PPC / ppc

<?xml version='1.0' encoding='UTF-8'?>
<teiCorpus xmlns:xi="http://www.w3.org/2001/XInclude" xmlns="http://www.tei-c.org/ns/1.0">
  <xi:include href="PPC_header.xml"/>
  <TEI>
    <xi:include href="header.xml"/>
    <text>
      <body>
        <div xml:id="div-1">
          <u xml:id="u-1.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Otwieram posiedzenie Komisji Sprawiedliwości i Praw Człowieka. W porządku dzisiejszego posiedzenia mamy informację Generalnego Inspektora Ochrony Danych Osobowych na temat projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.</u>
          <u xml:id="u-1.1" who="#PrzewodniczacyposelStanislawPiotrowicz">Bardzo serdecznie witam na dzisiejszym posiedzeniu pana ministra Wojciecha Wiewiórskiego – generalnego inspektora ochrony danych osobowych wraz z osobami mu towarzyszącymi. Bardzo serdecznie witam przedstawicieli Ministerstwa Spraw Wewnętrznych, jak również Ministerstwa Sprawiedliwości. Witam sekretarzy Komisji Sprawiedliwości i Praw Człowieka, a nade wszystko witam panie i panów posłów.</u>
          <u xml:id="u-1.2" who="#PrzewodniczacyposelStanislawPiotrowicz">Drodzy państwo, dzisiejsze posiedzenie odbywa się z inicjatywy pana ministra Wojciecha Wiewiórskiego, który zechce się podzielić z Wysoką Komisją swoimi przemyśleniami. Bardzo proszę o to pana ministra.</u>
        </div>
        <div xml:id="div-2">
          <u xml:id="u-2.0" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Panie przewodniczący, panie i panowie posłowie. Pozwalam sobie dzisiaj zwrócić do państwa z pewnego rodzaju informacją dotyczącą aktu prawnego a właściwie aktów prawnych, które w najbliższym czasie będą rozważane na poziomie unijnym ze współudziałem parlamentu polskiego i oczywiście ze współudziałem rządu naszego kraju.</u>
          <u xml:id="u-2.1" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Pozwolę sobie przedstawić tę prezentację bardzo krótko, ewentualnie będąc gotowym na odpowiedzi na pytania, dlatego że ma ona charakter sygnalizacyjny. Oczywiście zdaję sobie sprawę z tego, że troszeczkę wyrywam się przed szereg, ponieważ zazwyczaj tego typu prezentację przedstawia Rada Ministrów.</u>
          <u xml:id="u-2.2" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Wydaje mi się jednak, że jako organ powołany przez Sejm i odpowiedzialny przed Sejmem za swoje działania, mam obowiązek poinformować państwa o tym, że zdarza się ważne wydarzenie, które prawdopodobnie będzie procedowane przez instytucje Unii Europejskiej w bardzo pilnym trybie. Co więcej, jest ono prowadzone w Polsce, niejako tradycyjnie, przez ministrów, którzy rzadziej mają kontakt z Komisją Sprawiedliwości i Praw Człowieka, choć oczywiście również współpracują z Komisją. Do tej pory zajmowało się tym Ministerstwo Spraw Wewnętrznych i Administracji. W tej chwili w jakiejś części zajmuje się tym Ministerstwo Spraw Wewnętrznych, w części zapewne Ministerstwo Administracji i Cyfryzacji.</u>
          <u xml:id="u-2.3" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Ja pragnę zwrócić na to uwagę dlatego, ponieważ w ciągu najbliższego roku (2012) prawdopodobnie powstanie konieczność kilkukrotnych konsultacji z przedstawicielami naszego parlamentu w sprawie tego, w którą stronę te zmiany powinny pójść.</u>
          <u xml:id="u-2.4" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Komisja Europejska przedstawiła w listopadzie 2010 r. komunikat, który dotyczył planu kompleksowej reformy prawa ochrony danych osobowych w UE będący częścią większej całości. Jak zapewne państwo pamiętacie, Komisja Europejska kilka miesięcy wcześniej w 2010 r. przygotowała dokument, który jest nazywany Europejską Agendą Cyfrową. Europejska Agenda Cyfrowa zapowiadała, że aby dotrzeć do efektów, które ta agenda przewiduje, trzeba po drodze dokonać zmiany systemu ochrony prywatności w UE zapewniając, z jednej strony łatwiejszy przepływ danych i informacji w ramach UE, z drugiej zaś strony zapewniając prawa obywatelom UE, ale też wszystkim osobom, które przebywają na terenie UE, bądź korzystają z usług elektronicznych, które są świadczone z terenu UE – zapewnić prywatność tych osób oraz ich bezpieczeństwo, gdyż inaczej po prostu nie będą one chciały korzystać z usług elektronicznych. Ten komunikat o całościowym podejściu do ochrony danych osobowych w UE sugerował, że w połowie zeszłego roku (połowa 2011 r.) pojawi się projekt nowych ram prawnych, nie zapowiadając, jak te ramy prawne mają wyglądać. Wiadomo było natomiast, że będą to nowe ramy prawne, które zastąpią dotychczasową konstrukcję datującą się tak naprawdę na lata dziewięćdziesiąte, kiedy powstała dyrektywa dotycząca ochrony danych osobowych.</u>
          <u xml:id="u-2.5" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Ten projekt opóźnił się o pół roku ku niezadowoleniu polskiego rządu i ku niezadowoleniu polskiego Generalnego Inspektora Ochrony Danych Osobowych, gdyż mieliśmy nadzieję, że prace nad nim rozpoczną się w trakcie polskiej prezydencji. Tym niemniej jednak – to jest moja prywatna ocena – warto było jednak czekać. To znaczy, ten materiał, który otrzymaliśmy w styczniu od Komisji Europejskiej, jest materiałem bardzo dobrze przygotowanym i materiałem, który, jeżeli tak został przygotowany przez Komisję Europejską i wymagało to kilku miesięcy więcej. To dobrze, że te kilka miesięcy pracy zostało wykorzystane, bo moim zdaniem jest to rozwiązanie, które zostało przygotowane dobrze jak na standardy rozwiązań unijnych.</u>
          <u xml:id="u-2.6" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">25 stycznia bieżącego roku pani wiceprzewodnicząca Komisji Europejskiej Viviane Reding ogłosiła pakiet, który składa się na owe kompleksowe ramy ochrony danych osobowych. Pakiet składa się z dwóch dokumentów, z których dziś chciałbym państwu przedstawić przede wszystkim jeden.</u>
          <u xml:id="u-2.7" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Od razu powiem, że istnieją dwa dokumenty. Pierwszy dokument to projekt owego rozporządzenia o tym długim tytule, który widzicie państwo w tytule dzisiejszego posiedzenia Komisji, który jest popularnie nazywany ogólnym rozporządzeniem o ochronie danych.</u>
          <u xml:id="u-2.8" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Będę się tutaj posługiwał takim określeniem – ogólne rozporządzenie o ochronie danych. Jest to wręcz zastępczy tytuł występujący w tytule dokumentu KE.</u>
