text_structure.xml 108 KB
<?xml version='1.0' encoding='utf-8'?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
  <xi:include href="PPC_header.xml" />
  <TEI>
    <xi:include href="header.xml" />
    <text>
      <body>
        <div xml:id="div-1">
          <u xml:id="u-1.0" who="#PawełPudłowski">Dzień dobry, witam państwa bardzo serdecznie. Otwieram 89. posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Witam państwa posłów i zaproszonych gości. Bardzo serdecznie witam pana ministra i pana doktora odpowiedzialnego za obszar, którym będziemy się dzisiaj zajmowali. Stwierdzam kworum.</u>
          <u xml:id="u-1.1" who="#PawełPudłowski">Porządek dzisiejszego posiedzenia przewiduje rozpatrzenie informacji ministra cyfryzacji na temat zagadnień związanych z wdrożeniem do krajowego porządku prawnego ogólnego rozporządzenia unijnego o ochronie danych osobowych (RODO). Drugi punkt dotyczy uzupełnienia składu podkomisji stałej do spraw polityki rozwoju inteligentnych miast i elektromobilności.</u>
          <u xml:id="u-1.2" who="#PawełPudłowski">Powyższy porządek i materiał członkowie Komisji otrzymali. Czy są uwagi do porządku obrad? Nie słyszę. Stwierdzam, że Komisja przyjęła porządek dzienny posiedzenia bez zmian.</u>
          <u xml:id="u-1.3" who="#PawełPudłowski">Przystępujemy do realizacji punktu pierwszego porządku dziennego. Uprzejmie proszę pana Marka Zagórskiego sekretarza stanu w Ministerstwie Cyfryzacji o przedstawienie informacji.</u>
        </div>
        <div xml:id="div-2">
          <u xml:id="u-2.0" who="#MarekZagórski">Dzień dobry państwu. Panie przewodniczący, Wysoka Komisjo, szanowni państwo, proponuję, że opowiem w tej chwili o kilku głównych elementach. Potem, z uwagi na szerokość tego zagadnienia oraz jego skomplikowanie, myślę, że najprościej będzie, jeżeli oddamy się do dyspozycji państwa posłów i postaramy się udzielić odpowiedzi na pytania związane z przebiegiem legislacyjnym.</u>
          <u xml:id="u-2.1" who="#MarekZagórski">Na wstępie chciałbym powiedzieć, że oczywiście kwestią absolutnie podstawową jest to, że rozporządzenie unijne o ochronie danych osobowych, które w skrócie nazywamy RODO, wchodzi w życie 25 maja i zaczyna obowiązywać wprost. W związku z bardzo dużym szumem medialnym w tej sprawie oraz zainteresowaniem, skądinąd bardzo słusznym, chcę powiedzieć, że cały czas staram się uspokajać wszystkich, że to jest po pierwsze ważna, istotna zmiana wprowadzająca cały szereg nowych przywilejów. To jest bardzo ważne, żebyśmy patrzyli na to rozporządzenie po pierwsze z punktu widzenia ochrony interesów obywateli i konsumentów, a nie obowiązków, jakie nakłada. Z takimi informacji i poglądami się spotykamy – że to rozporządzenie oraz przepisy, nad którymi pracujemy w rządzie, będą negatywnie oddziaływać na obywateli. Wręcz przeciwnie. Pamiętajmy, że celem rozporządzenia – być może z różnych punktów widzenia nadmiarowego, zwłaszcza z punktu widzenia niektórych przedsiębiorców – jest ochrona danych osobowych, zwiększenie poziomu ochrony danych osobowych i wprowadzenie kilku instrumentów w sposób ewidentny mających stawiać w lepszej pozycji obywateli, których dane osobowe są przetwarzane przez biznes oraz administrację. To jest pierwsze zastrzeżenie.</u>
          <u xml:id="u-2.2" who="#MarekZagórski">Drugie zastrzeżenie dotyczy tego, że oczywiście tak jak powiedziałem – to rozporządzenie nakłada cały szereg obowiązków na przedsiębiorców i na administrację. Nie jest jednak tak, że – pozwolę sobie użyć takiego sformułowania – 25 maja nastąpi jakiś armagedon czy koniec świata. Mówię o tym z pełną świadomością. Oczywiście będzie cały szereg nowych obowiązków i oczywiście zwiększony będzie poziom odpowiedzialności przedsiębiorców, podmiotów przetwarzających dane osobowe, ale nie jest też tak, że mamy tutaj zupełnie nowe zjawisko. Trzeba się do tego przygotowywać, trzeba mieć świadomość nowych przepisów, ale w kontekście ofert na rynku, które się pojawiają, prób wyłudzania od przedsiębiorców środków na szkolenia; dostosowanie się.</u>
          <u xml:id="u-2.3" who="#MarekZagórski">Ostatnio była taka historia, pokazywana przez media, dotycząca bodajże 25 tys. zł kary, o ile nie wprowadzi się jakiegoś rozwiązania, czy jakichś specjalnych wzorów. Przed tym chciałbym bardzo serdecznie i bardzo mocno przestrzec, żeby nie dać się zwariować i nie dać narzucić sobie jakichś rozwiązań czy umów, które później będą kompletnie nieprzydatne i będziemy mieli do czynienia z wyłudzeniem.</u>
          <u xml:id="u-2.4" who="#MarekZagórski">Myślę, że to bardzo istotne i ważne także dla naszych przedsiębiorców, zwłaszcza dla drobnych przedsiębiorców, którzy cały czas słyszą o karach. W świadomości publicznej mamy informację o 20 000 tys. euro kary, które urosło już do mitu i jest takim głównym straszakiem. Musimy pamiętać, że rozporządzenie dotyczyć będzie zarówno osoby prowadzącej zakład fryzjerski, jak i dużej firmy profesjonalnie zajmującej się przetwarzaniem danych osobowych – dużych, potężnych koncernów. W związku z tym kary muszą być dostosowane zarówno do małych, jak i dużych, natomiast podstawą jest miarkowanie kar. Nikt nie będzie na zakład fryzjerski nakładał kary w wysokości 20 000 tys. euro. Przestrzegam przed wsłuchiwaniem się w tego typu absurdalne poglądy, które są powielane trochę bezrefleksyjnie.</u>
          <u xml:id="u-2.5" who="#MarekZagórski">To tyle tytułem wprowadzenia. Teraz o tym, dlaczego pracujemy nad ustawami. Dlatego, że rozporządzenie daje państwom członkowskim swobodę w doregulowaniu pewnych obszarów. Przede wszystkim pozwala na zastosowanie całego szeregu wyłączeń do dyspozycji państwa członkowskiego. To jest jeden element.</u>
          <u xml:id="u-2.6" who="#MarekZagórski">Natomiast drugi związany jest z zasadniczą zmianą, z którą mamy do czynienia. Zmiana ta polega na tym, że jeśli chodzi o administrację, ewentualne wyłączenia czy ewentualne przetwarzanie w sposób szczególny danych osobowych, muszą mieć swoje odzwierciedlenie w przepisach ustawy. Dotyczy to oczywiście wszystkich państw członkowskich. Dlatego też z jednej strony wprowadzamy podstawową ustawę o ochronie danych osobowych, dotyczącą także kwestii funkcjonowania organu odpowiedzialnego za ochronę danych osobowych w danym państwie członkowskim, a z drugiej strony wprowadzamy ustawę – Przepisy wprowadzające, która już sektorowo, w odniesieniu do poszczególnych obszarów, będzie poprawiała aspekty wynikające z podstawowej zależności; że powinniśmy mieć podstawę, umocowanie w ustawie do ewentualnych wyłączeń, odstępstw od rozporządzenia RODO.</u>
          <u xml:id="u-2.7" who="#MarekZagórski">Na jakim jesteśmy w tej chwili etapie i jak wyglądają prace? W tej chwili ustawa o ochronie danych osobowych została skierowana do Sejmu. Pan Marszałek nadał numer druku i trochę jesteśmy ofiarami obecnego trybu prac w Sejmie. Liczyliśmy, że w kwietniu i w maju posiedzeń będzie więcej i z całą pewnością uda nam się przyjąć ustawę do 25 maja. O ile zapowiedzi dotyczące ewentualnego dodatkowego posiedzenia się sprawdzą, to jesteśmy na takim etapie, że przy dużym wsparciu państwa posłów, jesteśmy w stanie przeprowadzić tę ustawę przez Parlament tak, by mogła ona wejść w życie 25 maja.</u>
          <u xml:id="u-2.8" who="#MarekZagórski">Przy czym chcę też powiedzieć, że jeśli chodzi o ustawę główną, to w tej chwili tylko trzy państwa Unii Europejskiej mają przyjęte przepisy. Pan dyrektor mnie poprawi, ale chodzi o Niemcy, Austrię i bodajże Czechy. Przepraszam, Słowację.</u>
          <u xml:id="u-2.9" who="#MarekZagórski">Następna grupa państw, to jest około dziesięciu państw, jest na takim samym etapie jak my, czyli mają ustawy skierowane do Parlamentu. Reszta jest bardzo daleko z przyjęciem jeszcze podstawowej ustawy. Większość państw – tych z czołówki, tych, które idą w pierwszej kolejności – idzie w takim trybie, że przyjmują ustawę zasadniczą, a następnie będą przyjmowały przepisy zmieniające poszczególne ustawy czy poszczególne akty prawne w zależności od tego, jaka jest formuła ustrojowa danego państwa.</u>
          <u xml:id="u-2.10" who="#MarekZagórski">Część z państwa posłów być może miała okazję zapoznać się już z tą ustawą. Ona reguluje kwestię wyłączeń przede wszystkim dla administracji, reguluje kwestie funkcjonowania nowego organu i, jak powiedziałem, mam nadzieję, że jeszcze w tym miesiącu będziemy mogli nad nią wspólnie popracować.</u>
          <u xml:id="u-2.11" who="#MarekZagórski">Jeśli chodzi o pakiet przepisów wprowadzających, to sprawa jest trochę bardziej skomplikowana dlatego, że mówimy o konieczności zmian – przeanalizowaliśmy to w miarę dokładnie i powinniśmy dokonać zmian w prawie 400 ustawach. Przy czym podjęliśmy decyzję, że w pierwszej kolejności skupimy się na ustawach, które rzeczywiście mają wielkie znaczenie – nie mówimy tylko o czyszczeniu przepisów – dla uregulowania danych obszarów, zapewnienia podstawy prawnej do stosowania odstępstw przez administrację. Te zmiany będą dotyczyły 203 ustaw. Nie jest to też nic specjalnego, że tak powiem. Bowiem w Niemczech dokładnie tyle samo ustaw będzie zmienianych w przepisach wprowadzających. Przy czym, jeśli chodzi o przepisy wprowadzające, to wedle naszej wiedzy jeszcze żadne państwo kompletnego pakietu nie wdrożyło.</u>
          <u xml:id="u-2.12" who="#MarekZagórski">Mówię też o tym dlatego, że wszystkie państwa członkowskie, łącznie z Komisją Europejską, będą się trochę tego nowego prawa uczyć w trakcie jego wdrażania. To oczywiście rodzi pewien obszar niepewności, ale z drugiej strony – daje szansę na ukształtowanie pewnej praktyki, która, liczymy na to, będzie bazowała na pragmatyzmie i nie będziemy mieli do czynienia cały czas tylko i wyłącznie z sankcjami. Wszyscy będą się w tym procesie uczyli. Nie dotyczy to tylko Polski.</u>
          <u xml:id="u-2.13" who="#MarekZagórski">Jeśli chodzi o pakiet, to jesteśmy w tej chwili na etapie skierowania go pod obrady Komitetu do Spraw Europejskich Rady Ministrów. Pozostaje on na Komitecie i na 18 kwietnia planujemy jego rozpatrywanie. Mamy nadzieję, że uda nam się do połowy maja, może w drugiej połowie maja, przyjąć ten pakiet przez Radę Ministrów. Chcielibyśmy zdążyć z przyjęciem całego pakietu.</u>
          <u xml:id="u-2.14" who="#MarekZagórski">To jest w tej chwili, nie chcę straszyć, ile to jest stron, pan dyrektor mówi, ja tego głośno nie powiem, ale dużo. Cały ten pakiet wraz z uzasadnieniem ma 800 stron.</u>
          <u xml:id="u-2.15" who="#MarekZagórski">Chciałbym, żebyśmy mieli świadomość, ile pracy nas czeka. To też tłumaczy, dlaczego tyle czasu nam to zajmuje. Ministerstwo Cyfryzacji jest w tym procesie w pewnej mierze tylko notariuszem i organizatorem prac, dlatego że dokonujemy zmian w przepisach sektorowych, za które odpowiedzialne są poszczególne ministerstwa. Liczymy i chcielibyśmy, żeby pakiet został przyjęty przed wakacjami parlamentarnymi. Jest na to w tej chwili szansa.</u>
          <u xml:id="u-2.16" who="#MarekZagórski">To tyle tytułem wprowadzenia i powiedzenia, na jakim etapie prac jesteśmy. Tak jak powiedziałem, jesteśmy do dyspozycji i postaramy się udzielić odpowiedzi na pytania państwa posłów. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-3">
          <u xml:id="u-3.0" who="#PawełPudłowski">Bardzo dziękuję, panie ministrze. Jest to już któreś posiedzenie, dotyczące RODO. Pamiętam, że chyba prawie rok temu zwracaliśmy uwagę na to, że prosimy o przyspieszenie prac. Ja jako przedsiębiorca muszę państwu powiedzieć, że nie przyjmuję takiego wytłumaczenia i obawiam się procedowania znowu pod ogromną presją czasu tak ważnego dokumentu.</u>
          <u xml:id="u-3.1" who="#PawełPudłowski">Owe 20 000 tys. euro astronomicznej kary potraktujemy jako symbol. Z dwóch milionów przedsiębiorców w Polsce większość będzie z przerażeniem przyjmowała nawet karę w kwocie 2 tys. zł. Nie ma znaczenia to, że tłumaczymy, że te 20 000 tys. euro to jakaś abstrakcja. Jeżeli przedsiębiorca prowadzi działalność opierającą się na zbiorze danych osobowych i nie wie do końca, jak będzie działał, to nie możemy mu zostawić tygodnia czy dwóch na przygotowanie się do przeprowadzenia tych zmian. To jest po prostu niepoważne, to jest złe traktowanie polskich przedsiębiorców, którzy, przypomnę, generują główne PKB w Polsce. Robią to nie firmy państwowe, tylko właśnie mali i drobni przedsiębiorcy, którzy działają i którzy będą działali w opresji czasu.</u>
          <u xml:id="u-3.2" who="#PawełPudłowski">Zresztą tak samo jak posłowie. Tych 800 stron do przerobienia jakościowego w ciągu jednego posiedzenia, bo do tego się to sprowadzi, jeżeli nie będzie dodatkowego posiedzenia i będziemy chcieli zdążyć do 25 maja – to jest po prostu niepoważne traktowanie polskich przedsiębiorców. Nie znajduję na to wytłumaczenia, ponieważ, podkreślam – jako Komisja zwracaliśmy na to uwagę od ponad roku. Materiał jest nam znany, rozporządzenie Unii Europejskiej jest nam znane. Jest to ważny obszar, który albo został przez państwo zaniechany, albo nie znajduję na to wytłumaczenia. Skupianie się bowiem na innych rzeczach, które czekają w kolejce na decyzję rządu, raczej nie zostaną skierowane pod obrady Sejmu… Nieodpowiednie procedowanie tej ustawy jest groźne, niepotrzebne i wprowadzi zamęt. Tak uważam.</u>
