text_structure.xml 36.9 KB
<?xml version='1.0' encoding='utf-8'?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
  <xi:include href="PPC_header.xml" />
  <TEI>
    <xi:include href="header.xml" />
    <text>
      <body>
        <div xml:id="div-1">
          <u xml:id="u-1.0" who="#PawełPudłowski">Szanowni państwo, otwieram 13 posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Witam państwa posłów i zaproszonych gości. Stwierdzam kworum. Porządek dzisiejszego posiedzenia to rozpatrzenie informacji o konsekwencjach prawnych wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-362/14 Schrems, wpływie wyroku na prawa podstawowe obywateli Unii Europejskiej oraz funkcjonowanie transatlantyckiego rynku handlu i usług elektronicznych i działaniach podjętych przez GIODO w celu wdrożenia postanowień wyroku w zakresie przekazywania danych osobowych z terytorium Polski do Stanów Zjednoczonych. Powyższy porządek i materiały członkowie Komisji otrzymali. Czy są uwagi do zaproponowanego porządku dziennego? Nie słyszę uwag. Stwierdzam, że Komisja przyjęła porządek dzienny posiedzenia bez zmian.</u>
          <u xml:id="u-1.1" who="#PawełPudłowski">Przystępujemy więc do realizacji porządku dziennego. Uprzejmie proszę o przedstawienie informacji zastępcę Generalnego Inspektora Ochrony Danych Osobowych pana Andrzeja Lewińskiego.</u>
        </div>
        <div xml:id="div-2">
          <u xml:id="u-2.0" who="#AndrzejLewiński">Panie przewodniczący, Wysoka Komisjo. Jesteśmy zaszczyceni, że możemy wprowadzić temat, który jest tak ważny dla ochrony danych osobowych, ale nie tylko, bo również dla współpracy gospodarczej Europy ze Stanami Zjednoczonymi. Można powiedzieć, że on jest w trakcie aktywnych prac, zarówno Komisji Europejskiej, jak i Stanów Zjednoczonych, w których prowadzi je głównie Departament Handlu. Żeby wprowadzić szanownych państwa do tematu, to powiem kilka słów dotyczących przeszłości rozwoju Internetu i jak się to obserwowało. Internet był początkowo tylko na usługach militarnych, czyli wojska. W chwili kiedy Internet zaczął odgrywać rolę w obrocie gospodarczym, a zaczęło się, jeśli się nie mylę, w Los Angeles, gdzie pojawiła się w Internecie pierwsza pizzeria, to przy dużym wzroście ochrony danych osobowych w Europie, pierwsza ustawa w Hesji, potem dyrektywa 95/46, bo to się wszystko zaczęło w początku 2000 r., okazało się, że to jest duża różnica, można powiedzieć nawet, że była to bardzo duża różnica pomiędzy spojrzeniem na prawo do prywatności i ochrony danych osobowych w Europie i w Stanach Zjednoczonych. Pewne zasady, które potem stały się prawami podstawowymi Europy, są dosyć wolno i dosyć liberalnie potraktowane w Stanach Zjednoczonych, a do tego jeszcze przy pewnym wzroście zagrożenia atakami terrorystycznymi doszedł również element bezpieczeństwa państwa. Wtedy gdy prowadzone były pertraktacje z Komisją Europejską w 2000 r., to nawet w prasie amerykańskiej ukazywały się artykuły pod tytułem „Wojna z Unią Europejską”. To chodziło o ułatwienie możliwości w prowadzeniu działalności gospodarczych, a nierozerwalnie z tym aspektem powiązane jest przetwarzanie danych. To jest Google, Facebook, YouTube i szereg innych, również takich, na które nie zwracano uwagi i to jest na przykład przekazywanie informacji w ramach programu Swift o pewnych bankowych przelewach do wysokości określonej kwoty i to jest uboczna sprawa, ale te elementy ciągle się pojawiały. Wtedy w Komisji Europejskiej doszli do wniosku, że powinno dojść do porozumienia podobnego do tego, jakie się dziś toczy, że Amerykanie stworzą program „Safe Harbour”, czyli „Bezpieczna przystań” i kto zaakceptuje założenia tego programu i podpisze akces, to po stronie europejskiej następuje domniemanie, że dane osobowe są przetwarzane należycie – bezpieczeństwo i możliwości wypełnienia uprawnień spraw podstawowych. Szczegóły może uzupełnić obecny dziś ze mną pan dyrektor Drobek, który od kilkunastu lat specjalizuje się w tych dziedzinach. Przeskakując dalej, bomba wybuchła przy aferze Snowdena. Raptem cały świat się dowiedział, że nasze dane osobowe są przetwarzane. Również przetwarzane w serwerowni w Stanach Zjednoczonych, na przykład w słynnym stanie Utah, to jest przetwarzanie danych, pomimo że są one pobierane i przetwarzane na przykład na terenie Europy przez Facebook. To jest jednak przetwarzanie, przechowywanie i wykonywanie wielu funkcji w Stanach Zjednoczonych, to jest już transfer i to jest prawnie określone jako transfer do kraju