text_structure.xml
231 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
<?xml version='1.0' encoding='utf-8'?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include href="PPC_header.xml" />
<TEI>
<xi:include href="header.xml" />
<text>
<body>
<div xml:id="div-1">
<u xml:id="u-1.0" who="#komentarz">(Początek posiedzenia o godzinie 10 minut 10)</u>
</div>
<div xml:id="div-2">
<u xml:id="u-2.0" who="#komentarz">(Posiedzeniu przewodniczą przewodniczący Komisji Praw Człowieka, Praworządności i Petycji Michał Seweryński oraz zastępca przewodniczącego Komisji Spraw Zagranicznych i Unii Europejskiej Waldemar Sługocki)</u>
</div>
<div xml:id="div-3">
<u xml:id="u-3.0" who="#MichałSeweryński">Dzień dobry państwu.</u>
<u xml:id="u-3.1" who="#MichałSeweryński">Otwieram wspólne posiedzenie Komisji Spraw Zagranicznych i Unii Europejskiej oraz Komisji Praw Człowieka, Praworządności i Petycji z udziałem Generalnego Inspektoratu Ochrony Danych Osobowych. To jest nasze wspólne posiedzenie.</u>
<u xml:id="u-3.2" who="#MichałSeweryński">Witam panie i panów senatorów członków obu komisji. Witam panią minister, doktor Edytę Bielak-Jomaa, generalnego inspektora ochrony danych osobowych. Witam pana ministra Witolda Kołodziejskiego, sekretarza stanu w Ministerstwie Cyfryzacji. Witam pana Tomasza Zdzikota, podsekretarza stanu w Ministerstwie Spraw Wewnętrznych i Administracji. Witam wszystkie osoby zaproszone, wszystkie osoby zainteresowane udziałem w konferencji.</u>
<u xml:id="u-3.3" who="#MichałSeweryński">Rozpoczynamy nasz maraton, niezmiernie interesująco się zapowiadający. Z góry uprzedzam państwa, że mam twarda rękę przewodniczącego i na pewno zmieścimy się w czasie. Krótko po tym naszym spotkaniu Komisja Praw Człowieka, Praworządności i Petycji oraz inne komisje mają inne obowiązki senackie, inne posiedzenia. To jest taki wstępny apel do wszystkich osób, które będą głos zabierać, o dyscyplinę wypowiedzi.</u>
<u xml:id="u-3.4" who="#MichałSeweryński">W tym momencie udzielam głosu pani minister…</u>
<u xml:id="u-3.5" who="#komentarz">(Wypowiedź poza mikrofonem)</u>
<u xml:id="u-3.6" who="#MichałSeweryński">Panie Senatorze, proszę bardzo.</u>
</div>
<div xml:id="div-4">
<u xml:id="u-4.0" who="#JanRulewski">Powiedział pan, Panie Przewodniczący, że ma pan twardą rękę przewodniczącego, a zarazem znanego pedagoga. Ja mam usta związkowca i proszę, żeby w trakcie tej długiej debaty robić króciutkie przerwy techniczne. Dobrze?</u>
</div>
<div xml:id="div-5">
<u xml:id="u-5.0" who="#MichałSeweryński">Panie Senatorze…</u>
<u xml:id="u-5.1" who="#JanRulewski">Bo nie są przewidziane.</u>
<u xml:id="u-5.2" who="#MichałSeweryński">…jest przewidziana przerwa, o godzinie 13.00. Ja wiedziałem, że pan senator będzie o to wnosił i specjalnie… (wesołość na sali) …postanowiłem ją zrobić. Będzie półgodzinna przerwa o 13.00, tak jak jest to zaplanowane.</u>
<u xml:id="u-5.3" who="#MichałSeweryński">Pani Minister, pani ma w tej chwili głos.</u>
<u xml:id="u-5.4" who="#MichałSeweryński">Proszę bardzo. Proszę o wyjaśnienie wszystkiego, co nas czeka.</u>
</div>
<div xml:id="div-6">
<u xml:id="u-6.0" who="#EdytaBielakJomaa">Dziękuję bardzo.</u>
<u xml:id="u-6.1" who="#EdytaBielakJomaa">Panowie Przewodniczący! Panie i Panowie Senatorowie! Panowie Ministrowie! Szanowni Państwo!</u>
<u xml:id="u-6.2" who="#EdytaBielakJomaa">Dzisiejsze posiedzenie jest drugim posiedzeniem, na którym Komisja Spraw Zagranicznych i Unii Europejskiej oraz Komisja Praw Człowieka, Praworządności i Petycji Senatu Rzeczypospolitej Polskiej zajmują się formą ram prawnych ochrony danych osobowych w Unii Europejskiej. Obie komisje poświęciły temu zagadnieniu posiedzenie w kwietniu 2013 r., za co bardzo serdecznie chcę podziękować panu przewodniczącemu. Dziękuję również za to, że dzisiaj możemy się spotkać w takim gronie.</u>
<u xml:id="u-6.3" who="#EdytaBielakJomaa">3 lata temu byliśmy w zupełnie innym miejscu, jeśli chodzi o ochronę danych osobowych. Byliśmy na początku drogi – rozpoczynaliśmy pracę nad nowymi unijnymi przepisami o ochronie danych osobowych, których projekty Komisja Europejska opublikowała w styczniu 2012 r. Dzisiaj proces legislacyjny na poziomie europejskim został zakończony, możemy więc dokonywać podsumowania tego procesu. Musimy również zastanowić się nad zakresem koniecznych zmian w tej dziedzinie, nad koniecznością podjęcia działań legislacyjnych na poziomie krajowym. Wypracowane przez ostatnie lata teksty aktów prawnych były przedmiotem wielu dyskusji zarówno na poziomie krajowym, jak i na poziomie europejskim. Cieszę się bardzo, że w tych dyskusjach – nie tylko w kraju, ale również na forum unijnym – uczestniczyli przedstawiciele polskiego parlamentu. W konsultacjach, które były prowadzone zarówno przez rząd, jak i generalnego inspektora ochrony danych osobowych przez te wszystkie lata uczestniczyły szerokie kręgi interesariuszy. Prace nad nowymi przepisami unijnymi były również inspiracją do zmian polskiej ustawy o ochronie danych osobowych, która na nowo określiła status i zadania administratora bezpieczeństwa informacji oraz sposób przekazywania danych osobowych do państw trzecich. W tym czasie ewolucji podlegała również interpretacja obecnie obowiązujących przepisów. Ta interpretacja była konsekwencją wydania przez Trybunał Sprawiedliwości Unii Europejskiej istotnych orzeczeń dotyczących ochrony danych osobowych. Dzisiaj na pewno będziemy do nich nawiązywać.</u>
<u xml:id="u-6.4" who="#EdytaBielakJomaa">W czerwcu 2016 r. niewątpliwie znajdujemy się w sytuacji szczególnej, jeśli chodzi o ochronę danych osobowych. Miesiąc temu weszły w życie 2 unijne akty prawne, które stanowią całościowy pakiet legislacyjny. Wprowadzają one rewolucję w obszarze ochrony danych osobowych. Mam na myśli ogólne rozporządzenie o ochronie danych osobowych i tzw. dyrektywę policyjną o ochronie danych osobowych. Jeden i drugi akt weszły w życie w maju 2016 r. Rozporządzenie będzie jednak bezpośrednio stosowane od 25 maja 2018 r., a dyrektywa – w okresie 2 lat od maja 2016 r., ponieważ w tym czasie państwa członkowskie są zobowiązane do jej implementacji. Nowe przepisy unijne z jednej strony potwierdzają dotychczasowe zasady ochrony danych osobowych, a z drugiej strony wprowadzają do porządku prawnego instytucje, które dotąd nie były regulowane wprost w przepisach albo nie były znane w polskich rozwiązaniach prawnych. Ich źródła w niektórych przypadkach można poszukiwać w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej, jak również w doświadczeniach innych państw i w dyskusjach, które w czasie ostatnich lat się toczyły i dotyczyły ochrony danych osobowych.</u>
<u xml:id="u-6.5" who="#EdytaBielakJomaa">Warto w tym miejscu wspomnieć, że ogólne rozporządzenie m.in. rozszerza katalog danych wrażliwych o dane biometryczne, wprowadza prawo do zapomnienia, prawo do przenoszalności danych, mechanizm notyfikowania o naruszeniu ochrony danych osobowych, ocenę skutków dla ochrony danych osobowych i koncentruje się na sposobach oraz zakresie spełniania obowiązku informacyjnego. To, co jest niezwykle istotne z punktu widzenia ochrony danych osobowych, to fakt, że rozporządzenie przenosi punkt ciężkości z obecnie funkcjonujących licznych obowiązków o charakterze rejestracyjno-notyfikacyjnym na kwestię właściwego wdrożenia przepisów rozporządzenia przez administratorów danych. W pewnym sensie rozporządzenie zamyka również dyskusję na temat prawa właściwego w sytuacjach, kiedy administratorzy danych osobowych przetwarzali dane w kilku krajach Unii Europejskiej, co było również przedmiotem rozstrzygnięć Trybunału Sprawiedliwości UE takich jak chociażby w tzw. sprawie Google Spain. Stosownie do postanowień rozporządzenia administratorzy danych będą się od 2018 r. mogli kontaktować tylko z jednym organem nadzorującym, krajowym organem nadzorującym ochronę danych w państwie członkowskim, w którym posiadają główną jednostkę organizacyjną w ramach mechanizmu jednolitego punktu obsługi. Przepisy unijne będą również obowiązywać w przypadku, gdy dane osobowe są przetwarzane za granicą przez przedsiębiorstwa prowadzące działalność na rynku Unii Europejskiej i oferujące swoje usługi obywatelom Unii Europejskiej.</u>
<u xml:id="u-6.6" who="#EdytaBielakJomaa">Jednym z głównych celów – o innych też będziemy dzisiaj mówić i do nich się odnosić… Z perspektywy organu ochrony danych osobowych chcę powiedzieć, że jednym z głównych celów unijnej reformy ochrony danych jest wzmocnienie pozycji ustrojowej niezależnych organów ochrony danych, które dzięki przepisom rozporządzenia będą mogły lepiej egzekwować przestrzeganie przepisów o ochronie danych osobowych na terytorium swojego kraju. Wzmocnienie pozycji prawnej organu ochrony danych zostało zrealizowane poprzez przyznanie organom nowych, szerszych kompetencji i zagwarantowanie im pełnej niezależności. Istotą tej niezależności jest nałożony na państwa członkowskie obowiązek zapewnienia organom ochrony danych niezbędnych środków organizacyjnych, technicznych i finansowych, co w obliczu bardzo rozszerzonego katalogu kompetencji i zadań organu będzie musiało wiązać się również ze znacznym zwiększeniem budżetu organu ochrony danych osobowych w Polsce. Chcę podkreślić, to nie jest problem GIODO tylko w Polsce. To jest kompetencja… Rozszerzone kompetencje, ujednolicone, zharmonizowane dotyczą organów ochrony tych danych w całej Unii Europejskiej. Część organów ochrony Unii Europejskiej już uzyskała zwiększony budżet w związku z tymi nowymi zadaniami, np. w Holandii został on zwiększony pięciokrotnie. W zakresie nowo przyznanych organom ochrony danych osobowych kompetencji na uwagę szczególną zasługuje przewidziane wprost w rozporządzeniu uprawnienie do nakładania przez nie administracyjnych kar finansowych. Wysokość tych kar ma wynosić do 20 milionów euro bądź do 4% rocznego światowego obrotu, oczywiście w zależności od tego, jaki to był rodzaj naruszenia, jak zachowywał się administrator danych w związku z takim naruszeniem itp.</u>
<u xml:id="u-6.7" who="#EdytaBielakJomaa">Ogólne rozporządzenie o ochronie danych osobowych będzie stosowane bezpośrednio, co wcale nie wyłącza konieczności podjęcia działań legislacyjnych na poziomie krajowym. Rozporządzenie zawiera kilkadziesiąt różnego rodzaju wyłączeń. Wiele z tych wyłączeń umocowuje państwa członkowskie do doprecyzowania określonych instytucji w wewnętrznych porządkach prawnych. Część tych obszarów dzisiaj będzie omówiona.</u>
<u xml:id="u-6.8" who="#EdytaBielakJomaa">Chciałabym przypomnieć, że unijna reforma ochrony danych związana jest nie tylko z rozporządzeniem ogólnym. W skład tej reformy wchodziły prace nad dyrektywą, o której już dzisiaj wspominałam, czyli tzw. dyrektywą policyjną. Warto zwrócić uwagę, że ta dyrektywa odnosi się do wszystkich służb o uprawnieniach policyjnych, czyli, jeśli chodzi o Polskę, do Policji, Straży Granicznej, Służby Celnej, ale i Agencji Bezpieczeństwa Wewnętrznego czy Centralnego Biura Antykorupcyjnego, jako że obie te służby mają częściowo uprawnienia służb specjalnych, a częściowo służb policyjnych, w zakresie ścigania przestępstw powszechnych. Dyrektywa w pewnym zakresie dotyczy także funkcjonowania organu wymiaru sprawiedliwości.</u>
<u xml:id="u-6.9" who="#EdytaBielakJomaa">Proszę państwa, zostały nam 2 lata na wdrożenie obu aktów prawnych oraz na właściwe przygotowanie się do stosowania nowych przepisów. Myślę, że istotne jest to, żebyśmy widzieli tę reformę jako całość i mieli na względzie, że będziemy musieli dokonać… W związku z tym będziemy podejmowali działania o charakterze kompleksowym. Oznacza to zapewnienie spójności zarówno pomiędzy przepisami ogólnego rozporządzenia, przepisami krajowymi i je wdrażającymi oraz przepisami wdrażającymi dyrektywę, ale również przepisami szczególnymi. Polski ustawodawca będzie musiał podjąć różne decyzje – i o kształcie nowych przepisów krajowych, i o zakresie modyfikacji przepisów rozporządzenia w tych obszarach, w których jest to konieczne albo możliwe, i o zakresie spraw dotyczących różnych aspektów funkcjonowania organu ochrony danych osobowych. Musimy też pamiętać, że teraz nie możemy się ograniczać jedynie do oceny przepisów europejskich, wskazywać, jakie rozwiązania byłyby lepsze. Mamy świadomość tego, że moglibyśmy zaproponować wiele takich rozwiązań, ale to jest czas, w którym musimy zrozumieć konsekwencje przyjętych rozwiązań prawnych, konsekwencje tych przepisów, które są, i podjąć wszelkie możliwe działania tak, żeby można było prawidłowo wdrożyć te przepisy i je stosować tam, gdzie jest to niezbędne. Te działania muszą być podjęte. Wdrożenie przepisów unijnych w tym zakresie wymaga zapewnienia spójności nie tylko w ramach przepisów krajowych, ale również w ramach całej Unii Europejskiej. Tylko wtedy prawa polskich obywateli będą jednolicie chronione, ale też tylko wtedy polscy przedsiębiorcy będą mieli równe szanse na wspólnym rynku. Generalny inspektor jako członek grupy roboczej z art. 29 dąży do zapewnienia takiej spójności w tych obszarach, które w przyszłości będą kształtowane przez europejską radę ochrony danych.</u>
<u xml:id="u-6.10" who="#EdytaBielakJomaa">Szanowni Państwo, bardzo uprzejmie dziękuję państwu za to, że zechcieliście przyjąć zaproszenie do udziału w dzisiejszym spotkaniu. Życzę państwu bardzo owocnych obrad i interesującej wymiany poglądów, a nam życzę inspiracji wynikających z wymiany tych właśnie poglądów. Miłego dnia. Dziękuję raz jeszcze panu przewodniczącemu za chęć zorganizowania tego spotkania. Dziękuję bardzo.</u>
</div>
<div xml:id="div-7">
<u xml:id="u-7.0" who="#MichałSeweryński">Dziękujemy. Dziękuję pani minister.</u>
<u xml:id="u-7.1" who="#MichałSeweryński">I od razu udzielam głosu panu ministrowi Witoldowi Kołodziejskiemu.</u>
<u xml:id="u-7.2" who="#MichałSeweryński">Bardzo proszę.</u>
</div>
<div xml:id="div-8">
<u xml:id="u-8.0" who="#WitoldKołodziejski">Dziękuję bardzo.</u>
<u xml:id="u-8.1" who="#WitoldKołodziejski">Szanowni Państwo!</u>
<u xml:id="u-8.2" who="#WitoldKołodziejski">Pani minister powiedziała w zasadzie o wszystkim, o czym należy powiedzieć przy okazji implementacji rozporządzenia o ochronie danych osobowych. Ja chciałbym podkreślić pewne aspekty kierunkowe, które będą przyświecały nam jako Ministerstwu Cyfryzacji – to Ministerstwo Cyfryzacji odpowiada za implementację rozporządzenia – przy konstruowaniu nowego podejścia prawnego do kwestii ochrony danych osobowych.</u>