          <u xml:id="u-2.9" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Natomiast drugi dokument to dyrektywa dotycząca ochrony danych osobowych w sektorze policji oraz wymiaru sprawiedliwości w sprawach karnych czyli ogólnych ram, które są stworzone dla całości obiegu informacyjnego w UE, stworzono szczególne sytuacje, kiedy państwo powinno mieć większą możliwość do samodzielnego kształtowania konstrukcji ochrony danych osobowych w tych dwóch sektorach: policja oraz wymiar sprawiedliwości w sprawach karnych czyli najkrócej mówiąc dawny trzeci filar UE. Natomiast w pozostałych przypadkach, kiedy mówimy o wymianie informacji i przetwarzaniu danych osobowych, obowiązuje owe ogólne rozporządzenie o przetwarzaniu danych osobowych.</u>
          <u xml:id="u-2.10" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Teraz pozwolę sobie zwrócić państwu uwagę na kilka cech (chyba bardziej chodzi o cechy) niż dokładne brzmienie przepisów, które zostały zaproponowane przez KE. Dlaczego nie przepisów? Jest to bardzo duży dokument. Nie ukrywam. Mogę to pokazać. To jest taki pakiet dokumentów, który należałoby dokładnie przestudiować. Z pewnością nasza Rada Ministrów przedstawi polskie stanowisko do całego tego pakietu i do obu tych dokumentów, które wchodzą w jego skład. Wtedy będzie to dobry moment do rozważenia wszystkich za i przeciw odnośnie do rozwiązań, które zostały zaproponowane przez KE.</u>
          <u xml:id="u-2.11" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Dzisiaj, zdając sobie sprawę z państwa ram czasowych, chciałbym tylko naszkicować najważniejsze cechy, które się tutaj pojawiają, bo mamy do czynienia z rewolucją. To trzeba sobie od razu i na początku powiedzieć. Te zmiany, które zaproponowała KE, są zmianami rewolucyjnymi. Spowodują one, że system ochrony prywatności w UE będzie wyglądał zupełnie inaczej niż wyglądał do tej pory. Również system ochrony prywatności w Polsce będzie wyglądał inaczej niż wyglądał do tej pory. Musimy być w jakimś stopniu na to przygotowani. Jest to ogromne wyzwanie tak dla legislatorów, jak i dla władzy wykonawczej, a w końcu dla sądownictwa. Tak naprawdę te trzy władze będą miały ręce pełne roboty.</u>
          <u xml:id="u-2.12" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Pierwsza bardzo ważna cecha, na którą zwracam tutaj uwagę i która jest dość oczywista, bo wynika już z samego tytułu. Mamy do czynienia z rozporządzeniem na poziomie UE, które de facto zastępuje dyrektywę, która działała od 1995 r. To oznacza pełną harmonizację i w idealnym świecie brak konieczności istnienia ustawy o ochronie danych osobowych na poziomie krajowym z tego powodu, że najzwyczajniej w świecie rozporządzenie ją po prostu zastępuje. Tak do końca nie jest.</u>
          <u xml:id="u-2.13" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Z tego projektu wyraźnie wynika, że harmonizacji pełnej podlegną przepisy materialne, natomiast przepisy proceduralne oraz przepisy dotyczące kontroli sądowej pozostawiono do decyzji państwom członkowskim. Uznano, że nie ma możliwości pełnego zharmonizowania procedur i nie ma możliwości pełnego zharmonizowania kontroli sądowej nad przetwarzaniem danych osobowych, ale również nad decyzjami, które zapadają ze strony organów ochrony danych osobowych. Tym niemniej, proszę państwa, KE sporą część materiału, również tego, który państwo otrzymaliście dzisiaj od KE, poświęciła temu, dlaczego tak się dzieje i dlaczego konieczne było stworzenie rozporządzenia tam, gdzie do tej pory istniały akty prawa krajowego. Rzeczywiście wydaje się, że z punktu widzenia swobodnej wymiany informacji w ramach UE, mamy do czynienia z sytuacją konieczności wprowadzenia takich samych rozwiązań we wszystkich krajach członkowskich.</u>
          <u xml:id="u-2.14" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Uważam – to moja własna ocena – że z punktu widzenia polskich przedsiębiorców, jest to bardzo dobre rozwiązanie. Jest to rozwiązanie, które w doskonały sposób ułatwia im działanie na ogólnoeuropejskim rynku. Z tego też powodu, moim zdaniem, na poparcie zasługuje inicjatywa KE, aby w tym momencie stworzyć rozporządzenie, mimo że stanowisko rządu polskiego do komunikatu KE mówiło o tym, że wolelibyśmy dyrektywę. Nawet jeśli część tej dyrektywy miałaby przybierać kształt podobny do rozporządzenia, to wolelibyśmy dyrektywę.</u>
          <u xml:id="u-2.15" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">W tej chwili – po roku – mogę powiedzieć, że te obawy, które formułował również GIODO wobec ewentualnego wprowadzenia rozporządzenia na podstawie tego projektu, który nam dzisiaj przedstawiono, nie sprawdziły się. To jest rzeczywiście porządnie przemyślany projekt, natomiast dyrektywa pozostaje tam, gdzie mówimy o trzecim filarze – o policji i wymiarze sprawiedliwości w sprawach karnych.</u>
          <u xml:id="u-2.16" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Wyzwania, jakie się rodzą. Po pierwsze, proszę państwa, najpoważniejszym kłopotem, z jakim nie potrafiła sobie poradzić UE na podstawie dotychczasowych przepisów dotyczących ochrony danych osobowych, była kwestia jurysdykcji i prawa właściwego. Dwa oddzielne tematy – kto może podejmować decyzje i na podstawie jakiego prawa ta decyzja będzie podjęta? Pełne zharmonizowanie prawa materialnego sugerowałoby, że zniknie problem prawa właściwego, ponieważ prawo będzie takie samo w całej Europie. Tak oczywiście do końca nie będzie, dlatego że od tych zasad, które znajdują się w rozporządzeniu, w prawie krajowym istnieją pewne wyjątki.</u>
          <u xml:id="u-2.17" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Takim wyjątkiem na przykład w dalszym ciągu pozostanie polskie prawo pracy, które przewiduje wyższe standardy ochrony danych osobowych niż te, które dzisiaj są przewidziane w dyrektywie i w tym rozporządzeniu, na co rozporządzenie zgadza się. Rozporządzenie zgadza się na to, że takie wyższe standardy mogą być ustalane sektorowo przez prawo krajowe i mogą być ustalane także dla tej tematyki.</u>
          <u xml:id="u-2.18" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">To spowoduje, że pojawi się problem jurysdykcji i wyzwania… żeby pokazać państwu, na czym polegają wyzwania, przed którymi staniemy, jako w jakimś stopniu twórcy tego nowego porządku. Wyzwanie, jakim jest możliwość podejmowania przez organ administracji polskiej (np przez GIODO) decyzji administracyjnej na podstawie prawa obcego, np. prawa kraju, w którym jest zarejestrowany przedsiębiorca. Taka sytuacja istnieje już w dzisiejszym polskim prawie. Dotyczy ona choćby przepisów podatkowych i przepisów azylowych, ale nie była nigdy stosowana, jeśli chodzi o przepisy dotyczące ochrony danych osobowych. To wyzwanie jest przed nami. Tak naprawdę trzeba dopiero wymyślić w jaki sposób polski organ miałby podejmować decyzje, używając do tego również prawa obcego.</u>