trzeciego, a ten trzeci kraj musi spełniać określone warunki. Tutaj jeśli chodzi o spełnienie tych warunków, to istniało domniemanie dotyczące programu „Safe Harbour”. No i pojawił się, proszę państwa, student z Austrii Maximilian Schrems, który wymyślił sobie, że będzie pisał pracę magisterską na temat przetwarzania danych osobowych przez Facebook. Jak to się zaczynało i jakie były tego szczegóły, nie będę mówił, bo to była długa droga, dlatego powiem tylko w skrócie, że napisał do Facebooka, a każdy z nas ma takie prawo, żeby napisać do każdego administratora danych i poprosić o informację, co na nasz temat jest przetwarzane i on to zrobił. Otrzymał w odpowiedzi 1700 stron informacji dotyczących jego aktywności na Facebooku, co go przeraziło. Zainicjował ruch społeczny i próbował dojść swoich praw przez organ ochrony danych osobowych w Austrii i dostał odpowiedź negatywną. W sądzie powszechnym też próbował, gdzie również przegrał między innymi dlatego, że przedstawicielem Facebooka jest Irlandia, gdyż główna siedziba Facebooka na Europę jest w Irlandii. Dotarło to do Irlandii, gdzie przegrał oczywiście w pierwszej i drugiej instancji z organem ochrony danych. Po uprawomocnieniu się decyzji organu, sprawa znalazła się w sądzie i tam w pierwszej instancji pan Schrems wystąpił z pytaniem prejudycjalnym do sądu, aby zapytać Europejski Trybunał Sprawiedliwości jaka jest jego opinia w tej sprawie. Każdy z nas ma prawo, zarówno osoba fizyczna, jak i prawna, w ramach toczących się postępowań sądowych, gdy jest przekonany, że zarówno interpretacja, jak i przepis prawa danego kraju są niezgodne z prawem europejskim, postawić wniosek o pytanie prejudycjalne, żeby sąd zapytał o to Trybunał Sprawiedliwości Unii Europejskiej. Trybunał Sprawiedliwości orzekł, że decyzja Komisji Europejskiej, można to nazwać, jest bezprawna, gdyż nie wypełnia wielu funkcji i zastępuje organ ochrony danych osobowych, a ocena stanu ochrony danych osobowych w Stanach Zjednoczonych została oceniona bardzo negatywnie. To tak w skrócie. Natomiast teraz sytuacja jest taka, my państwu przekazaliśmy w tym materiale informacyjnym, że w tej chwili Komisja Europejska rozpoczęła, a może już w tej chwili zakończyła, konsultacje z Komisją Handlu Stanów Zjednoczonych i w tej chwili została zamknięta taka sytuacja. Teraz jest niebezpieczna propozycja – tarcza prywatności Unii Europejskiej i Stanów Zjednoczonych, gdyż w tej chwili jak można przetwarzać dane na przykładach Facebooka, zawsze musimy badać podstawę prawną, tej podstawy prawnej w tej chwili nie ma, bo podstawa prawna na mocy „Safe Harbour” została wyeliminowana, czyli że są jeszcze dwie podstawy prawne, standardowe klauzule, które wydaje Komisja Europejska i co do tego też, patrząc na orzeczenie Trybunału Sprawiedliwości, mogą być wątpliwości i co wydaje organ, czyli wiążące reguły korporacyjne. W piśmie napisaliśmy i monitowaliśmy naszych przedstawicieli w Grupie Artykułu 29. To jest taka grupa, która została ustanowiona dyrektywą w sensie interpretacji prawa i pewnego doradztwa dla organów europejskich, że należy podjąć pewne decyzje i wykonać już na szczeblu europejskim, bo musielibyśmy rozpatrywać każdą sprawę i na dzień dzisiejszy w świetle prawa – ja, jako radca prawny z zawodu, uznałbym to za niezgodne z prawem – i zakazać przetwarzania danych. My w piątek mieliśmy duże spotkanie z kierownictwem europejskim Facebooka dotyczącym tych tematów, czyli dziś już są zakończone prace Komisji Europejskiej i przedstawicieli Stanów Zjednoczonych. Grupa Artykułu 29 będzie zobowiązana do wydania obligatoryjnej opinii i również Rada Europy, czyli przedstawiciele Polski, a więc rząd będzie musiał też mieć do tego określone stanowisko, a dziś nie jest to jeszcze nawet przetłumaczone z języka angielskiego i trudno nawet określić jakby to wyglądało. Będą wątpliwości na pewno, będą skargi różnych środowisk do Trybunału Sprawiedliwości, bo ona znowu w części na jakimś domniemaniu będzie się opierać, ale my wiemy, że również w postępowaniu przy transatlantyckim porozumieniu handlowym sprawa ochrony danych osobowych nie w sednie sprawy tylko z boku, jest niezwykle istotna, bo jest wielki nacisk wielkich amerykańskich korporacji internetowych, żeby profilować dane użytkowników Facebooka, Google i szeregu innych portali czy wyszukiwarek, żeby profilować użytkowników bez zgody i spełnienia obowiązku informacyjnego, a to jest niezgodne z prawem europejskim, a co najmniej wspomnianej przeze mnie dyrektywy i