<u xml:id="u-8.3" who="#WitoldKołodziejski">Rzeczywiście jest tak, że przyjęcie i opublikowanie nowego rozporządzenia o ochronie danych osobowych nie zakończyło prac nad kwestią ochrony danych osobowych w Unii Europejskiej. To zakończyło jeden etap prac i jednocześnie otworzyło kolejny, nowy. Ten nowy etap to jest implementacja na poziomie państw członkowskich. Mimo że co do zasady rozporządzenie jest aktem prawa bezpośrednio obowiązującym, przewiduje przypadki, kiedy poszczególne kwestie pozostawione są do uregulowania lub doprecyzowania przez prawo krajowe. Pani minister o tym mówiła. Tych poszczególnych przypadków… Może inaczej. Zmian w poszczególnych aktach prawnych jest bardzo dużo. Dzisiaj trudno to jest szczegółowo oszacować, ale trzeba powiedzieć, że kilkaset aktów trzeba będzie przynajmniej przeanalizować pod kątem ewentualnych zmian oraz – i tu pierwsza deklaracja – napisać nową ustawę. Ministerstwo Cyfryzacji będzie pisało nową ustawę o ochronie danych osobowych. To będzie odrębny akt prawny, który za 2 lata ma obowiązywać.</u>
<u xml:id="u-8.4" who="#WitoldKołodziejski">Co będziemy brać pod uwagę przy konstruowaniu tego aktu prawnego? Przede wszystkim wyzwania, przed którymi dzisiaj stoimy. Proszę państwa, mamy do czynienia ze zjawiskiem o niespotykanej dotychczas skali. Chodzi o ilość danych, które w tej chwili mamy, które w tej chwili przetwarzamy i o skalę przyrostu tych danych. Nie wiem, czy państwo macie świadomość tego, iż 90% dzisiaj dostępnych danych wygenerowano w ciągu ostatnich 2 lat, a ilość danych na świecie zwiększa się o 40% rocznie. Wyszukiwarka Google odnotowuje 40 tysięcy zapytań na sekundę, co rocznie daje biliony zapytań, a zapytania w wyszukiwarce bardzo często zawierają bardzo istotne i wrażliwe dane, z którymi można zrobić bardzo dużo i złego, i dobrego. Nie wiem, czy państwo wiecie, że półtora miliarda ludzi korzysta z Facebooka, że 62% Polaków posiada smartfon – jeszcze niedawno smartfonów na rynków w ogóle nie było – że internet dzisiaj jest globalny i w każdym miejscu na świecie klika się tak samo. Z tego wynika, że nie ma polskiego internetu, nie ma polskiego prawa odnoszącego się tylko i wyłącznie do ochrony danych polskich obywateli w polskiej sieci. Zaletą tego rozporządzenia, zaletą tego, że jest ono bezpośrednio stosowane jest to, że na terenie Unii Europejskiej te zasady rozszerzone są na wszystkie kraje członkowskie, jak również zapisy, które mówią o pewnych zasadach, które muszą być respektowane przy wymianie danych z krajami spoza Unii Europejskiej.</u>
<u xml:id="u-8.5" who="#WitoldKołodziejski">W tej ustawie widzimy szansę na budowę zaufania do środowiska cyfrowego. Jest to znacznie szerszy kontekst reformy niż ochrona obywateli przed wykorzystaniem ich danych, przed kradzieżą danych itd. My przede wszystkim traktujemy to jako szanse, które dadzą obywatelom i biznesowi możliwość budowy zaufania we wzajemnych relacjach przy korzystaniu z nowoczesnych technologii. Prywatność w sieci to nie jest przeszkoda dla prowadzenia biznesu – to jest szansa właśnie ze względu na budowę zaufania, a na tej podstawie można znacznie trwalszy biznes robić. Proszę państwa, mamy świadomość tego, że prawo nie nadąża za postępem technologicznym. To zresztą nic nowego, prawo nigdy nie nadążało za postępem technologicznym, bo gdyby tak było… Gdyby najpierw było prawo, a później technologie, to znaczyłoby, że to prawo wyznacza postęp techniczny, a jest przecież na odwrót. W tym nie ma nic dziwnego, natomiast co do tempa tych zmian… To musimy mieć na uwadze.</u>
<u xml:id="u-8.6" who="#WitoldKołodziejski">Proszę państwa, Kodeks Justyniana obowiązywał prawie tysiąc lat, a ustawa o ochronie danych osobowych po 20 latach stała się archaiczna i trzeba ją zmienić, trzeba ją napisać, tak samo jak rozporządzenie, od nowa. Przy konstruowaniu nowego prawa musimy wykazać się bardzo elastycznym i nowoczesnym podejściem. Będziemy chcieli zmniejszyć uciążliwe obciążenia na rzecz realnego przestrzegania zasad. Będziemy rozliczać administratorów ochrony danych zamiast dawać im szczegółowe wskazania co do tego, jakiej długości ma być np. hasło dostępu do systemu. Będziemy szeroko stosować zasadę podejścia opartego na ryzyku, będziemy starali się harmonizować przepisy prawne z innymi przepisami krajów członkowskich na poziomie Parlamentu Europejskiego. Chcemy dbać… Skoro mamy jedno rozporządzenie o ochronie danych osobowych, chcielibyśmy mieć podobne rozwiązania w tych kwestiach szczegółowych jak inne kraje unijne. Sens działania prawa dotyczącego ochrony danych osobowych w krajach unijnych będzie wtedy, jeżeli ono będzie jednolite.</u>
<u xml:id="u-8.7" who="#WitoldKołodziejski">Proszę państwa, tak jak powiedziałem, dużą zaleta rozporządzenia jest rozciągnięcie przepisów Unii na państwa spoza Unii Europejskiej. Mamy doświadczenia… Cały czas toczą się negocjacje w sprawie przyjęcia tzw. tarczy prywatności. To jest taka umowa ze Stanami Zjednoczonymi. Przy okazji tych negocjacji rozporządzenie jest bardzo dużym atutem po stronie negocjatorów ze strony Unii Europejskiej. My mówimy o rozciągnięciu prawa nie tylko na kontakty starego kontynentu ze Stanami Zjednoczonymi, a ze wszystkimi krajami pozaunijnymi.</u>
<u xml:id="u-8.8" who="#WitoldKołodziejski">O ścisłej harmonizacji mówiłem… Promowanie mechanizmów ochrony prywatności na etapie projektowania konkretnych rozwiązań – to jest koncepcja, którą zawiera rozporządzenie o ochronie danych osobowych. Krótko mówiąc, ochrona danych jest szansą, a nie zagrożeniem. Wzmocnienie zaufania i podejście do ochrony prywatności już na etapie projektowania, podejście do ochrony prywatności na poziomie ustawień domyślnych – to są hasła, które są w RODO omawiane. Krótko mówiąc, chodzi o to, że sam program jest projektowany z myślą o tym, żeby ta prywatność była chroniona. Ustawienia domyślne urządzeń… Nowy tablet czy smartfon ma dzisiaj ustawienia jak najszersze, jest, że tak powiem, najbardziej otwarty na świat. Zagrożenia utraty prywatności… Chodzi o ochronę prywatności w ustawieniach domyślnych. Ewentualnie później, świadomie możemy rozszerzać te uprawnienia do przekazywania swoich danych osobowych. O tym aspekcie chciałem wspomnieć na koniec, ponieważ tutaj możemy streścić podejście Ministerstwa Cyfryzacji do konstruowania nowych rozwiązań prawnych. Na etapie tworzenia myślimy o ochronie prywatności… To jest integralny element rozwoju technologicznego i biznesowego. A na etapie wykorzystywania myślimy o standardowym podejściu związanym z ochroną prywatności. Inne elementy mogą być jedynie odstępstwami od tej zasady.</u>
<u xml:id="u-8.9" who="#WitoldKołodziejski">Proszę państwa, na koniec chcę powiedzieć, że dokument kierunkowy planujemy przygotować do końca tego roku i wtedy będziemy poddawać go szerokim konsultacjom. Chcemy pracować nad nim w modelu wielostronnym – będziemy to konsultować zarówno ze środowiskami naukowymi, jak i biznesem, organizacjami pozarządowymi i rządem oczywiście. Tak że będzie jeszcze o czym rozmawiać, będzie jeszcze okazja, jak mam nadzieję, do burzliwych, ale owocnych spotkań. Dziękuję bardzo.</u>
</div>
<div xml:id="div-9">
<u xml:id="u-9.0" who="#MichałSeweryński">Dziękuję, Panie Ministrze.</u>
<u xml:id="u-9.1" who="#MichałSeweryński">Teraz proszę o zabranie głosu pana Tomasza Zdzikota, podsekretarza stanu w Ministerstwie Spraw Wewnętrznych i Administracji.</u>
</div>
<div xml:id="div-10">
<u xml:id="u-10.0" who="#TomaszZdzikot">Bardzo dziękuję, Panie Przewodniczący.</u>
<u xml:id="u-10.1" who="#TomaszZdzikot">Pani Minister! Szanowni Państwo!</u>
<u xml:id="u-10.2" who="#TomaszZdzikot">Bardzo dziękuję za zaproszenie. Dziękuję też za zorganizowanie dzisiejszego spotkania, które ze względu na poruszaną tu tematykę i proponowane tematy referatów ma charakter niezwykle przekrojowy. Ja postaram się kontynuować wątki rozpoczęte zarówno przez panią minister, jak i pana ministra Kołodziejskiego oraz poruszyć kilka być może nowych aspektów.</u>
<u xml:id="u-10.3" who="#TomaszZdzikot">Odnosząc się do kwestii, o której wspominał pan minister Kołodziejski, a więc kwestii dotyczącej wykorzystywania ilości danych gromadzonych nie tylko przez organy administracji ulicznej oraz służby powołane do stania na straży bezpieczeństwa, ale także przez firmy, korporacje i organizacje ponadnarodowe, chciałbym zwrócić uwagę, że w moim przekonaniu poziom zainteresowania i stopień kontroli, także społecznej, nad procesami związanymi z gromadzeniem i przetwarzaniem danych przez służby powołane do stania na straży bezpieczeństwa w zestawieniu z takimi samymi działaniami w odniesieniu do ponadnarodowych firm i koncernów są dużo bardziej zaawansowane. Należy zwrócić uwagę na to, iż standard ochrony prywatności i sposoby, metody kontroli przetwarzania danych osobowych nie mają charakteru uniwersalnego, o czym zresztą wspominał minister Kołodziejski w kontekście negocjowanej właśnie umowy ze Stanami Zjednoczonymi. To jest umowa dotycząca tarczy prywatności, porozumienie parasolowe, którego podstawą jest – myślę, że znany większości na tej sali – wyrok w sprawie Schremsa. To jest wyrok dotyczący jednego z portali społecznościowych, który wskazywał w sposób jednoznaczny, że standardy europejskie i standardy amerykańskie w zakresie ochrony prywatności to nie są stany równoważne. W latach 2000–2015 obowiązywał sposób wymiany danych osobowych między Unią Europejską a Stanami Zjednoczonymi oparty o bezpieczną przystań, tzw. bezpieczną przystań, potwierdzony w 2000 r. przez Komisję Europejską. I dopiero w 2015 r. na fali znanych nam wydarzeń związanych z ujawnianiem informacji przez pracownika służb bezpieczeństwa Stanów Zjednoczonych wyrok Trybunału Sprawiedliwości wskazał, że ta decyzja powinna być, i została, uchylona. Trwają w tej chwili prace nad zawarciem nowej umowy. Ta nowa umowa będzie zawierała wiele gwarancji dotyczących sposobu zapewnienia bezpieczeństwa danych Europejczyków przez podmioty amerykańskie. Po raz pierwszy w historii Stany Zjednoczone przedstawiły Unii wiążące zapewnienie, że dostęp organów publicznych do danych będzie ograniczony, będzie podlegał specjalnej kontroli przez powołaną w tym celu osobę. Będzie możliwość dochodzenia swoich praw przez Europejczyków wobec danych osobowych gromadzonych i przekazywanych firmom amerykańskim, a firmy pragnące pobierać dane osobowe z Europy będą musiały przestrzegać rygorystycznych zobowiązań dotyczących sposobu ich przetwarzania i poszanowania praw jednostek. To jest porozumienie, które wkrótce będzie ratyfikowane. Stanowisko rządu polskiego względem tego porozumienia i tych negocjowanych umów jest pozytywne, było już dyskutowane tutaj w parlamencie. To jest bardzo ważny przyczynek do szerszej dyskusji w aspekcie, o którym wspomniałem, czyli dotyczącego potrzeby równoważnego traktowania danych osobowych i społecznej kontroli standardów gromadzenia i przetwarzania danych osobowych przez korporacje, firmy, a przede wszystkim portale społecznościowe. Dziś najprawdopodobniej znaczna część z tych 62% Polaków, którzy mają smartfony, o czym przed chwilą mówił minister Kołodziejski, ma na tych smartfonach zainstalowane aplikacje portali społecznościowych. A więc nie tylko organy stojące na straży bezpieczeństwa publicznego, ale także firmy, korporacje, w tym te, które niekoniecznie kojarzą się z tymi zagadnieniami, powinny być przedmiotem wzmożonej społecznej kontroli i zainteresowania.</u>
<u xml:id="u-10.4" who="#TomaszZdzikot">W tym zakresie niezbędna jest na pewno edukacja. Na pewno niezbędne są działania wzmacniające świadomość. Wydaje się, że pewnym pozytywnym akcentem w tym aspekcie może być analiza chociażby statystyk policyjnych. Pewnie one nie są w tym aspekcie bardzo miarodajne, ale mogą być pewnym asumptem do wyciągania wniosków. I tak np. jeżeli chodzi o przestępstwa sklasyfikowane w art. 190a kodeksu karnego – mam tutaj na myśli zarówno podszywanie się, jak i nękanie – to statystyki policyjne odnotowują istotny, bardzo istotny wzrost skali wszczynanych postępowań, a więc także wzrost liczby zawiadomień składanych do organów ścigania w tych sprawach. To z kolei świadczy o postępującym wzroście świadomości związanej z takimi zagrożeniami, z potrzebą zapewnienia bezpieczeństwa. Wzrost liczby wszczynanych przez Policję postępowań w sprawach z art. 190a kodeksu karnego od roku 2012 do roku 2015 wynosi 60%. To duży wzrost, chociaż skala może nie jest tak gigantyczna, bo współczynnik za rok 2015 kształtuje się na poziomie 6 tysięcy 700 wszczynanych postępowań.</u>
<u xml:id="u-10.5" who="#TomaszZdzikot">Dużo było tutaj mowy – powiem szczerze, że przygotowując się do dzisiejszego wystąpienia, czułem, że tak będzie – o rozporządzeniu i o dyrektywie policyjnej. Pani minister i pan minister o tym mówili. Postaram się poruszyć inny nieco wątek związany z trwającymi obecnie pracami, które zaowocują w przyszłości kolejną rewolucją, być może nieco mniejszą niż związana z tym rozporządzeniem. Mam tutaj na myśli trwające prace nad rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ustanowienia systemu wjazdu, wyjazdu i ich rejestrowania obywateli trzecich na teren Unii Europejskiej. Powstanie ogólnoeuropejski system teleinformatyczny rejestrujący wszelkie wjazdy na teren Unii Europejskiej i wyjazdy dokonywane zarówno przez osoby, które są uprawnione do ruchu bezwizowego, jak i przez tych, których wiza obowiązuje. W tej chwili prace są zaawansowane. Stanowisko rządu było przeze mnie prezentowane ostatnio w parlamencie, stanowisko rządu jest pozytywne. Ten projekt jest modyfikacją, rozwinięciem pakietu inteligentnych granic, który był przedstawiony przez Komisję w roku 2013 i spotkał się z przychylnym przyjęciem w zakresie idei i potrzeby stworzenia systemu ogólnoeuropejskiego informatycznego, który będzie tego typu dane agregował, rejestrował i udostępniał, choć jednocześnie wskazywano na wiele zastrzeżeń. Przez kilka lat trwały prace, które owocują obecną legislacją. Projekt zakłada, że rejestrowany będzie każdy wjazd na teren Unii Europejskiej, każdy pobyt krótkoterminowy rozumiany jako maksymalnie 90 dni w okresie 180-dniowym, tak jak wspomniałem, zarówno osób, które uczestniczą w ruchu bezwizowym, jak i tych, których obowiązuje wiza. System będzie agregował i rejestrował dane osób, którym odmówiono wjazdu. Z punktu widzenia ochrony danych osobowych istotne jest to, iż w zestawieniu z projektem przedstawianym przez Komisję w roku 2013 ograniczono ilość danych, które będą rejestrowane w systemie – z 36 do 26 typów. Oparto się na 2 rodzajach danych biometrycznych. To będzie zdjęcie, wizerunek twarzy i odciski 4 palców. Poprzednia propozycja zakładała, że będą to odciski 10 palców. Okres retencji danych gromadzonych w systemie będzie wynosił 5 lat. System będzie zintegrowany zarówno z systemem informacyjnym Schengen, jak i z wizowym systemem informacyjnym. No i cóż, koszt budowy systemu szacowany jest na chwilę obecną przez Komisję Europejską na około 0,5 miliarda euro w 3 fazach wdrażania tego systemu. Projekt będzie umożliwiał – z tym związany jest projekt nowelizacji kodeksu Schengen – wprowadzenie samoobsługowych bramek granicznych, samoobsługowego przekraczania granicy i odstąpienie od stemplowania paszportów. Niemniej jednak z punktu widzenia dzisiejszych naszych obrad, dzisiejszej dyskusji istotne jest to, że będzie także zawierał komponent dotyczący gromadzenia danych, dotyczący rejestrowania osób uczestniczących w ruchu wizowym i bezwizowym przyjeżdżających do Unii Europejskiej. Po stronie polskiej to będzie bardzo duże, nie tylko zresztą po stronie polskiej… Po stronie wszystkich krajów to będzie bardzo duże przedsięwzięcie zarówno organizacyjne, techniczne, finansowe, jak i legislacyjne. Zakładamy, że niezbędne będzie przyjęcie specustawy, ustawy wzorowanej na ustawie o udziale Rzeczypospolitej Polskiej w systemie informacyjnym Schengen oraz wizowym systemie informacyjnym. To będzie wyzwanie stojące przed ministrem spraw wewnętrznych i administracji, przed Strażą Graniczną już w najbliższym czasie.</u>