          <u xml:id="u-2.19" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Drugą kwestią, która również powoduje ogromne wyzwania i na które też trzeba zwrócić uwagę, są tak zwane procedury koordynacyjne (procedury spójności). Założeniem rozporządzenia jest to, aby istniała zasada, która po angielsku nazywa się one stop shop czyli czynność dokonana przed organem w jednym kraju członkowskim UE jest czynnością, która wywołuje skutki we wszystkich krajach członkowskich.</u>
          <u xml:id="u-2.20" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Na przykład, polski przedsiębiorca, musząc uzyskać zgodę na przetwarzanie danych osobowych, uzyskuje jakąś zgodę od GIODO (np. chodzi o dane zdrowotne; chciałby prowadzić działalność polegającą na przetwarzaniu danych zdrowotnych). Uzyskuje taką wstępną zgodę ze strony polskiego organu ochrony danych osobowych, a wszystkie 26 (wkrótce 27) organów w Europie muszą uznać, że ten przedsiębiorca ma prawo działać na terenie całej Europy, podejmując działania, na które zgodził się polski GIODO. Oczywiście sprawa działa w dwie strony.</u>
          <u xml:id="u-2.21" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Również polski GIODO będzie musiał uznać decyzję w tym zakresie, która została podjęta przez swoich odpowiedników w innych krajach członkowskich. Do tego, aby te działania były spójne, przewidziane są procedury koordynacyjne skupione przede wszystkim wokół ciała, jakim będzie Europejska Rada Ochrony Danych Osobowych, która zastępuje istniejącą dzisiaj Grupę art. 29 zrzeszającą Rzeczników Ochrony Prywatności. Ten organ, który już dziś istnieje i zrzesza rzeczników z całej Europy, stanie się jedną z części tej procedury spójności.</u>
          <u xml:id="u-2.22" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Również KE przyznaje sobie w tym projekcie pewne uprawnienia – co prawda uprawnienia szczególne i rzadko do wykorzystywania – w zakresie rozwiązywania sporów pomiędzy rzecznikami, którzy różnie podchodzili do różnych kwestii w różnych krajach członkowskich, bądź interweniowania w sytuacji, kiedy jeden z rzeczników z państw członkowskich nie realizuje swoich obowiązków. To rzeczywiście może się zdarzyć. Takie sytuacje niestety są też w Europie, gdzie niektóre organy ochrony danych osobowych w niektórych krajach UE ze względów choćby finansowych bądź organizacyjnych są mało wydolne. Tak bym to eufemistycznie określił.</u>
          <u xml:id="u-2.23" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Jednocześnie jednak pojawia się jedna z wątpliwości, która z pewnością będzie podnoszona, tak przez rząd polski, jak i przez komentatorów tego projektu. Otóż bardzo duża część rozwiązań praktycznych została przesunięta w projekcie rozporządzenia do aktów delegowanych UE i do środków implementacyjnych, których w tej chwili nie znamy i nie wiemy, jak będą wyglądały. To jest dość ogólne pytanie, które trzeba skierować do KE – kiedy tak naprawdę poznamy te rozwiązania?</u>
          <u xml:id="u-2.24" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Plusy, które się pojawiają i na które należy zwrócić uwagę. Przede wszystkim odbiurokratyzowanie procedur. Między innymi zlikwidowanie wyjątkowo rozbudowanej w Polsce procedury zgłaszania zbioru danych osobowych do rejestracji u GIODO. Ja potwierdzam, że ten system zgłaszania zbiorów nie spełnia swojej roli z tego powodu, że tak naprawdę nie daje on tak naprawdę przeglądu, w jaki sposób dane są przetwarzane na terenie naszego kraju, a jednocześnie powoduje rzeczywiste problemy administracyjne dla podmiotów przetwarzających dane osobowe, nam zaś jako biuru GIODO też on za bardzo nie jest potrzebny do szczęścia, bo wiele on nie pomaga.</u>
          <u xml:id="u-2.25" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Czasami „śmieję się”, że najbardziej zadowoleni z istnienia tego systemu są ci pracownicy mojego biura, którzy dostają pensje za jego obsługę. To jest właściwie całość społeczeństwa polskiego, które jest zadowolone z instytucji zgłaszania zbiorów. Bardzo cieszę się z tego, że KE przechodzi do dużo rozsądniejszego rozwiązania, w którym tego typu działania dotyczą tylko zbiorów danych wrażliwych i tak zwanego ryzykownego przetwarzania danych. Nie dotyczą one natomiast danych zwykłych.</u>
          <u xml:id="u-2.26" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Bardzo charakterystycznym punktem, który pojawia się w tych propozycjach, jest ujednolicenie zasad wdrażania prawa przez organy ochrony danych osobowych. To tak bardzo mądrze brzmi. W praktyce oznacza to tyle, że systemy kar administracyjnych istniejących w niektórych krajach UE zostają uwspólnione dla całej UE czyli we wszystkich krajach UE będzie obowiązywał taki sam system nakładania kar administracyjnych dla tych, którzy łamią zasady danych osobowych. To znowu nie jest takie novum w prawie europejskim, bo państwo znacie choćby takie rozwiązania w prawie ochrony konsumentów, prawie antytrustowym, prawie ochrony konkurencji, czy choćby w prawie telekomunikacyjnym, gdzie choćby Urząd Komunikacji Elektronicznej ma prawo nakładania kar administracyjnych. Tutaj można powiedzieć, że GIODO staje się bardziej regulatorem działań niż rzecznikiem, jak było do tej pory. To są bardzo wysokie kary, które zostały tutaj zaproponowane, sięgające 5% obrotu przedsiębiorstwa, czyli są one porównywalne z najwyższymi karami, jakie znajdują się w prawie telekomunikacyjnym i w prawie ochrony konkurencji. To jest novum. Tego w Polsce nie było. Poza tym z naszych wstępnych badań wynika, że jest to pierwszy przypadek, w którym tego typu kary miałyby być nakładane na podstawie rozporządzenia europejskiego, a nie na podstawie ustaw, które byłyby wdrażane do polskiego prawa, aczkolwiek trzeba przyznać KE, że ujednolicenie prawa europejskiego bez ujednolicania zasad wdrażania tego prawa w praktyce nie ma logicznego sensu.</u>
          <u xml:id="u-2.27" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Nie można doprowadzić do sytuacji, kiedy wszyscy działamy na podstawie tego prawa, tylko że w jednych krajach nakłada się 1 milion 500 tysięcy funtów kary jak w Wielkiej Brytanii, a w innych krajach w ogóle nie ma prawa do nakładania kar. Rzeczywiście trzeba byłoby dokonać pewnego ujednolicenia i to ujednolicenie poszło chyba w dobrą stronę, mimo że mówię to jako osoba, która przed objęciem funkcji GIODO zawsze twierdziła, iż sytuacja, w której GIODO miałby nakładać jakiekolwiek kary administracyjne jest trudna z konstytucyjnego punktu widzenia. Mówimy o organie, który nie jest organem władzy sądowej. Nie jest również organem władzy wykonawczej podległym Radzie Ministrów (… i nie jest organem rządowym).</u>