konstytucji naszego kraju, gdyż w art. 51 są zapisane podstawowe uprawnienia obywatela i na pewno uprawnienie do wyrażania zgody, wypełnienia wobec niego obowiązku informacyjnego, bo każdy z nas ma prawo wyrazić sprzeciw i tym się zasadniczo różnimy. Szanowna Wysoka Komisjo, ale są elementy dosyć pozytywne, pozwolę sobie więc przeczytać bardzo istotny komunikat prasowy Komisji Europejskiej z 29 lutego, który dzisiaj otrzymaliśmy, że amerykański sekretarz stanu John Kerry obiecał, jest słowo – obiecał, że Europejczycy będą mieli możliwość dochodzenia roszczeń wobec amerykańskich służb wywiadowczych za pośrednictwem Rzecznika Praw Obywatelskich, tego nie było do tej pory, w Departamencie Stanu – niezależnego od krajowych służb bezpieczeństwa. Rzecznik Praw Obywatelskich będzie zajmował się skargami i pytaniami obywateli i poinformuje ich, czy w danym przypadku przestrzegano obowiązujących przepisów. Wszystkie pisemne zobowiązania zostaną opublikowane w amerykańskim rejestrze federalnym. Tam nie ma organu ochrony danych i będzie można przez sąd występować z ewentualnymi roszczeniami, ale to chodzi o amerykańskie służby specjalne. Powszechnie wiadomo, że Agencja Bezpieczeństwa Narodowego Stanów Zjednoczonych przetwarza codziennie, nie wiem czy nie zaniżę, 2 mld informacji. Jest specjalny serwer w stanie Utah, który ma swoją elektrownię atomową tylko dla ich potrzeb. To jest jedna sprawa – bezpieczeństwa. Druga sprawa, to jest sprawa wolności przetwarzania naszych danych dla celów gospodarczych, to jest profilowanie i wykorzystywanie naszych danych dla różnych celów handlowych i dla marketingu. Trzecia sprawa to jest przestępcza kradzież tożsamości. Sytuacja jest bardzo poważna i w ramach tego wspomnianego przeze mnie transatlantyckiego porozumienia handlowego, to również nasza komisja do spraw europejskich, bo nie pamiętam w tej chwili która, wyraziła swoje dosyć odrębne zdanie, gdyż według Komisji Europejskiej wszystkie decyzje mają zapadać na szczeblu europejskim, a jest dosyć szeroki ruch społeczny, poza komisjami parlamentów europejskich, żeby miały one charakter mieszany i żeby te przepisy, które w jakiś sposób, jak już wspomniałem, naruszają konstytucję polską, miały charakter mieszany i były zatwierdzane przez dany parlament.</u>
          <u xml:id="u-2.1" who="#AndrzejLewiński">Tak, że sytuacja w tej sprawie jest dynamiczna. Jest światło, które powoduje, że Stany Zjednoczone bardzo mocno przejęły się ochroną danych osobowych i dostosowaniem się do poziomu europejskiego. Nawet w jednej z publikacji przeczytałem, że rozpoczęły się prace nad ewentualną ustawą dotyczącą ochrony danych osobowych, a więc privacy act, czyli prawo do prywatności, ale rozbieżność między samym spojrzeniem i myśleniem o ochronie danych osobowych, jak i przepisami prawnymi między USA a Europą, jest bardzo zasadnicza i poważna. Takie byłoby, panie przewodniczący, Wysoka Komisjo, moje wprowadzenie.</u>
        </div>
        <div xml:id="div-3">
          <u xml:id="u-3.0" who="#PawełPudłowski">Uprzejmie dziękuję za tę prezentację otwierającą i chciałem poprosić o zabranie głosu sekretarza w Ministerstwie Cyfryzacji pana Witolda Kołodziejskiego.</u>
        </div>
        <div xml:id="div-4">
          <u xml:id="u-4.0" who="#WitoldKołodziejski">Dziękuję bardzo, panie przewodniczący. Szanowni państwo, rzeczywiście najistotniejszym elementem dzisiejszej dyskusji jest przyszła „tarcza prywatności”, kwestia „Safe Harbour” czy kwestia rozporządzenia o ochronie danych osobowych, które jest istotne, jeśli chodzi o oddziaływanie na rynku europejskim, natomiast w sprawach Unia Europejska-Stany Zjednoczone powinniśmy mówić dziś już tylko o nowej umowie, a więc o „tarczy prywatności”. Ze wstępnych analiz treści przedmiotowej umowy wynika, że to jest porozumienie między rządem amerykańskim i Unią Europejską, które ma charakter dobrowolnego porozumienia. Przypomnę, że pierwsze porozumienie, czyli „Safe Harbour”, było zainicjowane przez Unię Europejską w związku z problemem, który zrodził się w związku z rozwinięciem i zastosowaniem nowych technologii i nowych rozwiązań internetowych, jakimi były serwisy społecznościowe i wyszukiwarki internetowe, które tak naprawdę operowały na terenie Stanów Zjednoczonych, ale działały na terenie Europy i korzystali z nich obywatele państw europejskich. Chodziło o warunki prawne i jasną sytuację prawną, jak również o pewną ochronę obywateli Europy, którzy już faktycznie korzystali z tej amerykańskiej oferty i tak