          <u xml:id="u-3.3" who="#PawełPudłowski">Niemniej jednak, otwieram dyskusję. Pierwszy zgłosił się pan przewodniczący Arndt. Bardzo proszę.</u>
        </div>
        <div xml:id="div-4">
          <u xml:id="u-4.0" who="#PawełArndt">Bardzo dziękuję, panie przewodniczący. Panie ministrze, ja trochę w duchu tego, co powiedział pan przewodniczący. Szansa, że do 25 maja zdążymy jest właściwie znikoma. Nawet, jeśli odbyłoby się dodatkowe posiedzenie w kwietniu, to nie wyobrażam sobie, żebyśmy mogli przyjąć tak obszerną ustawę podczas jednego posiedzenia. Kolejne posiedzenie jest w maju, potem jest jeszcze Senat, pan prezydent, który ma 21 dni. W moim przekonaniu szansa na to, żeby przepisy te obowiązywały od 25 maja jest znikoma.</u>
          <u xml:id="u-4.1" who="#PawełArndt">Teraz pytanie: co się stanie, jeżeli rzeczywiście nie zdążymy uchwalić przepisów tej ustawy do 25 maja? To jest jedna rzecz.</u>
          <u xml:id="u-4.2" who="#PawełArndt">Natomiast przepisy wprowadzające, zmiany owych kilkuset ustaw, o których pan minister mówił, są już w ogóle sprawą dość skomplikowaną i złożoną. Mam pytanie, czy, tak jak nazwa wskazuje, przepisy wprowadzające nie powinny być uchwalone przed ustawą główną, a przynajmniej razem z tą ustawą? Czy ta ustawa będzie mogła obowiązywać, jeżeli przepisy wprowadzające będą daleko w polu?</u>
          <u xml:id="u-4.3" who="#PawełArndt">Może ostatnia rzecz. Czy panu ministrowi wiadomo, jakie komisje będą pracowały nad tym projektem czy projektami? My do tej pory nie mamy bowiem pewności, czy projekt trafi do naszej Komisji.</u>
        </div>
        <div xml:id="div-5">
          <u xml:id="u-5.0" who="#PawełPudłowski">Bardzo dziękuję, panie przewodniczący.</u>
          <u xml:id="u-5.1" who="#PawełPudłowski">Teraz pan poseł Wojciech Bakun, a później pan poseł Marchewka. Bardzo proszę.</u>
        </div>
        <div xml:id="div-6">
          <u xml:id="u-6.0" who="#WojciechBakun">Panie ministrze, ja również myślę podobnie. Kuriozalna jest sytuacja, kiedy bardzo ważne przepisy, przepisy, których niespełnienie zagrożone jest poważną sankcją, bo możemy mówić, tak jak wspomniał pan przewodniczący Pudłowski, że to jest pewna abstrakcja – 20 000 tys. euro kary… Natomiast jest to pewnego rodzaju straszak, bo tak naprawdę nigdy nie wiemy, ile ta kara będzie wynosić.</u>
          <u xml:id="u-6.1" who="#WojciechBakun">Inną sprawą jest to, że z doniesień medialnych dochodzą do nas głosy, że ministerstwo zamierza wprowadzać przepisy chociażby wyłączające przedsiębiorstwa do 250 pracowników. Oczywiście z naszego punktu widzenia jest to krok w dobrą stronę, natomiast czy nie zostanie ono zwyczajnie odrzucone przez Unię Europejską jako niezgodne z przepisami unijnymi? To jest jedna rzecz.</u>
          <u xml:id="u-6.2" who="#WojciechBakun">Kolejnym problemem jest to, że wszystkie wyłączenia i przepisy wprowadzające, chociażby dla organizacji pożytku publicznego, nie tylko dla firm, bo tam są osobne dla banków, dla ubezpieczyli czy chociażby dla stowarzyszeń… W tej chwili na rynku funkcjonuje co najmniej kilkaset firm, które proponują szkolenia z RODO. Oczywiście nie ma to nic wspólnego z tym, jak będą wyglądały te przepisy, bo nikt nie wie, jak będą ostatecznie wyglądały.</u>
          <u xml:id="u-6.3" who="#WojciechBakun">Sytuację mamy naprawdę kuriozalną. Każemy się przygotować przedsiębiorcom, stowarzyszeniom, wszystkim na wprowadzenie RODO. Te osoby oczywiście od dłuższego czasu funkcjonują w abstrakcyjnym otoczeniu, bo posługują się tylko tym, co jest w dyrektywie unijnej, a my w tej chwili zmieniamy i doprecyzowujemy. Nie wyobrażam sobie, żeby przedsiębiorcy i wszyscy zobowiązani do wprowadzenia RODO do 25 maja, na miesiąc przed nie mieli jeszcze jasnych wytycznych, a mówimy o tym, że w zasadzie mamy jeszcze tylko jedno posiedzenie do 25 maja.</u>
          <u xml:id="u-6.4" who="#WojciechBakun">Kiedy mamy to przeprocedować? Kiedy mamy zostawiony termin dla Senatu? Kiedy mamy zostawiony termin dla pana prezydenta? I jeszcze przepisy wprowadzające, które będą jakąś całkowitą abstrakcją, bo do wakacji.</u>
          <u xml:id="u-6.5" who="#WojciechBakun">Myślę, i również z takim samym uzasadnieniem jak panowie przewodniczący i wiceprzewodniczący, nie przyjmuję do końca takiego tłumaczenia, że wszystko się uda. Dziękuję.</u>
          <u xml:id="u-6.6" who="#WojciechBakun">Bardzo dziękuję, panie pośle. Pan poseł Arkadiusz Marchewka. Bardzo proszę.</u>
        </div>
        <div xml:id="div-7">
          <u xml:id="u-7.0" who="#ArkadiuszMarchewka">Dziękuję, panie przewodniczący. Panie ministrze, szanowni państwo, kwestia implementacji rozporządzenia RODO jest niezwykle istotna, to po pierwsze. Rzeczywiście jednak cały proces jego wdrażania wzbudza wiele wątpliwości, szczególnie w kontekście przedsiębiorców, którzy wielokrotnie zostali wspomniani we wcześniejszych wypowiedziach.</u>
          <u xml:id="u-7.1" who="#ArkadiuszMarchewka">Chciałbym przytoczyć kilka faktów i zwrócić uwagę na pewne kwestie, które moim zdaniem zostały zaniedbane albo nieprawidłowo zrealizowane.</u>
          <u xml:id="u-7.2" who="#ArkadiuszMarchewka">Po pierwsze, badania, które przeprowadził generalny inspektor ochrony danych osobowych, wskazują, że – są to informacje sprzed ponad miesiąca, ale to są ostatnie badania – jedynie 8% przedsiębiorców rozpoczęło jakiekolwiek przygotowania do wdrażania rozporządzenia. Ci przedsiębiorcy zdecydowanie wskazują, że brakuje im pomocy ze strony organów władzy publicznej w celu dostosowania się do nowych przepisów. Dotyczy to szczególnie: szerszej informacji dla małych firm, które nie wiedzą, w jaki sposób ogólne rozporządzenie o ochronie danych osobowych znajduje w stosunku do nich zastosowanie, edukacji w zakresie nowych obowiązków, omówienia zmienianych w ogólnym rozporządzeniu o ochronie danych osobowych zasad profilowania oraz podejścia opartego na ryzyku i rozliczalności, wytycznych odnoszących się do nowych obowiązków wyjaśnianych na konkretnych przykładach, komunikacji na temat ogólnego rozporządzenia o ochronie danych osobowych w internecie, braku szkoleń on-line, szczególnie w formie e-learningu.</u>
          <u xml:id="u-7.3" who="#ArkadiuszMarchewka">Jednym z działań, które zostało wdrożone przez Ministerstwo Cyfryzacji, jest stworzenie poradnika elektronicznego. Jest on jedną z niewielu form wsparcia dla przedsiębiorców, dotyczącą tego, w jaki sposób mają oni wdrażać działania. Jednak znajduje się w nim przede wszystkim interpretacja przepisów rozporządzenia zamiast tego, w jaki sposób krok po kroku przedsiębiorcy powinni podchodzić do tego, aby owe działania wdrażać. To są kwestie, które wzbudzają oczywiście wiele wątpliwości. To jest po pierwsze.</u>
          <u xml:id="u-7.4" who="#ArkadiuszMarchewka">Po drugie, chciałbym zapytać pana ministra o kilka najistotniejszych moim zdaniem kwestii, które są zawarte w projekcie nowej ustawy. Pierwszą jest kwestia dotycząca generalnego inspektora ochrony danych osobowych i powołania nowego urzędu, tj. urzędu ochrony danych osobowych, na czele którego stanie prezes.</u>
          <u xml:id="u-7.5" who="#ArkadiuszMarchewka">Zastanawiam się, jaki to ma sens, skoro generalny inspektor ochrony danych osobowych jest kimś, kogo powszechnie rozpoznają przedsiębiorcy i osoby zajmujące się ochroną danych osobowych. 80% osób, które się tym zajmują i które biorą udział w badaniu, wskazuje, że GIODO, które te kwestie prowadzi, jest odpowiednim organem, aby takie sprawy zgłaszać.</u>
          <u xml:id="u-7.6" who="#ArkadiuszMarchewka">Zastanawiam się, po co burzyć dobrze funkcjonujący porządek prawny, tylko po to, żeby stworzyć nowy urząd. Zostawiam kwestie zatrudnienia ponad 100 nowych osób w biurze, to jest kwestia wtórna. Jest to sprawa, która wzbudza moją dużą wątpliwość, tj. ustanawianie nowego urzędu w miejscu, w którym funkcjonuje coś, co jest dobrze rozpoznawalne i funkcjonuje w przestrzeni publicznej od wielu lat, z czego generalnie zdają sobie sprawę przedsiębiorcy i inni zajmujący się ochroną danych osobowych. Nie wiem zatem, po co ten porządek burzyć.</u>
          <u xml:id="u-7.7" who="#ArkadiuszMarchewka">Kolejna jest kwestia wyłączeń. Oczywiście na etapie konsultacji społecznych zapisy te nie zostały przedstawione. Dopiero na etapie prac Rady Ministrów zostały wprowadzone ograniczenia i zwolnienia organów administracji państwowej z obowiązku informowania obywateli, że przekazują między sobą dane osobowe. Moim zdaniem stanowi to ograniczenie praw osób, których dotyczą dane, a przecież zgodnie z RODO każdy obywatel ma prawo być informowanym, co się dzieje z jego danymi.</u>
          <u xml:id="u-7.8" who="#ArkadiuszMarchewka">Zgadzam się z tym stwierdzeniem, że rzeczywiście np. realizacja obowiązków informacyjnych dotyczących wykorzystania samej bazy PESEL byłaby bardzo trudna i utrudniałaby zadania władzy publicznej, nie ulega to wątpliwości. Dlaczego w takim razie nie można tych obowiązków ograniczyć tylko do bazy PESEL, a zwalniać wszystkie organy administracji publicznej? Nie widzę takiego powodu, skoro, tak jak powiedział pan minister, każdy kto prowadzi podmiot gospodarczy, np. sklep internetowy czy cokolwiek, musi prowadzić taki rejestr. Nie wiem więc, dlaczego organy administracji publicznej miałyby być z tego zwolnione, a obywatel nie miał prawa wiedzieć, dlaczego tak się dzieje.</u>
          <u xml:id="u-7.9" who="#ArkadiuszMarchewka">Uważam, że zwolnienia z obowiązków w tym kontekście wszystkich organów władzy publicznej jest wyjściem poza zapisy przewidziane w RODO. Nie gwarantuje to oczywiście odpowiedniej ochrony i praw osobom, których dotyczą te dane.</u>
          <u xml:id="u-7.10" who="#ArkadiuszMarchewka">Chciałbym więc pana ministra na początek zapytać o te kwestie. Oczywiście zdaję sobie sprawę, że na kolejnym etapie procesu legislacyjnego będziemy rozmawiać o szczegółowych zapisach – czy to na komisjach czy na sali plenarnej. Myślę jednak, że na pierwszym etapie, kiedy znamy już projekt nowej ustawy, warto poruszyć te najistotniejsze i dosyć ogólne kwestie. Dziękuję.</u>
        </div>
        <div xml:id="div-8">
          <u xml:id="u-8.0" who="#PawełPudłowski">Bardzo dziękuję, panie pośle. Zgłasza się pan poseł Paweł Kobyliński. Bardzo proszę.</u>
        </div>
        <div xml:id="div-9">
          <u xml:id="u-9.0" who="#PawełKobyliński">Dziękuję, panie przewodniczący. Szanowna Komisjo, panie ministrze, chciałbym zapytać pana jako osobę, która pracuje w ministerstwie, czy fakt odwołania pani minister Streżyńskiej miał duży wpływ na to, że prace nad ustawą tak się ślimaczą? Dwa – kto odpowiada za te opóźnienia? Trzy – jeśli chodzi o przedsiębiorców, czy planujecie państwo jakąś karencję w egzekwowaniu rozporządzenia?</u>
          <u xml:id="u-9.1" who="#PawełKobyliński">Nie wyobrażam sobie bowiem takiej sytuacji, że ono wejdzie, a my będziemy musieli jak zwykle uchwalić to, co rząd… to znaczy my akurat jako opozycja pewnie nie, ale arytmetyka jest bezwzględna. Prawdopodobnie zrobimy dokładnie to, co państwo narzucą większości. Będzie to prawdopodobnie znowu tak, że ostatnim przepisem będzie to, że ustawa wejdzie albo następnego dnia po podpisaniu albo w siedem dni, co jest po prostu dziadostwem, jeśli chodzi o zasady legislacji. Jednak tak już to teraz wygląda. Chciałbym wiedzieć, jak długi będzie okres karencji, czyli to, że po prostu urzędnicy wprost odpuszczą egzekwowanie tych przepisów – skomplikowanych, rewolucyjnych.</u>
          <u xml:id="u-9.2" who="#PawełKobyliński">Ja się akurat zgodzę, że to jest prokonsumenckie, proobywatelskie, jak by na to nie spojrzeć, ale jednak mimo wszystko firmy będą się musiały dostosować. To, co państwo zrobiliście to jest po prostu dziadostwo. W jakichś konstytucjach dla biznesu mówicie, jak to świetnie będzie teraz przedsiębiorcom, jak to będziecie robić dobry klimat dla biznesu. Po czym prace te, jeśli znacie przepisy, ślimaczą się jak mało co. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-10">
          <u xml:id="u-10.0" who="#PawełPudłowski">Dziękuję, panie pośle. Zgłasza się pan przewodniczący Czarnecki. Bardzo proszę.</u>
        </div>
        <div xml:id="div-11">
          <u xml:id="u-11.0" who="#WitoldCzarnecki">Chciałbym tylko zwrócić uwagę panu posłowi, że na posiedzeniach naszej Komisji próbujemy nie używać takich słów jak „dziadostwo”, bo to po prostu nie przystoi, panie pośle.</u>
        </div>
        <div xml:id="div-12">
          <u xml:id="u-12.0" who="#PawełKobyliński">A co to jest? Dziadostwo.</u>
        </div>
        <div xml:id="div-13">
          <u xml:id="u-13.0" who="#WitoldCzarnecki">Biorąc pod uwagę fakt, że jesteśmy, według informacji pana ministra, jednak raczej na początku tabeli albo w jej środku, to nie jesteśmy zbyt opóźnieni w stosunku do innych krajów europejskich. Jak zrozumiałem, dopiero trzy kraje skutecznie wdrożyły te przepisy.</u>