          <u xml:id="u-2.28" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">W związku z tym jest to pomysł trudny, aczkolwiek przyznaję, że w tych krajach, gdzie takie kary są możliwe do zastosowania, ochrona wygląda dużo lepiej niż w krajach, które takich uprawnień nie mają. W Polsce sądy stwierdzają, że za pomyłki nie należy nikogo wpisywać do Krajowego Rejestru Karnego. W związku z tym bardzo rzadko orzekają na podstawie przepisów karnych ustawy o ochronie danych osobowych, nie chcąc, że tak powiem dodatkowo stygmatyzować osób, które przez przypadek naruszyły ustawę o ochronie danych osobowych.</u>
          <u xml:id="u-2.29" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">W tym momencie w innych krajach UE pojawiają się kary administracyjne może nie zbliżone do mandatów – to byłaby przesada – ale mające rzeczywiście charakter odstraszające lub mające jednocześnie charakter prewencji ogólnej.</u>
          <u xml:id="u-2.30" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Co jeszcze? Pojawia się konstrukcja obowiązkowego administratora bezpieczeństwa informacji. Przy pierwszym czytaniu ona może państwa zaskakiwać. Mogę powiedzieć tylko tyle, że w przypadku Polski ta konstrukcja na pewno nie jest odpowiednikiem obowiązkowego strażaka w przedsiębiorstwie, przede wszystkim z tego powodu , że ona jest wprowadzana w instytucjach, które i tak w dniu dzisiejszym mają administratora bezpieczeństwa informacji. Nie sądzę więc, żeby ona miała jakiś znaczący wpływ na obowiązki przedsiębiorców. Dotyczy to sytuacji, które istnieją w innych krajach członkowskich UE.</u>
          <u xml:id="u-2.31" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Pojawia się również prawo do bycia zapomnianym – tak zwana zasada privacy by design (prywatność w fazie projektowania).</u>
          <u xml:id="u-2.32" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Konieczność tworzenia ocen skutków przedsięwzięcia dla ochrony prywatności czyli tak zwany privacy impact assesment pry tych działaniach, które mogą być działaniami ryzykownymi. Przede wszystkim chodzi o sytuacje, które do tej pory nie były regulowane jako przetwarzanie danych wrażliwych, ale tak naprawdę były to dane wrażliwe, np. działania dotyczące naszych finansów, czy kwestie związane z profilowaniem nas pod kątem oferowania nam później jakichś produktów bądź też pod kątem nieoferowania nam później jakichś produktów i dyskryminowania nas na rynku. To były działania, które do tej pory bardzo często wymykały się kontroli dlatego, że nie dotyczyły danych wrażliwych oraz faktycznie samo działanie bardzo głęboko ingerowało w samą prywatność.</u>
          <u xml:id="u-2.33" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Na zakończenie powiem tylko o generalnym kłopocie, który w tego typu aktach prawnych często występuje i tutaj też mamy z tym do czynienia a mianowicie o fakcie, że jest to pakiet, który jest pakietem horyzontalnym czyli przecina bardzo wiele dziedzin.</u>
          <u xml:id="u-2.34" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Wiele kwestii, które zostały poruszone w tym pakiecie (przede wszystkim w rozporządzeniu), to są kwestie, które wymagają konsultacji w miejscach, w których z reguły nie konsultujemy aktów prawnych dotyczących sprawiedliwości i praw człowieka albo kwestii związanych ze sprawami wewnętrznymi bądź z administracją.</u>
          <u xml:id="u-2.35" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Klasycznym przykładem jest to, że w tym rozporządzeniu mają być zdefiniowane dane genetyczne i dane biometryczne. Biotechnolodzy i genetycy, którzy widzieli te definicje, które zaproponowała Komisja Europejska, mają znaczące wątpliwości odnośnie do tego, czy one im w czymkolwiek pomogą. Czy one w czymkolwiek pomogą w praktycznym działaniu dotyczącym danych genetycznych czy danych biometrycznych. O tym, że niekonsultowanie tego typu aktów ze specjalistami z tej dziedziny może prowadzić czasem do absurdalnych sytuacji, świadczy niestety również dzisiejsze brzmienie ustawy o ochronie danych osobowych. Dzisiejsze brzmienie ustawy o ochronie danych osobowych przewiduje takie brzmienie danych osobowych, w których danymi wrażliwymi są dane dotyczące kodu genetycznego. Każdy genetyk, który widzi ten zapis mówi, że jest on absolutnie postawiony na głowie. Kod genetyczny to jest układ aminokwasów. To jest określenie, który aminokwas z którym aminokwasem się łączy i co ewentualnie może kodować. To jest tak, jakbyśmy ochronie poddali alfabet a nie informację zapisaną tym alfabetem. W związku z tym to genom powinien podlegać ochronie a nie kod genetyczny. Kod genetyczny jest znany od lat pięćdziesiątych i nic się w nim nie zmieniło. W żaden sposób nie jest on tajny. Przy rozważaniu wielu kwestii, które dotyczą tego pakietu należałoby odwołać się do wiedzy specjalistycznej z dziedzin, które czasami są bardzo odległe od tego, czym się dzisiaj zajmujemy.</u>
          <u xml:id="u-2.36" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Dosłownie w ostatnim zdaniu pozwolę sobie wspomnieć, że ten akt prawny jest wprost powiązany z innymi działaniami, które w tej chwili są prowadzone w naszym parlamencie bądź też będą prowadzone w naszym parlamencie w najbliższym czasie, dotyczącymi na przykład takich kwestii, jak inteligentne sieci energetyczne, gdzie w tej chwili Prawo energetyczne znajduje się w fazie konsultacji społecznych i za chwilę trafi do państwa jako projekt rządowy dotyczący właśnie inteligentnych sieci energetycznych i inteligentnych mierników.</u>
          <u xml:id="u-2.37" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Kwestia wideonadzoru, która ma zostać uregulowana w najbliższym czasie. Ta propozycja ma być przygotowana przez rząd.</u>
          <u xml:id="u-2.38" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Kwestia profilowania, kwestia biometrii, kwestia właśnie danych genetycznych, kwestia geolokalizacji usług przestrzennych, kwestia przetwarzania danych w chmurach obliczeniowych czyli tzw. modelu cloud computing, czy też wciąż powracająca kwestia danych pasażerów linii lotniczych i danych pasażerów statków morskich, gdzie skądinąd wiemy, że na poziomie polskim jest w tej chwili przygotowywany projekt ustawy, która ma również regulować podobne kwestie trochę inaczej niż one są uregulowane w prawie UE.</u>