<u xml:id="u-10.6" who="#TomaszZdzikot">Jeżeli chodzi o wątki, które poruszali pan minister Kołodziejski oraz pani minister… Dyrektywa policyjna. Widzę, że w agendzie naszego dzisiejszego spotkania jest referat w całości poświęcony tym rozwiązaniom, więc nie będę tego tematu szczegółowo poruszał. Podkreślenia wymaga fakt, że jest to, tak jak wspomniała pani minister, pakiet rozwiązań związany immanentnie z rozporządzeniem. Warte podkreślenia jest również to, że jest to pierwsza tego typu kompleksowa regulacja dotycząca tego aspektu gromadzenia i przetwarzania danych osobowych. W nawiązaniu do kwestii poruszanych przez pana ministra, chcę powiedzieć, że one wszystkie albo przynajmniej duża ich część może być ujęta w ramy szerszego zagadnienia, którym także my w MSWiA się zajmujemy – w ramy cyberbezpieczeństwa, bezpieczeństwa cyberprzestrzeni. Niezwykle istotne jest to, aby zapewnić bezpieczeństwo systemów teleinformatycznych, które te dane agregują. Na tym polu jest bardzo wiele do zrobienia. Raporty Najwyższej Izby Kontroli, delikatnie ujmując, nie napawają optymizmem co do stanu, jaki wymaga w tej chwili naprawy. W zakresie resortu spraw wewnętrznych… Raport, który był opublikowany w czerwcu 2015 r. wskazywał, że minister spraw wewnętrznych nie podejmuje żadnych działań w zakresie cyberbezpieczeństwa, ogranicza się wyłącznie do własnych sieci, a i w tym zakresie podejmowane działania należy uznać za nierzetelne. To jest podsumowanie, które uznajemy w MSWiA za punkt zero. Od tego stanu odbijamy się, tworząc rozwiązania systemowe, które spowodują, że tego typu opinie nie będą się w przyszłości powtarzały. To rzeczywiście jest niezwykle istotne.</u>
<u xml:id="u-10.7" who="#TomaszZdzikot">Bardzo serdecznie jeszcze raz chciałbym podziękować za zaproszenie na dzisiejsze spotkanie. Chciałbym jednocześnie serdecznie państwa przeprosić za to, że nie będę mógł wziąć udziału w całości dzisiejszych obrad, chociaż bardzo bym chciał. Posiedzenie komisji równolegle zaplanowane w Sejmie będzie mnie zmuszało do opuszczenia naszego spotkania. Bardzo dziękuję.</u>
</div>
<div xml:id="div-11">
<u xml:id="u-11.0" who="#MichałSeweryński">Dziękuję, Panie Ministrze.</u>
<u xml:id="u-11.1" who="#MichałSeweryński">Proszę państwa, przystępujemy teraz do klasycznej części seminaryjnej.</u>
<u xml:id="u-11.2" who="#MichałSeweryński">Pierwszą część poprowadzę ja. Chciałbym zaproponować, żebyśmy te 12 referatów rozdzielili po równo: w pierwszej części będzie 6 i w drugiej części będzie 6. Wobec tego do przedstawionego państwu programu proponuję wprowadzić zmianę tak, ażeby referat pana profesora Czesława Martysza… Czy jest pan profesor?</u>
<u xml:id="u-11.3" who="#Gloszsali">Pan profesor jest jeszcze nieobecny.</u>
<u xml:id="u-11.4" who="#MichałSeweryński">Jeszcze nieobecny, ale może zdąży… Ma prawo przyjść dopiero na 13.00. A jeżeli nie, to może poprosimy następną osobę. Chodzi o to, żeby było 6 referatów w pierwszej części i 6 referatów w drugiej części. Każdy referat trwa 15 minut, co daje razem 1,5 godziny. W każdej części mamy pół godziny na dyskusję. W ten sposób zrealizujemy cały program. Po przerwie przewodniczyć będzie pan senator, profesor Waldemar Sługocki, który jest wiceprzewodniczącym Komisji Spraw Zagranicznych i Unii Europejskiej.</u>
<u xml:id="u-11.5" who="#MichałSeweryński">Proszę bardzo o zabranie głosu i wygłoszenie referatu pana profesora Wojciecha Cellarego z Katedry Technologii Informacyjnych Uniwersytetu Ekonomicznego w Poznaniu. Panie Profesorze, mamy reżim czasowy – 15 minut, bardzo proszę. Pan profesor znany jest z dyscypliny, więc, jak myślę, będzie wszystko bardzo dobrze.</u>
<u xml:id="u-11.6" who="#MichałSeweryński">Proszę bardzo, udzielam panu głosu.</u>
</div>
<div xml:id="div-12">
<u xml:id="u-12.0" who="#WojciechCellary">Ja pozwolę sobie siedzieć ze względu na mikrofon, ale będę wyświetlał swoje slajdy.</u>
<u xml:id="u-12.1" who="#WojciechCellary">Proszę państwa, moje wystąpienie tak naprawdę nie dotyczy tej regulacji, o której w tej chwili mówimy. Ono wykracza poza jej zakres, pokazując pewną perspektywę czy właściwie wyzwania, przed jakimi staniemy, i dotyczy tzw. analizy gigadanych. Po angielsku to się nazywa Big Data, ale ja bardzo mocno lansuję, podobnie zresztą jak Rada Języka Polskiego, polski termin „gigadane”, który jest lepiej zrozumiały.</u>
<u xml:id="u-12.2" who="#WojciechCellary">Mam pewną wiadomość od naukowców. To jest wiadomość z jednej strony wspaniała, a z drugiej strony przerażająca. Informatycy i matematycy, łącząc siły, umieją przewidywać przyszłość, chociaż nie z pewnością, tylko z dużym prawdopodobieństwem. To się nazywa: analiza gigadanych albo uczenie maszynowe. To są nowe techniki oparte na tych ogromnych ilościach danych, jakie w tej chwili gromadzimy świadomie i nieświadomie. To prowadzi do pewnej zmiany paradygmatu. Od poszukiwania przyczynowości, co zawsze było celem nauki, idziemy w stronę poszukiwania korelacji. Dzięki analizie gigadanych będziemy wiedzieli z wysokim prawdopodobieństwem, co się stanie, ale nie będziemy wiedzieli dlaczego. To oznacza, że będziemy mieć wiedzę bez zrozumienia, a to jest groźne, bo to jest rzecz bliska magii. Prawda? Będziemy wiedzieć, że coś będzie, nie będziemy wiedzieli dlaczego. To znaczy komputery będą wiedzieć, tak trzeba powiedzieć.</u>
<u xml:id="u-12.3" who="#WojciechCellary">Proszę państwa, my na co dzień mamy do czynienia z analizą gigadanych, tylko być może nie do końca to sobie uświadamiamy. Proszę spojrzeć. Rekomendacje w Amazonie. Amazon wyrósł dzięki temu, że zamiast porównywać kupujących, szukał korelacji pomiędzy produktami. I okazywało się, że ktoś, kto lubi markę BMW, lubi też czytać taką a nie inną książkę. Zupełnie nie wiadomo dlaczego, ale tak jest. Wystarczy zatem mu to zaproponować, żeby zwiększyć sprzedaż.</u>
<u xml:id="u-12.4" who="#WojciechCellary">Automatyczne tłumaczenia z języka na język. Przez całe lata próbowano to robić poprzez porównywanie gramatyk, ale to się nie udało. W tej chwili tłumacz automatyczny na zasadzie korelacji lepiej lub gorzej potrafi pewne rzeczy przetłumaczyć.</u>
<u xml:id="u-12.5" who="#WojciechCellary">Leczenie wcześniaków. Analiza gigadanych pozwala odkryć infekcję u wcześniaka, który sam nie powie, co go boli, na 24 godziny przed pojawieniem się pierwszych objawów.</u>
<u xml:id="u-12.6" who="#WojciechCellary">Przewidywanie awarii urządzeń i maszyn, podpowiadanie słów przy pisaniu SMS-ów. Z tego to chyba już wszyscy korzystają. Jeśli ja, pisząc SMS, postawię kropkę, to system zaproponuje mi jako następne słowo „Wojtek”, bo statystycznie ja po kropce najczęściej podpisuję się swoim imieniem. Każdemu, kto nie ma na imię Wojciech, system zaproponuje jego własne imię. I to jest ta różnica, proszę państwa. Analiza gigadanych w przeciwieństwie do profilowania prowadzi do spersonalizowanych wyników. Profilowanie oznacza mniej więcej coś takiego: wszyscy senatorowie zrobią to i tamto. A spersonalizowane wyniki oznaczają, że ten konkretny senator zrobi to, a ten konkretny senator zrobi coś innego. Komputery potrafią to dzisiaj przewidzieć z bardzo dużą dokładnością.</u>
<u xml:id="u-12.7" who="#WojciechCellary">Chciałbym bardzo podkreślić, że korelacja to nie jest związek przyczynowo-skutkowy. Można wykryć nieoczywistą korelację między bezawaryjnością samochodów a ich pomarańczowym kolorem, ale pomalowanie konkretnego samochodu na pomarańczowo nie spowoduje, że on nie będzie się psuć. To jest tylko statystyka, niemniej z tego wynikają bardzo istotne konsekwencje. Korelacja jest zawsze obarczona błędem, bo to jest tylko statystyka. Pytanie tylko, jak duży ten błąd jest. Jeśli ryzyko błędu przewidywania zmaterializuje się – taka jest natura ryzyka, że zawsze może się zmaterializować – to będziemy mieli albo konsekwencje błahe, albo konsekwencje poważne, a nawet destruktywne dla naszego systemu wartości. Te błahe to jest np. ta podpowiedź w trakcie pisania SMS-u. Jak mi nie podpowie słowa „Wojtek”, tylko „Marysia”, to mi się nic nie stanie, bo po prostu sam napiszę „Wojtek” i tyle. Prawda? Natomiast jeśli ktoś skaże niewinnego na 20 lat więzienia… To są konsekwencje destruktywne dla naszego systemu wartości.</u>
<u xml:id="u-12.8" who="#WojciechCellary">Przechodzę do tego, co jest istotą tej wypowiedzi, a mianowicie do kwestii prywatności w epoce gigadanych. Pierwsze pytanie brzmi: dlaczego chronić prywatność? Ja pozwoliłem sobie to wypowiedzieć, bo to jest rzecz, którą się rzadko werbalizuje. Bardzo często się mówi o tej prywatności, ale niezbyt często mówi się o tym, dlaczego należy ją chronić. Dlaczego? Z bardzo prostego powodu – utrata prywatności prowadzi do podatności na manipulację, szantaż i dyskryminację. Powody naruszania prywatności są następujące: ekonomiczne – firmy chcą nas w taki czy inny sposób… one mówią, że przekonać, ale równie dobrze mogą nas szantażować; polityczne; kryminalne – ktoś zostaje wytypowany do ataku kryminalnego, bo najlepiej się nadaje do tego, żeby go zaatakować – i cyberwojenne. Nowa wojna zacznie się w internecie. Pierwszym elementem, z jakim będziemy mieli do czynienia, to będzie atak internetowy. Jeśli nie będziemy przygotowani na odparcie takiego ataku, to będziemy bezbronni niezależnie od tego, ile mamy czołgów, rakiet, samolotów itd.</u>
<u xml:id="u-12.9" who="#WojciechCellary">Generalnie zmienia się sposób inwigilacji podejrzanych przez państwo. Otóż dawniej mieliśmy prawo do założenia podsłuchu i sprawdzania przelewów, kontaktów itd. konkretnych podejrzanych za zgodą sądu. Prokurator czy policjant szedł do sądu i mówił tak: ten jest człowiek jest podejrzany z takich i takich powodów, więc, Drogi Sędzio, daj mi prawo do podglądania go. Natomiast w epoce gigadanych zbieramy gigadane o wszystkich obywatelach, podejrzanych i niepodejrzanych, a potem przeprowadzamy analizę spersonalizowaną w odniesieniu do konkretnego podejrzanego, przy czym ten człowiek jest traktowany jako suma swoich relacji społecznych, interakcji elektronicznych i ulubionych treści. To jest charakterystyka przez relacje. On nawet może nie mieć tego smartfonu, a i tak będzie inwigilowany przez państwo dzięki dzisiejszym możliwościom komputerów. Dotychczasowy system prawny opierał się na pewnym przekazie: obywatelu, nie popełniaj przestępstwa, bo policja cię złapie, prokurator oskarży, sędzia osądzi i za karę twoje życie będzie skrócone, bo zamknięcie w więzieniu to jak skrócenie życia. To jest zasada, tak działa nasze społeczeństwo. W tej chwili mamy do czynienia ze zmianą wymuszoną przez terroryzm. Ten przekaz jest nieskuteczny w szczególności w odniesieniu do terrorystów samobójców. Oni, popełniając zbrodnię zabicia przypadkowych niewinnych ludzi, sami wymierzają sobie najwyższy wymiar kary – śmierć, skazywanie na którą jest zresztą zakazane w krajach Unii Europejskiej. Bardziej ukarać ich nie można. Prawda? A więc ten przekaz, że my cię złapiemy i skrócimy ci życie… Jego to nie interesuje, on sam sobie skróci życie. Obowiązkiem państwa jest chronić swoich obywateli, ale w tym przypadku jedynym sposobem ochrony jest niedopuszczenie do ataku poprzez aresztowanie osób, które taki atak planują. Jak one go wykonają, to jest już za późno. To jednak oznacza konieczność naruszania ich prywatności. W jaki sposób możemy stwierdzić, że ktoś planuje atak samobójczy, terrorystyczny? Musimy naruszyć jego prywatność, aby dowiedzieć się o jego planach z wyprzedzeniem. To powoduje zagrożenie dla systemu sprawiedliwości. Myśl o popełnieniu przestępstwa nie jest nielegalna. Proszę z ręką na sercu powiedzieć, że nikt z państwa nie chciał „zabić” swojego szefa albo przeciwnika politycznego. Prawda? Przejście od takiej myśli do czynu jest nielegalne. Osobista odpowiedzialność jest związana z indywidualnym wyborem. Zagrożenie sprawiedliwości polega na tym, że uznanie kogoś za winnego przewidywanych czynów, których jeszcze nie popełnił, to błąd polegający na wykorzystaniu prognoz analizy gigadanych bazujących na korelacji do podejmowania decyzji o czyjejś indywidualnej odpowiedzialności wymagającej udowodnienia związku przyczynowo-skutkowego. Nie wybuchło? To nie jest winny spowodowania wybuchu. Może być winny przygotowywania wybuchu, ale nie może być winny jego spowodowania.</u>
<u xml:id="u-12.10" who="#WojciechCellary">Analiza gigadanych pozwala poznać ryzyko wystąpienia przyszłych zjawisk i odpowiednio dostosować do niego nasze działania, ale ona nic nie mówi o przyczynowości. Nie wiadomo, skąd się to bierze… Każda osoba musi indywidualnie podjąć decyzję o swoim konkretnym działaniu, które spowoduje konkretny skutek, za który będzie ponosić odpowiedzialność, w tym odpowiedzialność karną. Niebezpieczeństwo, jakie z tym się wiąże, to jest niebezpieczeństwo nadużycia analizy gigadanych do szukania przyczynowości na podstawie korelacji, a to jest błąd metodologiczny. Nadużycie analizy gigadanych prowadzi do stworzenia społeczeństwa, w którym nie istnieje wolna wola i indywidualny wybór, moralny kompas każdego człowieka jest zastąpiony algorytmem prognostycznym, a jednostki są poddane nieograniczonemu przymusowi kolektywnych decyzji. Innymi słowy to jest taki przekaz: my, państwo, wiemy, że postąpisz nie według własnego uznania, czyli własnej moralności, tylko tak, jak to wynika z zachowań kolektywnych. Ponieważ wszyscy blondyni robią to i to, to ty też to zrobisz; ponieważ wszyscy o wzroście powyżej 1,90 m robią to i to, to ty też to zrobisz itd. Ponieważ to, co możesz zrobić, jest złe, zamkniemy cię prewencyjnie w więzieniu. To jest zniewolenie społeczeństwa.</u>