          <u xml:id="u-13.1" who="#WitoldCzarnecki">I prosiłbym o nieużywanie takich słów jak „dziadostwo”. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-14">
          <u xml:id="u-14.0" who="#PawełPudłowski">Dziękuję, panie przewodniczący. Czy ktoś z państwa chciałby na tym etapie dyskusji zabrać głos?</u>
          <u xml:id="u-14.1" who="#PawełPudłowski">Jeśli na razie nie, to pozwolimy panu ministrowi i panu dyrektorowi na odpowiedzi bądź ustosunkowanie się do tych uwag. Bardzo proszę.</u>
        </div>
        <div xml:id="div-15">
          <u xml:id="u-15.0" who="#MarekZagórski">Oczywiście nie zgodzę się i to fundamentalnie z większością wypowiedzi. Już nie będę używał słów, które przed chwilą wypowiedział pan poseł, bo na pewno nie przystoi to Wysokiej Izbie. Natomiast, chcę powiedzieć tak, żebyście mieli państwo świadomość kilku rzeczy.</u>
          <u xml:id="u-15.1" who="#MarekZagórski">Po pierwsze mówimy o rozporządzeniu, tutaj koryguję, nie o dyrektywie, rozumiem, że jest to przejęzyczenie. Rozporządzenie o ochronie danych osobowych wchodzi od 25 maja i w całym tym procesie były dwa lata, żeby wszystkie podmioty zapoznały się z tym rozporządzeniem. Przepisy, jakie wprowadzamy, są przepisami, które mają w jakiś sposób, w marginesie, na jaki pozwala nam rozporządzenie, złagodzić pewne obciążenia w stosunku do administracji w pierwszej kolejności i do przedsiębiorców w kolejności drugiej. Ta kolejność jest dowolna.</u>
          <u xml:id="u-15.2" who="#MarekZagórski">Żeby to zrobić, to z uwagi na wrażliwość tego procesu – bo mówimy o ochronie danych osobowych – Ministerstwo Cyfryzacji od ponad półtora roku prowadzi szeroko zakrojone konsultacje społeczne. Skala tych konsultacji jest spektakularna. Takich konsultacji jeszcze w tym zakresie nie było. Myślę, że wszystkie organizacje pozarządowe, które uczestniczyły w tym procesie, mogą to potwierdzić.</u>
          <u xml:id="u-15.3" who="#MarekZagórski">Dość powiedzieć, że konferencja podsumowująca konsultacje odbyła się w sali kolumnowej Sejmu, uczestniczyło w niej prawie 400 osób – przedstawicieli kilkuset podmiotów, a liczba zgłoszonych uwag w tym procesie ze strony organizacji pozarządowych i organizacji branżowych wyniosła około 700 stron. Zatem, jeżeli ktoś zarzuca nam brak staranności, to bardzo bym prosił, żeby jednak powstrzymać się z takimi ocenami przed zapoznaniem się z tym procesem. Do tego zresztą zachęcam. Zachęcam do wejścia na stronę Ministerstwa Cyfryzacji i zapoznanie się z procesem konsultacji.</u>
          <u xml:id="u-15.4" who="#MarekZagórski">Z jednej strony jest oczywiście interes przedsiębiorców, których bardzo chcemy chronić, ale z drugiej strony mamy ochronę obywateli i ich praw. To, na czym nam zależało, to wyważenie tych dwóch przeciwstawnych interesów.</u>
          <u xml:id="u-15.5" who="#MarekZagórski">Wreszcie, wiele z tych przepisów musieliśmy konsultować z Komisją Europejską tak, żeby nie okazało się później, poniewczasie, że wprowadzamy rozwiązania, które Komisja Europejska zakwestionuje. Jednym z takich zapisów była nasza chęć, którą w dalszym ciągu podtrzymujemy, wyłączenia przedsiębiorców z całego zakresu obowiązków nakładanych przez RODO. Zatem pomijam już to, że ze strony także posłów opozycji, także przedstawicieli partii opozycyjnych mieliśmy informację, kiedy coś takiego się pojawiło, że to jest skandal, że co my w ogóle robimy. Przede wszystkim jednak Komisja Europejska podniosła, że nie możemy tego zrobić w odniesieniu do małych i średnich firm. Próbujemy jeszcze negocjować kwestie zwolnienia mikroprzedsiębiorców. Do tego także służy rozdzielenie tych dwóch procesów – żebyśmy mieli więcej czasu na przekonywanie Komisji Europejskiej, że w przepisach wprowadzających, np. w prawie o działalności gospodarczej, spróbujemy wpisać przepisy wyłączające.</u>
          <u xml:id="u-15.6" who="#MarekZagórski">Chcę powiedzieć, jak to jest skomplikowane. Niemcy, którzy przygotowywali taką ustawę, poszli – że tak powiem – całą szeroką ławą, jeśli chodzi o wyłączenia dla administracji. Oczywiście, co mówi Komisja Europejska, jak powiedzieliśmy, że chcemy zastosować takie same wyłączenia? Mówi: „Nie, nie, to jest w ogóle niemożliwe, dlatego że przepisy niemieckie są w ogóle niezgodne z RODO, ale zobaczymy”. Generalnie chcę powiedzieć, że cały czas jesteśmy w procesie wykuwania się tego prawa na poziomie Unii Europejskiej, także u nas. To po pierwsze.</u>
          <u xml:id="u-15.7" who="#MarekZagórski">Po drugie, informacja dla pana przewodniczącego – 800 stron będą liczyły przepisy wprowadzające, a nie ustawa, która już jest w Sejmie. Powiedziałem o tych 800 stronach; to nie jest dla nas powód do chwały. Uważam, że to bardzo źle, że musimy przygotować taki projekt, który zmienia ponad 200 ustaw. Mówię o przepisach wprowadzających. Jednak, tak jak powiedziałem – w Niemczech mają podobnie. To jest w ogóle dyskusja na temat tego, jak skomplikowane jest prawodawstwo unijne, jak ono wpływa później na nasz proces legislacyjny, na nasze prawo. Tak jest i nie jesteśmy tutaj osamotnieni. Nie przytaczam przykładów, które mówią o tym, na jakim etapie są inne państwa europejskie, żeby traktować to jako wytłumaczenie, tylko, żeby przypomnieć i pokazać, że to jest bardzo skomplikowany proces, którego wszyscy się uczą.</u>
          <u xml:id="u-15.8" who="#MarekZagórski">Teraz jeszcze chwilę o karencji, czy będzie zastosowana karencja, zanim jeszcze przejdę do szczegółowych odpowiedzi na inne pytania. Jeśli chodzi o karencję, to trzeba na to spojrzeć w ten sposób: wszystkie sankcje, zalecenia, rekomendacje, dotyczące tego, jak będzie przebiegała tak naprawdę implementacja RODO będą zależały przede wszystkim od urzędu ochrony danych osobowych – w każdym państwie członkowskim. Dlatego, że to on będzie stosował praktykę. I to on, oczywiście w porozumieniu z innymi organami ochrony danych osobowych w państwach członkowskich, w porozumieniu z Komisją Europejską będzie stanowił praktykę w tym zakresie.</u>
          <u xml:id="u-15.9" who="#MarekZagórski">Nie wyobrażam sobie, żebyśmy w jakimkolwiek państwie członkowskim, w tym w Polsce, do czasu wykucia się trochę tej praktyki, mieli do czynienia z jakimś procesem specjalnego, rygorystycznego podejścia do przedsiębiorców. Wierzymy w racjonalność, chwalonego przez państwa skądinąd za profesjonalizm, GIODO; aczkolwiek jest jeden wątek, z którym się nie zgadzam, jednak akurat z tym, że GIODO jest organem profesjonalnym się zgadzam. Natomiast o tym musimy pamiętać – że ten proces cały czas będzie trwał. Praktykę funkcjonowania tego organu ukształtuje także to, w jaki sposób przepisy te będą stosowane.</u>
          <u xml:id="u-15.10" who="#MarekZagórski">Pan poseł Arndt pytał, co się stanie, jeśli nie zdążymy do 25 maja. Będzie jakiś czas – tydzień być może dwa, zależy jaki będziemy mieli poślizg legislacyjny – w którym niektóre przepisy wyłączające RODO nie będą jeszcze obowiązywały. Tak się może stać. Natomiast, czy to będzie miało jakieś konsekwencje? Można sobie wyobrazić oczywiście takie, że następnego dnia po wejściu RODO w życie pracownicy Generalnej Inspekcji Danych Osobowych, bo to jeszcze oni będą w takiej sytuacji, rozpoczną proces dotkliwego karania przedsiębiorców, że się nie przygotowali. Mówmy jednak o rzeczach realnych, a nie lekko absurdalnych. Tak się nie zdarzy. Jeszcze raz podkreślam – liczymy na to, że zdążymy. I jeszcze raz chcę powiedzieć, że to, że doszliśmy do momentu, w którym mamy ryzyko niezdążenia na czas, wynika z iluś czynników, jakie się na to złożyły, także długotrwałego procesu konsultacji, bo chcieliśmy to zrobić jak najlepiej.</u>
          <u xml:id="u-15.11" who="#MarekZagórski">Aczkolwiek pełna zgoda i przyjmuję na siebie odpowiedzialność, że nie jest to najlepsza i najbardziej idealna sytuacja. To, że w innych państwach wygląda to tak, a nie inaczej na pewno nas nie tłumaczy.</u>
          <u xml:id="u-15.12" who="#MarekZagórski">Nie wiem też, jakie komisje będą nad tym pracowały. To bardziej pytanie do prezydium Sejmu, do jakich komisji skieruje. Byłbym oczywiście bardzo zadowolony, gdybyśmy mogli nad tym pracować razem z państwem, ale decyzja będzie prezydium Sejmu.</u>
          <u xml:id="u-15.13" who="#MarekZagórski">Jeszcze raz powtórzę. Jeżeli ktoś mówi, że przedsiębiorcy nie wiedzą, jak będzie wyglądało to prawo, to mówię jeszcze raz, że o tym, jakie będzie prawo wiadomo od dwóch lat. Rozporządzenie wchodzi. Tutaj mówimy o tym, co nam się uda ewentualnie poprawić.</u>
          <u xml:id="u-15.14" who="#MarekZagórski">Przygotowaliśmy cały zestaw materiałów. Jest przewodnik, o którym mówił pan poseł Marchewka, podobny przewodnik przygotowało Ministerstwo Przedsiębiorczości i Technologii. W ostatnim czasie praktycznie raz w tygodniu pan dyrektor Kawecki ma telekonferencję w ramach videostreamingu dla wszystkich, którzy zapiszą się na stronie internetowej. W zasadzie nie wychodzi z mediów. Ostatnio nawet mu zabroniłem pokazywania się tak często, dlatego że oprócz informowania, musimy też pracować.</u>
          <u xml:id="u-15.15" who="#MarekZagórski">Chcę też powiedzieć, że nie tylko minister cyfryzacji jest odpowiedzialny za proces informowania i komunikacji, także generalny inspektor ochrony danych osobowych, który też prowadzi taki proces informacyjny. Na pewno nie jest to poziom wystarczający, zdajemy sobie z tego sprawę. Nigdy bowiem dość informacji.</u>
          <u xml:id="u-15.16" who="#MarekZagórski">Co do tego, o co pytał pan poseł Marchewka, tj., dlaczego zmieniamy dobrze funkcjonujący urząd. Zatem potrzebę zmian wymusza częściowo samo rozporządzenie. Zmienia się także charakter organu. W tej chwili organ funkcjonuje w modelu zbliżonym do rzecznika praw obywatelskich. Natomiast po wejściu w życie tych przepisów będzie to, poprzez analogię, bardziej model Urzędu Ochrony Konkurencji i Konsumentów. Stąd też potrzeba dokonania takich zmian. Przy czym to też jest tak, że potrzebna jest poprawa funkcjonowania urzędu jako takiego. O ile dobrze pamiętam, rozmawialiśmy kilkukrotnie z państwem na posiedzeniach Komisji o przewlekłości postępowań, które są prowadzone przez GIODO. My ten proces, także w tej ustawie, chcemy usprawnić. Wprowadzamy cały szereg przepisów, łącznie ze skróconym okresem, w którym sprawa ma być rozpatrzona. W związku z tym, zmiany dotyczące urzędu są bezwzględnie potrzebne. Natomiast w toku dyskusji, które się toczyły, myślę, że całkowicie i w sposób jednoznaczny zostały już wyeliminowane wszelkie zarzuty, że mamy ochotę zamachnąć się na niezależność organu. Jesteśmy także w dialogu z Komisją Europejską. Myślę więc, że tutaj tego problemu już nie będzie.</u>
          <u xml:id="u-15.17" who="#MarekZagórski">Natomiast, jeśli chodzi o wyłączenia, o których jest mowa w ustawie, to jeszcze raz przywołam przykład niemiecki. W Niemczech te wyłączenia są dużo, dużo większe od tych, które zastosowaliśmy. Jednocześnie wynika to także z praktyki, o której mówił pan poseł. PESEL nie jest jedynym rejestrem. Gdybyśmy mieli tylko jeden PESEL, to być może myślelibyśmy o bardzo jednostkowym wyłączeniu. Tymczasem tych spraw może być dużo więcej, łącznie z takimi historiami, że dane osobowe były gromadzone kiedyś jeszcze w wersjach papierowych, są zawarte w aktach papierowych. Teraz każdorazowo na przykład uzyskiwanie zgody przez administrację na pobieranie tych danych byłoby kłopotliwe dla administracji, ale przede wszystkim dla obywateli. O tym też pamiętajmy.</u>
          <u xml:id="u-15.18" who="#MarekZagórski">Wydaje mi się, że na tym etapie to tyle.</u>
        </div>
        <div xml:id="div-16">
          <u xml:id="u-16.0" who="#PawełPudłowski">Bardzo dziękuję. W kolejności zgłoszeń – bardzo proszę. Proszę się przedstawić, podać organizację, z której panowie są, i przedstawić swój punkt widzenia. Dziękuję.</u>
        </div>
        <div xml:id="div-17">
          <u xml:id="u-17.0" who="#PiotrDrobek">Dziękuję bardzo, panie przewodniczący. Wysoka Komisjo, Piotr Drobek. Kieruję zespołem koordynującym wdrożenie RODO w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Bardzo przepraszam, że z pewnym opóźnieniem, ale miałem pewne problemy przy wejściu.</u>
          <u xml:id="u-17.1" who="#PiotrDrobek">Jeśli chodzi o opóźnienie z przyjęciem i wejściem w życie nowej ustawy o ochronie danych osobowych, to chciałem bardzo podziękować panu ministrowi za przypomnienie, że RODO jest rozporządzeniem unijnym, stosuje się je bezpośrednio, treść RODO znamy już od ponad dwóch lat. To powinien być punkt wyjścia. W tym sensie, że jeśli chodzi o obowiązki oraz uprawnienia osób, niezależnie od tego, czy ta ustawa zostanie przyjęta i wejdzie w życie, to i tak obowiązki te będą bezpośrednio wynikały z RODO. W tym sensie ważniejszy jest cały proces przygotowania się; ten proces nie powinien się skończyć 25 maja.</u>