jest zresztą oczywiście dzisiaj. W tej kwestii po wyroku Trybunału powstała luka prawna, która przede wszystkim przeszkadzała i utrudniała pracę przedsiębiorcom europejskim i takie sygnały otrzymaliśmy z rynku, bo niejasne podstawy prawne utrudniały poruszanie się po tej dosyć skomplikowanej materii. W związku z tym zapowiadano nowe porozumienie, które bardzo nas ucieszyło nie tylko ze względu na ochronę praw do ochrony danych osobowych obywateli Unii Europejskiej, a więc również obywateli polskich, ale także ze względów ekonomicznych i na warunki funkcjonowania przedsiębiorców w Polsce. Zgodnie z zapowiedziami Komisji Europejskiej nowy instrument będzie rozszerzał obowiązki amerykańskich przedsiębiorstw w zakresie ochrony danych osobowych obywateli Unii Europejskiej, wzmocni również nadzór i egzekwowanie przepisów przez Departament Handlu oraz Federalną Komisję Handlu USA. Jednocześnie zgodnie z nowym porozumieniem Stany Zjednoczone zobowiązują się, że na mocy amerykańskich przepisów, dostęp organów publicznych do danych osobowych, to jest pokłosie afery Snowdena, a więc to jest kwestia amerykańskiego wywiadu i jakby cały kontekst wyroku Trybunału Sprawiedliwości jest tutaj również wspomniany, że dostęp tych organów przekazywany będzie w ramach nowego mechanizmu i będzie podlegać jasnym warunkom ograniczającym, nadzorującym i uniemożliwiającym powszechny dostęp do takich danych. Jeżeli te warunki i te zapowiedzi Komisji będą spełnione, to myślimy, że to jest to, co nas usatysfakcjonuje i to, co chcieliśmy uzyskać przy nowym porozumieniu. W tym kontekście, jako Ministerstwo Cyfryzacji, jesteśmy bardzo zadowoleni, że takie porozumienie będzie podpisane i chcielibyśmy, żeby weszło w życie jak najszybciej. Jeśli chodzi o nasz stosunek do tego już bardziej szczegółowy, to my oczywiście opowiadamy się za rygorystycznym przestrzeganiem tych obowiązków i konsekwentnym egzekwowaniu tych przepisów, jeśli chodzi o nałożenie ich na amerykańskie przedsiębiorstwa przetwarzające dane osobowe Europejczyków, na regularnym monitorowaniu funkcjonowania porozumienia, na skutecznej ochronie praw obywateli Unii Europejskiej, obejmującej możliwość dochodzenia roszczeń, jak również możliwość dochodzenia roszczeń przed sądami amerykańskimi, co w starym porozumieniu, a szczególnie po jego uchyleniu, było niemożliwe. Powodowało to paradoksalną sytuację, że obywatele europejscy mieli dużo mniejsze prawa i możliwości niż nie tylko obywatele amerykańscy, ale też inni obywatele, innych państw na świecie. Wiec tutaj to było dla nas bardzo ważne i liczymy na to, że to się znajdzie w tym nowym porozumieniu, że na potrzeby skarg dotyczących ewentualnego dostępu do danych przez krajowe służby wywiadowcze powołany zostanie odrębny rzecznik praw obywatelskich oraz, że wreszcie będą jasne procedury zgłaszania nieprawidłowości, że Generalny Inspektor Ochrony Danych Osobowych będzie pełnił tutaj rolę takiego pośrednika dla polskich obywateli, którzy będą mieli jasno wskazane możliwości i drogę załatwiania swoich spraw i drogę dochodzenia swoich roszczeń. To jest rzecz, na której nam bardzo zależy, niemniej jednak chcieliśmy podkreślić przy okazji tego posiedzenia, że nie odrywamy się od rzeczywistości. To znaczy, że te regulacje nie powinny być regulacjami restrykcyjnymi na tyle, żeby hamowały rozwój usług, które bazują na transatlantyckiej wymianie danych, ponieważ dzisiaj z takich serwisów jak Facebook dziennie w Polsce korzysta 10 mln Polaków, w skali Europy jest to oczywiście liczba odpowiednio przemnożona, ale także chodzi o aktywność na innych serwisach, na przykład jeśli chodzi o korzystanie z wyszukiwarek internetowych, gdzie Google jest tu zdecydowanym leaderem, ale także o przedsiębiorców, którzy coraz pełniej korzystają z możliwości, które są im udostępniane. Miejmy na uwadze to, że przetwarzanie danych osobowych to jest również korzystanie z Mapy Google i z nawigacji, że przetwarzanie danych osobowych to są portale społecznościowe, ale także serwisy aukcyjne, więc krótko mówiąc, nie da się oddzielić pewnych mechanizmów, które w świecie internetowym są transgraniczne i transeuropejskie. Tak rzeczywiście jest, że Stany Zjednoczone są liderem tych technologii, więc tutaj większość uwagi skupia się na, powiem geograficznie, serwerowniach i serwerach amerykańskich. Natomiast nie chcielibyśmy wylać dziecka z kąpielą przy implementacji tych przepisów i tego rozporządzenia. Zresztą mieliśmy w zeszłym tygodniu spotkanie z przedstawicielem