<u xml:id="u-12.11" who="#WojciechCellary">Co należy zrobić? Odrzucić pokusę niesprawiedliwości… Ludzie nadal powinni być sądzeni tylko za to, co faktycznie zrobili w przeszłości, a nie za statystyczną prognozę tego, co mogą zrobić w przyszłości. Jest potrzebne zupełnie nowe podejście do prywatności, od indywidualnej zgody na przetwarzanie danych w określonym celu, tak jak to ma miejsce obecnie, do odpowiedzialności użytkowników danych, czyli firm i instytucji państwowych, za skutki wykorzystania tych danych. Chodzi o to, jakie skutki będzie ponosić Ministerstwo Spraw Wewnętrznych i Administracji za niesłuszne podejrzenie kogoś o coś, czego on nigdy nie planował, a to podejrzenie wynikało tylko z tego, że ktoś napisał źle algorytm albo nawet napisał dobrze, tylko że prawdopodobieństwo się nie zmaterializowało. Z tego wynikają nowe przyszłe zadania GIODO, nad którymi powinniśmy popracować. My jako Polacy powinniśmy mieć wkład do stworzenia rozwiązań co najmniej europejskich, jeśli nie światowych. Obecnie mamy inspektora ochrony danych osobowych chroniącego przed nieuprawnionym przetwarzaniem, bo to trzeba dodać… To jest dzisiejsza rola GIODO. A w przyszłości to musi być rozszerzone, to powinien być inspektor analiz gigadanych chroniący obywateli przed nieuprawnionymi wnioskami z takich analiz. To pierwsze stanie się nieskuteczne, jeśli…</u>
<u xml:id="u-12.12" who="#WojciechCellary">Wnioski, proszę państwa, są następujące. Analiza gigadanych jest następnym krokiem technologicznym ludzkości i jak każda nowa technologia może być wykorzystana do czynienia dobra i zła. Tak jak energia nuklearna, wszelkie wynalazki człowieka… Dlatego zbieranie i analiza gigadanych wymaga efektywnej kontroli i to kontroli informatycznej, bo kontrola przez prawników jest całkowicie nieskuteczna. Jeśli my w jakimś celu musimy wygenerować automatycznie 450 milionów modeli matematycznych… Proszę mi powiedzieć, jaki prawnik to skontroluje. A kontrola jest niezbędna, aby nie dopuszczać do używania tej technologii w złych celach, co jest nadużyciem tych możliwości. Rolą parlamentu jest wprowadzenie takich uregulowań prawnych, które tę efektywną kontrolę zapewnią. Kiedyś mieliśmy najbardziej nowoczesne i najbardziej wyprzedzające prawo dotyczące ochrony danych osobowych. Marzyłoby mi się, żebyśmy mieli najbardziej nowoczesne prawo, zanim jeszcze Komisja Europejska je wprowadzi, dotyczące ochrony obywateli przed nadużyciem analizy gigadanych. Dziękuję uprzejmie.</u>
</div>
<div xml:id="div-13">
<u xml:id="u-13.0" who="#MichałSeweryński">Dziękuję, Panie Profesorze, także za wzorową dyscyplinę wypowiedzi. Było w tej wypowiedzi wiele interesujących wątków. Myślę, że znajdą one odzwierciedlenie w dyskusji.</u>
<u xml:id="u-13.1" who="#MichałSeweryński">Kolejnym referentem będzie pan profesor Paweł Fajgielski z Katolickiego Uniwersytetu Lubelskiego.</u>
<u xml:id="u-13.2" who="#MichałSeweryński">Bardzo proszę, Panie Profesorze. Również 15 minut.</u>
</div>
<div xml:id="div-14">
<u xml:id="u-14.0" who="#PawełFajgielski">Dziękuję serdecznie.</u>
<u xml:id="u-14.1" who="#PawełFajgielski">Ja również, podobnie jak mój przedmówca, pozwolę sobie siedzieć. Będę wyświetlał tezy na monitorze, a tak będzie pewnie mnie lepiej słychać.</u>
<u xml:id="u-14.2" who="#PawełFajgielski">Proszę państwa, znalazłem się w położeniu dość trudnym, gdyż mam w ciągu kwadransa przedstawić podstawowe założenia ogólnego rozporządzenia, ale będzie mi nieco łatwiej, bo w 2 wcześniejszych wystąpieniach o wielu tych założeniach już słyszeliśmy. Ja postaram się to w pewien sposób usystematyzować, uzupełnić, a na niektóre rzeczy zwrócić szczególną uwagę, choć oczywiście będzie to subiektywne, wybiórcze wskazanie niektórych problemów.</u>
<u xml:id="u-14.3" who="#PawełFajgielski">Proszę państwa, podstawowe założenia można w jakiejś mierze łączyć z celami, jakie przyświecały twórcom unijnych regulacji. Ja pozwoliłem sobie wskazać państwu na kilka takich założeń. Przede wszystkim chodzi o ujednolicenie mechanizmów ochrony danych. Te nowe ramy prawne Unii Europejskiej mają pozwolić odejść od sytuacji, w której każdy albo prawie każdy w ramach Unii Europejskiej robi to inaczej. Mimo że mamy wspólne przepisy, mamy dyrektywy, stopień różnorodności wynikający z implementacji był na tyle duży, że powodował bardzo wiele tego typu sytuacji.</u>
<u xml:id="u-14.4" who="#PawełFajgielski">Chodzi również o zapewnienie równorzędnego stopnia ochrony. Co do tego, czy uda się ten równorzędny stopień ochrony zapewnić, można mieć pewne wątpliwości, bo, tak jak zostało to już zasygnalizowane, pomimo tego, że mamy rozporządzenie, obszarów krajowej regulacji jest na tyle dużo, że jeśli nie będzie to w jakiś sposób zbliżone do siebie, to różnice mogą być bardzo, bardzo poważne.</u>
<u xml:id="u-14.5" who="#PawełFajgielski">Dalej: wzmocnienie ochrony osób, których dane są przetwarzane. To jest jeden ze sztandarowych powodów, a zarazem celów wprowadzenia nowej regulacji. Nie zawsze w mojej ocenie uda się to zrobić w pełni skutecznie, o czym za chwilę będę państwu mówił przy okazji omawiania konkretnych rozwiązań przyjętych w rozporządzeniu, niemniej taki cel przyświeca prawodawcy europejskiemu.</u>
<u xml:id="u-14.6" who="#PawełFajgielski">Uwzględnienie postępu i globalizacji. No, może jeszcze nie na tym etapie, o którym mówił tutaj w bardzo interesującym wystąpieniu pan profesor… To jest pójście w pogoni za rozwojem technologicznym nieco wprzód, ale mimo wszystko nie aż tak daleko.</u>
<u xml:id="u-14.7" who="#PawełFajgielski">Wzmocnienie współpracy między organami. Analizując przepisy nowego rozporządzenia, bez wątpienia trzeba przyznać, że mechanizmy, które w rozporządzeniu są przewidziane, mogą przysłużyć się zacieśnieniu tej współpracy, ale mogą też spowodować sytuacje mocno konfliktowe. Mogą pojawić się sytuacje, że organy poszczególnych krajów nie do końca będą się ze sobą zgadzały. Moim zdaniem jest to nieuchronne z racji choćby właśnie tych historycznych zaszłości, tych bardzo istotnych różnic między konstrukcjami prawnymi z zakresu ochrony danych osobowych stosowanymi przez poszczególne kraje członkowskie.</u>
<u xml:id="u-14.8" who="#PawełFajgielski">I wreszcie, proszę państwa, wprowadzenie sankcji. Rozporządzenie idzie tutaj dość daleko, nakazuje wprowadzenie przede wszystkim kar pieniężnych, administracyjnych kar pieniężnych. W polskim systemie prawnym nie jest to konstrukcja znana. Poza grzywną w celu przymuszenia, mechanizmem, który służy zupełnie innym celom, tak naprawdę takiej konstrukcji nie mamy. W kilku krajach europejskich system administracyjnych kar pieniężnych funkcjonuje od co najmniej kilku lat. Pewnie przyjdzie nam się tego nauczyć. Przy tym przykładzie chciałbym wspomnieć o tym, że bardzo ważne na tym etapie jest właściwe ukształtowanie naszych krajowych regulacji, które będą uzupełniały rozporządzenie, bo od nich bardzo wiele zależy. Rozporządzenie mówi nie tylko o sankcjach administracyjnych, o tych karach pieniężnych, ale także o sankcjach karnych. Moim zdaniem jedną z ważnych kwestii jest rozważenie, kiedy i które sankcje… Chodzi o to, żeby nie dochodziło do naruszenia zasady ne bis in idem, czyli karania za to samo, tylko że na podstawie 2 reżimów prawnych. Taka sytuacja nie powinna mieć miejsca, co zresztą wynika wprost z rozporządzenia. Nie tylko rozporządzenie o tym stanowi.</u>
<u xml:id="u-14.9" who="#PawełFajgielski">Pierwszym z tych podstawowych celów, podstawowych założeń, jest ujednolicenie zasad ochrony danych. Ja już o tym wspominałem. Dyrektywa wymagała implementacji, a rozporządzenie implementacji zasadniczo nie wymaga, czyli ten trzon będzie wspólny. Dziś już kilkukrotnie było powiedziane, że to nie do końca jest tak, iż oznaczać to będzie jednolitość na obszarze całej Unii Europejskiej. Proszę zauważyć, że organy nadzorcze będą ukształtowane przepisami krajowymi, procedury będą ukształtowane, powiedziałbym, krajowo. Jest co najmniej kilkanaście obszarów regulacji, w których państwa będą kształtowały własne przepisy, ustanawiając chociażby odstępstwa od ogólnych reguł przyjętych w rozporządzeniu. I na pewno nie będzie pełnego ujednolicenia, na pewno będą istotne różnice, przy czym oczywiście powinniśmy dążyć do tego, żeby te różnice były jak najmniejsze, żeby one nie powodowały konfliktów na tym tle.</u>
<u xml:id="u-14.10" who="#PawełFajgielski">Jeśli chodzi o obszary krajowych regulacji, na które w mojej ocenie powinniśmy szczególną uwagę zwrócić, to przede wszystkim jest to kwestia odpowiedniego ukształtowania pozycji i kompetencji organu nadzorczego. Moim zdaniem warto byłoby przy pracach legislacyjnych współpracować z podmiotami, które opracowują tego typu projekty w innych krajach, po to, żeby ukształtować to w sposób analogiczny, żeby pozwolić na zharmonizowanie w tym obszarze. Oczywiście specyfika krajowa może w różny sposób oddziaływać na status i kompetencje tych podmiotów. Wiemy, że w niektórych krajach nie ma możliwości, żeby organ administracji publicznej nakładał kary pieniężne, jak to przewidziane jest w przepisach rozporządzenia. Wówczas tam trzeba inaczej to ukształtować. W rozporządzeniu możecie państwo przeczytać propozycję mechanizmu, by to organ nadzorczy wnioskował o nałożenie tego typu kary przez uprawnione do tego podmioty, np. sąd. Ale wtedy to będzie zupełnie inna konstrukcja i, proszę zauważyć, nie będzie można mówić o harmonizacji w tym zakresie.</u>
<u xml:id="u-14.11" who="#PawełFajgielski">Obszarów do szczegółowej regulacji jest w rozporządzeniu wiele. Niektóre z nich będą dzisiaj przedmiotem odrębnych wystąpień, tak że nie będę o nich mówił bardziej szczegółowo. Chciałbym tylko zwrócić uwagę, że wszędzie tam, gdzie pojawia się ten obszar do wyjątkowej regulacji – to jest pewne odstępstwo, odejście od zasad przewidzianych w rozporządzeniu – należy się spodziewać tego, że kraje członkowskie będą z tego korzystać. Pytanie, w którym kierunku to pójdzie. Zasadniczo nie powinno to być sprzeczne z podstawowymi mechanizmami przewidzianymi w rozporządzeniu.</u>
<u xml:id="u-14.12" who="#PawełFajgielski">Proszę państwa, wzmocnienie ochrony praw osób, których dane mają być przetwarzane. Oczywiście nie sposób omówić tego szczegółowo, ja tylko to zasygnalizuję. Kwestie dotyczące informowania. Rozszerzenie obowiązku informacyjnego w moim przekonaniu może powodować w praktyce pewne problemy. Jeżeli dzisiaj administrator danych chce nas poinformować zgodnie z przepisami ustawy o ochronie danych osobowych, to musi nam podać tych informacji wiele. Jak będzie nas chciał poinformować, spełniając wymogi z rozporządzenia, to tych informacji podać będzie musiał nam jeszcze więcej. A do tego jeszcze, jak będzie od nas odbierał zgodę na przetwarzanie danych osobowych – najczęściej to będą zgody – to się nagle okaże, że informacji, które ma nam przekazać, będzie wielokrotnie więcej. Proszę mi powiedzieć, kto się w tym wszystkim nie pogubi, kto ogarnie całość informacji, które będą miały być przekazywane. Tu jest problem wyważenia… Myślę, że pewne rozwiązania praktyczne będą nam nieco ułatwiały tę orientację, ale to nie do końca jest tak, że szczegółowe informowanie o wszystkim będzie istotnym wzmocnieniem praw osób, których te dane dotyczą. Możemy to zobaczyć na prostym praktycznym przykładzie, przykładzie plików cookies. Wchodzicie państwo na stronę internetową, pojawiają się te komunikaty – dziś prawie nikt tego nie czyta – i po prostu klikamy, zamykamy okienko i przechodzimy dalej. Przyjmujemy za pewnik, że tam tego typu dane są gromadzone, ale niekoniecznie z tej informacji coś dla nas wynika.</u>
<u xml:id="u-14.13" who="#PawełFajgielski">Kwestia bardzo medialnego uprawnienia – nazywam je medialnym, bo media bardzo lubią o tym pisać – jakim jest prawo do bycia zapomnianym. Chodzi o modyfikację prawa do usunięcia tych danych. Tutaj zawarto pewien kompromis. Propozycje pierwotne szły bardzo daleko i były bardzo mocne głosy co do tego, że nie da się w takim kształcie prawa do bycia zapomnianym zrealizować. Ograniczono to w pewien sposób. To, co mamy obecnie w rozporządzeniu w tym zakresie, jest wynikiem tego właśnie kompromisu.</u>
<u xml:id="u-14.14" who="#PawełFajgielski">Nowością jest prawo do przenoszenia danych. To jest mechanizm, który pozwoli nam zmienić podmiot, który przetwarza te dane, zmienić usługodawcę. Najogólniej mówiąc, będzie można świadomie podjąć decyzje o tym, że chcemy z kimś innym współpracować. W ślad za tym będzie szło zautomatyzowane, co warto podkreślić, przenoszenie tych danych.</u>
<u xml:id="u-14.15" who="#PawełFajgielski">Z mojego punktu widzenia szczególnie ciekawe, choć państwa pewnie niekoniecznie interesujące, jest rozszerzenie katalogu zasad ochrony danych. To jest o tyle, proszę państwa, ważne, że wtedy, kiedy nie wiemy, jak mamy problematyczne kwestie rozstrzygać, najważniejsze stają się zasady. Sięgamy do nich i one podpowiadają nam, co mamy w tym przypadku zrobić. Zasada przejrzystości. Teoretycznie możemy próbować szukać jej w obecnym stanie prawnym, natomiast explicite ona została wyrażona dopiero w rozporządzeniu. Kwestie podniesienia zabezpieczenia danych do jednej z zasad ochrony danych osobowych w mojej ocenie też jest dość ważne. To jest oczywiście uzupełnione w dalszej części rozporządzenia o szczegółowe normy.</u>
<u xml:id="u-14.16" who="#PawełFajgielski">Coś ciekawego, coś nowego, choć można szukać jakichś tego źródeł już w dyrektywie, to kwestia rozliczalności przestrzegania tych przepisów. Nakłada się na administratora dodatkowy obowiązek, podnosząc ten obowiązek do rangi zasady: nie tylko masz przestrzegać reguł ustanowionych w rozporządzeniu, ale i masz wykazać, że je spełniasz, że te wymogi są przez ciebie spełniane.</u>
<u xml:id="u-14.17" who="#PawełFajgielski">Kwestia odmiennego podejścia do zgody na przetwarzanie danych osobowych. No, pewnie nie wszyscy się państwo ze mną zgodzicie, ale jest to, moim zdaniem, pewien regres – te zmiany można różnie oceniać – w stosunku do tego, co było do tej pory w prawie polskim. Ja wiem, że bardzo wiele osób krytykuje rozwiązania przyjęte w prawie polskim dotyczące zakazu domniemania i dorozumiewania zgody. Tego w rozporządzeniu nie ma. Wszystkie te osoby, które uważały, że domniemywanie czy dorozumiewanie jest potrzebne, bez wątpienia cieszą się z tej zmiany. Ja, mówiąc szczerze, nie jestem takim optymistą i uważam, że w niektórych sytuacjach wątpliwości dotyczące jednoznaczności wyrażenia zgody poprzez takie ukształtowanie przepisów mogą się pojawić.</u>
<u xml:id="u-14.18" who="#PawełFajgielski">I wreszcie kwestia wzmocnienia ochrony dzieci – jeden z dzisiejszych referatów tego będzie dotyczył – choćby w kontekście zgody dziecka na przetwarzanie danych osobowych. To jest jeden z elementów wzmocnienia ochrony praw.</u>