          <u xml:id="u-17.2" who="#PiotrDrobek">Jednakże opóźnienia związane z wejściem w życie ustawy o ochronie danych, która – przypomnijmy – w dużym stopniu zawiera przepisy proceduralne, dotyczące przede wszystkim różnych procedur toczących się przed organem ochrony danych osobowych, niewątpliwie będą utrudniały stosowanie RODO w Polsce. Nawet, jeżeli będzie to kilka dni, pojawiają się pewne problemy, które może nie są bezpośrednio problemami organu ochrony danych. Zostałem poproszony przez panią minister, żeby wyraźnie zakomunikować, że nawet w przypadku braku regulacji, będziemy robili wszystko, żeby swoje kompetencje, które wynikają wprost z rozporządzenia, realizować tak, żeby nie można było zarzucić Polsce niewdrażania RODO.W dużym stopniu widzimy rozwiązania. Będziemy się odwoływali do zasad ogólnych, które w polskim prawie funkcjonują i do których będziemy mogli się odwoływać poprzez obecne przepisy ustawy o ochronie danych osobowych.</u>
          <u xml:id="u-17.3" who="#PiotrDrobek">Jednakże musimy pamiętać o tym, że projektowana ustawa wprowadza przepisy przejściowe. Opóźnienie spowoduje konsekwencję dla adresatów tych przepisów przejściowych. Chciałem zwrócić uwagę na kilka przykładów.</u>
          <u xml:id="u-17.4" who="#PiotrDrobek">Po pierwsze mamy w tej chwili instytucję administratora bezpieczeństwa informacji. Jest to osoba wyznaczona np. u przedsiębiorcy bądź w urzędzie publicznym, która nadzoruje przetwarzanie danych osobowych. To taki specjalista, który pomaga administratorowi danych w zakresie monitorowania przestrzegania przepisów w organizacji. By nie nakładać dodatkowych obowiązków administracyjnych, z naszej inicjatywy w projektowanych przepisach pojawił się taki mechanizm, żeby dotychczasowi ABI, czyli administratorzy bezpieczeństwa informacji, którzy, przypominam, od 2015 r. są powoływani dobrowolnie, zostali zastąpieni przez inspektorów ochrony danych. W tym wypadku RODO wymaga od niektórych kategorii podmiotów powołania ich. Jest to obowiązek, który dotyczy całego sektora publicznego. Zatem przechodzimy z modelu dobrowolności na model obowiązkowy.</u>
          <u xml:id="u-17.5" who="#PiotrDrobek">Teraz, żeby nie dodawać dodatkowych wymogów formalnych, związanych z tym, że trzeba na nowo powoływać te osoby, projektowane przepisy przewidują mechanizm przejścia z mocy prawa dotychczasowych administratorów bezpieczeństwa i stanie się inspektorami ochrony danych – przez określony czas. Jednocześnie przepisy te przewidują, że wszędzie tam, gdzie dotąd nie było powołanego administratora bezpieczeństwa informacji, a RODO wprowadza obowiązek wyznaczenia inspektora ochrony danych i to jest dosyć duża grupa, ten obowiązek nie musi być spełniony w dniu 25 maja, tylko do 31 lipca.</u>
          <u xml:id="u-17.6" who="#PiotrDrobek">I teraz: brak przepisów przejściowych spowoduje, że 25 maja te obowiązki trzeba będzie spełnić. W tym sensie jest to bardzo praktyczny aspekt, na który chciałbym zwrócić uwagę. Nie wspominam już o takich elementach, które wiążą się z tym, że bardzo duża część postępowań, jakie toczą się przed generalnym inspektorem, będzie podlegała umorzeniu. Projektowane przepisy przewidują umorzenie z mocy prawa tak, aby nie trzeba było wydawać decyzji o umorzeniu postępowania.</u>
          <u xml:id="u-17.7" who="#PiotrDrobek">Przypomnę, że rocznie zgłoszeń zbiorów danych osobowych – tego obowiązku już nie będzie – jest około 20 tys. Do czasu przyjęcia ustawy, która przewidywałaby, że postępowanie umarza się z mocy prawa, trzeba będzie wydawać decyzje umarzające postępowanie. Przepraszam, że zwracam uwagę na takie praktyczne aspekty, o których powinniśmy pamiętać. Chodzi o to, że urząd teoretycznie, w zależności od tego, jak długi to będzie okres, będzie musiał te 20 tys. – może mniej, np. kilkanaście tysięcy – decyzji wydać tylko po to, żeby potwierdzić, że postępowanie, np. rejestracyjne, nie będzie dalej prowadzone. To są aspekty, na które chciałbym zwrócić uwagę. Z perspektywy większości administratorów obowiązki wynikają już rzeczywiście bezpośrednio z RODO.</u>
          <u xml:id="u-17.8" who="#PiotrDrobek">Chciałbym zwrócić uwagę na jeszcze jeden aspekt. Wiąże się on z działaniami informacyjnymi czy też wzmocnieniem roli organu ochrony danych osobowych. Jeżeli przyjrzelibyśmy się dokładnie konstrukcji funkcjonowania organu obecnie i w nowych przepisach, to zauważymy, że w istocie ta zmiana polega na zmianie nazwy. Jeśli chodzi o zadania i możliwości, to pojawiały się nowe kompetencje, które wynikają po prostu z RODO. Żeby się przygotować do tych zadań, państwa członkowskie są zobowiązane do wyposażenia organów ochrony danych osobowych we właściwe środki. Środki te zostały zaproponowane w budżecie przygotowanym przez generalnego inspektora ochrony danych osobowych na ten rok. Decyzją Sejmu część dotycząca wdrożenia, między innymi RODO, ale również tzw. dyrektywy policyjnej, została przeniesiona do rezerwy celowej.</u>
          <u xml:id="u-17.9" who="#PiotrDrobek">Mamy teraz problem faktyczny, który wiąże się z opóźnieniem wejścia w życie tej ustawy. Niestety na ten moment jakakolwiek możliwość wykorzystania tych środków została uzależniona od wejścia w życie ustawy krajowej o ochronie danych osobowych. Zatem de facto dodatkowe działania, które wymagają – mówimy tutaj o działaniach informacyjnych, które są czymś więcej niż tylko przygotowaniem informatorów i udziałem naszych pracowników w różnych konferencjach, co staramy się robić… Jakakolwiek działalność wymagająca wydatkowania dodatkowych środków, które nie dotyczą bieżącej działalności, będzie możliwa dopiero wtedy, kiedy ustawa wejdzie w życie i Ministerstwo Finansów zgodzi się na wydatkowanie tych środków. To jest taki problem bardziej organizacyjny, związany z tym, jak faktycznie jesteśmy w stanie wdrożyć przepisy RODO.</u>
          <u xml:id="u-17.10" who="#PiotrDrobek">Na koniec chciałbym zwrócić na pozytywny aspekt opóźnienia. Pakiet legislacyjny, który został przyjęty w 2016 r., obejmuje nie tylko RODO, czyli ogólne rozporządzenie o ochronie danych, ale również dyrektywę 2016/680. Dotyczy to organów, które przetwarzają dane w związku z szeroko rozumianymi postępowaniami karnymi. W tej chwili dyrektywa ta powinna być wdrożona do 6 maja. To jest dyrektywa, czyli wymagany jest akt prawny w prawie krajowym. W sytuacji konstrukcji zaproponowanej w projekcie ustawy o ochronie danych osobowych, mamy taki mechanizm, w którym uchyla się dotychczasową ustawę o ochronie danych osobowych. Przyjęcie tej ustawy powoduje, że nie ma materialno-prawnych przepisów o ochronie danych osobowych, które obejmowałyby obszar objęty zakresem przedmiotowym i podmiotowym tzw. dyrektywy policyjnej.</u>
          <u xml:id="u-17.11" who="#PiotrDrobek">W związku z tym, że nie ma jeszcze projektu ustawy, która wdrażałaby dyrektywę, to w momencie przyjęcia ustawy właśnie w takim brzmieniu mielibyśmy sytuację luki. Mielibyśmy obszar, w którym nie byłoby regulacji o ochronie danych osobowych. To ma daleko idące konsekwencje, bo nie jest to tylko kwestia czysto formalna. Istnienie tych przepisów jest warunkiem udziału Polski w strefie Schengen. Istnienie tych przepisów jest warunkiem współpracy Polski w ramach Europolu, udziału Polski w systemie wymiany informacji WIS, Eurodac i innych systemów wielkoskalowych prowadzonych przez Unię Europejską.</u>
          <u xml:id="u-17.12" who="#PiotrDrobek">Aby uniknąć tego ryzyka, opóźnienie w jednej ustawie powoduje, że nie wdrożono do końca tych nowych przepisów, ale są przepisy o ochronie danych osobowych. Nie można Polsce zarzucić luki. W tym sensie mamy gwarancje, które dotąd były akceptowane przy wszelkiego rodzaju ewaluacjach. Zwracam uwagę też na ten aspekt, bo na pewno w dalszych pracach nad ustawą o ochronie danych osobowych, biorąc pod uwagę kalendarz, należy zwrócić uwagę na być może konieczność utrzymania w mocy dotychczasowych przepisów w tym zakresie, przepisów materialno-prawnych w zakresie ochrony danych osobowych.</u>
          <u xml:id="u-17.13" who="#PiotrDrobek">To już jest, proszę państwa, problem wykraczający poza ochronę danych osobowych. Jeszcze raz chciałbym zwrócić uwagę też na to, że mówimy tutaj nie tylko o kwestiach stricte dotyczących ochrony danych osobowych, ale o warunkach korzystania z różnego rodzaju systemów, które znowuż są elementem udziału Polski w mechanizmach przewidzianych przez prawo europejskie. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-18">
          <u xml:id="u-18.0" who="#PawełPudłowski">Bardzo dziękuję. Teraz pan, a później poproszę panią przewodniczącą Bubulę, która zgłasza się do głosu. Bardzo proszę.</u>
        </div>
        <div xml:id="div-19">
          <u xml:id="u-19.0" who="#JacekKosiorek">Jacek Kosiorek z PIRC. Chciałem zwrócić uwagę na parę aspektów technicznych wdrożenia RODO, gdyż na wielu konferencjach, na których miałem przyjemność być, osoby techniczne zastanawiały się, jak chronić informację zawartą na serwerach, komputerach i związanych z tym zawartych tam informacji, jak zabezpieczać je przed skasowaniem, wyjęciem z tych komputerów.</u>
          <u xml:id="u-19.1" who="#JacekKosiorek">Muszę powiedzieć jedną rzecz. Aspekt związany z ochroną systemów komputerowych i zawartych na nich danych jest bardzo skomplikowany i trudny. Jest to droga przez mękę, gdyż, jak stwierdzili informatycy, wyjęcie danych jest kwestią dobrego technika oraz tego, jak długo nad tym posiedzi, jak długo zajmie mu włamanie się do danego systemu. Świetny jest przykład rynku niemieckiego. Pytanie tylko, czy Niemcy są przygotowani czy tylko powiedzieli, że są przygotowani do RODO. Przykład struktur rządowych, gdzie ktoś grzebie w systemach rządowych i pytanie, czy to jest naruszenie RODO czy niekoniecznie.</u>
          <u xml:id="u-19.2" who="#JacekKosiorek">Takie pytanie techniczne: jak chronić końcówkę kabla? Zakładamy, że coś jest na tej końcówce kabla – czy jest podłączony serwer, router. Jest końcówka kabla – jak ją chronić? RODO porusza też ewentualny temat końcówki kabla. Mogę mówić o tym dużo. Aspekt ochrony informacji zawartych na serwerach i backupów, wszelkiego typu innych rzeczy – może się okazać za chwilę, że Polska jest przygotowana do RODO lepiej niż nam się wydaje.</u>
          <u xml:id="u-19.3" who="#JacekKosiorek">Rozdrobnienie technologiczne i pewnego typu różne technologie różnych małych podmiotów telekomunikacyjnych dają dużo trudniejszą skalę naruszenia różnego typu informacji i mniejszą skalę utraty danych niż na przykład włamanie się do jednego dużego podmiotu zawiadującego dużo większą bazą danych, dużo większą bazą klientów i preferencji oraz wszelkiego typu innych rzeczy, które dana firma pozbierała sobie w ramach prowadzenia działalności.</u>
          <u xml:id="u-19.4" who="#JacekKosiorek">Nie chciałbym państwa zanudzać. Temat jest dość trudny i skomplikowany. Myślę, że rozmowy, które prowadziliśmy na konferencjach, są dość istotne. Był taki świetny przykład. Ktoś się włamuje do komputera danej firmy, przychodzi z plikiem danych nagranym na nośnik przenośny i mówi: „Zapłaćcie mi 100 tys. zł i nie zgłoszę do RODO utraty waszych danych”. Co z tym zrobić? Dana firma ma pójść do RODO i sama się podłożyć czy niekoniecznie?</u>
          <u xml:id="u-19.5" who="#JacekKosiorek">Nie będę rozwijał tego tematu, bo jest to temat strasznie trudny, także dziękuję.</u>
        </div>
        <div xml:id="div-20">
          <u xml:id="u-20.0" who="#PawełPudłowski">Dziękuję bardzo. Pani przewodnicząca Barbara Bubula. Bardzo proszę.</u>
        </div>
        <div xml:id="div-21">
          <u xml:id="u-21.0" who="#BarbaraBubula">Panie przewodniczący, panie ministrze, szanowni państwo, wydaje mi się, że kluczowym zagadnieniem jest tutaj nie tylko kwestia czasu, o czym mówili państwo w pierwszej części dyskusji, ale również zagadnienie wyłączenia spod rygorów ustawy najdrobniejszych przedsiębiorstw. Pan minister powiedział bowiem, że są dwie wartości w tym rozporządzeniu, które próbujemy jakoś zrównoważyć. Z jednej strony przedsiębiorczość, z drugiej – prawo ludzi do ochrony ich danych osobowych.</u>
          <u xml:id="u-21.1" who="#BarbaraBubula">Wydaje mi się jednak, że są trzy strony. Mianowicie nie należy do jednego worka wrzucać wielkich firm typu wielomiliardowe globalne korporacje i drobnych przedsiębiorstw, które mają dwu-, trzy- czy czteroosobowy skład osobowy; czy nawet, jeśli będzie to przedsiębiorstwo liczące 30 czy 40 pracowników. Nałożenie tego typu ciężarów oczywiście spowoduje nierównowagę konkurencyjną. To znaczy znowu większy przywilej będzie po stronie tych wielkich, ponieważ oni będą w stanie wdrożyć bardzo rygorystyczne przepisy. Ci mniejsi pod groźbą bardzo dużej kary i procedur, jakie zostają tutaj uruchomione, będą w dużo gorszej sytuacji, łącznie z tym, że będą musieli zamknąć swoją działalność, np. zagrożeni jakąś kontrolą czy procedurą, której nie będą mogli wprowadzić.</u>
          <u xml:id="u-21.2" who="#BarbaraBubula">Stąd wydaje mi się, że zasadnicze jest następujące pytanie. Słyszymy od pana ministra, że Niemcy np. dużo szerzej wprowadzili zwolnienia dotyczące administracji państwowej. Komisja Europejska, czy nie wiem kto na szczeblu Unii Europejskiej, powiedział, że zrobili to niezgodnie z rozporządzeniem. Co by się stało, gdybyśmy my zrobili to niezgodnie z rozporządzeniem i ochronili firmy, może nie do 250 pracowników, a np. do 50 pracowników? Takich firm działających w naszym kraju jest przecież mnóstwo.</u>