Facebooka na Europę, Afrykę i część Azji, w każdym razie wyraźnie podkreślaliśmy z jednej strony konieczność jasnych reguł, procedur, trybu odwoławczego w celu ochrony obywateli, a z drugiej strony podkreślaliśmy, że wzajemne zaufanie przedsiębiorcy i obywatela, który korzysta z serwisu, też buduje i rozwija daną inicjatywę czy dane przedsięwzięcie. Mamy więc tutaj pełną zgodę i myślę, że wypracowanie kodeksu dobrych praktyk jest tutaj jak najbardziej możliwe, bo wydaje się, że wszyscy są zainteresowani tym, żeby użytkownicy Internetu i serwisów internetowych mieli zaufanie, a żeby mieć to zaufanie to z kolei przedsiębiorcy muszą dołożyć wszelkich starań, żeby zapewnić im maksymalną ochronę ich prywatności. Wydaje się, że przy tak rozumianym podejściu zarówno ze strony przedsiębiorców europejskich i amerykańskich, jak i ze strony Generalnego Inspektora Ochrony Danych Osobowych, uda się tutaj osiągnąć consensus, niekoniecznie uciekający się do jakiś radykalnych rozwiązań prawnych, aczkolwiek takie zabezpieczenie zawsze musimy mieć, bo takie porozumienie jest dla nas bardzo istotne. Dodam jeszcze na koniec, że wspólnie z GIODO jesteśmy już na końcowym etapie, a właściwie jest już ukończone tłumaczenie rozporządzenia o ochronie danych osobowych, które to rozporządzenie będzie implementowane przez dwa lata, więc to jest ten moment, kiedy jeszcze możemy dokładnie doprecyzować wzajemne relacje, ale też sposób ochrony danych osobowych Europejczyków i Polaków w Unii Europejskiej po to, żeby zapewnić im te maksymalne gwarancje. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-5">
          <u xml:id="u-5.0" who="#PawełPudłowski">Bardzo dziękuję, panie ministrze. Otwieram dyskusję. Kto z państwa chciałby zabrać głos? Pan poseł? Nie. Bardzo proszę, Lewiatan, pani Magdalena Piech.</u>
        </div>
        <div xml:id="div-6">
          <u xml:id="u-6.0" who="#MagdalenaPiech">Dzień dobry państwu. Magdalena Pech Konfederacja Lewiatan. Bardzo dziękuję za to wprowadzenie do dyskusji i przybliżenie tych zasad nowej tarczy bezpieczeństwa. Ja mam pytania, ale zanim je zadam, to chciałabym powiedzieć kilka słów komentarza. Może warto podkreślić dla tych państwa, którzy nie śledzili tego na bieżąco, że przedmiotem orzeczenia Trybunału nie była kwestia tego, czy Facebook jako firma amerykańska w należyty sposób chroni dane osobowe, tylko tego czy to porozumienie „Safe Harbour”, co do którego kiedyś Komisja Europejska stwierdziła, że jest adekwatne, czyli zapewnia adekwatny poziom ochrony, a więc taki jak w Unii tylko na innych zasadach, nadal tę adekwatność zapewnia, właśnie w związku z tymi wydarzeniami, o których mówił pan minister, a więc o aferze Snowdena. Trybunał powiedział, że ze względu na te wydarzenia już nie można mówić, że ochrona jest adekwatna między innymi dlatego, że dostęp służb do naszych danych, a więc obywateli Unii Europejskiej, był zbyt łatwy i nadmierny. To tak tytułem uzupełnienia. Rzeczywiście kwestia transferów danych, podobnie jak kwestia rozporządzenia o ochronie danych, które było negocjowane ponad 4 lata, to jest kwestia kluczowa dla firm europejskich, które prowadzą działalność w Stanach Zjednoczonych jak i odwrotnie. To rozporządzenie, które zostało przyjęte, to jest ogromny wysiłek harmonizacyjny, który ma ułatwić firmom, także europejskim, prowadzenie działalności w całej Unii. Zasady dotyczące transferów, są niezbędnym uzupełnieniem sposobu funkcjonowania tych firm w Unii. Trzeba podkreślić, że samo rozporządzenie przewiduje kilka sposobów, tak jak to było zasygnalizowane, transferowania tych danych. Można zawrzeć odpowiednie zasady ochrony danych w umowach z partnerami z państw trzecich, czy ze Stanów Zjednoczonych. Można też, na zasadzie tak zwanych wewnętrznych reguł korporacyjnych, uregulować to, na jakiej zasadzie transfery będą prowadzone, bo te transfery odnoszą się nie tylko do danych klientów, ale także, co ważne, do danych pracowników tych firm amerykańskich, które prowadzą działalność w Unii Europejskiej, w Polsce, bo bardzo często kwestie pracownicze i te dane pracownicze muszą z różnych powodów być przekazywane, czy też dane współpracowników firm unijnych i jest to po prostu niezbędne do funkcjonowania takich ogólnoświatowych czy globalnych korporacji. Z tym, że rzeczywiście „Safe Harbour”, czy teraz „Tarcza prywatności” jest najlepszą formułą, bo ona zapewnia bardzo kompleksowe podstawy do tego, żeby te dane przetwarzać. Dlatego w pełni zgadzam się z tym, co panowie powiedzieli, że to jest bardzo ważne i ma znaczenie dla funkcjonowania firm.</u>