<u xml:id="u-14.19" who="#PawełFajgielski">Uwzględnienie postępu technicznego i globalizacji. O tym można by mówić bardzo dużo. Pan profesor mówił tutaj o ciekawych kwestiach wynikających z nieco innego spojrzenia na tę tematykę. Wcześniej była też sygnalizowana choćby kwestia rozszerzenia zakresu stosowania przepisów do podmiotów spoza Unii Europejskiej, co jest ukształtowane właśnie na podstawie globalizacji procesów, które zachodzą. Aczkolwiek ja mam pewne wątpliwości co do skuteczności podejmowania tego typu działań. Nawet jeśli będą to spójne działania organów, o których za chwilę powiem, które też zostały w jakiś sposób zharmonizowane, to ich skuteczność może być w mojej ocenie na tym etapie wątpliwa.</u>
<u xml:id="u-14.20" who="#PawełFajgielski">Kwestie danych genetycznych, danych biometrycznych. One zostały wprost uregulowane w rozporządzeniu, zostały tam zdefiniowane, zostały uznane za dane wrażliwe. Nieco wyraźniej ukształtowane zostały zasady podejścia do przetwarzania tego typu danych.</u>
<u xml:id="u-14.21" who="#PawełFajgielski">Kwestie profilowania, kwestie prywatności w fazie projektowania i prywatności domyślnej, która ma być chroniona. Kwestia bardziej szczegółowego uregulowania warunków powierzenia przetwarzania danych, przekazywania do państw trzecich – to wszystko jest odpowiedzią przede wszystkim rozwój techniczny.</u>
<u xml:id="u-14.22" who="#PawełFajgielski">Ja bym chciał jeszcze zwrócić uwagę na jedną rzecz, która na naszym obszarze będzie miała doniosłe znaczenie, a mianowicie na odstąpienie od ogólnego obowiązku notyfikacyjnego. To się na prawo polskie przekłada jako rezygnacja z obowiązku zgłoszenia zbiorów do rejestracji u generalnego inspektora. Patrząc z perspektywy organu, trzeba powiedzieć, że jest to odstąpienie od systemu rejestracyjnego w znanym nam kształcie. Proszę państwa, powiem tak. Ten system rejestracyjny może spełniał istotne zadania 20 lat temu, ale dziś… Jak państwo przyjrzycie się temu, co jest zgłaszane do rejestracji, jak wygląda formularz rejestracyjny, to pewnie dojdziecie państwo do przekonania, że generalny inspektor niewiele dowiaduje się z tego typu zgłoszeń i nie jest w stanie skutecznie przeprowadzić tego wstępnego, uprzedniego badania. Drodzy Państwo, administrator przetwarza te dane na podstawie przepisu, w związku z tym musi to robić. I teraz, czego dowiaduje się GIODO? Dowiaduje się tego, że ten administrator wypełnia obowiązek zapisany ustawowo. Jeżeli porównamy to z innym przepisem, który mówi, że administrator danych może rozpocząć przetwarzanie danych wrażliwych po zarejestrowaniu, no to dochodzimy do paradoksu. Niektórzy administratorzy stoją przed takim wyborem: czekać na rejestrację GIODO czy wykonywać swoje zadania? Przecież przepis ustawowy nakazał im te dane sensytywne przetwarzać. To tylko tytułem przykładu obowiązku rejestracyjnego w znanej nam obecnie postaci. W rozporządzeniu już tego nie ma. Czym to zostaje zastąpione? W kilku obszarach mamy mechanizmy, które mają to rekompensować przede wszystkim poprzez przerzucanie pewnych obowiązków na administratora danych. Rejestracja procesów przetwarzania czy to przez samego administratora danych, czy to przez procesora, czyli tego, kto przetwarza na zlecenie administratora, będzie mechanizmem, który będzie w jakiś sposób zastępował rejestrację u organu. Kwestie innych mechanizmów technicznych… Za chwilę dwa słowa o tym powiem.</u>
<u xml:id="u-14.23" who="#PawełFajgielski">I wreszcie, proszę państwa, coś, co staje się regułą w rozporządzeniu, a na razie jest wyjątkiem. Chodzi mianowicie o zawiadamianie o naruszeniach. Na dzień dzisiejszy ta konstrukcja jest przyjęta w polskim systemie prawnym wyłącznie w prawie telekomunikacyjnym. Po wejściu rozporządzenia w życie, a dokładniej po upływie terminu, w którym zaczniemy stosować przepisy rozporządzenia… Chcę zwrócić państwa uwagę na tę istotną różnicę. My jesteśmy przyzwyczajeni do tradycyjnego vacatio legis, wyznaczamy sobie datę, w której przepis wchodzi w życie, a tu sytuacja jest inna – te przepisy już weszły w życie, tylko że stosowane będą dopiero za 2 lata od tego terminu. Zawiadamianie o naruszeniach będzie mechanizmem, który, jak mam nadzieję, przyczyni się do znacznie skuteczniejszej ochrony. Powiem państwu szczerze, że mam tutaj pewne obawy, bo mimo krótkich terminów na zawiadomienie te mechanizmy są tak ukształtowane, że w wielu przypadkach administrator dojdzie do przekonania: nie muszę zawiadamiać. A nawet jeśli będzie chciał zawiadomić, to uzna, że raczej organ nadzorczy, że nie musi zawiadamiać osób, których te dane dotyczą. Proszę państwa, może się więc okazywać, że mamy do czynienia z jakimś wyciekiem danych, z nieuprawnionym dostępem do tych danych, a użytkownicy nic o tym nie wiedzą. W moim przekonaniu bardzo dużo zależeć będzie od ukształtowania praktyki tych właśnie notyfikacji o naruszeniach.</u>
<u xml:id="u-14.24" who="#PawełFajgielski">Jeśli chodzi o wzmocnienie współpracy między organami… Obawiam się, że czas mi się kończy…</u>
<u xml:id="u-14.25" who="#MichałSeweryński">Tak, kończy się.</u>
<u xml:id="u-14.26" who="#PawełFajgielski">Ograniczę się zatem do ogólnego stwierdzenia. Pani minister wspomniała o daleko idących zmianach dotyczących organów nadzorczych. Powiem, tak jak sygnalizowałem na początku, że podział na organ wiodący i inne organy, współpraca między tymi organami… To na pewno nie będzie rzeczą łatwą, ale to wszystko ma przyczynić się do skuteczniejszej ochrony. Uwzględniając te znaczące różnice w systemach prawnych i te doświadczenia poszczególnych organów, spodziewam się, że mogą być pewne problemy pomiędzy organami nadzorczymi poszczególnych krajów. Jestem bardzo ciekaw, jak w tym wszystkim będzie funkcjonował ten nowy, tworzony przepisami rozporządzenia organ, jakim jest europejska rada, bo to na nim właśnie w sytuacjach konfliktowych ma spoczywać ciężar łagodzenia tych konfliktów czy ich rozstrzygania.</u>
<u xml:id="u-14.27" who="#PawełFajgielski">Ostatnia rzecz, o której kilka słów chciałem powiedzieć, to środki ochrony prawnej i sankcje. Ja o tym też już wspominałem. Nie tylko skarga do organu nadzorczego, z czym jesteśmy zaznajomieni dzisiaj – każdy, kto uważa, że jego prawo do ochrony danych osobowych jest naruszone, może wystąpić do generalnego inspektora ze skargą – ale także inne środki ochrony prawnej… Pytaniem otwartym jest pytanie, na ile te procedury, które już w Polsce funkcjonują, możemy uznać za spełnienie wymogów z rozporządzenia. Instytucję skargi na decyzję organu nadzorczego mamy. Podejrzewam, że nowa polska regulacja pójdzie w tym samym kierunku, czyli od decyzji generalnego inspektora ochrony danych osobowych będziemy mogli się skarżyć do sądu administracyjnego w trybie przewidzianym przepisami. Czy możemy powiedzieć, że mamy ukształtowany mechanizm dochodzenia praw przed sądem, występowania przeciw administratorowi? Czy można powiedzieć, że to są te ogólne zasady odpowiedzialności na gruncie przepisów prawa cywilnego, czy też potrzeba tu jakiejś innej, szczegółowej regulacji? Tego rozporządzenie wprost nie rozstrzyga i to trzeba będzie rozstrzygnąć w trakcie przygotowania polskich przepisów.</u>
<u xml:id="u-14.28" who="#PawełFajgielski">Sankcje. Proszę państwa, założeniem, które przyjmuje unijny prawodawca, jest to, aby sankcje były skuteczne, proporcjonalne i odstraszające. O tym, na ile można pogodzić to, żeby sankcja była jednocześnie proporcjonalna i odstraszająca, możemy dyskutować. Pani minister wspomniała o górnej granicy, o 20 milionach euro. Tu raczej mówimy o straszeniu, a nie o proporcji, ale to jest górna granica. Zawsze trzeba badać indywidualne przypadki i te sankcje dostosowywać do poziomu naruszenia. Dla mnie, tak jak wspomniałem, istotne jest – uważam, że to jest rzecz niezwykle ważna – rozstrzygnięcie tego, kiedy stosowana ma być sankcja administracyjna i kiedy sankcja karna. Chodzi o to, żebyśmy nie doprowadzili do sytuacji, jaką mamy obecnie, jeśli chodzi o przepisy karne, a mianowicie sytuacji takiej, że jest bardzo wiele przepisów przewidujących odpowiedzialność karną, i bardzo mało spraw, które na podstawie tych przepisów trafiają do sądu. Prokuratura mnóstwo takich postępowań umarza z różnych względów. Można się zastanawiać, czy przynajmniej w części tych sytuacji nie lepsza byłaby sankcja administracyjna, czy nie stosować tego najcięższego kalibru w postaci odpowiedzialności karnej w przypadkach najpoważniejszych naruszeń przepisów o ochronie danych. Dziękuję bardzo.</u>
</div>
<div xml:id="div-15">
<u xml:id="u-15.0" who="#MichałSeweryński">Dziękuję panu profesorowi.</u>
<u xml:id="u-15.1" who="#MichałSeweryński">Teraz głos ma pani doktor habilitowana Agnieszka Grzelak ze Szkoły Głównej Handlowej.</u>
<u xml:id="u-15.2" who="#MichałSeweryński">Bardzo proszę, również 15 minut.</u>
</div>
<div xml:id="div-16">
<u xml:id="u-16.0" who="#AgnieszkaGrzelak">Bardzo dziękuję, Panie Przewodniczący.</u>
<u xml:id="u-16.1" who="#AgnieszkaGrzelak">Szanowni Państwo!</u>
<u xml:id="u-16.2" who="#AgnieszkaGrzelak">Dziękuję serdecznie za kolejne zaproszenie do udziału w seminarium tutaj w Senacie. Dla formalności dodam, że jestem również pracownikiem Biura Rzecznika Praw Obywatelskich. Poglądy w obu przypadkach mam zbieżne, tak że dla formalności to dodaję.</u>
<u xml:id="u-16.3" who="#AgnieszkaGrzelak">Patrząc na program dzisiejszego posiedzenia seminaryjnego, można powiedzieć, że moja wypowiedź ma troszkę odrębny charakter, bo dotyczy aktu, który jest aktem dodatkowym w stosunku do rozporządzenia ogólnego, aczkolwiek jest elementem, jak już to pani minister powiedziała, całościowej reformy systemu ochrony danych. Jest to dosyć istotny element tej reformy, o czym za chwilkę powiem więcej. Chodzi mi oczywiście o dyrektywę 2016/680, która ma bardzo długi tytuł. Przeczytanie całego jej tytułu zajmie minutę mojej wypowiedzi, więc nie będę całego tytułu tutaj przytaczać. Chodzi generalnie o ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych na potrzeby, mówiąc w skrócie, działalności organów policyjnych oraz organów wymiaru sprawiedliwości. Pozostałe referaty z dzisiejszego spotkania dotyczą rozporządzenia ogólnego, co jest pewną ilustracją tego, jakie znaczenie przyznaje się – być może brzmi to troszeczkę złośliwie – dyrektywie w trakcie prac nad reformą. Jej poświęcono o wiele mniej uwagi niż samemu rozporządzeniu ogólnemu, niemniej dyrektywa ma bardzo duże znaczenie i będzie miała dosyć ważne skutki również dla polskiego ustawodawcy.</u>
<u xml:id="u-16.4" who="#AgnieszkaGrzelak">Dyrektywa jest aktem kompleksowym, składa się z 10 rozdziałów, które regulują wszelkie niezbędne zagadnienia – zasady przetwarzania danych, prawa osoby, obowiązki administratora danych, zasady działania niezależnych organów nadzorczych itd. Tak że wszystko, co powinno w niej się znaleźć, tam się znajduje. Jest to kompleksowy akt prawny, ale trzeba pamiętać o tym, że to nie jest jeden jedyny akt prawny, który będzie dotyczył kwestii przetwarzania danych na potrzeby policyjne. Mamy do czynienia z obowiązującymi aktami dotyczącymi chociażby działalności agencji unijnych zajmujących się współpracą policyjną czy sądową w sprawach karnych. Poza tym, o czym pan minister mówił, projektowane są nowe akty prawne, tworzone są systemy, np. system inteligentnych granic. Nie chcę wracać do tego, o czym mówiłam w swoich wystąpieniach podczas wcześniejszego seminarium, do tego, czy w tej dziedzinie faktycznie jest potrzebny odrębny akt prawny, dlaczego nie można było zastosować rozporządzenia ogólnego również do tej dziedziny, dlaczego zdecydowano się na wybór dyrektywy jako instrumentu prawnego, a nie rozporządzenia, dlaczego w ogóle taki akt jest potrzebny i nie można tego pozostawić w gestii państw członkowskich. O tym już wspominałam, a teraz mogę jedynie te kwestie zasygnalizować. Jeżeli będzie potrzeba powrotu do tych kwestii, to może odniosę się do tego w dyskusji. Sama osobiście nie uważam, aby wybór dyrektywy jako instrumentu prawnego czy treści uchwalonych przepisów były najbardziej trafne. Można zgłosić do tych przepisów wiele zastrzeżeń, niemniej w chwili obecnej taka jest wola i decyzja prawodawcy unijnego, Parlamentu i Rady, i trzeba zacząć przymierzać się do wdrożenia przepisów dyrektywy do prawa krajowego.</u>
<u xml:id="u-16.5" who="#AgnieszkaGrzelak">Sam wybór dyrektywy ma oczywiście swoje konsekwencje dla poziomu harmonizacji, dla celu reformy, jakim jest zapewnienie spójnego, wysokiego stopnia ochrony danych osobowych osób fizycznych. Ponieważ dyrektywa w przeciwieństwie do rozporządzenia nie jest stosowana bezpośrednio i będzie wymagała wdrożenia do prawa krajowego co do zasady w terminie do 6 maja 2018 r. – tam są pewne wyjątki – o spójności i zbliżonym poziomie harmonizacji prawa między państwami członkowskimi w tym zakresie będzie można mówić dopiero wtedy, kiedy zobaczymy przepisy uchwalone przez państwa członkowskie mające na celu wykonanie tej dyrektywy, wdrożenie jej do prawa krajowego.</u>