          <u xml:id="u-21.3" who="#BarbaraBubula">Może podejmijmy taką próbę? Nie można bowiem wprowadzać sytuacji, w której tak ogromna rzesza ludzi będzie działała w niepewności. Chodzi o to, że będzie przepis, o którym ktoś po cichu powie, że może go nie będzie wprowadzał. Tymczasem wystarczy donos wielkiego konkurenta, któremu przeszkadza firma, np. sklep internetowy, którego nie lubi, bo podkrada mu klientów i już będziemy mieć sprawy o naruszenie RODO, bo jakiś sklep internetowy nie spełnił wymogu.</u>
          <u xml:id="u-21.4" who="#BarbaraBubula">Jestem bardzo gorącą zwolenniczką ochrony danych osobowych, natomiast widzę, że to rozporządzenie… przypominam kolegom z opozycji, zwłaszcza z Platformy Obywatelskiej, że nieszczęsne rozporządzenie było negocjowane za rządów Platformy Obywatelskiej. Jego treść została przyjęta w trakcie rządów Platformy Obywatelskiej. Uważam, że wtedy popełnione były błędy związane z tym, że nie powalczono o interesy małych i drobnych przedsiębiorców. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-22">
          <u xml:id="u-22.0" who="#PawełPudłowski">Dziękuję, pani przewodnicząca. Zgłasza się pani, później pan poseł Marchewka, a później pani, pani i pan, dobrze?</u>
        </div>
        <div xml:id="div-23">
          <u xml:id="u-23.0" who="#JoannaKarczewska">Dzień dobry państwu, nazywam się Joanna Karczewska, jestem ze Stowarzyszenia ISACA Warszawa. Reprezentuję osoby, które bezpieczeństwem informacji i ochroną danych osobowych zajmują się od zawsze. Są to osoby certyfikowane certyfikatami ważnymi na całym świecie. Takie kwestie jak systemy informatyczne oraz to, jak je chronić, mamy w małym palcu.</u>
          <u xml:id="u-23.1" who="#JoannaKarczewska">Chciałabym poruszyć kilka kwestii, które bardzo nas niepokoją. Pragnę zaznaczyć, że nasze stowarzyszenie wyjątkowo zaangażowało się w propagowanie wiedzy o ochronie danych osobowych według nowego porządku, czyli według RODO. Organizujemy spotkania otwarte, angażujemy się też w różne konferencje, wydaliśmy grę „RODO” – tak, żeby jak najszerszy krąg osób mógł się zaznajomić z zasadami zawartymi w nowym rozporządzeniu.</u>
          <u xml:id="u-23.2" who="#JoannaKarczewska">To, co nas wyjątkowo niepokoi to fakt, że temat został przejęty przez prawników. Nie ma żadnych konsultacji z informatykami – z ludźmi, którzy na co dzień zajmują się bezpieczeństwem informacji. Co z tego wynika? Chociażby wypuszczanie wspomnianych już poradników, w których są zawarte bądź bardzo zdawkowe informacje, dotyczące kwestii informatycznych, bądź w ogóle są one pomijane. Skupienie jest tylko i wyłącznie na kwestiach prawnych, bo prawnicy znają się na prawie, a niestety nie na zagadnieniach informatycznych.</u>
          <u xml:id="u-23.3" who="#JoannaKarczewska">Drugą rzeczą jest kwestia, która wyniknęła niedawno. Zostało mylnie przetłumaczone rozporządzenie, szczególnie art. 28 i 29. Tam „documented instructions” przetłumaczono jako „udokumentowane polecenia”. W tej chwili prawnicy interpretują te polecenia jako dodatkowe upoważnienia dla pracowników podmiotów przetwarzających, a nie jako instrukcję dla samego podmiotu przetwarzającego. Dokonaliśmy bardzo starannej analizy w naszym stowarzyszeniu i zadziwiło nas, że można aż tak błędnie interpretować coś, co w innych państwach Unii Europejskiej odbierane jest jednoznacznie. Udostępnię na żądanie każdemu interpretację hiszpańskiego organu nadzoru.</u>
          <u xml:id="u-23.4" who="#JoannaKarczewska">Kolejna kwestia. Właśnie dlatego, że nasze stowarzyszenie bardzo się zaangażowało w propagowanie wiedzy, w tym szczególnie ja, to obserwuję bacznie to, co robią inne organy nadzoru. Jest dla mnie niezrozumiałe, dlaczego nasze wiodące instytucje nie korzystają z bardzo dobrych materiałów innych organów nadzoru, dostępnych już od roku czy półtora. Wystarczy tylko je przetłumaczyć i udostępnić. Koronnym przykładem jest darmowa aplikacja francuskiego organu nadzoru do przeprowadzania oceny skutków dla ochrony danych. Darmowa, dostępna w języku polskim. Osobiście ją tłumaczyłam za darmo. Sama aplikacja też dostępna jest za darmo. Próżno szukać o tym informacji na stronach naszych wiodących instytucji, a wiedzą o tym, bo informowałam o tym. Jest gotowe narzędzie. Ci, którzy już z niego skorzystali, mówią, że jest bardzo przydatne. Myślę szczególnie o samorządach, które nie mają pieniędzy. Przede wszystkim z myślą o nich to przetłumaczyłam. Poświęciłam swój osobisty czas, zrobiłam to pro publico bono. Różne poradniki, chociażby dla małych przedsiębiorstw, również są dostępne. Wystarczy przetłumaczyć.</u>
          <u xml:id="u-23.5" who="#JoannaKarczewska">Nie dalej jak wczoraj oglądałam to, co przygotował brytyjski organ nadzoru. To jest kwestia naprawdę 2–3 dni i ten sam podręcznik jest dostępny w języku polskim. Skoro w ramach harmonizacji wszystkich nas będzie obowiązywać to samo prawo, to nic, tylko korzystać, a nie czekać na ostatnią chwilę. A później się okazuje, że to, co się w końcu ukazuje jest albo lakoniczne albo wręcz z błędami. Mam tutaj taki przykład. Pragnę bowiem zaznaczyć, że w materiale GIODO w rejestrze czynności jest odniesienie do kas chorych, których to już chyba od dawna nie ma. Zatem pojawiają się nawet błędy.</u>
          <u xml:id="u-23.6" who="#JoannaKarczewska">Ostatnią rzeczą, którą zrobiliśmy jako stowarzyszenie właśnie po to, żeby propagować wiedzę o zasadach RODO, jest przyjęcie jawnego sposobu przygotowania naszego stowarzyszenia do RODO. Były omawiane przygotowania. My opublikujemy na naszej stronie rejestr czynności naszego stowarzyszenia oraz naszą politykę bezpieczeństwa informacji. Właśnie po to, żeby pokazać, jak to się robi. Oczekuję, że takie wzory się pojawią – ale rzetelne wzory, a nie odnoszące się do kas chorych – na innych stronach.</u>
          <u xml:id="u-23.7" who="#JoannaKarczewska">Pragnę zwrócić uwagę, że chociażby europejski organ nadzoru propaguje udzielanie takich informacji, wywieszanie zarówno rejestrów czynności, jak i analiz DPiA. To jest zalecenie, które kierują oni do jednostek unijnych – do wszystkich agend i dyrektoriatów. Równie dobrze można to przyjąć tutaj właśnie po to, żeby ratować małe i średnie przedsiębiorstwa oraz mikroprzedsiębiorstwa, sama jestem mikroprzedsiębiorcą, a także stowarzyszenia i biura poselskie, które też są objęte RODO. Dziękuję.</u>
        </div>
        <div xml:id="div-24">
          <u xml:id="u-24.0" who="#PawełPudłowski">Dziękuję bardzo. Poseł Arkadiusz Marchewka, bardzo proszę.</u>
        </div>
        <div xml:id="div-25">
          <u xml:id="u-25.0" who="#ArkadiuszMarchewka">Dziękuję, panie przewodniczący. Panie ministrze, chciałbym zwrócić uwagę na kwestię, która została wskazana przez przedstawiciela generalnego inspektora ochrony danych osobowych w kontekście braku wprowadzenia, czy też działań związanych z wprowadzeniem tzw. dyrektywy policyjnej. Według harmonogramu te przepisy również powinny zacząć obowiązywać w maju, a może nawet wcześniej, bo chyba 6 maja. Można powiedzieć, że dyrektywa policyjna jest drugim elementem reformy danych osobowych.</u>
          <u xml:id="u-25.1" who="#ArkadiuszMarchewka">Jeżeli mówimy o tym, co się dzieje u naszych zachodnich sąsiadów, to Niemcy już przepisy związane z wprowadzeniem dyrektywy policyjnej wdrożyły. Myślę, że jest to niezwykle istotne z tego punktu widzenia, że skoro zostanie uchylona ustawa z 1997 r. o ochronie danych osobowych, to jest duże ryzyko powstania ogromnej wyrwy w systemie ochrony danych i np. instytucje takie jak policja nie będą zobowiązane do przestrzegania tych zasad, bo nie będzie funkcjonować ustawa.</u>
          <u xml:id="u-25.2" who="#ArkadiuszMarchewka">Panie ministrze, wiem, że leży to bardziej po stronie Ministerstwa Spraw Wewnętrznych i Administracji, ale czy w związku z tym, że rząd pracuje nad tymi działaniami, istnieje jakaś koordynacja dwóch procesów? Czy można powiedzieć, że oba te działania są ze sobą powiązane? Czy też raczej jest tak, że wy, jako Ministerstwo Cyfryzacji, robicie swoje, a MSWiA robi swoje? Nie wiem, czy cokolwiek robi. Nie chcę powiedzieć, że niczego nie robi, ale chyba nie ma nawet żadnego projektu wskazanego do dzisiaj. Nie ma odpowiedzi na interpelację, przekraczane są terminy i w sumie istnieje rzeczywiście duże ryzyko. To jest duży problem, którym powinniśmy się zająć, jak myślę, na wspólnym posiedzeniu obu Komisji.</u>
          <u xml:id="u-25.3" who="#ArkadiuszMarchewka">Zgłaszam taki postulat panu przewodniczącemu, abyśmy spróbowali odbyć takie posiedzenie związane właśnie z tą kwestią. Jeżeli okaże się, że jest duża wyrwa w systemie, bo jedna ustawa wchodzi w życie, a ta z 1997 r. przestaje być obowiązującą, to rodzi się zasadnicze pytanie, czy to wszystko zostało dobrze skoordynowane.</u>
          <u xml:id="u-25.4" who="#ArkadiuszMarchewka">Panie ministrze, czy istnieje jakiś proces zależności prac nad dwoma projektami ustaw? Myślę, że jest to niezwykle istotne, a to, co powiedział przedstawiciel GIODO, jest moim zdaniem dużym zagrożeniem, na które powinniśmy zwrócić szczególną uwagę. Dziękuję.</u>
        </div>
        <div xml:id="div-26">
          <u xml:id="u-26.0" who="#PawełPudłowski">Bardzo dziękuję.</u>
          <u xml:id="u-26.1" who="#PawełPudłowski">Najpierw pani, bardzo proszę. Nie widzę pani, ale pani, tak.</u>
        </div>
        <div xml:id="div-27">
          <u xml:id="u-27.0" who="#KarolinaIwańska">Dziękuję bardzo, Karolina Iwańska, Fundacja Panoptykon. Mam w zasadzie trzy sprawy.</u>
          <u xml:id="u-27.1" who="#KarolinaIwańska">Pierwsza jest taka, że chciałabym nawiązać do wypowiedzi pani przewodniczącej odnośnie do mikroprzedsiębiorców. Z lekkim niepokojem przyjęłam zapowiedź, że takie wyłączenia się pojawią, natomiast chciałabym uzyskać odpowiedź, czy owe wyłączenia będą miały kształt taki jak w poprzedniej wersji projektu, w sensie częściowego ograniczenia obowiązku informacyjnego, a nie całościowego zwolnienia tej grupy przedsiębiorców z RODO. Bowiem to byłoby już bardzo niebezpieczne.</u>
          <u xml:id="u-27.2" who="#KarolinaIwańska">Drugą rzeczą jest to, że bardzo się cieszę, że poruszona została już dwukrotnie kwestia dyrektywy policyjnej. Jeżeli już przewidywane jest opóźnienie we wprowadzaniu ustawy o ochronie danych osobowych, to te dwa procesy powinny być jakoś ze sobą skoordynowane, tak żeby, tak jak mówił już pan poseł, nie było żadnej wyrwy w systemie ochrony danych osobowych.</u>
          <u xml:id="u-27.3" who="#KarolinaIwańska">Trzecia kwestia dotyczy już bardziej sektora, który reprezentuję, czyli organizacji społecznych. Chodzi mianowicie o implementację art. 80 RODO, który przewiduje uprawnienia dla organizacji społecznych do uczestniczenia w różnych postępowaniach, dotyczących naruszeń praw podmiotów danych. W obecnej wersji projektu mamy tylko i wyłącznie przepisy dotyczące postępowań administracyjnych i sądowo-administracyjnych, natomiast nie zostały przyznane organizacjom społecznym żadne uprawnienia w przypadku postępowań cywilnych, które również wprowadza rozporządzenie. Jest to pewne novum, bo do tej pory sądy cywilne nie miały nic wspólnego z ochroną danych osobowych.</u>
          <u xml:id="u-27.4" who="#KarolinaIwańska">Uważam, że przyznanie chociażby możliwości wstąpienia organizacji do takich postępowań podczas nowelizacji art. 61 Kodeksu postępowania cywilnego będzie korzystne nie tylko dla danych podmiotów danych, ale również dla sądów cywilnych, które do tej pory nie zajmowały się ochroną danych. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-28">
          <u xml:id="u-28.0" who="#PawełPudłowski">Dziękuję bardzo, bardzo proszę.</u>
        </div>
        <div xml:id="div-29">
          <u xml:id="u-29.0" who="#AleksandraPiotrowska">Dzień dobry, witam państwa, Aleksandra Piotrowska, dzisiaj z ramienia Konfederacji Lewiatan i spółki ODO 24.</u>
          <u xml:id="u-29.1" who="#AleksandraPiotrowska">Proszę państwa, prowadzę procesy wdrożeniowe od strony praktycznej. Prowadzę kilka podmiotów, zespołów wdrożeniowych. Wdrożenie rozporządzenia wiąże się z ogromnym nakładem pracy i nie jest możliwe do zrobienia jednoosobowo. Do tego potrzeba zespołu ludzi. Koniecznie też wiąże się z dużymi nakładami finansowymi.</u>
          <u xml:id="u-29.2" who="#AleksandraPiotrowska">To, co chciałam powiedzieć, to fakt, że od strony praktycznej jako wdrożeniowca, bardziej oczekuję np. na przepisy zmieniające niż na samą ustawę o ochronie danych osobowych. Dlaczego? Dlatego, że to właśnie przepisy zmieniające będą się dla mnie wiązały z koniecznością wykonania kolejnych, ewentualnych dodatkowych obowiązków lub chociażby zweryfikowania czy to, co mam, jest zgodne z przepisami zmieniającymi. Zatem to ta ustawa, ten akt będzie się dla mnie wiązał z konkretnymi zadaniami do wykonania, z punktu widzenia podmiotu prowadzącego wdrożenia w przedsiębiorstwach. Na to więc czekam i tego wypatruję.</u>
          <u xml:id="u-29.3" who="#AleksandraPiotrowska">Drugą rzeczą, która spędza mi sen z powiek, jest kwestia może do rozważenia przez pana ministra i pana doktora. Nie daje mi spokoju warunek 250 pracowników jako element wyłączający lub ograniczający wykonanie niektórych obowiązków z tytułu rozporządzenia.</u>