          <u xml:id="u-2.39" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Po merytorycznym zakończeniu pozwolę sobie poprosić państwa o to, żebyście państwo pamiętali o tym, że ten pakiet, który prawdopodobnie będzie szybko procedowany w ramach instytucji unijnych, jest pakietem, który stworzy podstawy przetwarzania informacji w Europie na najbliższych kilkanaście lat o czym świadczy fakt, że zastępuje on dyrektywę z roku 1995 czyli tak, jak już podkreślałem na posiedzeniach tej Komisji, dyrektywę, która została przygotowana tak naprawdę jeszcze przed czasami internetowymi. Była ona pisana w latach 1993-1994 czyli tak naprawdę nie tylko nie było sieci społecznościowych, ale nie było nawet world wide webu. Był to zupełnie inny Internet niż ten, o którym mówimy dzisiaj niemający wiele wspólnego z naszym dzisiejszym działaniem, a mimo wszystko ten akt prawny utrzymał się przez 17 lat. Ten akt, który zostanie uchwalony w najbliższym czasie, prawdopodobnie zostanie uchwalony przez UE, będzie prawdopodobnie do okolic roku 2035 (być może do 2040 r.) podstawą do przetwarzania informacji w UE.</u>
          <u xml:id="u-2.40" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Zawsze to podsumowuję, mówiąc do swoich pracowników, że moja kadencja jako GIODO wynosi tylko 4 lata, zaś dla nich jest to prawdopodobnie akt prawny, którym będą operować do końca swojego życia zawodowego jeśli zwiążą je z ochroną danych osobowych. Jeżeli teraz nie uda nam się stworzyć bardzo dobrych podstaw, to będziemy mieli z tym potężny kłopot.</u>
          <u xml:id="u-2.41" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Jeszcze raz powtarzam, że praca KE została bardzo dobrze wykonana. Nawet jeżeli mamy wątpliwości w niektórych przypadkach do niektórych przepisów, szczególnie jeśli chodzi o ich jakby niedokończenie albo nieprecyzyjność, to pakiet ten zasługuje na ciepłe przyjęcie nawet jeśli będziemy mieli do niego krytyczny stosunek.</u>
          <u xml:id="u-2.42" who="#GeneralnyInspektorOchronyDanychOsobowychWojciechWiewiorowski">Dziękuję, panie przewodniczący. Przepraszam, że tradycyjnie się rozgadałem, ale to jest, tak jak zawsze mówię, przypadłość osób, którym ustawa nakazuje wykonywanie zawodu nauczyciela akademickiego, który wykonywałem przez parę lat.</u>
        </div>
        <div xml:id="div-3">
          <u xml:id="u-3.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Serdecznie dziękuję panu ministrowi. Po pierwsze, dziękuję za inicjatywę zwołania dzisiejszego posiedzenia, ale również za bardzo obszerne, wnikliwe i profesjonalne przedstawienie tematu. Tak się akurat składa, że pan minister prezentował to obszernie, ale w tak interesujący sposób, że wszyscy z zainteresowaniem słuchali tego, jak pan to określił, akademickiego wykładu. Chcę również przeprosić za zniekształcenie nazwiska. Proszę wybaczyć.</u>
          <u xml:id="u-3.1" who="#PrzewodniczacyposelStanislawPiotrowicz">Proszę bardzo, pan przewodniczący. Proszę bardzo.</u>
        </div>
        <div xml:id="div-4">
          <u xml:id="u-4.0" who="#PoselJerzyKozdron">Panie przewodniczący, panie ministrze, miałbym do pana pewne pytania, żeby pan jako specjalista w zakresie ochrony danych osobowych spróbował nam to bliżej rozjaśnić. Wiadomo, że rozporządzenie KE i Rady UE jest prawem europejskim wspólnotowym wtórnym i to, że takie rozporządzenie, jak już się wypowiedział Trybunał Konstytucyjny, podlega kontroli konstytucyjnej pod kątem zgodności z Konstytucją RP. W tym zakresie to jest pewność, bo mamy to już za sobą. Wiemy również, że rozporządzenie z chwilą opublikowania w polskim publikatorze (dzienniku urzędowym) staje się prawem wewnętrznym bez konieczności implementowania przepisów wspólnotowych do prawa krajowego. Staje się niejako prawem krajowym.</u>
          <u xml:id="u-4.1" who="#PoselJerzyKozdron">W związku z tym powstaje pytanie. Rozporządzenie stawia pewne standardy minimalne w swoim założeniu, które mają przestrzegać wszystkie kraje członkowskie UE. Tutaj jest pytanie – czy aktualnie obowiązująca w naszym porządku prawnym ustawa o ochronie danych osobowych stawia wyższe wymagania wobec tego projektowanego rozporządzenia – być może w niektórych zakresach – i w związku z tym, jaka w tym momencie będzie relacja ustawy do tego rozporządzenia? To tyle.</u>
        </div>
        <div xml:id="div-5">
          <u xml:id="u-5.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Bardzo proszę.</u>
        </div>
        <div xml:id="div-6">
          <u xml:id="u-6.0" who="#PoselRobertKropiwnicki">Jeśli można…</u>
        </div>
        <div xml:id="div-7">
          <u xml:id="u-7.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Bardzo proszę, panie pośle.</u>
        </div>
        <div xml:id="div-8">
          <u xml:id="u-8.0" who="#PoselRobertKropiwnicki">Panie ministrze, rzeczywiście pan przewodniczący Kozdroń poruszył to, o co chciałem zapytać. Później sformułuję dodatkowe pytania.</u>
          <u xml:id="u-8.1" who="#PoselRobertKropiwnicki">Mam pytanie w zakresie rejestracji zbiorów – jeśli w świetle naszej ustawy mamy zbiory administrowane przez przedsiębiorców i inne podmioty, a pewnym rozwiązaniem wprowadzimy inną regulację, to jak się to będzie miało? Czy będziemy musieli to skasować bądź też w jakiś sposób ujednolicić?</u>
          <u xml:id="u-8.2" who="#PoselRobertKropiwnicki">Prawdą jest – podzielam pogląd pana ministra – że obecny system rejestrowania zbiorów danych osobowych przechowywanych przez przedsiębiorców lub inne podmioty jest po prostu nieżyciowy i w większości przypadków jest niestety martwy. Być może ten unijny będzie bardziej życiowy i pozwoli na to, aby te zbiory były faktycznie rejestrowane. Nie będzie wtedy udawania, że się nie ma tych zbiorów. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-9">
          <u xml:id="u-9.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Bardzo proszę, panie ministrze.</u>
        </div>
        <div xml:id="div-10">
          <u xml:id="u-10.0" who="#GIODOWojciechWiewiorowski">Dziękuję bardzo. To jest faktycznie bardzo ważne pytanie dotyczące tego pakietu, tak więc pozwoliłem sobie rozpocząć przedstawianie tej kwestii od tego, że mamy do czynienia z rozporządzeniem. Oczywiście jest to akt prawa wtórnego i nie chcę się wypowiadać na temat możliwości jego kontroli przez TK. TK, jak państwo wiecie, wyraził swoje stanowisko w tej sprawie, aczkolwiek nie jest ono tak absolutnie precyzyjne, że każdy akt prawa wtórnego może podlegać kontroli zgodności z całością Konstytucji RP jako takiej. Tak naprawdę jest to rozwiązanie nieco zbliżone do tego słynnego niemieckiego orzeczenia Zolange, które odnosiło się… Tam, gdzie dotyczy to wolności i praw obywatelskich, niewątpliwie TK przewidział kontrolę.</u>