          <u xml:id="u-6.1" who="#MagdalenaPiech">Chciałam zapytać, czy mogliby państwo bardziej konkretnie te wstępne zasady nam przybliżyć i kiedy to porozumienie ma szansę zacząć obowiązywać? Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-7">
          <u xml:id="u-7.0" who="#PawełPudłowski">Chodzi o „Tarczę prywatności”?</u>
        </div>
        <div xml:id="div-8">
          <u xml:id="u-8.0" who="#MagdalenaPiech">Tak jest.</u>
        </div>
        <div xml:id="div-9">
          <u xml:id="u-9.0" who="#PawełPudłowski">Czy ministerstwo może udzielić takiej odpowiedzi?</u>
        </div>
        <div xml:id="div-10">
          <u xml:id="u-10.0" who="#WitoldKołodziejski">Jeżeli miałbym konkretne rzeczy, to podzieliłbym się nimi z państwem na wstępie. Dopiero co to otrzymaliśmy, prowadzimy analizę, więc te konkrety będą przybliżane dopiero z czasem. Z samego komunikatu Komisji wstępnie wynika, że ta nowa „tarcza” rozszerza obowiązki amerykańskich przedsiębiorstw w zakresie ochrony danych osobowych, że Stany Zjednoczone zobowiązują się, że na mocy amerykańskich przepisów dostęp organów publicznych do danych osobowych będzie podlegać jasnym warunkom, ograniczeniom i nadzorowi, uniemożliwiającym powszechny dostęp do takich danych. To było dla nas bardzo istotne i to był też punkt kontrowersyjny, bo sprawa dotyczyła wywiadu amerykańskiego i wydaje się, że nastąpił na tej drodze postęp, ale konkretów jeszcze nie mogę przedstawić, bo sam ich nie znam i dopiero je analizuję. Nie wystarczy zapoznać się z tekstem, przetłumaczyć go i przeczytać. Trzeba je jeszcze przeanalizować, bo to jest porozumienie prawne, a więc jest to formuła, która wymaga analizy.</u>
        </div>
        <div xml:id="div-11">
          <u xml:id="u-11.0" who="#PawełPudłowski">Bardzo dziękuję. Rozumiem, że to jest i będzie również część TTIP, tak?</u>
        </div>
        <div xml:id="div-12">
          <u xml:id="u-12.0" who="#WitoldKołodziejski">Nie.</u>
        </div>
        <div xml:id="div-13">
          <u xml:id="u-13.0" who="#AndrzejLewiński">Jeśli mogę, to chciałbym zabrać głos. Może być ewentualnie używana jako jedna z form do przekazania danych, tak jak powiedziała pani z Konfederacji Lewiatan. Ja tylko chciałbym powiedzieć, że myślę, iż tak duże przekonanie i tak duża presja czasu, tak jak powiedział pan minister, również ilość pozytywnych przejawów rozwoju biznesu wymiany, handlu, dotyczących przetwarzania danych wynika z tego, że nawet przewodniczący Komisji Europejskiej Juncker powiedział wyraźnie, że uznał to za wynegocjowaną umowę ramową, ale my tak jak ministerstwo mamy ją na razie w języku angielskim i wciąż ją analizujemy. Ja tylko powiem jeszcze jedno, tu nie chodzi o to, żebyśmy ograniczali jako GIODO, jako ten strażnik prawa do prywatności, możliwość świadomego korzystania przez obywatela z tych wszystkich pozytywów, bo ja też jestem na Facebooku, Google i wszędzie, chociaż więcej czytam niż piszę, bo nie można być niefrasobliwym. Ale na przykład Facebook został oskarżony przez organ ochrony danych osobowych w Belgii, że na zasadach cookies, a więc takiego narzędzia, które pozostawia ślady, nie pamiętam tej drugiej części nazwy, ale profiluje osoby, które nie są członkami, a których dane się pojawiają w ramach innych rozmów na Facebooku. W tej sprawie jest już wyrok pierwszej instancji i jest to wyrok wysoki, liczony w milionach dolarów. Chciałem powiedzieć, o czym zresztą mówił pan minister, że GIODO będzie innym organem po wejściu w życie rozporządzenia, bo GIODO ma możliwość zastosowania dwóch form kar finansowych: do 10 mln euro i do 2% światowego obrotu oraz do 20 mln euro i do 4% światowego obrotu. Musimy razem z ministerstwem, jako ustawodawcą, rozpisać to wszystko w ciągu 2 lat. My nie mówimy, że nie można, tylko pytamy, do czego te dane będą przetwarzane i używane? Chciałbym zwrócić uwagę, że jest mocny protest wielkich korporacji, które nie chcą tego, bo tracą zaufanie użytkowników. Microsoft bardzo mocno oponował przed tym aktem prawnym, o którym mówiłem, że wszedł w życie w Stanach Zjednoczonych, że trzeba się zgłaszać i wtedy służby nie muszą nakazywać, tylko sami z urzędu muszą przekazywać pewne dane. Microsoft podjął decyzję, że będzie budował serwery w ramach cloud computing tylko w Europie, czyli nie będzie tego transferu do krajów trzecich. Dziś sławny jest proces, który toczy się przed sądami Stanów Zjednoczonych, Apple i FBI o tak zwany back door, czyli dojście do programu, do złamania określonego programu na zlecenie prowadzącego postępowanie z określonej służby i to takiego złamania z urzędu, a sprawa jest poważna, bo dotyczy terroryzmu. Te wielkie firmy czują niebezpieczeństwo utraty zaufania, a utrata zaufania to jest odpływ klientów, których być może będzie można liczyć w milinach czy miliardach, z biznesu, który jest na pewno pożyteczny, ale przynosi też wielkie zyski. Dziękuję.</u>