          <u xml:id="u-29.4" who="#AleksandraPiotrowska">Proszę państwa, znam wiele podmiotów, które zatrudniają nie więcej niż 40 pracowników, a przetwarzają dane osobowe na ogromną, przeogromną skalę. Nie wyobrażam sobie w gruncie rzeczy, żeby mogły one zostać wyłączone ze stosowania przepisów.</u>
          <u xml:id="u-29.5" who="#AleksandraPiotrowska">Po drugie, w drugą stronę – znam też przedsiębiorstwa, głównie produkcyjne są tak skonstruowane, mające w zasadzie niewielki kontakt z danymi osobowymi, który w gruncie rzeczy ogranicza się tylko do danych osobowych pracowników, natomiast zdecydowanie przekraczają one liczbę 250 osób. Może więc warto byłoby nie warunkować wyłączenia czy ograniczenia przepisów od liczby pracowników?</u>
          <u xml:id="u-29.6" who="#AleksandraPiotrowska">Jeszcze jedna kwestia – kogo rozumiemy przez sformułowanie „pracownicy”? Czy ludzi zatrudnionych na umowę o pracę czy rozszerzamy pojęcie i rozumiemy przez to też osoby, które mają nawiązane umowy cywilnoprawne? Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-30">
          <u xml:id="u-30.0" who="#PawełPudłowski">Dziękuję bardzo, podzielam pani głos. Jeżeli wprowadzamy rozporządzenie, które ma chronić obywateli, chronić ich dane osobowe, a potem zastanawiamy się, w jaki sposób je w zasadzie wyłączyć poprzez ograniczenie ilościowe co do osób zatrudnionych w przedsiębiorstwie, któremu mają one podlegać, to jest to jakaś aberracja.</u>
          <u xml:id="u-30.1" who="#PawełPudłowski">Spójrzcie państwo, tu na sali jest 40 osób. Wszyscy siedzimy i tracimy czas – ja akurat podatnika, a państwo swoich organizacji. Po co? Wyłączmy to. Administracja niemiecka wyłącza, to jaki w ogóle sens ma procedowanie tego, jeżeli zastanawiamy się, jak wyłączyć?</u>
          <u xml:id="u-30.2" who="#PawełPudłowski">Jaki problem ma duża firma – nie chciałbym sugerować jakichś rozwiązań – ze stworzeniem jednoosobowego przedsiębiorstwa, które będzie po prostu dedykowane zarządzaniu danymi osobowymi? Jako jednoosobowa firma nie będzie podlegało rozporządzeniu. Uważam, że nie w tym jest rzecz.</u>
          <u xml:id="u-30.3" who="#PawełPudłowski">Chcemy chronić obywateli przed nagminnym wykorzystywaniem ich danych osobowych, chcemy dać im możliwość do „bycia zapomnianym” przez systemy bądź firmy, które sobie wybiorą. Taki jest tego sens. Zatem moim zdaniem nasza dyskusja i państwa praca powinny iść raczej w kierunku pragmatycznego wprowadzenia tych rozporządzeń – teraz już nie ma czasu, a ono jest skomplikowane – niźli wyłączania ich wszędzie. Taka praca po prostu moim zdaniem nie ma sensu.</u>
          <u xml:id="u-30.4" who="#PawełPudłowski">Zaraz oddam głos panu prezesowi. Pan zgłaszał się wcześniej. Bardzo proszę.</u>
        </div>
        <div xml:id="div-31">
          <u xml:id="u-31.0" who="#MarcinKrasuski">Marcin Krasuski, Związek Przedsiębiorców i Pracodawców.</u>
          <u xml:id="u-31.1" who="#MarcinKrasuski">Panie przewodniczący, panie ministrze, szanowni państwo, dziękuję za głos. Chciałbym poruszyć dwie kwestie, które nurtują nas jako przedsiębiorców i pracodawców. Jedna będzie dosyć konkretna, a druga dosyć ogólna. Wrzuciliśmy też może taki malutki kamyczek do ogródka pana ministra.</u>
          <u xml:id="u-31.2" who="#MarcinKrasuski">Pan minister powiedział bowiem, że rozporządzenie znane jest od dwóch lat i przedsiębiorcy mieli szansę się z nim zapoznać; wiedzą, co w nim jest. Tak jest, ale oczywiście diabeł tkwi w szczegółach – nie dotyczy to wszystkich artykułów.</u>
          <u xml:id="u-31.3" who="#MarcinKrasuski">Konkretnym przykładem jest kwestia obniżenia wieku świadczenia usług drogą elektroniczną do 13 lat. Do tej pory w rozporządzeniu było to 16 lat. Polski minister zdecydował się na obniżkę tego wieku do 13 lat. Oczywiście motywowane jest to chęcią ochrony danych osobowych dzieci, nikt chyba nie jest temu przeciwny. Proszę jednak zwrócić uwagę na absurdy takiego rozwiązania.</u>
          <u xml:id="u-31.4" who="#MarcinKrasuski">Nie wyobrażamy sobie, żeby 15- czy 16-latkowie, którzy są oczywiście przyspawani do swoich telefonów, za każdym razem wyrażali zgodę na przetwarzanie danych osobowych przez swojego pełnomocnika prawnego. Takie dziecko będzie siedziało z rodzicami i surfowało po internecie?</u>
          <u xml:id="u-31.5" who="#MarcinKrasuski">Wydaje nam się, że widać też tutaj pewnego rodzaju niekonsekwencję. Z jednej strony takie dziecko jest uprawnione do akceptacji regulaminów, np. sieci społecznościowych, które mogą być dużo bardziej intruzywne, jeśli chodzi o przetwarzanie danych osobowych, zawierać różnego rodzaju elementy, przepisy, a z drugiej – nie może samodzielnie wyrazić zgody na przetwarzanie takich danych. W związku z tym przygotowaliśmy taką tabelkę, którą chętnie byśmy państwu rozdysponowali, pokazując, do czego to doprowadzi.</u>
          <u xml:id="u-31.6" who="#MarcinKrasuski">Otóż, np. takie dziecko może skorzystać z mapy internetowej, ale nie będzie mogło podać swoich danych osobowych, żeby mapa zlokalizowała, gdzie to dziecko jest. Takie dziecko może założyć sobie konto mailowe, ale nie może zgodzić się na wysyłanie mu informacji marketingowej na temat np. rozszerzenia pojemności tej skrzynki. Może sobie kupić coś w serwisie społecznościowym albo handlowym, może kupić bilet do kina czy do muzeum, ale nie może zapisać się na listę mailingową kina czy muzeum, żeby mu przypominało o kolejnych premierach. Może zapisać się na forum dyskusyjne o jakimś hobby, które je interesuje, ale nie można mu rekomendować kolejnych rzeczy, którymi mogłoby być zainteresowane. W związku z tym widać tu pewnego rodzaju niekonsekwencję.</u>
          <u xml:id="u-31.7" who="#MarcinKrasuski">Drugą kwestią, którą chciałbym poruszyć, jest jednoinstancyjność postępowań przed nowym prezesem urzędu. Prezes będzie kontrolował postępowania wśród przedsiębiorców, będzie patrzył, czy są jakieś naruszenia i będzie najprawdopodobniej nakładał jakieś kary. Przedsiębiorca może się od tego odwołać w trybie jednoinstancyjnym, ale tylko na drodze prawno-administracyjnej. W związku z tym nie może odwołać się od meritum kwestii, czyli od kary. Może tylko wskazać, czy dana decyzja została błędnie albo dobrze doręczona czy sporządzona. Wydaje nam się, że przeczy to art. 15 Kodeksu postępowania administracyjnego, który wprost stanowi przełożenie normy konstytucyjnej, mówiącej o tym, że dwuinstancyjność w postępowaniu administracyjnym jest konieczna.</u>
          <u xml:id="u-31.8" who="#MarcinKrasuski">Wydaje nam się, że ze względu na powoływanie się na ekonomikę postępowań i konieczność szybkiego przeprowadzania, przyspieszenia tych procesów, nie można poświęcić możliwości odwoływania się przez przedsiębiorców i dochodzenia swoich racji. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-32">
          <u xml:id="u-32.0" who="#PawełPudłowski">Bardzo dziękuję i bardzo proszę o tę tabelę, rozdysponujemy ją między posłów. Jeśli ktoś z państwa również będzie zainteresowany, to będzie ona dostępna w Komisji.</u>
          <u xml:id="u-32.1" who="#PawełPudłowski">Pan prezes Straszewski, bardzo proszę.</u>
        </div>
        <div xml:id="div-33">
          <u xml:id="u-33.0" who="#JerzyStraszewski">Dzień dobry państwu. Panie przewodniczący, dziękuję za umożliwienie wypowiedzenia się w imieniu organizacji, którą reprezentuję. Jest to organizacja, której członkowie omawiają miliony, jeśli nie miliardy, danych osobowych. Przypomnę, że tylko operatorzy telewizji płatnej, którzy mają co najmniej 10 milionów zawartych umów, bo tylu jest odbiorców, a każde dane idą w dziesiątki informacji na ten temat, danych osobowych i abonentów… W związku z tym jesteśmy ważnym elementem tej dyskusji.</u>
          <u xml:id="u-33.1" who="#JerzyStraszewski">Chciałbym powiedzieć, że traktujemy ją bardzo poważnie, a na dowód tego chciałem przypomnieć to, co działo się rok temu w tym budynku, kiedy była rozpatrywana ustawa abonamentowa. Proszę państwa w ramach projektu, który na szczęście nie został już dalej procedowany, został gdzieś „zamrożony”, problem zmuszenia operatorów do przekazania danych swoich abonentów innemu podmiotowi na rynku bez gwarancji zabezpieczenia, pewności, że dane te nie wyciekną. Po to są właśnie w tej chwili procedowane rozporządzenia, a w zasadzie już nie ma procedowania rozporządzenia, bo ono wchodzi i będzie obowiązywało.</u>
          <u xml:id="u-33.2" who="#JerzyStraszewski">To, co pan minister mówił o ustawie krajowej, wewnętrznej w stosunku do rozporządzenia, to w tej chwili dyskutujemy i pojawiają się pomysły, żeby coś złagodzić. My naprawdę jesteśmy zobowiązani w stosunku do naszych abonentów do bycia lojalnymi i do dbania o ich dane osobowe, bo jest to ich prywatna własność – święta własność, której nie można naruszyć. Dlatego też uważam, że powinniśmy bardzo ostrożnie podchodzić do tych wyłączeń, o których była mowa.</u>
          <u xml:id="u-33.3" who="#JerzyStraszewski">Podzielam zdanie przedmówców, bo operatorzy kablowi, jeśli traktować ich jako przedsiębiorców, są duzi, jeśli chodzi o tych, którzy obsługują miliony abonentów. Są jednak i mali, którzy obsługują dziesiątki czy tysiące abonentów. To są firmy jedno-, dwuosobowe, rodzinne. Jeżeli podciągniemy pewne zwolnienia ich z tego, to będą dziury w – skądinąd moim zdaniem słusznym – rozporządzeniu, jakim jest RODO. Bądźmy pod tym względem ostrożni.</u>
          <u xml:id="u-33.4" who="#JerzyStraszewski">Druga sprawa, która się z tym wiąże, to problem przepisów przejściowych. Mówił o nich też pan minister. To jest istotne, to jest bolączka naszego systemu prawnego, że najpierw, jeśli chodzi o rozporządzenia, są ustawy, a przepisy przejściowe nie nadążają i nie dają komfortu działania przedsiębiorcom gospodarczym.</u>
          <u xml:id="u-33.5" who="#JerzyStraszewski">Apeluję więc, żeby podchodzić do tego bardzo roztropnie i bardzo rozważnie. Działamy na rzecz obywateli, na rzecz naszych abonentów, a ustawa, o której była mowa, nie łagodzi skutków rozporządzenia. Ona tylko jak gdyby wspomaga ich wprowadzenie dla dobra obywateli. Apeluję jeszcze raz, żebyśmy poprzez pośpiech nie wylali dziecka z kąpielą.</u>
          <u xml:id="u-33.6" who="#JerzyStraszewski">My jako operatorzy, jako grupa społecznych samorządowców, którzy obejmują rynek mediów i telekomunikacji, wspólnie przygotowujemy się do tego. Nawet, jeżeli państwo ograniczyliby stosowanie tego do 250 czy 50 osób, jak powiedziała pani poseł, to nas obowiązuje prawo telekomunikacyjne – art. 161 dotyczący tajemnicy telekomunikacyjnej. Niezależnie od innych przepisów musimy to stosować. Proszę to wziąć pod uwagę. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-34">
          <u xml:id="u-34.0" who="#PawełPudłowski">Bardzo dziękuję, panie prezesie. Czy ktoś z państwa chciałby jeszcze zabrać głos?</u>
          <u xml:id="u-34.1" who="#PawełPudłowski">Jeśli nie, to przed oddaniem głosu panu ministrowi, chciałem jeszcze zapytać, pogłębiając sprawę zasygnalizowaną przez pana posła Marchewkę, dotyczącą powołania nowego urzędu.</u>
          <u xml:id="u-34.2" who="#PawełPudłowski">Jako osoba pragmatyczna chciałbym prosić państwa o wskazanie trzech spraw, trzech punktów, dla których GIODO nie jest w stanie podjąć się nowych obowiązków w ramach swojej działalności i które to uzasadniają powołanie nowego organu, jak słyszę, prawie 100-osobowego, tak? Jaki jest budżet takiej organizacji? Czy rzeczywiście musimy tworzyć nowy organ zamiast rozbudować kompetencje GIODO?</u>
          <u xml:id="u-34.3" who="#PawełPudłowski">Bardzo dziękuję i proszę pana ministra o odpowiedź.</u>
          <u xml:id="u-34.4" who="#PawełPudłowski">Bardzo proszę, jeszcze pan minister Halicki.</u>
        </div>
        <div xml:id="div-35">
          <u xml:id="u-35.0" who="#AndrzejHalicki">Do tego pytania dodałbym jeszcze dwa.</u>
          <u xml:id="u-35.1" who="#AndrzejHalicki">Pierwsze dotyczy niezależności urzędu ochrony danych osobowych. Nie pamiętam, czy nastąpiła zmiana w sposobie rekomendacji. Do tej pory była taka propozycja, żeby Ministerstwo Spraw Wewnętrznych i Administracji przedstawiało kandydatury Sejmowi, a nie, tak jak powinno być według europejskich standardów, że urząd jest całkowicie niezależny od administracji rządowej; wybierany przez Sejm i Senat.</u>
          <u xml:id="u-35.2" who="#AndrzejHalicki">Drugą rzeczą jest kwestia finansowa. Sygnalizowano brak możliwości sfinansowania kolejnych, bodajże, 100 etatów. Jeżeli dobrze pamiętam, to rzecz dotyczyła dwudziestu paru milionów. Czy te środki się znalazły? Czy przewidujecie wsparcie tej potrzeby? Jedno bez drugiego nie będzie funkcjonować. Bez pieniędzy nie będzie etatów, a bez etatów nie będzie wykonanego zadania.</u>
        </div>
        <div xml:id="div-36">
          <u xml:id="u-36.0" who="#PawełPudłowski">Bardzo dziękuję. Bardzo proszę, panie ministrze.</u>
        </div>
        <div xml:id="div-37">