          <u xml:id="u-10.1" who="#GIODOWojciechWiewiorowski">Co do kwestii obowiązywania, to proszę pamiętać, że w przypadku rozporządzenia a ściślej mówiąc – norm wynikających z rozporządzenia, mamy do czynienia z trzema bardzo podobnymi, ale jednak oznaczającymi różne rzeczy sformułowania. Otóż rozporządzenie jest rzeczywiście bezpośrednio obowiązujące czyli wchodzi do systemu prawnego tak, jak powiedział pan przewodniczący, bez potrzeby implementacji ani inkorporacji… po prostu, albo w 20 dni po jego ogłoszeniu albo w dacie wyznaczonej w samym rozporządzeniu. Wtedy zacznie ono obowiązywać. W przypadku tego rozporządzenia prawdopodobnie będzie dwuletnie vacatio legis, w którym poszczególne przepisy będą wchodziły w życie.</u>
          <u xml:id="u-10.2" who="#GIODOWojciechWiewiorowski">Mamy też cechę, jaką jest bezpośrednia stosowalność, czyli to, że każdy organ publiczny musi powoływać się wprost na rozporządzenie w wydawanym przez siebie decyzjach lub w orzeczeniach. To nie jest tylko akt skierowany do trybunałów i GIODO, ale również do każdego innego organu istniejącego w państwie.</u>
          <u xml:id="u-10.3" who="#GIODOWojciechWiewiorowski">Wreszcie najważniejsza rzecz, która odróżnia rozporządzenie od dyrektywy i odróżnia ze względu na faktyczny wymiar – jest to bezpośredni skutek. Bezpośredni skutek (albo bezpośrednia skuteczność) polega na tym, że każdy, w tym podmioty prywatne i osoby fizyczne, mogą wyciągać z rozporządzenia normę i stosować tę normę przeciwko każdemu: przeciwko państwu i przeciwko innemu podmiotowi na rynku.</u>
          <u xml:id="u-10.4" who="#GIODOWojciechWiewiorowski">Tak jak w przypadku dyrektywy można to było robić tylko przeciwko państwu, tak teraz państwo może to robić przeciwko obywatelowi, obywatel przeciwko państwu, obywatele między sobą, pracodawca przeciwko pracownikowi, pracownik przeciwko pracodawcy, przedsiębiorca przeciwko przedsiębiorcy itd.</u>
          <u xml:id="u-10.5" who="#GIODOWojciechWiewiorowski">Moim zdaniem, oznacza to, że w zakresie w jakim rozporządzenie przewiduje inne rozwiązania niż rozwiązania znajdujące się w polskiej ustawie o ochronie danych osobowych, sens istnienia polskiej ustawy o ochronie danych osobowych znika. Nie ma powodu, dla którego miałaby ona pozostać w polskim systemie prawnym, bo i tak nie będzie stosowana ze względu na prymat prawa europejskiego nad przepisami ustawy.</u>
          <u xml:id="u-10.6" who="#GIODOWojciechWiewiorowski">Dlatego też jestem przekonany, że do czasu wejścia w życie rozporządzenia trzeba będzie wydać nową ustawę o ochronie danych osobowych, która będzie zawierać tylko te części, których nie zostaną zharmonizowane czyli na przykład procedury i kontrolę sądową.</u>
          <u xml:id="u-10.7" who="#GIODOWojciechWiewiorowski">Pozostawienie jakichkolwiek innych części w generalnej ustawie o ochronie danych osobowych moim zdaniem – może trochę przesadzam – po prostu nie ma najmniejszego sensu. Natomiast jest możliwość ustanowienia wyższych standardów ochrony, z tym że te wyższe standardy ochrony muszą być albo sektorowe albo muszą dotyczyć pewnego ograniczonego zastosowania, jak choćby kodeks pracy.</u>
          <u xml:id="u-10.8" who="#GIODOWojciechWiewiorowski">Pozostanie możliwość zastosowania wyższego standardu w kodeksie pracy. Pozostanie możliwość zastosowania wyższego standardu w jakimś sektorze, na przykład w sektorze medycznym czy też w sektorze bankowym. Jeśli chodzi o ogólną ustawę o ochronie danych osobowych, moim zdaniem pozostanie tylko możliwość wydawania przepisów dotyczących działania organów ochrony danych osobowych i kontroli sądowej a nie prawa materialnego. To też oznacza, że w przypadku istniejącego obecnie systemu rejestracji zbioru danych osobowych on w oczywisty sposób musi zniknąć z ustawy.</u>
          <u xml:id="u-10.9" who="#GIODOWojciechWiewiorowski">Nie może być tak, że my przewidujemy inny sposób rejestracji niż ten, który jest proponowany w rozporządzeniu, aczkolwiek w tym przypadku – przyznaję – rozporządzenie nie daje stuprocentowo precyzyjnych przepisów. Mówi czego nie wolno robić i co wolno robić, natomiast tak naprawdę trzeba będzie znów wpisać ewentualne procedury do tej naszej ustawy. Tam rejestracja będzie cały czas potrzebna. Ona nie nazywa się „rejestracja”, ale pozostańmy przy tym sformułowaniu (np. w sytuacji, kiedy zechcemy przetwarzać dane wrażliwe).</u>
          <u xml:id="u-10.10" who="#GIODOWojciechWiewiorowski">Co do martwości systemu rejestracji zbiorów danych osobowych, to ja przyznam, że do ostatniego roku miałem takie samo zdanie jak pan poseł. Od razu uprzedzając sprawozdanie, które jeszcze nie wpłynęło do Sejmu – co prawda w piątek prezentuję sprawozdanie, ale za rok 2009 i 2010 – mogę powiedzieć, że liczba zbiorów zgłoszonych do rejestracji w roku 2011 wzrosła o 89% w stosunku do 2010 r. Mamy prawie dwa razy więcej zbiorów, które zostały zgłoszone w roku 2011… To jest 15 tysięcy zbiorów rocznie. Ja oczywiście zgadzam się z tym, że to na pewno nie są wszystkie zbiory, które w Polsce powstały, natomiast coś się zdarzyło.</u>
          <u xml:id="u-10.11" who="#GIODOWojciechWiewiorowski">Ocenie trzeba będzie poddać, co tak naprawdę się zdarzyło, że nagle w okresie kryzysu, gdzie podobno gospodarka nie rozwija się tak bardzo, mamy dwukrotny wzrost liczby zbiorów, które są zgłaszane. Albo zwiększyła się świadomość społeczna, albo też przepisy, które weszły w marcu zeszłego roku w jakimś stopniu postraszyły tych, którzy do tej pory nie zgłaszali zbiorów, choć żeby było śmieszniej, akurat w tych przepisach marcowych nie było dodatkowych kar za niezgłaszanie zbioru do rejestracji. Mam nadzieję, że w jakimś stopniu odpowiedziałem na państwa pytania.</u>
        </div>
        <div xml:id="div-11">
          <u xml:id="u-11.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Dziękuję bardzo. Czy ktoś z państwa chciałby jeszcze zabrać głos? Bardzo proszę, panie pośle.</u>
        </div>
        <div xml:id="div-12">
          <u xml:id="u-12.0" who="#PoselRobertKropiwnicki">Dziękuję za tę odpowiedź. Mam taką refleksję, że jak już przedsiębiorcy nauczyli się, że trzeba rejestrować te dane, to zlikwidujemy ten przepis. Może zastąpimy to czymś innym. Dziękuję panu ministrowi za inicjatywę w przedmiocie tego posiedzenia i poruszenia tego tematu, bo myślę, że jest to temat bardzo obszerny i bardzo rozwojowy w najbliższych latach – niedoceniany na niwie dyskusji publicznej, ale także w parlamencie.</u>