        </div>
        <div xml:id="div-14">
          <u xml:id="u-14.0" who="#PawełPudłowski">Bardzo dziękuję, panie dyrektorze. Ja myślę, że nasze dzisiejsze posiedzenie Komisji trzeba traktować jako wprowadzające, bo trochę brak nam treści do dyskusji. Tak, że jeśli chodzi o kwestie szczegółowe, dotyczące „Tarczy prywatności” i te obszary w zakresie ochrony danych osobowych, które będą częścią TTIP, byłyby dobrą pożywką dla nas w dyskusji. Teraz, jak rozumiem, wyprzedzająco przygotowujemy się do tej dyskusji, natomiast brakuje nam treści. Czy jeszcze ktoś z państwa chciałby zabrać głos? Bardzo proszę, pani poseł Barbara Dziuk.</u>
        </div>
        <div xml:id="div-15">
          <u xml:id="u-15.0" who="#BarbaraDziuk">Panie przewodniczący, panie ministrze, szanowni państwo. Bardzo się cieszę, że takie postępowanie się odbywa, bo z racji tego, że jestem informatykiem od prawie 20 lat i przeszłam całą transformację cyberprzestrzeni, zawsze mam obawy w związku z tym, gdyż oczywiście sama też funkcjonuję w tej cyberprzestrzeni, że te wiadomości są wykorzystywane nie tak, jak powinny. Przecież obserwujemy przestępstwa gospodarcze mające miejsce w cyberprzestrzeni i w związku z tym te regulacje są bardzo potrzebne. Natomiast ja bym miała taką uwagę, żeby bronić się przed takimi posunięciami, jak stworzenie nie wiadomo przez kogo kont, które w ewidentny sposób mogą wpływać na gospodarkę oraz na osoby, które są w pewien sposób obrażane, bo te kwestie też są dosyć mocno wyartykułowane, jeżeli chodzi o procesy sądowe. Ja to mówię na przykładzie własnej osoby, bo akurat też się zderzyłam z taką sytuacją, a jest to bardzo przykre i trudne do udowodnienia, więc te regulacje prawne są bardzo potrzebne. Ja myślę, że dużo jeszcze jest przed nami, bo ta sfera rozwinęła się bardzo szybko i my za tymi aspektami prawnymi niestety nie nadążamy. Myślę, że te kierunki, które obrało ministerstwo, są bardzo istotne, ale myślę też, że czas działa na naszą niekorzyść i takie przyśpieszenie prac byłoby dobre. Myślę też, że eksperci z dziedzin informatycznych mieliby tutaj wiele do powiedzenia. Dziękuję.</u>
        </div>
        <div xml:id="div-16">
          <u xml:id="u-16.0" who="#PawełPudłowski">Bardzo dziękuję za ten głos rozsądku w naszej dyskusji. Bardzo proszę.</u>
        </div>
        <div xml:id="div-17">
          <u xml:id="u-17.0" who="#AndrzejLewiński">Jeśli szanowna Komisja pozwoli, to ja dodam jeszcze tylko jedną dziedzinę, która mogłaby być tematem posiedzenia i jest to kradzież tożsamości. Jest to przestępstwo XXI wieku, przestępstwo Millenium, które rośnie w zatrważającym tempie. My jako GIODO nie boimy się i niedługo przygotujemy takie wystąpienia, które przygotowujemy w oparciu o inspekcje w bankach i opinie ekspertów, głównie do naszego, współpracującego z nami przyjaznego ministerstwa, ale też do pewnej polityki, że kredyty udzielane przez Internet nie zapewniają minimum bezpieczeństwa i jest to tak straszna ilość kradzieży tożsamości, że porównuję ją do takiego łatwego udzielania kredytów we frankach i innych walutach. Teraz to wszystko odbywa się przez Internet w różnej formie i istnieją tutaj obawy i trzeba będzie się głęboko zastanowić, czy można udzielać kredytów w takiej formie, nie naruszając prawa bezpieczeństwa. Podam inny przykład, jest to na przykład weksel. To są bardzo poważne sprawy, a przepisy mówią, że nie trzeba identyfikować podpisu. Dlaczego nie zażądać podpisu notariusza, skoro tutaj kradzieże idą w miliny. Tak, że chciałem tylko powiedzieć, że kradzież tożsamości w tej dziedzinie, o której teraz mówimy, jest niezwykle istotna i podejmowana. Ja się cieszę, bo my mamy duże zrozumienie ze strony ministerstwa, a muszę powiedzieć, że „robimy bokami” i mamy wielkie kłopoty. Tak jak powiedziała pani poseł, tematyka narosła, przestępczość przeniosła się do Internetu, jutro zresztą spotykamy się roboczo w tej sprawie i wymaga to mocnej mobilizacji wielu podstawowych służb i organów w Polsce. Dziękuję.</u>