          <u xml:id="u-37.0" who="#MarekZagórski">Najpierw zaskoczę pana ministra Halickiego, myślę, że państwa też.</u>
          <u xml:id="u-37.1" who="#MarekZagórski">Otóż oczywiście wycofaliśmy się z propozycji, polegającej na tym – ale zaskoczenie jest gdzie indziej – że zastępców wskazywaliby czy proponowaliby minister cyfryzacji i minister spraw wewnętrznych i administracji. Wycofaliśmy się, żeby nie budzić jakichkolwiek podejrzeń co do tego, że mamy jakąś chęć zamachu na niezależność organu. Wprowadziliśmy tę propozycję z tego powodu, że – to tak à propos spójności z dyrektywą policyjną, o czym jeszcze zaraz będę mówił i à propos pragmatyzmu, mnożenia organów lub nie – można było podejść do tego dwutorowo. To znaczy albo powołać dwa urzędy – jeden od dyrektywy policyjnej, a drugi od RODO – lub zintegrować to. Poszliśmy w kierunku integracji i jest jeden urząd. Rozważyliśmy to natomiast w ten sposób, że skoro zakres dyrektywy policyjnej jest dosyć szczególny, to może dobrze byłoby, żeby minister spraw wewnętrznych i administracji miał jakiś wpływ na tę materię poprzez możliwość wskazania zastępców.</u>
          <u xml:id="u-37.2" who="#MarekZagórski">Łagodziliśmy to i łagodziliśmy, a na koniec poszliśmy do Komisji Europejskiej. To znaczy po tych wszystkich argumentach, powiedzieliśmy: „Dobrze, żeby nie było już dyskusji, jest lepiej niż teraz nawet”. Dlatego, że w tej chwili zastępcę powołuje marszałek, w ustawie jest wpisane, że zastępców powołuje sobie prezes urzędu.</u>
          <u xml:id="u-37.3" who="#MarekZagórski">I à propos tej niezależności, to byliśmy w dialogu z Komisją Europejską. Komisja Europejska powiedziała, że to nie jest naruszenie niezależności – to tak na marginesie i à propos tego zaskoczenia.</u>
          <u xml:id="u-37.4" who="#MarekZagórski">Jeśli chodzi o to, dlaczego budujemy nowy urząd, to my go de facto nie budujemy, tylko go rozbudowujemy. Zmienia się nazwa, natomiast jest to kontynuacja tego urzędu, obecny generalny inspektor ochrony danych osobowych kończy swoją kadencję już w ramach nowego urzędu. Chcemy po pierwsze wzmocnić rangę. Zmienia się charakter, trzeba wdrożyć pewne rozwiązania proceduralne. Z tego powodu urząd zmienia trochę charakter, także dlatego, że będzie się zajmował chociażby kwestiami związanymi z dyrektywą policyjną.</u>
          <u xml:id="u-37.5" who="#MarekZagórski">Jeśli chodzi o jego wielkość, to z dzisiejszej dyskusji wynika, dlaczego musi on być duży, dlaczego musi być większy – może tak. Duży i tak nie będzie. To nadal mimo wszystko będzie mały urząd. Dlaczego zatem powinien być większy? Dlatego, że zakres spraw, którymi się będzie zajmował, jest po prostu dużo, dużo większy.</u>
          <u xml:id="u-37.6" who="#MarekZagórski">Jak dzisiaj słyszeliśmy na tej sali, liczba wątpliwości, jak to stosować, całkowicie rozbieżne punkty widzenia powodują, że wzmocnienie organu jest konieczne. Są na to pieniądze zapewnione w budżecie. Sam osobiście rozmawiałem z ministrem finansów. Nie zgadzam się też z tym argumentem, że musimy czekać z przekazaniem tych pieniędzy dla GIODO do czasu wdrożenia ustawy. Wydaje mi się, że problem ten jest już załatwiony, przynajmniej na poziomie, może nie formalnym, ale na poziomie decyzji politycznych.</u>
          <u xml:id="u-37.7" who="#MarekZagórski">Odpowiadając na pytania, postaram się je jakoś pogrupować, podzielić na kilka kwestii. Poproszę jeszcze dyrektora Kaweckiego, żeby bardziej szczegółowo odpowiedział. Chciałbym podziękować panu prezesowi Straszewskiemu za głos, dlatego że on w pigułce oddaje to, co ja chciałbym powiedzieć.</u>
          <u xml:id="u-37.8" who="#MarekZagórski">Po pierwsze chodzi o odpowiedzialność dużych podmiotów, zwłaszcza tych, które przetwarzają duże ilości danych. Ona jest i cieszę, że jest takie podejście. Jednocześnie à propos potencjalnych wyłączeń dla przedsiębiorców, to jeszcze raz powtarzam – nigdy nie proponowaliśmy całkowitego zwolnienia przedsiębiorców, wyłączenia ich spod obowiązków rozporządzenia. Zaproponowaliśmy na dwóch etapach dwa rozwiązania. Chcieliśmy przyjąć jakieś progi i najlepszym rozwiązaniem wydawały nam się progi dotyczące wielkości przedsiębiorstw, wynikające z przepisów Unii Europejskiej, które mówią o tym, co jest mikroprzedsiębiorstwem, co jest małym i średnim przedsiębiorstwem, a co jest dużym przedsiębiorstwem.</u>
          <u xml:id="u-37.9" who="#MarekZagórski">Nawet, jeżeli w pierwszej fazie proponowaliśmy wyłączenie dla małych i średnich firm, to wyłączenia te dotyczyły tylko sytuacji, w których nie przetwarzają one danych osobowych na dużą skalę, a już na pewno nie przekazują ich dalej. Jeżeli przekazują, to w ramach własnego przedsiębiorstwa, mówiąc w dużym skrócie.</u>
          <u xml:id="u-37.10" who="#MarekZagórski">Wycofaliśmy się z tych przepisów dlatego, że zarzuty, jakie się pojawiły, mówiły o tym, że wyłączamy RODO, że chcemy całkowicie wyłączyć RODO i ono nie będzie miało zastosowania. Natomiast cały czas prowadzimy jeszcze konsultacje dotyczące mikroprzedsiębiorstw do 9 osób po to, żeby wyłączyć je z części obowiązków. Jeżeli uda nam się te przepisy wynegocjować z Komisją Europejską, to być może w przepisach wprowadzających lub na etapie jeszcze prac w Parlamencie udałoby się nam te przepisy wdrożyć. Będą one dotyczyły wszakże tylko tych sytuacji, w których przetwarzanie danych odbywa się w ramach prowadzonej działalności i dane nie są przekazywane na zewnątrz po to, żeby nimi obracać, czyli nie są sprzedawane, nie są przekazywane dalej.</u>
          <u xml:id="u-37.11" who="#MarekZagórski">Zatem mówimy tutaj o fryzjerze, szewcu czy warsztacie samochodowym, którzy mają swoja bazę klientów w Exelu i w ten sposób jakoś tam ją obrabiają. Nie mówimy o jednoosobowej, dwuosobowej czy pięćdziesięcioosobowej firmie, która zajmuje się przetwarzaniem danych osobowych, to jest cel jej działalności czy też w związku z prowadzoną działalnością zajmuje się przetwarzaniem na wielką skalę. Tak to będzie wyglądało.</u>
          <u xml:id="u-37.12" who="#MarekZagórski">Jeszcze raz wspomnę o wyłączeniu niemieckim, bo to też padło. To wyłączenie zastosowane przez Niemców, o którym mówimy, jest wyłączeniem dotyczącym obowiązków dla administracji, a nie dla przedsiębiorców. Niemcy zaproponowali cały szereg wyłączeń spod RODO, które ograniczają obowiązki nakładane przez RODO na administrację; na bezpieczeństwo publiczne także.</u>
          <u xml:id="u-37.13" who="#MarekZagórski">Natomiast my w projekcie ustawy część z tych rozwiązań, nie tak szeroko jak ustawodawca niemiecki, zaproponowaliśmy we wspomnianych przepisach, uznając, że, jeżeli Komisja Europejska zakwestionuje to w przypadku Niemiec, to znajdziemy się na tej samej ławce oskarżonych. Jesteśmy gotowi na taki eksperyment i na takie ćwiczenie.</u>
          <u xml:id="u-37.14" who="#MarekZagórski">Chcę też jeszcze raz podkreślić à propos tych opóźnień czy tego, dlaczego cały ten proces tak się ciągnie oraz wrócić na chwilę do spójności z dyrektywą policyjną. Cały pakiet, który zapowiedziała Komisja Europejska, nie dotyczy tylko dyrektywy policyjnej i RODO, ale miał także dotyczyć np. dyrektywy ePrivacy. Miała ona wejść w życie, miała być przygotowana przez Komisję Europejską razem z przepisami RODO, czyli już w tej chwili powinna być gotowa, opublikowana i wchodzić w życie. Tylko że Komisja Europejska nie zdążyła tego zrobić. Ten proces też trwa. Mówię o tym dlatego, żebyśmy sobie zdawali sprawę.</u>
          <u xml:id="u-37.15" who="#MarekZagórski">Jeszcze raz powiem: nie tłumaczymy się. Zależało nam na tym, jesteśmy blisko terminu, żeby zdążyć z naszymi ustawami, ale jeszcze raz podkreślam – tylko trzy państwa… Ktoś tu słusznie powiedział, że to jest pytanie, czy wdrożyły czy tylko udają, że wdrożyły. W tej chwili tylko trzy państwa w Unii Europejskiej mają przyjęte przepisy, nie wprowadzające, a główne. Mówię o tym jeszcze raz tylko po to, żeby podkreślić, że proces ten, o którym mówił przedstawiciel PIRC, gdy mówił o problemach z analizą, ten proces uczenia się przepisów, wdrażania przepisów będzie trwał. Po prostu jest to na tyle skomplikowana materia, że nawet gdybyśmy dzisiaj mieli już tę ustawę przyjętą, to też mówilibyśmy, że będziemy się tego wszystkiego jeszcze uczyć.</u>
          <u xml:id="u-37.16" who="#MarekZagórski">Teraz à propos dyrektywy policyjnej. Jesteśmy w kontakcie i w ścisłej współpracy z Ministerstwem Spraw Wewnętrznych i Administracji, projekt jest przygotowany. Ministerstwo w tej chwili kieruje go do konsultacji albo już jest skierowany do konsultacji międzyresortowych. Zatem ten projekt jest. Natomiast rzeczywiście to, żeby te przepisy weszły 6 maja jest niemożliwe. Mamy przygotowane rozwiązanie, żeby rozwiązać ten problem, o którym mówił pan dyrektor Drobek. Już w trakcie prac w Sejmie zaproponujemy, o ile posłowie się na to zgodzą, rozwiązanie, które rozwiąże problem niespójności.</u>
          <u xml:id="u-37.17" who="#MarekZagórski">Wracając jeszcze na chwilę do mikroprzedsiębiorców i problemu, o którym mówiła pani poseł przewodnicząca Bubula, to, tak jak już mówiłem, pracujemy nad takim rozwiązaniem, żeby w odniesieniu do najsłabszych, najmniejszych przedsiębiorców w miarę możliwości złagodzić obowiązki. Bowiem, gdybyśmy chcieli je zastosować, to żebyśmy mieli świadomość, o czym rozmawiamy… Mówimy oczywiście o rzeczach niezbyt skomplikowanych. Jednak kiedy mówimy o obowiązkach informacyjnych, które mały przedsiębiorca będzie musiał zastosować, to trzeba powiedzieć, że będzie on musiał mieć w zakładzie prawie że tapetę z tymi wszystkimi obowiązkami informacyjnymi. To jest oczywiście do zrobienia, tylko pytanie, czy to ma większy sens praktyczny? To jest cały czas ten dylemat.</u>
          <u xml:id="u-37.18" who="#MarekZagórski">Jeśli chodzi o problem wieku, o którym mówił przedstawiciel ZPiP, to wielokrotnie się zresztą pojawiało, to był element dyskusji i konsultacji, także w ramach rządu. Rada Ministrów podjęła decyzję, że próg będzie wynosił 16 lat. Natomiast, co to oznacza w praktyce?</u>
          <u xml:id="u-37.19" who="#MarekZagórski">W praktyce oznacza to, że w gruncie rzeczy odnosimy to tylko do sytuacji takiej jak akceptacja regulaminu uczestnictwa w jakiejś usłudze czy w jakimś portalu społecznościowych. Dwa – sytuacji, związanych z newsletterem czy zgodami marketingowymi. Natomiast generalnie po tym procesie dalej w praktyce nic się nie zmieni. W związku z tym ten młody człowiek będzie mógł kupić sobie książkę w sklepie internetowym. To jest oczywiście być może symboliczne, natomiast, jak analizowaliśmy, jak to będzie wyglądało w praktyce, to nie będzie to stanowiło aż tak wielkiego obciążenia operacyjnego.</u>
          <u xml:id="u-37.20" who="#MarekZagórski">Jeśli chodzi o kwestię jednoinstancyjności, to poproszę pana dyrektora, żeby opowiedział o tym bardziej precyzyjnie. To samo dotyczy uwagi, którą zgłosił Panoptykon, jeśli chodzi o art. 80.</u>
          <u xml:id="u-37.21" who="#MarekZagórski">Natomiast chcę też powiedzieć, ciesząc się, że przedstawiciele Panoptykonu są na sali, że właśnie z Panoptykonem, to zasługa zwłaszcza dyrektora Kaweckiego, proces konsultacji prowadzony był bardzo intensywnie. O ile nic się nie zmieniło, mam nadzieję, że Panoptykon podtrzymuje uwagę, że proces przeprowadzenia tej ustawy był najbardziej transparentnym, z jakim strona społeczna miała do czynienia. Jesteśmy z tego powodu zadowoleni. Ta chęć zachowania przejrzystości spowodowała też, że proces ten po prostu trwał długo.</u>
          <u xml:id="u-37.22" who="#MarekZagórski">Jeśli można, to poproszę jeszcze pana dyrektora.</u>
        </div>
        <div xml:id="div-38">
          <u xml:id="u-38.0" who="#MaciejKawecki">Dzień dobry, witam państwa. Panie przewodniczący, szanowni państwo, jeżeli chodzi o pytanie Fundacji Panoptykon, to rzeczywiście przepisy warunkujące udział organizacji społecznych były pisane można powiedzieć wspólnie, a przynajmniej konsultowaliśmy te rozwiązania z Panoptykonem, zresztą nie tylko.</u>
          <u xml:id="u-38.1" who="#MaciejKawecki">Trzeba jednak zwrócić uwagę na jeden bardzo poważny poruszany problem, to znaczy wagę tej regulacji. Ponieważ to, z czym teraz się spotykamy w związku z RODO, to jest ogromna liczba powstawania tzw. fake organizacji, czyli podmiotów, które zastraszają przedsiębiorców niewdrożeniem RODO w terminie w związku z donosem do prezesa urzędu. Zatem projektując rozwiązania, musieliśmy je stworzyć w taki sposób, żeby z jednej strony zapewnić organizacji społecznej udział w postępowaniu, ale jednocześnie sprawić, żeby rola organizacji społecznej, warunki jej udziału w postępowaniu przeciwdziałały takim działaniom fake organizacji. Staraliśmy się to zrobić, warunkując udział organizacji społecznych od zgody osoby, której dane dotyczą w postępowaniu.</u>
          <u xml:id="u-38.2" who="#MaciejKawecki">Natomiast, dlaczego nie wprowadziliśmy zmian w zakresie postępowania cywilnego? Po pierwsze, nie jest prawdą, że dzisiaj sprawy ochrony danych osobowych nie są rozpatrywane przez sądy cywilne. Naruszenie danych osobowych bardzo często jest naruszeniem prawa do prywatności. Prawo do prywatności na podstawie art. 23 Kodeksu cywilnego jest dobrem osobistym, jest bardzo dużo spraw w sądach cywilnych właśnie w tej materii.</u>