<u xml:id="u-16.6" who="#AgnieszkaGrzelak">Zastanawiałam się, jak w tak krótkim czasie pokazać znaczenie tej dyrektywy i pomyślałam sobie, że zilustruję potencjalne trudności związane z implementacją dyrektywy, jej stosowaniem w przyszłości, ale także potencjalne korzyści z niej wypływające na przykładzie jednego przepisu ustawy, którą Senat zajmował się w zeszłym tygodniu, a mianowicie tzw. ustawy antyterrorystycznej. To jest polska ustawa, która, o ile mi wiadomo, jeszcze nie została podpisana przez prezydenta, niemniej zostały zakończone związane z nią prace w Sejmie i w Senacie. Ona określa zasady prowadzenia działań antyterrorystycznych, które są rozumiane jako zapobieganie zdarzeniom o charakterze terrorystycznym, oraz współpracy między organami właściwymi w zakresie prowadzenia tych działań. Wśród działań antyterrorystycznych przewidziano również takie, które polegają na gromadzeniu i przetwarzaniu danych osobowych. Wybierając jeden przykład, wskażę państwu na art. 10 tej ustawy, który uprawnia funkcjonariuszy ABW, Policji i Straży Granicznej do pobierania obrazu linii papilarnych lub utrwalania wizerunku twarzy, lub nieinwazyjnego pobierania materiału biologicznego w celu oznaczenia profilu DNA osoby niebędącej obywatelem Rzeczypospolitej Polskiej w przypadku… I tutaj jest wymienione 5 przesłanek, m.in. takie: gdy istnieje wątpliwość co do tożsamości osoby czy też gdy istnieje podejrzenie związku osoby ze zdarzeniem o charakterze terrorystycznym. Pytanie pierwsze jest takie: czy można ten przepis ocenić pod kątem zgodności z dyrektywą, o której dzisiaj mówimy? Tutaj są 2 aspekty. O jednym, a mianowicie o tym, że ustawa została uchwalona w czasie, kiedy dyrektywa jeszcze nie musi być wdrożona do prawa krajowego, za chwilkę. Pytanie podstawowe jest następujące: czy ten przepis mieści się w zakresie stosowania dyrektywy? Otóż art. 2 dyrektywy stanowi, że ma ona zastosowanie do przetwarzania danych osobowych przez właściwe organy, których zadaniem jest realizacja celów określonych w dyrektywie, w tym m.in. zapobieganie przestępczości, prowadzenie określonych postępowań, ale także ochrona przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom. Ponieważ celem ustawy jest przeciwdziałanie terroryzmowi, o czym świadczy definicja działań antyterrorystycznych, należy przyjąć, że przetwarzanie danych, o których mowa w art. 10 ustawy, służy temu samemu celowi, który jest określony w dyrektywie, czyli zapobieganiu zagrożeniom, ochronie bezpieczeństwa publicznego. A zatem zakres przedmiotowy jest tutaj tożsamy. Pewna wątpliwość może się rodzić na tle pktu 14 preambuły do dyrektywy, gdzie jest powiedziane, że w toku działalności wykraczającej poza zakres prawa Unii dyrektywa nie ma zastosowania. Stąd też działania określonych agencji, jednostek, które zajmują się zapewnieniem bezpieczeństwa narodowego, są wyłączone spod zakresu dyrektywy. Niemniej w tym przypadku chyba nie ma wątpliwości, bo zwalczanie terroryzmu jest jednym z celów Unii Europejskiej wyraźnie określonym w Traktacie o funkcjonowaniu Unii Europejskiej i nie można powiedzieć, by te działania wykraczały poza zakres prawa Unii Europejskiej. Tu jednak rysuje się drugi problem, związany z zakresem stosowania dyrektywy, jeszcze lepiej ilustrujący kwestie związane z pewnymi wątpliwościami co do zakresu stosowania tych przepisów. Właściwym organem w świetle przepisów dyrektywy jest organ publiczny właściwy do zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Art. 10 ustawy antyterrorystycznej przewiduje przyznanie uprawnień funkcjonariuszom ABW, Policji i Straży Granicznej. Wśród zadań tych organów oczywiście jest to, o czym mowa jest w samej dyrektywie – wystarczy przywołać chociażby art. 5 ust. 1 ustawy o ABW, gdzie się mówi o tym, że jednym z zadań Agencji Bezpieczeństwa Wewnętrznego jest zwalczanie przestępczości. Nie ma więc tutaj wątpliwości, że Agencja Bezpieczeństwa Wewnętrznego będzie właściwym organem w rozumieniu dyrektywy. To jest to, o czym też pani minister mówiła – dyrektywa obejmuje swoim zakresem działania nie tylko Policji, ale również innych służb, którym takie zadania są przypisane. Pojawiają się tu jednak pewne problemy techniczne. Z naukowego punktu widzenia to jest bardzo ciekawe wyzwanie, a jednocześnie bardzo trudne dla polskiego ustawodawcy: jak dokonać implementacji przepisów dyrektywy w tym zakresie do prawa krajowego? Proszę zobaczyć, wśród zadań Agencji Bezpieczeństwa Wewnętrznego są również takie, które nie będą objęte zakresem dyrektywy, te związane oczywiście z ochroną bezpieczeństwa narodowego, są również takie, które podlegały zakresowi rozporządzenia ogólnego. W związku z tym bardzo jestem ciekawa i chętnie będę się temu przyglądać, jak te przepisy zostaną do prawa krajowego wdrożone.</u>
<u xml:id="u-16.7" who="#AgnieszkaGrzelak">Oceniając art. 10 ustawy ze względu na przepisy dyrektywy, trzeba pamiętać, że dyrektywa – i to jest bardzo ważne – nie wprowadza żadnych rozróżnień, jeżeli chodzi o obywatelstwo osób. Jest wprost powiedziane w pkcie 17 preambuły, że ona ma jednakowe zastosowanie bez względu na obywatelstwo czy miejsce zamieszkania osób w zakresie przetwarzania ich danych osobowych. Dyrektywa zatem nie zezwala na wprowadzenie odrębnych standardów, jeśli chodzi o obywateli Polski i cudzoziemców. A zatem rozróżnienie, które jest wprowadzone w naszej ustawie antyterrorystycznej, może być uznane za niezgodne z przepisami dyrektywy. Nie ma też wątpliwości, że dane gromadzone na podstawie art. 10 ustawy antyterrorystycznej to będą dane, które w dyrektywie zdefiniowane są jako dane biometryczne i dane genetyczne, i co do których dyrektywa przewiduje szczególny reżim dopuszczalności ich przetwarzania i wskazuje na przesłanki, które muszą być łącznie spełnione, aby takie przetwarzanie było dopuszczalne. I tak m.in. musi to być bezwzględnie niezbędne oraz musi podlegać zabezpieczeniom dla praw i wolności osoby, której dane dotyczą. Są jeszcze inne przesłanki, których spełnienie uważam za możliwe w tym przypadku. Czy gromadzenie tych danych jest bezwzględnie niezbędne oraz czy istnieją zabezpieczenia dla praw i wolności osób, których dane są gromadzone? O tym była dyskusja podczas prac w Sejmie i w Senacie. Moim zdaniem nie i takie zdanie przedstawiałam wcześniej, w trakcie prac nad ustawą. Oczywiście to jest pole do dyskusji. Zwracam uwagę na to, że polski ustawodawca nie przewidział żadnej możliwości podjęcia skutecznych środków prawnych przez osobę, której dane są w ten sposób przetwarzane, chociażby w celu weryfikacji prawidłowości spełnienia przesłanek, o których mowa w art. 10.</u>
<u xml:id="u-16.8" who="#AgnieszkaGrzelak">Można mówić dalej. Z ustawy nie wynika, w jakim celu dane mają być pobierane i przetwarzane. Nie wprowadzono żadnych unormowań dotyczących zasad dokonywania weryfikacji przydatności danych przetwarzanych przez ABW. Nie chcę państwa w szczegóły wprowadzać. Nie ma również rozróżnienia na pewne kategorie osób, których dane dotyczą. Ciekawe są przepisy dyrektywy, które nakazują dokonywania takich rozróżnień. Chodzi o to, w jakiś sposób mamy dokonywać rozróżnień osób typu podejrzany, osób oskarżonych, osób skazanych czy świadków. Dane tych osób powinny być przetwarzane w nieco inny sposób. Jak państwo widzicie, jest wiele konsekwencji, które z dyrektywy wynikają. Najważniejsze są oczywiście te, które dotyczą praw osoby, określone w rozdziale 3 dyrektywy. Chodzi o prawa informacyjne czy prawa dostępu, które są ukształtowane oczywiście nieco inaczej niż w rozporządzeniu ogólnym, no bo siłą rzeczy specyfika współpracy policyjnej musi uwzględniać inny sposób informowania osób, których dane są przetwarzane. Niemniej te uprawnienia są na podstawie dyrektywy przyznawane. Chodzi tu chociażby o obowiązki związane z informowaniem osoby, której dane dotyczą, o odmowie sprostowania czy odmowie usunięcia danych. W naszej ustawie takich możliwości nie przewidziano. Co więcej, pragnę wskazać, że dyrektywa nakazuje, aby za monitorowanie stosowania dyrektywy odpowiadał przynajmniej jeden niezależny organ nadzorczy. W chwili obecnej art. 43 ustawy o ochronie danych osobowych wyłącza uprawnienia GIODO wobec zbiorów danych gromadzonych przez ABW. Tak że w tym zakresie również niezbędna będzie zmiana.</u>
<u xml:id="u-16.9" who="#AgnieszkaGrzelak">To jest oczywiście bardzo pobieżna, wstępna ocena i pokazanie relacji między dyrektywą a jednym przepisem ustawy antyterrorystycznej. Mam nadzieję, że pokazuje to obowiązki, jakie nałożone są na państwa członkowskie związane z koniecznością uwzględnienia zasad wynikających z tej dyrektywy w zakresie przetwarzania danych osobowych. W chwili obecnej stwierdzenie, że przepis art. 10 jest niezgodny z dyrektywą, jeszcze nic nie oznacza, no bo mamy ten okres, w którym termin na wdrożenie dyrektywy jeszcze nie upłynął. Trzeba jednak pamiętać, tak ściśle odnosząc się do prawa Unii Europejskiej, że państwa członkowskie zgodnie z zasadą lojalnej współpracy są zobowiązane do powstrzymania się od przyjmowania w okresie między opublikowaniem aktu a upływem terminu na jego wdrożenie aktów, które stoją w sprzeczności z tym aktem. Nie przypuszczam jednak, żeby jakiejkolwiek konsekwencje w tym momencie mogły mieć miejsce, jednakże w maju 2018 r., jeżeli przepis zostałby utrzymany w tym kształcie, można spodziewać się daleko idących konsekwencji. I to jest efekt uchwalenia czy przyjęcia dyrektywy, aktu, którego do tej pory nie mieliśmy, regulującego ochronę danych osobowych w tej dziedzinie. Komisja Europejska będzie miała możliwość wszczęcia postępowania przeciwko państwu członkowskiemu za niewykonanie zobowiązań wynikających z tej dyrektywy. Co więcej, dyrektywa przewiduje pewne prawa związane chociażby z odszkodowaniem w sytuacji poniesienia przez osobę szkody majątkowej czy niemajątkowej w wyniku operacji przetwarzania danych niezgodnej z prawem. To też będzie wymagało implementacji.</u>
<u xml:id="u-16.10" who="#AgnieszkaGrzelak">Trzeba też pamiętać, że przyjęcie dyrektywy będzie oznaczało, iż do oceny prawa krajowego będzie miała zastosowanie Karta praw podstawowych Unii Europejskiej. Wcześniej mieliśmy wątpliwości… Bo karta ma zastosowanie do prawa krajowego w sytuacji, kiedy wykonuje ono prawo Unii Europejskiej. Mieliśmy wątpliwości, czy w dziedzinie współpracy policyjnej taki łącznik między prawem Unii Europejskiej a prawej krajowym istnieje. W tym momencie ta wątpliwość znika. Wszelkie regulacje implementujące dyrektywę czy pozostające w zakresie jej stosowania będą mogły być oceniane przez pryzmat reguł wynikających z Karty praw podstawowych Unii Europejskiej, w tym w świetle zasady proporcjonalności czy standardu wynikającego z Konwencji o ochronie praw człowieka i podstawowych wolności. Ten jeden przykład ilustruje ogrom prac, jaki stoi przed resortami odpowiedzialnymi za wdrożenie dyrektywy.</u>
<u xml:id="u-16.11" who="#AgnieszkaGrzelak">W 2013 r., oceniając projekt dyrektywy, oceniłam pozytywnie sam fakt podjęcia nad nią prac. Moje zastrzeżenia budziły kwestie szczegółowe takie jak chociażby nieprecyzyjność sformułowań czy odejście od pewnych reguł, które już obecnie wynikają ze standardów międzynarodowych. Wydaje mi się, że te zastrzeżenia niestety nie zniknęły, bo dyrektywa zawiera wszelkie wady, o których mówiłam poprzednio. W tym zakresie niewiele uległo zmianie. Pomimo tego uważam jej przyjęcie za bardzo pozytywny krok, bo, jak widać, będzie można ocenić przepisy krajowe pod kątem realizacji praw jednostki. Na koniec chciałabym wyrazić gotowość zarówno swoją, jak i rzecznika praw obywatelskich do zaangażowania się w proces prac nad implementacją dyrektywy. Będziemy służyć swoją pomocą w tym zakresie. Dziękuję bardzo.</u>
</div>
<div xml:id="div-17">
<u xml:id="u-17.0" who="#MichałSeweryński">Dziękuję pani.</u>
<u xml:id="u-17.1" who="#MichałSeweryński">Kolejnym referentem jest pan Włodzimierz Schmidt, prezes zarządu Związku Pracodawców Branży Internetowej IAB Polska.</u>
<u xml:id="u-17.2" who="#MichałSeweryński">Proszę bardzo, 15 minut tak jak wszyscy.</u>
</div>
<div xml:id="div-18">
<u xml:id="u-18.0" who="#WłodzimierzSchmidt">Dziękuję bardzo, Panie Przewodniczący</u>
<u xml:id="u-18.1" who="#WłodzimierzSchmidt">Szanowni Państwo!</u>
<u xml:id="u-18.2" who="#WłodzimierzSchmidt">Dziękuję bardzo za zaproszenie. Ja zostałem poproszony o to, żeby mówić o rozporządzeniu ogólnym o ochronie danych osobowych w kontekście strategii jednolitego rynku cyfrowego, ale nie chcę tej kwestii tak zawężać, gdyż strategia jednolitego rynku cyfrowego jest tematem, który będzie się jeszcze nie jeden raz przewijał. To są działania, które będą trwały nie miesiące, ale lata. Chciałbym, zahaczając o to, przedstawić perspektywę związaną z ochroną danych osobowych, z rozporządzeniem i z tym, w jaki sposób rozporządzenie będzie dostosowywane do polskiego porządku prawnego, a właściwie w jaki sposób polski porządek prawny będzie dostosowywany do tego rozporządzenia, do wymogów rozporządzenia, ale trochę z innej strony – od strony przedsiębiorców. Ja wiem, że to nie jest posiedzenie komisja gospodarki, w związku z tym być może to jest trochę nie na miejscu, ale jest to bardzo istotne. O tym już wspominała pani minister Jomaa, o tym pan minister Kołodziejski wspominał, pokazując, że wszystkie te prace, które do tej pory trwały, i ostateczny kształt tych dokumentów są pewnego rodzaju kompromisem, który z jednej strony ma zapewnić lepszą ochronę prywatności obywateli Unii Europejskiej, a z drugiej strony ma zapewnić dalszy dynamiczny wzrost gospodarki europejskiej. Pan minister Kołodziejski mówił o tym, że my musimy patrzeć na wykorzystanie danych nie tylko od strony zagrożeń, ale również od strony ogromnych szans, jakie przed nami stoją.</u>
<u xml:id="u-18.3" who="#WłodzimierzSchmidt">W ostatnich dniach, tygodniach polski rząd bardzo dużo mówił na temat innowacyjności, na temat inwestowania w startupy, na temat inwestowania w różne rozwiązania cyfrowe, na temat digitalizacji nie tylko administracji publicznej, ale i całej gospodarki. To jest kierunek, w którym idzie cały świat, cała Europa i my też w tym kierunku powinniśmy pójść. To wszystko jest możliwe tylko i wyłącznie dzięki danym, dzięki temu, co dane powodują, a te dane ściągają do tych wszystkich innowacyjnych przedsięwzięć pieniądze. Jakiego rodzaju pieniądze? To są pieniądze z reklamy, proszę państwa. I o tym warto powiedzieć, warto o tym pamiętać. My wszyscy oglądamy reklamy, choć… Wszyscy bardzo chętnie oglądamy telewizję, czytamy różnego rodzaju treści, również w internecie, ale nie lubimy reklam i mówimy: najlepiej byłoby, gdyby z internetu i z telewizji te reklamy zniknęły. Reklamy zniknąć nie mogą, bo jeśli znikną, to zniknie telewizja i zniknie internet. Reklamy to jest podstawowy element, który napędza te modele mediów. Internet stał się w ostatnich latach medium nr 1 w Europie. O tym państwo może nie wiecie, bo o tym się mało mówi, a to jest bardzo ważna rzecz, że w 2015 r. wydatki na reklamę w internecie na poziomie europejskim przekroczyły wydatki na telewizję. W tej chwili na reklamę internetową wydaje się ponad 30% wszystkich środków na reklamę. W 2015 r. to były blisko 34 miliardy euro, na poziomie globalnym to jest ponad 170 miliardów dolarów. Jest to ogromna suma, jest to w tej chwili więcej, niż się wydaje na reklamę w telewizji. W Polsce jeszcze nie, w Polsce to jest około 25%, może trochę więcej w tej chwili. Jest to cały czas medium nr 2, natomiast dynamika wzrostu tych wydatków wynosi 20% rok do roku. Dlaczego o tym mówię, dlaczego to jest takie istotne? Dlatego że reklama, wydatki reklamowe, tak jak wspomniałem, są podstawowym źródłem przychodów wszystkich tych firm, które tworzą dla nas różnego rodzaju rozwiązania, nie tylko treści w internecie. Aplikacje, filmy, które oglądamy w internecie, gry itd. – to wszystko jest zasilane właśnie tymi pieniędzmi. Pan minister Kołodziejski wspominał o tym, ilu użytkowników ma Facebook. Dlaczego Facebook może się tak dynamicznie rozwijać? Dlaczego polskie portale typu, nie wiem, Onet czy Wirtualna Polska mogą się rozwijać, mogą inwestować? Tylko dlatego, że zarabiają na reklamie. Jaki ma to związek z danymi? Taki, że reklama internetowa swoją wartość czerpie właśnie z danych. Ona się różni od wszystkich innych mediów tym, że jest to forma interaktywna. Dzięki temu, że my wiemy bardzo dużo o użytkownikach, ale nie o konkretnych osobach… To jest bardzo istotne i to znalazło swoje odzwierciedlenie w przepisach rozporządzenia, do czego za chwilę wrócę. Dzięki temu jest to ogromna wartość dla reklamodawców, dla firm, które tworzą swoje produkty, usługi i mogą dzięki temu je reklamować i docierać bezpośrednio do swoich klientów albo do swoich potencjalnych klientów.</u>