        </div>
        <div xml:id="div-18">
          <u xml:id="u-18.0" who="#PawełPudłowski">Dziękuję uprzejmie. Bardzo proszę.</u>
        </div>
        <div xml:id="div-19">
          <u xml:id="u-19.0" who="#BarbaraDziuk">Chciałam dodać jeszcze jedno dosyć ciekawe zagadnienie, a mianowicie jest ostatnio rozwijająca się taka dziedzina jak medycyna teletransmisyjna. Te dane też są bardzo delikatne i wrażliwe i tutaj też zabezpieczenie tej cyberprzestrzeni jest bardzo istotne. Wiadomo, że formy leczenia idą teraz do przodu i pojawiają się nowoczesne techniki. Sama uczestniczyłam w kilku takich pokazach i jest to bardzo dobre, natomiast ja zawsze jako informatyk mam obawę dotyczącą zabezpieczenia tych wrażliwych danych. Dziękuję.</u>
        </div>
        <div xml:id="div-20">
          <u xml:id="u-20.0" who="#PawełPudłowski">Dziękuję bardzo. Czy są jeszcze jakieś głosy w dyskusji, a ewentualnie pytania? Bardzo proszę.</u>
        </div>
        <div xml:id="div-21">
          <u xml:id="u-21.0" who="#WitoldKołodziejski">Szanowni państwo, na koniec chciałbym tylko podkreślić, żeby nie demonizować sytuacji. Problem jest poważny, ale nie należy go demonizować, bo tak naprawdę jeśli chodzi o ten wyrok w sprawie Schrems, to tam chodziło o to, że przepisy europejskie o ochronie danych osobowych są wtórne, czy mniej ważne, jeśli chodzi o problematykę przekazywania danych i bezpieczeństwo danych w Stanach Zjednoczonych i ta nowa umowa ma właśnie to naprawić. My jesteśmy w trakcie wdrażania rozporządzenia dotyczącego ochrony danych osobowych, więc nasze wymagania będą się sprowadzały do tego, żeby obywatele Unii Europejskiej mieli takie samo zabezpieczenie prawne, jeśli chodzi o ochronę swoich danych, w przypadku wymiany danych na terenie Stanów Zjednoczonych jak na terenie Unii Europejskiej, czyli krótko mówiąc, żeby to był ten sam poziom bezpieczeństwa i mamy w tej chwili takie gwarancje, że w tę stronę to porozumienie i ta umowa zmierza. Z drugiej strony chciałem przypomnieć, że na przykład w takiej sprawie jak naruszenie ochrony danych i ujawnienie tych danych, przykładem może być słynna sprawa Stonogi i to nie chodzi o kontekst polityczny, tylko o kwestię ujawnienia danych osobowych, gdzie było imię, nazwisko i adres zamieszkania, a więc coś, co rzeczywiście nie powinno być ujawniane, portal społecznościowy, którym w tym przypadku był Facebook, zareagował po 3 godzinach od ukazania się tych danych. Krótko mówiąc, reakcja nastąpiła bardzo szybko i pewnie interwencja GIODO tak szybko by nie zadziałała, jak interwencja zarządu Faceboka, więc to też nie jest tak, że tu coś złego się dzieje, aczkolwiek trzeba dmuchać na zimne i te mechanizmy muszą być sprawne, wdrożone i funkcjonujące. Natomiast ci przedsiębiorcy są bardzo chętni do współpracy, dlatego tak często mówimy o kodeksie dobrych praktyk, bo wydaje się, że w tym wypadku można bardzo wiele zyskać przy samych praktykach. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-22">
          <u xml:id="u-22.0" who="#PawełPudłowski">Bardzo dziękuję. Jeszcze pani poseł, proszę bardzo.</u>
        </div>
        <div xml:id="div-23">
          <u xml:id="u-23.0" who="#BarbaraDziuk">Ja tylko chciałam powiedzieć taką ciekawostkę, żeby nie przedłużać obrad Komisji, że ponad dwa lata temu w urzędzie marszałkowskim na Śląsku zdarzyła się rzecz, że pracownicy źle zabezpieczyli dane wrażliwe, a chodziło o działki i o wszystkie dane osobowe. Niby korzystali z programu, który był przeznaczony do zabezpieczeń, natomiast cała gmina ze wszystkimi danymi została pokazana i dane te mogły być wykorzystane. Teraz pilnujemy tego od strony proceduralnej związanej z przestępstwami gospodarczymi. To chodziło o strefę oddziaływania okołolotniskowego i wszystkie działki, wszystkie pesele i dane były pokazane na stronie internetowej i wisiało to ponad tydzień. Jest prowadzone postępowanie w sprawie osób odpowiedzialnych za ten stan rzeczy. Wierzcie państwo, że my tutaj pracujemy nad zabezpieczeniami prawnymi, natomiast te informatyczne sprawy naprawdę są bardzo istotne i bardzo ważne. Dziękuję.</u>
        </div>
        <div xml:id="div-24">
          <u xml:id="u-24.0" who="#PawełPudłowski">Uprzejmie dziękuję. Zamykam dyskusję. Stwierdzam, że porządek dzienny został wyczerpany. Protokół posiedzenia wraz załączonym zapisem jego przebiegu jest do wglądu w sekretariacie Komisji w Kancelarii Sejmu. Dziękuję bardzo.</u>
        </div>
      </body>
    </text>
  </TEI>
</teiCorpus>