          <u xml:id="u-38.3" who="#MaciejKawecki">Przepisy Kodeksu cywilnego przewidują wstąpienie organizacji społecznej do postępowania. Na tym etapie wydało nam się to wystarczające, biorąc pod uwagę, że organizacje będą brały udział, za zgodą stron, w postępowaniu administracyjnym prowadzonym przez prezesa urzędu. To jest pierwsza rzecz.</u>
          <u xml:id="u-38.4" who="#MaciejKawecki">Druga rzecz to jest kwestia związana z jednoinstancyjnością. Jedno z pytań dotyczyło nie tyle jednoinstancyjności, co kontroli formalnej podejmowanej przez sądy administracyjne. Rzeczywiście w Polsce sądy administracyjne co do zasady nie dokonują merytorycznej oceny działań organów, tylko tzw. kontroli formalnej.</u>
          <u xml:id="u-38.5" who="#MaciejKawecki">Proszę państwa, nie jest to do końca prawda. Jeżeli spojrzymy sobie na sektor ochrony środowiska, to tam sądy dokonują oceny umyślności bądź nieumyślności naruszenia. W ten sposób kontrola administracyjna zbliża się już dzisiaj do takiej kontroli opartej na zasadzie winy i kontroli merytorycznej.</u>
          <u xml:id="u-38.6" who="#MaciejKawecki">Natomiast, jeżeli sąd administracyjny ma problem z dowodami, uzna, że prezes urzędu ochrony danych osobowych nie dochował najwyższej staranności na etapie postępowania dowodowego, to oczywiście w takiej sytuacji zwraca sprawę do prezesa urzędu. Prezes urzędu uzupełnia materiał dowodowy. Zatem nie widzimy tutaj ryzyka.</u>
          <u xml:id="u-38.7" who="#MaciejKawecki">Jeszcze dwa słowa chciałbym powiedzieć odnośnie do tego, o czym powiedziała pani chyba z firmy ODO 24. To jest najgorsza rzecz, jaką możemy zrobić tej reformie. Spotykamy się z tym od bardzo dawna. Chodzi o komunikowanie, że wdrożenie RODO w każdej firmie wymaga ogromnego nakładu środków i ogromnego nakładu ludzi. To zależy.</u>
          <u xml:id="u-38.8" who="#MaciejKawecki">Jeżeli mamy zakład fryzjerski, w którym dane przetwarzane są tylko w postaci trzech teczek, bo mamy trzech pracowników i tabeli Exel, w której ktoś zapisuje się na strzyżenie, to z całym szacunkiem – wdrożenie RODO nie wymaga ani ogromnych nakładów finansowych, ani zaplecza ludzi. Jeżeli mamy korporację międzynarodową, to rzeczywiście wdrożenie RODO wymaga pewnie zaplecza informatycznego, analitycznego i prawniczego.</u>
          <u xml:id="u-38.9" who="#MaciejKawecki">Już na samo zakończenie – wyłączenia. Pan minister już o tym oczywiście powiedział, ale żeby to jeszcze wybrzmiało. Wyłączenia, które znalazły się w projekcie ustawy o ochronie danych osobowych, rzeczywiście znalazły się na etapie Komitetu Stałego Rady Ministrów. Jednak były to wyłączenia przygotowywane, po pierwsze w zespole roboczym, w którego skład wchodzili: generalny inspektor ochrony danych osobowych, Rządowe Centrum Legislacji, minister spraw zagranicznych i minister cyfryzacji, następnie przepisy zostały przekazane Komisji Europejskiej. Osobiście uczestniczyłem w spotkaniu z Komisją Europejską. Owszem, Komisja Europejska wniosła do tych przepisów drobne uwagi, które zostały uwzględnione, natomiast Komisja Europejska owe wyłączenia, ograniczenia co do zasady zaakceptowała. To było zresztą to samo spotkanie, na którym rozmawialiśmy o zastępcach, ale nie zdecydowaliśmy się tutaj na wprowadzenie zmian.</u>
          <u xml:id="u-38.10" who="#MaciejKawecki">Chyba odpowiedzieliśmy na wszystkie pytania. Pani jeszcze pytała o 250 pracowników. Projekt ustawy o ochronie danych osobowych w chwili obecnej nie zawiera ograniczenia zastosowania przepisów do 250 pracowników. Mówi o tym tylko i wyłącznie RODO, więc trzeba też zwrócić uwagę, że nawet ustawodawca unijny zdecydował, że są przypadki, w których ograniczenie prawa unijnego, jest uzasadnione wielkością przedsiębiorstwa. Akurat tutaj dotyczy to rejestru czynności przetwarzania danych osobowych. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-39">
          <u xml:id="u-39.0" who="#PawełPudłowski">Dziękuję panu ministrowi, dziękuję panu dyrektorowi. Zgłasza się jeszcze pan dyrektor Drobek.</u>
          <u xml:id="u-39.1" who="#PawełPudłowski">Nie zamykam jeszcze posiedzenia. Jeśli ktoś z państwa chciałby jeszcze zadać pytanie, to mamy jeszcze chwilę czasu, także bardzo proszę.</u>
          <u xml:id="u-39.2" who="#PawełPudłowski">Mam taką prośbę, żeby w swojej wypowiedzi bądź pytaniu ujął pan też taki element: czy pana zdaniem, znając pana instytucję, rzeczywiście nie jesteście państwo w stanie przyjąć na siebie odpowiedzialności tej powoływanej na razie z inicjatywy Ministerstwa Cyfryzacji nowej instytucji?</u>
          <u xml:id="u-39.3" who="#PawełPudłowski">Bardzo proszę.</u>
        </div>
        <div xml:id="div-40">
          <u xml:id="u-40.0" who="#PiotrDrobek">Dziękuję bardzo, panie przewodniczący. Chciałem mówić na zupełnie inny temat, ale zacznę od organu.</u>
          <u xml:id="u-40.1" who="#PiotrDrobek">Mówimy o powołaniu nowego organu. Mam wrażenie, że dyskusja w trakcie posiedzenia przebiegała w taki sposób, że mówimy o nowej instytucji, która zostanie na nowo wyposażona, będzie miała nowe kompetencje i nowe zasoby. Z formalnego punktu widzenia – racja. Z formalnego punktu widzenia ustawa powołuje nowy organ, wprowadza przepis, który mówi o ciągłości dotychczasowego organu, czyli GIODO staje się prezesem urzędu. Z formalnego punktu widzenia to jest ta sama struktura organizacyjna, która po prostu będzie działała pod inną nazwą.</u>
          <u xml:id="u-40.2" who="#PiotrDrobek">Podsumowując, od strony faktycznej, mówimy o zmianach formalnych, dotyczących nazwy. Oczywiście można zadać pytanie o racjonalność tej zmiany ze względu na czas i ewentualne koszty, które może to generować, ale nie jest to zmiana w takim sensie, że tworzymy zupełnie nowy byt. Z tej perspektywy oczywiście, jeżeli ta ustawa w tym brzmieniu zostanie przyjęta, GIODO stając się prezesem urzędu, będzie kontynuował swoją misję i będzie realizował zadania, które zostały na niego nałożone przepisami prawa – czy RODO czy też przepisami krajowymi.</u>
          <u xml:id="u-40.3" who="#PiotrDrobek">To jest ważne, żebyśmy widzieli, że przygotowujemy się do tej zmiany nie teraz, tylko zaczęliśmy to już dużo wcześniej. Wiąże się to też ze zmianami organizacyjnymi wewnątrz Biura GIODO, które właśnie w tej chwili następują.</u>
          <u xml:id="u-40.4" who="#PiotrDrobek">Chciałbym zwrócić uwagę na jeszcze jeden aspekt, który pojawił się w wielu wypowiedziach. Chodzi o mikroprzedsiębiorców i ewentualne ograniczenia bądź wyłączenia obowiązków nałożonych przez RODO w odniesieniu do działań mikroprzedsiębiorców.</u>
          <u xml:id="u-40.5" who="#PiotrDrobek">Proszę państwa, jeżeli spojrzymy na RODO, to wcale nie odnoszę wrażenia, że to jest akt, który jest tylko prokonsumencki. To już widać w tytule rozporządzenia. Tytuł jest dziwaczny – o ochronie praw osób oraz o swobodnym przepływie danych. Zatem mamy dwa cele, które mają pogodzić zarówno interesy jednostek, jak i interesy podmiotów przetwarzających dane, szerzej nawet, na jednolitym rynku cyfrowym. Z tej perspektywy, gdybyśmy porównali to, czego wymaga RODO, a jak wyglądały obowiązki w obecnie obowiązujących przepisach, to okazuje się, że RODO zapewnia dużo większą elastyczność realizacji obowiązków na poziomie konkretnej już organizacji – z jednej strony. Z drugiej strony wprowadza to, co dla informatyków nie jest niczym nowym, czyli element skalowalności obowiązków.</u>
          <u xml:id="u-40.6" who="#PiotrDrobek">Proszę państwa, jak to wygląda obecnie? Obecnie mamy rozporządzenie wykonawcze do ustawy o ochronie danych osobowych, które nakłada obowiązki dotyczące prowadzenia dokumentacji przetwarzania danych oraz określa, jakie wymogi funkcjonalności mają być w systemach informatycznych. To jest na sztywno. Mamy dwa dokumenty, które w tej chwili każdy administrator danych – czy to jest wielki bank czy to jest fryzjer, o którym była już mowa… Jeżeli ma cokolwiek w systemie informatycznym, to musi być i polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Mają być dokumenty.</u>
          <u xml:id="u-40.7" who="#PiotrDrobek">Co więcej, obecne przepisy określają, jakie elementy muszą zawierać te dokumenty. Mamy to na sztywno. Co więcej, przepisy nakładają obowiązki, dotyczące funkcjonalności, też na sztywno. To jest słynny przepis, który wymagał, żeby hasło na pewnym poziomie bezpieczeństwa miało określoną składnię i liczbę znaków. Na poziomie podwyższonym – małe i wielkie litery, znaki specjalne lub cyfry, co najmniej osiem znaków. Nakłada się na sztywno obowiązek, że należy zmieniać hasło co 30 dni – czy to jest duży podmiot, czy to jest mały podmiot; bez względu na to, jakie ryzyka występują w organizacji. Tak wyglądają obecne obowiązki nałożone na wszystkie podmioty. RODO od tego odchodzi.</u>
          <u xml:id="u-40.8" who="#PiotrDrobek">Stąd pojawiają się elementy oceny ryzyka. Z drugiej strony, RODO w zupełnie inny sposób podchodzi do prowadzenia dokumentacji. Już nie mamy szczegółowo określonych wymogów, jaka dokumentacja, jak ma być prowadzona, jakie ma mieć elementy. RODO uzależnia to od ryzyk, jakie pojawiają się w organizacji.</u>
          <u xml:id="u-40.9" who="#PiotrDrobek">Proszę zobaczyć to w przypadku jednego z dokumentów, który należy prowadzić, to jest rejestr czynności przetwarzania danych. Tam mamy właśnie kryterium 250 pracowników, od którego to kryterium obowiązek ten się pojawia. Ewentualnie mamy dodatkowe kryteria merytoryczne związane z ryzykami przetwarzania danych. Pojawia się pojęcie polityki bezpieczeństwa, polityki prywatności – jeżeli jest potrzebne. Powoduje to, że możemy przenieść te obowiązki na bardziej realny poziom. Chodzi o to, że nie tworzymy formalnej dokumentacji, co niestety jest cechą obecnie obowiązujących przepisów. Właśnie, jeśli chodzi o te małe podmioty.</u>
          <u xml:id="u-40.10" who="#PiotrDrobek">Z tej perspektywy muszę powiedzieć, że nowe przepisy widzę raczej jako szansę dla małych podmiotów przetwarzających dane. Z perspektywy na sztywno nałożonych obowiązków widać, że tych obowiązków jest mniej i można je zrealizować bardziej sensownie i racjonalnie, z perspektywy działania organizacji.</u>
          <u xml:id="u-40.11" who="#PiotrDrobek">Dotyczy to również obowiązków informacyjnych, co jest bardziej problemem stosowania prawa w zależności od tego, jakie kanały informacyjne są wykorzystywane przez taki podmiot. Pamiętajmy bowiem, że małym przedsiębiorcą będzie jednoosobowa działalność gospodarcza – właściciel zakładu fryzjerskiego, który ma dwóch pracowników. Jednak mikroprzedsiębiorcą w pewnym zakresie może być sklep internetowy, który z perspektywy wolumenów danych, wcale już taki mały nie musi być. To kryterium jest dużo ważniejsze, a RODO zwraca uwagę właśnie na te ryzyka, które się pojawiają.</u>
          <u xml:id="u-40.12" who="#PiotrDrobek">Wydaje mi się, że jeżeli przejdziemy na poziom konkretnych obowiązków, to wcale nie wygląda to tak, że RODO będzie nakładało zupełnie nowe obowiązki na administratorów –również małych – których nie będą w stanie zrealizować. Ważne jest bowiem to, na co uwagę zwrócił pan dyrektor Kawecki – wszystko zależy od tego, jaką działalność prowadzimy, jakie ryzyka w ramach tej działalności się pojawiają. RODO jest tym instrumentem, który umożliwia racjonalne podejście do tych wszystkich obowiązków. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-41">
          <u xml:id="u-41.0" who="#PawełPudłowski">Bardzo dziękuję, panie dyrektorze. Czy ktoś z państwa chciałby jeszcze zabrać głos? Jeśli nie, to zamykam dyskusję. Tym samym zamykam punkt pierwszy.</u>
          <u xml:id="u-41.1" who="#PawełPudłowski">Przechodzimy do drugiego punktu porządku dziennego. W związku ze zmianami w składzie podkomisji stałej prezydium Komisji proponuje uzupełnienie składu podkomisji. Mamy dwóch posłów chętnych do uczestnictwa w pracach podkomisji. Jest to pan poseł Paweł Kobyliński, który już wcześniej uczestniczył w pracach tej podkomisji, ale ze względów organizacyjnych musiał ją opuścić. Teraz chciałby wrócić. I pan poseł Piotr Liroy-Marzec, który jest posłem niezrzeszonym, bardzo zainteresowanym zagadnieniami, bierze udział w pracach podkomisji, chciałby formalnie w niej uczestniczyć.</u>
          <u xml:id="u-41.2" who="#PawełPudłowski">Ponieważ panów posłów nie ma, chciałem poinformować, że uzyskałem zgodę obu panów posłów na przyłączenie się do tej podkomisji. Czy jest sprzeciw wobec uzupełnienia składu podkomisji stałej o wspomnianych posłów? Nie słyszę. Jeśli nie ma, stwierdzam, że Komisja wybrała panów posłów Kobylińskiego i Liroya-Marca do składu podkomisji stałej.</u>
          <u xml:id="u-41.3" who="#PawełPudłowski">Stwierdzam tym samym, że porządek dzienny dzisiejszego posiedzenia został wyczerpany. Zamykam posiedzenie Komisji. Protokół posiedzenia wraz z załączonym zapisem jego przebiegu jest do wglądu w sekretariacie Komisji w Kancelarii Sejmu. Dziękuję bardzo, życzę udanego dnia.</u>
        </div>
      </body>
    </text>
  </TEI>
</teiCorpus>