<u xml:id="u-18.4" who="#WłodzimierzSchmidt">Skoro mówimy o gospodarce… Dlaczego ja przy tej okazji mówię o reklamie, dlaczego wybrałem ten temat? Nie tylko dlatego, że się tym zajmuję, ale również dlatego, że reklama internetowa i ten obszar gospodarki światowej, europejskiej jest liderem, jeśli chodzi o innowacje, o inwestycje, o rozwój kompetencji. Mówimy o budowaniu kompetencji cyfrowych, o rozwoju społecznym. To właśnie z tego obszaru wywodzi się najwięcej specjalistów. Jest to pierwszy obszar, który zaczął się tak mocno digitalizować na poziomie świata, Polski i Europy.</u>
<u xml:id="u-18.5" who="#WłodzimierzSchmidt">Przejdę teraz do kwestii samego rozporządzenia. W tym rozporządzeniu legislator europejski przewidział rozwiązania, które są zrobione trochę pod kątem biznesu internetowego i tych modeli biznesowych, o czym nie było dzisiaj jeszcze mowy. Nie wiem, czy osoby, które będą występowały po mnie, o tym wspomną. Jest to temat nowy i mało znany. Mówimy tu np. o anonimizacji i o pseudonimizacji danych. To są bardzo ciekawe zagadnienia. Anonimowe dane to są takie dane osobowe, których nie da się odtworzyć. Jeśli dane zostaną zanonimizowane, to nie da się stwierdzić, czyje to są dane, jakiej konkretnej osoby. Z danymi pseudonimizowanymi jest troszeczkę inaczej. Są to dane, które są danymi anonimowymi, jednakże w zestawieniu z pewnymi parametrami albo z innymi danymi można stwierdzić, do kogo te dane należą. To wszystko to są dane osobowe i podlegają one takim samym reżimom jak innego rodzaju dane osobowe. Jest to obszar, który jest niezmiernie istotny z punktu widzenia rozwoju gospodarki cyfrowej – w bardzo wielu biznesach dane pseudonimizowane lub zanonimizowane w zupełności wystarczają do tego, żeby móc prowadzić działalność gospodarczą. Tak jest przykładowo z komunikacją i z reklamą. Temat się wziął z prawodawstwa niemieckiego, pojęcie danych pseudonimizowanych w Niemczech jest znane i stosowane od bardzo wielu lat. My w tej chwili będziemy to dostosowywali do polskiego porządku prawnego, będziemy to wdrażali. Jest to temat bardzo istotny, z którym państwo się za chwilę zetkniecie, jeśli już się nie zetknęliście.</u>
<u xml:id="u-18.6" who="#WłodzimierzSchmidt">Z punktu widzenia biznesu reklamowego my, żeby móc bardzo efektywnie prowadzić kampanię, nie musimy wcale wiedzieć, kto jest po drugiej stronie. Nam wystarczy tylko wiedzieć, jakiego rodzaju zainteresowania ta osoba ma, czy ta osoba się interesuje przykładowo piłką nożną, czy wędkarstwem. Dzięki temu możemy tej osobie pokazywać komunikaty, które są skorelowane z jej zainteresowaniami. Nie musimy jej pokazywać innych rzeczy, które mogą jej zupełnie nie interesować, jak to ma miejsce np. w telewizji, gdzie o użytkownikach tak dużo się nie wie.</u>
<u xml:id="u-18.7" who="#WłodzimierzSchmidt">Inną bardzo ważną kwestią są kwestie kar. Kary, które są używane trochę jako straszak, są bardzo istotne. Jak państwo się domyślacie, tak wysokie kary zostały wpisane do rozporządzenia ze względu na globalne podmioty. Trochę chodziło o to, żeby nakłonić te podmioty do tego, by się dostosowały do europejskiego reżimu prawnego. Jak na to patrzymy z punktu widzenia przedsiębiorców polskich, małych i drobnych przedsiębiorców, czy przedsiębiorców europejskich, to musimy przyznać, że są to kary zupełnie drakońskie. To są kary, które wręcz wywołują dreszcz przerażenia. Bardzo wielu przedsiębiorców zastanawia się, co się stanie, jeżeli tak wysokie kary zostaną na nich nałożone. Dlatego w trakcie pracy nad polskim prawodawstwem bardzo ważne będzie przygotowanie i wdrożenie odpowiednich procedur postępowania po stronie samego GIODO. To dla państwa senatorów jest bardzo istotna uwaga. To będzie bardzo ważna rzecz z punktu widzenia polskich małych przedsiębiorców. Chodzi o to, żeby dostosować prawo w ten sposób, by nie doszło do sytuacji, kiedy my będziemy karać przedsiębiorców, a te kary będą absolutnie nieuzasadnione albo przedwczesne. Większość naruszeń, które się zdarzają, to nie są naruszenia umyślne, tylko jakieś drobne naruszenia, które po dokładnym rozpoznaniu okazują się zupełnie niegroźne.</u>
<u xml:id="u-18.8" who="#WłodzimierzSchmidt">Bardzo istotny jest też ten szerszy zakres terytorialny, o którym była mowa wcześniej. Jak do tej pory w Europie obowiązują zupełnie niezależne regulacje dotyczące ochrony danych osobowych. Regulacje polskie są jednymi z najbardziej restrykcyjnych na poziomie Unii. W bardzo wielu krajach te regulacje do tej pory były bardzo liberalne. Ja nie ukrywam, że kiedy rozmawiam ze swoimi kolegami z innych rynków europejskich, to widzę u nich duże przerażenie. Polscy przedsiębiorcy chyba duża łatwiej dadzą sobie z tym radę i to jest duża szansa dla polskich przedsiębiorców na to, żeby wejść na tamte rynki. Przejście z bardzo liberalnych rozwiązań obowiązujących na niektórych rynkach do rozwiązań bardzo restrykcyjnych, które narzuci RODO… Przedsiębiorcy z bardzo wielu rynków europejskich są przerażeni i mają bardzo duży problem z tym, żeby się odpowiednio przygotować i do tego dostosować. I to jest szansa dla polskich przedsiębiorców. Prośba, żeby tym przedsiębiorcom w miarę możliwości to ułatwiać… Chodzi o to, żeby nasze rozwiązania nie wykraczały poza rozwiązania, które są narzucane przez RODO.</u>
<u xml:id="u-18.9" who="#WłodzimierzSchmidt">Bardzo ważną kwestią jest sprawa dopuszczalności kodeksu dobrych praktyk, certyfikacji, różnych pieczęci, które są wymienione w RODO. To są rozwiązania, które umożliwiają przedsiębiorcom przygotowywanie rozwiązań we własnym zakresie, certyfikowanie ich u GIODO i stosowanie tych rozwiązań. To są rozwiązania, które nie są narzucone odgórnie przez rozporządzenia, tylko są wypracowane przez kręgi biznesowe, które najlepiej wiedzą, w jaki sposób to zrobić tak, żeby to było zgodne z zasadami ochrony danych osobowych i żeby umożliwiało prowadzenie bardzo konkurencyjnej działalności gospodarczej. To są rozwiązania, które są bardzo… One przedsiębiorcom się bardzo podobają. Mamy nadzieję, że tutaj w Polsce będziemy je stosowali. My już rozmawiamy z GIODO. Wiem o kilku innych organizacjach przedsiębiorców, które już z GIODO na ten temat rozmawiają, nawet podpisują listy intencyjne związane z przygotowywaniem tego typu dokumentów tak, żeby za 2 lata to wszystko już było gotowe i mogło zacząć normalnie funkcjonować.</u>
<u xml:id="u-18.10" who="#WłodzimierzSchmidt">Problemy, które po stronie przedsiębiorców mogą się pojawić, dotyczą prawa dostępu do danych. To może być problem zwłaszcza dla dużych podmiotów, które dysponują ogromnymi zasobami danych, ogromnymi bazami, bo to mogą być bardzo duże koszty. Dlatego istotne są rozwiązania samoregulacyjne. W RODO mówi się o stałym dostępie do takich danych. Obecnie to jest tak, że co 6 miesięcy osoba może poprosić o taki raport. Teraz przedsiębiorcy będą musieli zapewnić takiej osobie możliwość stałego dostępu do swoich danych, co w przypadku milionów użytkowników – największe podmioty internetowe w Polsce tylu użytkowników mają, a nawet więcej, do kilkunastu milionów – będzie dużym problemem. Wyobraźcie sobie państwo, że nagle spośród tych osób kilka procent stwierdzi, że chce sprawdzić swoje dane. Oni wszyscy muszą mieć taką możliwość, serwer nie ma prawa się zawiesić, to musi funkcjonować. To są ogromne nakłady, które przedsiębiorcy muszą w ciągu najbliższych 2 lat ponieść, żeby się do tego dostosować.</u>
<u xml:id="u-18.11" who="#WłodzimierzSchmidt">To, co już się dzieje w tej chwili, niezależnie od tego, że ruszają prace nad polską legislacją… Wiemy, że przedsiębiorcy już nad tymi zagadnieniami bardzo mocno pracują, wypracowują strategie dotyczące wtórnego przetwarzania danych, w tym danych pseudonimizowanych, profilowania tych danych. Jest przegląd stosowanych klauzul zgód – sposób udzielania zgody też ulega zmianie – i inne… To są rzeczy, które się już dzieją. To zatem nie jest tak, że te prace dopiero ruszą, że przedsiębiorcy zaczną działać za 2 lata – to się już dzieje, ale dotyczy to dużych przedsiębiorców. I tu bardzo duża rola polskiego rządu w kwestii informacyjnej. Widzimy bardzo wyraźnie, że mali, drobni przedsiębiorcy nie mają zielonego pojęcia o tym, że takie rozporządzenie weszło w życie, nie mają zupełnie pojęcia o tym, że w ciągu 2 lat muszą się do tego dostosować, i zupełnie nie widzą, co mają przez te 2 lata zrobić, w jaki sposób mają się dostosować. W związku z tym ogromna prośba o wsparcie w obszarze komunikacyjnym, edukacyjnym wobec samych przedsiębiorców. Chodzi o to, żeby oni mogli się do tego przygotować, wypracować odpowiednie procedury.</u>
<u xml:id="u-18.12" who="#WłodzimierzSchmidt">To właściwie tyle z takich najważniejszych rzeczy, o których chciałem powiedzieć. Bardzo mocny apel z tego miejsca zarówno do ministerstwa, z którym jesteśmy w kontakcie, jak i do GIODO i do państwa senatorów, żeby nas wesprzeć w tym obszarze i żeby pamiętać, że dane osobowe to nie są tylko i wyłącznie kwestie związane z prywatnością i z danymi naszych obywateli, nas wszystkich. To jest również kwestia gospodarcza, bardzo istotna. To jest paliwo, które będzie napędzało i napędza rozwój gospodarczy w Europie i w Polsce. Cały czas starajmy się tę równowagę zachować. Dziękuję bardzo.</u>
</div>
<div xml:id="div-19">
<u xml:id="u-19.0" who="#MichałSeweryński">Dziękuję panu.</u>
<u xml:id="u-19.1" who="#MichałSeweryński">Jako ostatnia przed przerwą referat wygłosi pani doktor Magdalena Kuba z Uniwersytetu Łódzkiego.</u>
<u xml:id="u-19.2" who="#MichałSeweryński">Bardzo proszę.</u>
</div>
<div xml:id="div-20">
<u xml:id="u-20.0" who="#MagdalenaKuba">Dziękuję, Panie Profesorze, Panie Przewodniczący.</u>
<u xml:id="u-20.1" who="#MagdalenaKuba">Szanowni Państwo!</u>
<u xml:id="u-20.2" who="#MagdalenaKuba">Dziękuję za zaproszenie. Jest mi niezmiernie miło występować przed tak szacownym gronem. Chciałabym państwa uwagę skoncentrować na troszkę innym zagadnieniu, odstąpić od tych kwestii ogólnych. Pan profesor Fajgielski nawiązał już do tego, że rozporządzenie ogólne daje możliwość wprowadzenia pewnych rozwiązań szczególnych w ramach przepisów sektorowych. I właśnie tymi przepisami sektorowymi chciałbym się zająć, jako że reprezentuję przede wszystkim dziedzinę prawa pracy. I stąd też taki temat mojego wystąpienia.</u>
<u xml:id="u-20.3" who="#MagdalenaKuba">Przede wszystkim, proszę państwa, chciałabym przyjąć tezę i jednocześnie zachęcić państwa do przyjęcia takiego podejścia, abyśmy uchwalenie rozporządzenia ogólnego potraktowali jako okazję, okazję niekoniecznie przymusową, jako szansa na weryfikację istniejących rozwiązań prawnych oraz poprawę jakości przepisów prawnych, które na dzień dzisiejszy mamy. Skąd takie założenie? Otóż w mojej ocenie obowiązujący stan prawny dotyczący ochrony danych osobowych pracownika budzi dość liczne zastrzeżenia na styku tych 2 dziedzin, czyli prawa pracy i prawa ochrony danych osobowych. I na tej relacji chciałabym się skoncentrować. Przede wszystkim w moim przekonaniu nie jest jasna, nie jest przejrzysta relacja pomiędzy kodeksem pracy, konkretnie art. 221, i ustawą o ochronie danych osobowych, co w praktyce powoduje bardzo wiele komplikacji prawnych. Proszę państwa, przeciętny pracodawca chcący działać legalnie właściwie nie wie, czy ma przestrzegać art. 221, czy opierać swoje działania na przesłankach legalności przetwarzania danych osobowych z ustawy. Mamy normę kolizyjną w ustawie o ochronie danych osobowych – z art. 5 wynika, że stosujemy przepisy odrębnej ustawy wtedy, jeżeli ta odrębna ustawa przewiduje dalej idącą ochronę danych osobowych. Pozornie mogłoby się zatem wydawać, że taką dalej idącą ochronę zapewnia właśnie prawo pracy, a konkretnie kodeks pracy, jego art. 221. Ja może przypomnę, że ten przepis reguluje zakres informacji, jakich pracodawca może żądać odpowiednio od kandydata na pracownika i od pracownika. Mamy tutaj rozwiązania w postaci zamkniętego katalogu danych osobowych, których podania pracodawca może żądać na etapie rekrutacji i później, w trakcie trwania stosunku pracy. W moim przekonaniu ta ochrona jest dalej idąca tylko i wyłącznie w sytuacji, w której analizujemy przetwarzanie danych zwykłych. Natomiast niekoniecznie taka konkluzja nasuwa się na tle zestawienia tego artykułu z ochroną danych wrażliwych.</u>
<u xml:id="u-20.4" who="#MagdalenaKuba">Obawiam się, że jeżeli nie pójdziemy w kierunku zmiany tego przepisu, to te same problemy będą występować na styku art. 221 i rozporządzenia, które za 2 lata będzie nas obowiązywać. Dlaczego taki wniosek wysnułam na tle analizy tych przepisów? Powiedziałam o tym, że art. 221 posługuje się koncepcją zamkniętego katalogu danych. Mamy tu jednak pewną furtkę, a właściwie dwie. Tenże przepis daje pracodawcy już na etapie trwania stosunku pracy możliwość żądania podania przez pracownika innych danych osobowych, jeżeli prawo pracy przewiduje szczególne uprawnienia dla pracownika i podanie tych danych jest niezbędne dla realizacji tych uprawnień. Problem polega na tym, że prawo pracy to nie jest tylko prawo powszechnie obowiązujące, ale także tzw. prawo zakładowe. Ustawa o ochronie danych osobowych, art. 27 tejże ustawy przewiduje, że pracodawca może przetwarzać dane wrażliwe, jeżeli ma do tego podstawę ustawową. W praktyce, proszę państwa, dzieją się takie sytuacje, że pracownik podaje informację o swoim stanie zdrowia, żeby uzyskać zapomogę z funduszu socjalnego, a przetwarzanie tych danych odbywa się w oparciu o postanowienia regulaminu zakładowego funduszu świadczeń socjalnych, czyli właśnie w oparciu o przepisy zakładowego prawa pracy. Tym samym pracodawca działa zgodnie z kodeksem pracy, ale niezgodnie z ustawą o ochronie danych osobowych. Możemy też mówić o sprzecznościach w drugą stronę. Przedstawiciele doktryny, szczególnie doktryny prawa ochrony danych osobowych, często wskazują jako przesłankę legalności przetwarzania danych osobowych zwykłych przez pracodawcę tzw. prawnie usprawiedliwiony cel administratora, np. cel w postaci zapewnienia bezpieczeństwa. Pytanie, co w sytuacji, jeżeli pracodawca, stosując dla celów bezpieczeństwa, np. kamery, poszerza zakres danych, który wynika z art. 221. Tutaj sytuacja jest odwrotna – pracodawca działa zgodnie z ustawą o ochronie danych osobowych, ale niezgodnie z kodeksem pracy. Oczywiście zdaję sobie sprawę z tego, że rozwiązanie, które przyjęliśmy, miało przede wszystkim służyć ochronie pracownika. I taki też jest cel prawa pracy. Natomiast ryzyko stosowania koncepcji zamkniętego katalogu danych osobowych, których pracodawca może żądać, polega na tym, że jakichś kategorii informacji, które znajdują zupełnie obiektywne uzasadnienia w rzeczywistości, prawodawca nie uwzględnił. Z taką sytuacją mamy do czynienia, dlatego trudno się dziwić temu, proszę państwa, że w praktyce, choć nie tylko w praktyce, bo mówią o tym przedstawiciele doktryny – spojrzałam na pana doktora, ale pan doktor uniknął mojego spojrzenia – mówi się o tym, że art. 221, o którym często dzisiaj mówię, utracił moc obowiązującą na skutek długotrwałego niestosowania tego przepisu. Myślę, proszę państwa, że byłoby dobrze, gdybyśmy tworzyli takie przepisy, które pracodawca i pracownik, które, mówiąc ogólnie, adresat będzie miał mógł stosować. Na chwilę obecną pracodawca, który chce zastosować się do tego przepisu, nie wie, jak ma to zrobić. Podam przykład rekrutacji. Pracodawcy zależy na tym, żeby wiedzieć, jakie cechy posiada kandydat. Nie znajdziemy, proszę państwa, podstawy prawnej, która daje pracodawcy możliwość przetwarzania tego typu informacji.</u>
