="u-43.2" who="#ZastepcaprezesaUODOMiroslawSanek">Odnosząc się do pytania pani poseł Ueberhan, ja lubię takie ogólne oceny, bo to znaczy, że ten temat żyje. Pani poseł użyła frazy, że RODO to zmiana kultury stosowania ochrony danych osobowych i to jest fraza, która mi się podoba. Mam nadzieję, że też rozumiem ją tak samo, to znaczy wzrost tej kultury.</u>
<u xml:id="u-43.3" who="#ZastepcaprezesaUODOMiroslawSanek">Odnośnie do skarg dotyczących danych przetwarzanych przez kościoły czy szerzej związki wyznaniowe, to RODO zdaje się, że w art. 89 wyłącza dane przetwarzane przez kościoły i związki wyznaniowe. Zasady ich przetwarzania monitoruje kościelny inspektor ochrony danych oczywiście w zakresie tego związku wyznaniowego, o który, jak myślę, pani poseł pytała. Jak wygląda zachowanie prezesa urzędu? Oczywiście urząd kieruje tego typu skargi według właściwości do kościelnego inspektora ochrony danych. Dziękuję bardzo.</u>
</div>
<div xml:id="div-44">
<u xml:id="u-44.0" who="#PrzewodniczacyposelMarekAst">Zdaje się, że jeszcze pani poseł Dolniak chciała o coś dopytać, jeżeli jest na wizji i łączach, to prosimy.</u>
</div>
<div xml:id="div-45">
<u xml:id="u-45.0" who="#PoselBarbaraDolniak">Ja tylko króciutko chciałam się odnieść do wypowiedzi pana prezesa Urzędu Ochrony Danych Osobowych. Pełniąc tę funkcję, doskonale powinien pan znać treść art. 86 RODO, zgodnie z którą podmiot ujawniający informacje publiczne zawierające dane osobowe nie narusza w ten sposób przepisów RODO. W związku z tym wydanie tej decyzji nie miało w świetle ustawy RODO żadnego uzasadnienia, tym bardziej że – jak powiedziałam – Naczelny Sąd Administracyjny w swoim uzasadnieniu odniósł się do tego. To nie jest tak, że pominął kwestie przedmiotowej ustawy, odniósł się w treści uzasadnienia do oceny materiału i oceny faktów w świetle ustawy RODO. W związku z tym nie można zarzucać, że sąd, po pierwsze, do tej ustawy się nie odniósł, a po drugie, nie można podnosić, żeby organ administracyjny mógł wstrzymywać wykonanie prawomocnego wyroku. Warto, żebyśmy jeszcze raz spojrzeli na art. 86 przedmiotowej ustawy i także w tym świetle oceniali działalność prezesa. Dziękuję bardzo.</u>
</div>
<div xml:id="div-46">
<u xml:id="u-46.0" who="#PrzewodniczacyposelMarekAst">Dziękuję bardzo, pani poseł. Więcej pytań nie widzę, a zatem bardzo serdecznie dziękuję, panie prezesie, za wyczerpujące odpowiedzi. Chce pan jeszcze odnieść się do tej wypowiedzi pani poseł? Dobrze.</u>
</div>
<div xml:id="div-47">
<u xml:id="u-47.0" who="#ZastepcaprezesaUODOMiroslawSanek">Jeżeli mógłbym, to w jednym zdaniu. To jest dużo bardziej skomplikowana sprawa. Nie jest prawdą, że art. 86 wyłącza stosowanie RODO odnośnie do danych wynikających z dostępu do informacji publicznej. Jest to niewątpliwie jedno z najtrudniejszych prawnie zagadnień ze styku ochrony danych oraz informacji czy obowiązku jawności danych. Niewątpliwie postanowienie prezesa w tym zakresie jest praktyką, która wprowadza ten kierunek interpretacji tego zbiegu, ale od kolizji wartości w tych dwóch regulacjach prawnych, dotyczących dwóch fundamentalnych wartości, nigdy nie uciekniemy. To jest świadomość i autora RODO, i ekspertów od prawa ochrony danych w Polsce i w innych krajach członkowskich. To jest jasne. Na koniec, naprawdę postanowienie prezesa wydane na podstawie art. 70 zawieszające przetwarzanie danych było skierowanie do kancelarii i nie zawieszało wyroku sądu administracyjnego.</u>
</div>
<div xml:id="div-48">
<u xml:id="u-48.0" who="#PrzewodniczacyposelMarekAst">Tak, dziękuję. Jeszcze raz dziękuję za wszystkie odpowiedzi, panie prezesie. Mamy świadomość, że ochrona danych osobowych to materia, której się wszyscy cały czas uczymy i jest to materia, która też podlega ciągłemu rozwojowi. Tutaj wielkie podziękowania dla instytucji, która w Polsce musi się tym sprawami ku pożytkowi obywateli, pożytkowi publicznemu zajmować. Zamykam dyskusję.</u>
<u xml:id="u-48.1" who="#PrzewodniczacyposelMarekAst">Proszę państwa, przechodzimy do przyjęcia sprawozdań. Proponuję, żebyśmy po prostu przegłosowali oba sprawozdania łącznie. Sprzeciw? Pani poseł chciałaby głosować oddzielnie? Oczywiście, jeżeli jest prośba o to, żeby były oddzielnie glosowania, to nie widzę przeszkody. Zatem przechodzimy do przegłosowania sprawozdania za rok 2018.</u>
<u xml:id="u-48.2" who="#PrzewodniczacyposelMarekAst">Kto z państwa jest za przyjęciem sprawozdania UODO za rok 2018, proszę o naciśnięcie właściwego przycisku. Nie reagują tutaj… Jeszcze raz, kto jest za przyjęciem sprawozdania, proszę o naciśnięcie właśnie przycisku? Kto jest przeciw? Kto się wstrzymał od głosu? Dobrze, zamykam głosowanie i proszę o wyświetlenie wyników. Głosowało 20 posłów: 15 posłów głosowało za przyjęciem, przeciw było 3, wstrzymało się 2. Zatem Komisja rekomenduje przyjęcie sprawozdania za rok 2018.</u>
<u xml:id="u-48.3" who="#PrzewodniczacyposelMarekAst">Przechodzimy do przyjęcia sprawozdania z rok 2019. Czy jesteśmy już gotowi? Tak, zarządzam głosowanie.</u>
<u xml:id="u-48.4" who="#PrzewodniczacyposelMarekAst">Kto z państwa jest za przyjęciem sprawozdania za rok 2019, proszę o naciśnięcie właściwego przycisku? Kto to jest przeciw? Kto się wstrzymał od głosu? Zamykam głosowanie i proszę o wyświetlanie wyników. Głosowało 22 posłów: za głosowało 12, przeciw 8, wstrzymało się 2 posłów. W tym wypadku Komisja rekomenduje przyjęcie sprawozdania.</u>
<u xml:id="u-48.5" who="#PrzewodniczacyposelMarekAst">Pozostaje wybór posła sprawozdawcy. Jeżeli państwo zgodnie z epidemiczną tradycją zgodzicie się, aby to przewodniczący przedłożył sprawozdanie, to ja się zgłaszam. Zgoda jest, a zatem przewodniczący przedłoży sprawozdanie z posiedzenia Komisji. Na tym zamykam posiedzenie Komisji. Jeszcze raz serdecznie dziękując wszystkim państwu posłom i przede wszystkim panu prezesowi za przedstawienie sprawozdania i udzielenie odpowiedzi. Dziękuję bardzo.</u>
</div>
</body>
</text>
</TEI>
</teiCorpus>