          <u xml:id="u-12.1" who="#PoselRobertKropiwnicki">Myślę, że bardzo dobrze byłoby, gdyby nasza Komisja wyspecjalizowała się w ochronie danych osobowych i w dyskusji na ten temat.</u>
          <u xml:id="u-12.2" who="#PoselRobertKropiwnicki">Myślę, że właśnie ten pakiet zmian będzie okazją do tego. Chciałem się jeszcze zapytać pana ministra o dwie rzeczy. Kiedy pan spodziewa się, że to rozporządzenie unijne się pojawi i kiedy my powinniśmy być gotowi z naszą nowelizacją ustawy o ochronie danych osobowych. To jest pierwsze pytanie. Drugie pytanie dotyczy tego zespołu europejskich inspektorów – pańskich odpowiedników w krajach UE. Czy wszystkie instytucje będą w miarę ujednolicały procedury i czy rzeczywiście ta współpraca pomiędzy tymi instytucjami będzie kompatybilna i przyjazna dla użytkowników w zakresie orzecznictwa i podejmowania decyzji w różnych obszarach? Dziękuję.</u>
        </div>
        <div xml:id="div-13">
          <u xml:id="u-13.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Dziękuję. Bardzo proszę, panie ministrze.</u>
        </div>
        <div xml:id="div-14">
          <u xml:id="u-14.0" who="#GIODOWojciechWiewiorowski">Rozpocznę od pierwszego pytania, czyli od pytania „kiedy?” Mogę tylko przewidywać. Patrząc w dokumenty, które zostały zaprezentowane przez KE widzę, że KE zakłada wydatki budżetowe związane z wprowadzeniem tego nowego systemu i ewentualną przebudową instytucji albo wprowadzeniem nowych systemów teleinformatycznych od roku 2014, co sugerowałoby, że KE przewiduje, iż to rozporządzenie zacznie działać jako obowiązujący akt prawny od 2014 r. Oczywiście, czy to jest na pewno możliwe, szczególnie w sytuacji, kiedy już mamy półroczne opóźnienie? Trudno jest mi decydować, szczególnie na tym etapie.</u>
          <u xml:id="u-14.1" who="#GIODOWojciechWiewiorowski">Myślę, że w ciągu najbliższych 3 tygodni (może miesiąca) dowiemy się, jakie jest generalne stanowisko państw członkowskich na temat rozporządzenia. Wtedy będziemy w stanie powiedzieć, czy mamy jakiś front oporu przed tym rozporządzeniem po stronie państw członkowskich, co sugerowałoby, że prace nad tym rozporządzeniem będą co najmniej trudne, czy też mamy front entuzjastów, którzy od razu będą chcieli podpisać odpowiedni akt prawny w co oczywiście nie do końca wierzę, ale co też może się zdarzyć. Myślę, że rok 2014 to jest najwcześniejsza data. Patrząc na kalendarze ustalone przez KE, wprowadzenie tego aktu w życie później niż w 2015 r. sugerowałoby, że KE już powinna przyznawać się, że już nie wypełni agendy cyfrowej i że agenda cyfrowa nie zostanie zrealizowana.</u>
          <u xml:id="u-14.2" who="#GIODOWojciechWiewiorowski">Jeżeli chodzi o to współdziałanie między organami ochrony danych osobowych i o uwspólnianie ich procedur… organy ochrony danych osobowych w UE bardzo różnią się od siebie, natomiast niespecjalnie różnią się w ramach tego, co nazywamy ochroną danych osobowych. Otóż w wielu krajach UE istnieją organy, które zajmują się ochroną informacji. Mają one znacznie szerszy zakres działania niż polski GIODO. Najczęściej są odpowiedzialne również za dostęp do informacji publicznej oraz ponowne przetwarzanie informacji z sektora publicznego. Często odpowiedzialne są także za informację niejawną. Często odpowiedzialne są również za kontrolę nad służbami specjalnymi.</u>
          <u xml:id="u-14.3" who="#GIODOWojciechWiewiorowski">W Polsce, jak mówię, mamy tylko organ ochrony danych osobowych. Nie mamy osobnych istniejących organów odnośnie do tych pozostałych elementów. Także GIODO nie przyznano takich uprawnień.</u>
          <u xml:id="u-14.4" who="#GIODOWojciechWiewiorowski">Mogę więc powiedzieć, że procedury są bardzo zbliżone, jeśli chodzi o ochronę danych osobowych. Natomiast prawdą jest, że te organy bardzo różnią się od siebie, ponieważ często zajmują się innymi zagadnieniami. Procedury uwspólniające i procedury spójności są przez nas – rzeczników ochrony danych osobowych w UE – uznawane za najważniejsze wyzwanie przed jakim stoimy. To znaczy, musi być tak, że każdy konsument informacji, chcąc złożyć skargę, może złożyć tę skargę u swojego rzecznika ochrony danych osobowych w swoim kraju, z drugiej strony musi być tak, że przedsiębiorca działa z terenu swojego kraju członkowskiego, co oznacza, że współpraca między tym organem, u którego została złożona skarga a tym organem, z którego kraju pochodzi przedsiębiorca, jest absolutnie niezbędnym minimum do działania, jednocześnie pod pewną kontrolą ze strony owej Europejskiej Rady Ochrony Danych.</u>
          <u xml:id="u-14.5" who="#GIODOWojciechWiewiorowski">Podam praktyczny przykład tego, jak próbujemy się do tego przygotować. Część z państwa zapewne wie, że firma Google ogłosiła nową politykę prywatności, która ma zacząć obowiązywać od 1 marca bieżącego roku. Rzecznicy ochrony danych osobowych postanowili: „nie będziemy wydawali 27 opinii na temat polityki prywatności Google, które w 27 krajach będą statuowały 27 sposobów działania Google’a, bo to po prostu nie ma najmniejszego sensu; w związku z tym przygotujmy wspólną opinię 27 krajów”. Taka wspólna opinia ma zostać przygotowana do 1 marca.</u>
          <u xml:id="u-14.6" who="#GIODOWojciechWiewiorowski">Co prawda, zasugerowaliśmy Google, aby przesunął datę wprowadzenia tej polityki prywatności tak, abyśmy na pewno doprowadzili do tego, że będzie jedna opinia, która im pomoże, ale z drugiej strony, że będzie to naprawdę przestudiowana opinia. W ciągu tych najbliższych pozostałych nam dwóch opinii chcemy doprowadzić do przygotowania opinii 27 krajów jednocześnie.</u>
          <u xml:id="u-14.7" who="#GIODOWojciechWiewiorowski">Wyznaczyliśmy organ, który jest tutaj organem wiodącym. Jest to francuski organ – Krajowa Komisja ds. Ochrony Informacji i Wolności… pan dyrektor podpowiada mi… tzw. CNIL. Ona jest instytucją wiodącą. Polski GIODO jest jednym z 5 organów wspomagających bezpośrednio CNIL w przygotowaniu tej opinii. Powiedziałbym, że to jest taki duży przykład.</u>
          <u xml:id="u-14.8" who="#GIODOWojciechWiewiorowski">Odczuwamy, że największym problemem, z którym musimy sobie poradzić, są te małe sprawy, a więc indywidualne osoby zgłaszające skargi dotyczące przedsiębiorcy, który działa poza terenem naszego kraju oraz sytuacja przedsiębiorcy, który chciałby działać na rynku całej UE.</u>
          <u xml:id="u-14.9" who="#GIODOWojciechWiewiorowski">Podam znowu drugi przykład czegoś, co jest dla mnie jako GIODO w Polsce przeszkodą. Otóż istnieje taka koncepcja jak wiążące reguły korporacyjne. Wiążące reguły korporacyjne to jest pewien kodeks działania przyjmowany wewnątrz dużej korporacji międzynarodowej zapewniający odpowiednią ochronę danych osobowych. W Europie w wielu krajach przyjęto już rozwiązanie wzajemnego uznawania tego typu kodeksów. Jeżeli jeden z organów ochrony danych osobowych zdecyduje, że ta korporacja prawidłowo chroni dane osobowe, to inne organy ochrony danych osobowych podporządkowują się takiej decyzji. Ja jako GIODO nie mogę tego zrobić w Polsce a bardzo bym chciał. Naprawdę wierzę moim francuskim i irlandzkim kolegom, że oni prawidłowo ocenili te korporacje i bardzo chciałbym, żebym mógł w taki sam sposób oceniać polskie korporacje i powodować, żeby mogły one spokojnie działać na terenie całego świata.</u>
          <u xml:id="u-14.10" who="#GIODOWojciechWiewiorowski">Problem jest bardzo prosty – jako organ administracji publicznej w Polsce mogę działać tylko na podstawie prawa i tylko w granicach przepisów prawnych, jak to mówi art. 7 Konstytucji RP. Ani w prawie polskim, ani w prawie europejskim nie ma w tej chwili żadnych przepisów o wiążących regułach korporacyjnych, w związku z czym ja nie mam podstaw, na bazie których mógłbym uznawać decyzje moich zagranicznych kolegów i jednocześnie dawać im możliwość uznawania moich własnych decyzji. Tego mi brakuje. To daje mi rozporządzenie.</u>
          <u xml:id="u-14.11" who="#GIODOWojciechWiewiorowski">Rozporządzenie w tym zakresie pokazuje krótsze drogi do rozwiązania problemów takich, jak problemy z cloud computingiem czyli właśnie przetwarzaniem danych w chmurach obliczeniowych. Ta kwestia dotycząca wiążących reguł korporacyjnych jest bardzo dobrym narzędziem.</u>
        </div>
        <div xml:id="div-15">
          <u xml:id="u-15.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Dziękuję bardzo panu ministrowi. Czy ktoś z państwa chciałby jeszcze zabrać głos? Bardzo proszę, panie pośle.</u>
        </div>
        <div xml:id="div-16">
          <u xml:id="u-16.0" who="#PoselBorysBudka">Dziękuję, panie przewodniczący. Panie ministrze, ja tylko w takiej kwestii dosyć szczegółowej, która jednak porusza opinię publiczną w różnych krajach europejskich.</u>
          <u xml:id="u-16.1" who="#PoselBorysBudka">Wspomniał pan, że projektowane rozporządzenie PE i Rady UE będzie również regulować kwestię „prawa do zapomnienia danych”. Czy to będzie obejmowało również kościoły i związki wyznaniowe? To jest problem wychodzący poza kwestię administracyjną. Procesy hiszpańskie i portugalskie, które tam były… tamte orzeczenia… Z tej informacji, którą tutaj mamy przed sobą wynika, że „… w szczególności portale społecznościowe”, ale rozumiem, że dotyczy to też wszystkich innych administratorów danych. To wszystko ma być ujednolicone i pojawia się to prawo do zapomnienia danych również w tym aspekcie – bardzo kontrowersyjnym z punktu widzenia chociażby kodeksu kanonicznego czy też innych przepisów wyznaniowych. Dziękuję.</u>
        </div>
        <div xml:id="div-17">
          <u xml:id="u-17.0" who="#GIODOWojciechWiewiorowski">Dziękuję bardzo za to pytanie. Pytanie jest w sumie dużo szersze niż kwestia prawa do bycia zapomnianym. Można powiedzieć, że prawo do bycia zapomnianym obowiązuje wszystkich tych, których obowiązuje rozporządzenie jako całość. Pytanie natomiast brzmi, na ile rozporządzenie będzie się odnosiło do owych szczególnych organizacji, jakimi są kościoły i związki wyznaniowe.</u>
          <u xml:id="u-17.1" who="#GIODOWojciechWiewiorowski">Proszę pamiętać, że obok art. 16 w Traktacie o funkcjonowaniu Unii Europejskiej, który mówi właśnie o prawie do ochrony danych osobowych, znajduje się art. 17 (artykuł po artykule), który mówi o tym, że to państwa członkowskie decydują o tym, jakie są zasady działania kościołów i związków wyznaniowych na ich terytorium, co też rozporządzenie uznaje, uznając, iż art. 17 umożliwia państwom członkowskim wprowadzenie odrębnych zasad dla kościołów i związków wyznaniowych. Dalej przy danych wrażliwych mamy tylko przepisy o przetwarzaniu danych osobowych przez kościoły i związki wyznaniowe. Można więc powiedzieć, że całość decyzji, co do tego, czy rozporządzenie będzie dotyczyło kościołów i związków wyznaniowych, czy też nie będzie ich dotyczyło, zależy od ustrojodawców i ustawodawców w poszczególnych krajach. Tak. Może to jest trochę upraszczające stwierdzenie, bo wciąż pozostaje zasada, że ewentualne wyłączenia w przypadku kościołów i związków wyznaniowych mogą dotyczyć tylko członków kościołów i związków wyznaniowych czyli tylko tych osób, które należą do kościołów i związków wyznaniowych, natomiast tego typu wyłączenia mogą się pojawić.</u>
          <u xml:id="u-17.2" who="#GIODOWojciechWiewiorowski">Na podstawie dzisiejszej sytuacji istniejącej w Europie mogę powiedzieć, że są kraje, które to wprowadzają i są kraje, które tego nie wprowadzają. To zależy od ustroju państwa członkowskiego. Nasz kraj ma tutaj wyłączenia i to wyłączenia bardzo daleko idące, aczkolwiek nie jest jakimś dramatycznym wyjątkiem w stosunku do innych krajów. Niewątpliwie ta dyskusja powróci właśnie w momencie, kiedy będziemy decydowali, co w ustawie o ochronie danych osobowych może wciąż pozostać a co nie.</u>
        </div>
        <div xml:id="div-18">
          <u xml:id="u-18.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Dziękuję bardzo. Wobec faktu, że nie widzę już chętnych do zabrania głosu, jednocześnie wobec wyczerpania porządku posiedzenia zamykam posiedzenie Komisji Sprawiedliwości i Praw Człowieka. Jeszcze raz bardzo serdecznie dziękuję panu ministrowi za inicjatywę zwołania dzisiejszego posiedzenia i za bardzo interesujące przedstawienia problematyki. To nie długość a jakość wykładu decyduje o ocenie a ta wypadła – myślę – ku zadowoleniu nas wszystkich. Serdecznie dziękuję panu ministrowi i wszystkim towarzyszącym gościom. Dziękuję paniom i panom posłom oraz przedstawicielom sekretariatu Komisji Sprawiedliwości i Praw Człowieka.</u>
        </div>
        <div xml:id="div-19">
          <u xml:id="u-19.0" who="#GIODOWojciechWiewiorowski">Chciałbym wszystkim państwu podziękować za czas i uwagę poświęconą temu zagadnieniu.</u>
        </div>
        <div xml:id="div-20">
          <u xml:id="u-20.0" who="#PrzewodniczacyposelStanislawPiotrowicz">Dziękuję bardzo.</u>
        </div>
      </body>
    </text>
  </TEI>
</teiCorpus>