<u xml:id="u-20.5" who="#MagdalenaKuba">Kolejny problem, który się pojawia na tle art. 221, dotyczy tego, czym jest żądanie podania danych. Samo żądanie nie jest jeszcze przetwarzaniem. W sytuacji, w której przepis zakazuje żądania, pracodawca twierdzi, że dane np. z zaświadczenia o niekaralności, pozyskał nie dlatego, że ich żądał, tylko dlatego, że kandydat miał po prostu taką wyobraźnię i postanowił zaświadczenie o niekaralności przynieść i pochwalić się, że nigdy nie był osobą skazaną. Myślę, że warto byłoby rozważyć pójście w nieco innym kierunku i przyjęcie raczej takiego zakresu danych osobowych, których pracodawca bezwzględnie nie może przetwarzać albo względnie, na zasadzie pewnych wyjątków. To nie prowadziłoby do sytuacji absurdalnych, które w zasadzie uniemożliwiają zarządzanie ludźmi. I tu wracam do tego, że pracodawca, chcąc przestrzegać tego przepisu, powinien na etapie każdej decyzji zastanowić się nad tym, czy ta decyzja nie będzie skutkowała przetwarzaniem szerszego zakresu informacji, do których ewentualnie nie ma podstawy.</u>
<u xml:id="u-20.6" who="#MagdalenaKuba">I ostatni wniosek dotyczący oceny obowiązującego stanu prawnego. Bardzo się cieszę, proszę państwa, że rozporządzenie ogólne nawiązuje do tego, że w ramach przepisów sektorowych i rozwiązań szczególnych powinniśmy uregulować kwestie stosowania systemów monitorujących w miejscu pracy. Analizując tę kwestię na podstawie prawa obcego, funkcjonującego w różnych państwach, głównie europejskich, dochodzę do wniosku, że niestety nie nadążamy w tym zakresie. Praktyka pokazuje, że systemy kontroli pracownika są stosowane dość powszechnie, tymczasem nasz stan prawny w tym zakresie wygląda w sposób następujący. Jedyną formą kontroli, która na dzień dzisiejszy jest uregulowana, to jest kontrola trzeźwości pracownika, kontrola pod kątem alkoholu. Moim zdaniem ta regulacja jest niedoskonała, ale dobrze, że w ogóle jest. Ustawodawca nie odnosi się do innych form kontroli, chociażby alternatywnej wobec kontroli pod względem alkoholu, czyli kontroli pod kątem obecności narkotyków. To jest co najmniej tak samo istotne zagrożenie w środowisku pracy, ale pracodawca odpowiadający za życie i zdrowie pracownika nie ma możliwości wysłania go na badanie pod kątem obecności narkotyków w jego organizmie. Jak mówię, jest to istotne z punktu widzenia bezpieczeństwa i tego pracownika, i pozostałych pracowników. Tutaj pojawia się kolejna szansa na uregulowanie kwestii, która na dzień dzisiejszy nie jest unormowana. Taki stan prawny powoduje, że prawodawca daje pracodawcy znaczną swobodę działania w zakresie kontroli pracownika, ponieważ podstawą do stosowania kontroli pracownika jest kierownictwo pracodawcy – to jest taka generalna podstawa, z której pracodawca to prawo do kontroli wywodzi – co z kolei stwarza pole do nadużywania przez pracodawcę uprawnień kontrolnych. Pracodawca, który chciałby przestrzegać przepisów, powinien podjąć działanie mające na celu ustalenie warunków dopuszczalności kontroli pracownika, szukając przesłanek w całym systemie prawnym. Jest to kwestia unormowań wynikających z ustawy o ochronie danych osobowych, ale i wynikająca z innych przepisów, nawet z przepisów prawa karnego. Naruszenie tajemnicy komunikacji jest sankcjonowane jako przestępstwo, a tymczasem stałą praktyką jest to, że rozmowy telefoniczne są nagrywane, że następuje przejmowanie komunikacji służbowej pracownika po tym, jak pracownik przestaje tym pracownikiem być. Żaden przepis, proszę państwa, tego nie reguluje, a mówimy przecież o wartości konstytucyjnej – tajemnica komunikacji jest wartością konstytucyjną. Ustrojodawca wskazuje, że naruszenie jest dopuszczalne tylko i wyłącznie w sytuacji wskazanej wprost w ustawie. My takiego rozwiązania nie mamy.</u>
<u xml:id="u-20.7" who="#MagdalenaKuba">Przejdę teraz do rozporządzenia ogólnego i do tego, co wynika z przepisów tego rozporządzenia w kontekście przetwarzania danych osobowych pracownika. Art. 88 RODO przewiduje, że państwo członkowskie może wprowadzić szczególne rozwiązania. Tutaj trzeba przyznać, że prawodawca unijny zwraca uwagę na kluczowe obszary mające istotne znaczenie z jednej strony dla obiegu informacji w środowisku pracy, informacji o pracowniku, a z drugiej strony dla ochrony tych informacji. Prawodawca zwraca uwagę na takie obszary jak rekrutacja, wykonanie umowy o pracę, w tym obowiązków wynikających z przepisów. To są przede wszystkim takie obowiązki pracodawcy jak zarządzanie, planowanie i organizacja pracy. Chodzi tutaj także o bezpieczeństwo i higienę pracy, ochronę własności pracodawcy bądź klienta, realizację różnych świadczeń związanych z zatrudnieniem i zakończeniem stosunku pracy. Co istotne, art. 88 ust. 2 RODO przewiduje, że w ramach tych przepisów szczególnych powinniśmy zapewnić pracownikowi jako temu podmiotowi, którego dane będą przetwarzane, odpowiednie i szczegółowe środki zapewniające poszanowanie jego godności oraz prawnie uzasadnionych interesów i praw podstawowych. Zwraca się tu uwagę w szczególności na 3 kwestie. Po pierwsze, na wspomniane przeze mnie systemy monitorujące w miejscu pracy. Po drugie, na przekazywanie danych w ramach grup przedsiębiorstw, co jest oczywiście bardzo istotne, bo często pracownik jest zatrudniany przez przedsiębiorcę, który jest częścią jakiejś grupy kapitałowej. Pytanie, na jakich zasadach – z obiektywnego punktu widzenia zasadne jest, by te dane były przekazywane – jeden przedsiębiorca może te dane drugiemu przedsiębiorcy z grupy kapitałowej przekazać. Po trzecie, zwróconą uwagę, z czego osobiście się cieszę, na kwestie uregulowania przejrzystości przetwarzania danych, która, jeżeli chodzi o obecną praktykę, bardzo często nie jest respektowana, nie jest przestrzegana. Można powiedzieć, że w dużym stopniu zależy to od dobrej woli pracodawcy. Przepisy prawa pracy w zasadzie się do tego nie odnoszą, poza pewnymi kwestiami szczegółowymi. Proszę państwa, często jest tak, że pracownik nie ma świadomości tego, jakie dane osobowe, jakie informacje dotyczące jego osoby pracodawca przetwarza. Bywa, że pracodawca zleca np. śledzenie pracownika w internecie, dzięki czemu zbiera informacje o jego poglądach politycznych, o przekonaniach, co potem ma wpływ na podjęcie decyzji np. o rozwiązaniu stosunku pracy. Oczywiście nie wprost, no bo jeżeli to jest… Muszę kończyć, Panie Profesorze, tak?</u>
<u xml:id="u-20.8" who="#MichałSeweryński">Trzeba kończyć.</u>
<u xml:id="u-20.9" who="#MagdalenaKuba">Dobrze. W związku z tym konkluzje. Myślę, proszę państwa, że należałoby bezdyskusyjnie zmienić treść art. 221, ale zanim ta zmiana zostałaby dokonana, trzeba by było wziąć pod uwagę, które z przesłanek legalności przetwarzania danych osobowych z rozporządzenia powinny mieć zastosowanie do relacji pracownik – pracodawca. Jest to niewątpliwie konieczne także ze względu na wspomnianą przez panią minister kwestię , to znaczy z powodu zakwalifikowania danych biometrycznych do danych wrażliwych. Tutaj wymagane są konkretne rozwiązania. Przyszły stan prawny, ten od momentu wejścia w życie rozporządzenia, nie pozwoli podmiotom, które zakupiły narzędzia biometryczne i obecnie je stosują, stosować ich dalej bez zmiany art. 221. Dziękuję bardzo.</u>
</div>
<div xml:id="div-21">
<u xml:id="u-21.0" who="#MichałSeweryński">Dziękuje pani. Dziękuję wszystkim referentom.</u>
<u xml:id="u-21.1" who="#MichałSeweryński">Proszę państwa przystępujemy do dyskusji. Mamy na to 45 minut.</u>
<u xml:id="u-21.2" who="#MichałSeweryński">Proszę, ażeby każdy dyskutant nie przekroczył czasu 5 minut. Dzięki temu co najmniej 9 osób będzie mogło się wypowiedzieć w tej części dyskusji.</u>
<u xml:id="u-21.3" who="#MichałSeweryński">Pierwszy do dyskusji zgłosił się pan dyrektor Kajetan Wojsyk z Centrum Systemów Informacyjnych Ochrony Zdrowia. Ja będę przypominał, jak będzie minuta do końca… Bardzo proszę brać pod uwagę to, że im bardziej zwarte będą wypowiedzi, tym więcej osób będzie mogło się wypowiedzieć.</u>
<u xml:id="u-21.4" who="#MichałSeweryński">Bardzo proszę, Panie Dyrektorze.</u>
</div>
<div xml:id="div-22">
<u xml:id="u-22.0" who="#KajetanWojsyk">Bardzo dziękuję, Panie Przewodniczący.</u>
<u xml:id="u-22.1" who="#KajetanWojsyk">Kajetan Wojsyk, Centrum Systemów Informacyjnych Ochrony Zdrowia.</u>
<u xml:id="u-22.2" who="#KajetanWojsyk">Z uwagi na to, że bardzo wiele lat zajmuję się problematyką ochrony danych osobowych – przez 17 lat zajmowałem się tym w samorządzie, a obecnie w centrum – zebrałem ileś doświadczeń z tym związanych. Można powiedzieć, że to są doświadczenia każdego z nas, ale nie zawsze te doświadczenia potrafimy wykorzystać do tego, żeby poprawić jakość tej ochrony. Otóż najbardziej bezpieczne są takie dane, których w ogóle nie zbieramy. Takich nie trzeba chronić, bo ich po prostu nie ma. Po raz enty przywołam przykład druczku, który każdy z nas wielokrotnie wypełniał. Moim zdaniem tam są zbierane dane kompletnie nieadekwatne do potrzeb. Jest to mianowicie kwestionariusz danych osobowych wypełniany przy zawieraniu jakiś drobnych umów np. na napisanie książki, artykułu, ale też np. w przypadku umowy zlecenia. Tam wpisuje się nazwisko, imiona, imię ojca, imię matki, miejsce urodzenia, datę urodzenia itd., tak jakby to miało jakikolwiek wpływ na wymiar finansowy tej umowy. Ja rozumiem, że dane są potrzebne do celów identyfikacyjnych, ale jednocześnie pamiętam czasy, kiedy nie było numeru PESEL – wprowadzono go dopiero w 1976 r. – i doskonale sobie dawaliśmy radę z identyfikacją, posługując się innymi danymi, których było dużo więcej niż te, które wyczytałem. Dzisiaj, mając numer PESEL, możemy z całą swobodą posługiwać tylko tym numerem. I wtedy ten, kto ma prawo do uzyskania innych danych, te dane pozyska. Powiedzmy, że zawieram z kimś umowę i podaję mu imię, nazwisko i PESEL. Tak jest w certyfikacie kwalifikowanym, tak jest w profilu zaufanym… To są dane zupełnie wystarczające do tego, żeby mnie zidentyfikować. Ale nie, zmuszają mnie do podawania danych na lewo i na prawo… Ja dzisiaj nie mam żadnej kontroli – nikt z nas nie ma – nad tym, gdzie kumulują się moje dane osobowe takie jak imię, nazwisko, adres zamieszkania, a to się przecież wiąże z bezpieczeństwem fizycznym człowieka, adres do korespondencji, adres prowadzenia działalności, miejsce urodzenia, data urodzenia, imię ojca, imię matki, nazwisko rodowe matki itd. Mógłbym jeszcze długo wymieniać… Nikt z nas tego nie wie. A więc występowanie do wszelkich instytucji o to, żeby nam udostępniły informację, co na nasz temat wiedzą, jest kompletnie pozbawione sensu. To pierwsza sprawa.</u>
<u xml:id="u-22.3" who="#KajetanWojsyk">I druga rzecz. Mamy skłonność do mieszania sfery prywatnej ze sferą publiczną. Tutaj nawiązuję do tego, co pani doktor przed chwileczką powiedziała o owych kontach poczty elektronicznej. Otóż pracodawca, który zatrudnia pracowników, daje im konto pocztowe po to, żeby ci mogli sprawnie wykonywać swoje zadanie. Powiedzmy, że chodzi o zamówienia publiczne. Jest 5 pracowników i każdy z nich prowadzi jakieś postępowanie. W celu usprawnienia przepływu informacji udostępnia się te kontakty po to, żeby ktoś z zewnątrz mógł się z nim skontaktować. Ktoś, kto pozyska taki adres danej osoby, po jakimś czasie może go zastosować do celów prywatnych. Pracownik odchodzi z pracy, ale swojego konta nie usuwa, tych danych nie usuwa, bo przecież są wśród nich dokumenty związane z tymi postępowaniami. Inny pracownik, który go zastępuje, musi uzyskać dostęp do tych danych, no bo… Gdybyśmy mieli to separować, prywatne dane stosować prywatnie, a publiczne – publicznie, to ten problem by nie występował. Ale ludzie takiej zdolności najczęściej nie mają.</u>
<u xml:id="u-22.4" who="#KajetanWojsyk">I ostatnia sprawa, o której mówiłem już wielokrotnie. Najlepszym sposobem ochrony prywatności byłoby takie skanalizowanie informacji, żebyśmy po prostu byli w stanie zapanować nad odpinaniem lub dopinaniem pewnych danych. Mamy 3 adresy: adres zameldowania, adres zamieszkania, adres np. wykonywania działalności. I jeszcze adres do korespondencji, czwarty adres. Moglibyśmy mieć ich więcej… Proszę państwa, adres do korespondencji w ogóle nie musi się wiązać z adresem fizycznego zamieszkania, nie należy ich utożsamiać, chociaż może się powielać. Gdybyśmy jednak uznali, że adres zamieszkania jest adresem chronionym powszechnie, stosowali wszędzie adres do korespondencji, a dodatkowo zelektronizowali ten adres, to podnieślibyśmy bezpieczeństwo osób fizycznych, a przecież o to w nowym rozporządzeniu chodzi. Proszę przeczytać tytuł tego nowego rozporządzenia. Tam jest mowa o ochronie osób fizycznych. U nas sposób ochrony danych doszedł do swoistego zwyrodnienia czy… Nie wiem, jak to inaczej nazwać. Chronimy dane, nie chroniąc ludzi. Mało tego, poprzez taki a nie inny sposób postępowania z danymi narażamy ludzi. W efekcie ktoś chroni ten swój numer PESEL, ten jeden identyfikator, który nie wiąże go z adresem, ale ujawnia wszystkie inne dane po to, bo ktoś ich wymaga, żeby go zidentyfikować. Proszę się nad tym zastanowić. Dziękuję bardzo.</u>
</div>
<div xml:id="div-23">
<u xml:id="u-23.0" who="#MichałSeweryński">Dziękuję panu.</u>
<u xml:id="u-23.1" who="#MichałSeweryński">Następnym dyskutantem jest pan Wiesław Podkański, prezes zarządu Izby Wydawców Prasy.</u>
<u xml:id="u-23.2" who="#MichałSeweryński">Proszę.</u>
</div>
<div xml:id="div-24">
<u xml:id="u-24.0" who="#WiesławPodkański">Dziękuję bardzo.</u>
<u xml:id="u-24.1" who="#WiesławPodkański">Szanowni Państwo!</u>
<u xml:id="u-24.2" who="#WiesławPodkański">Ja chciałbym się wypowiedzieć w związku z drobnym fragmentem wystąpienia jednego z referentów, pana prezesa Schmidta. Otóż chciałbym zwrócić uwagę państwa na następujące elementy. Pan prezes sprawiał wrażenie, że wypowiada się w imieniu wszystkich polskich przedsiębiorców. To jest nieprawda – wypowiadał się w imieniu przedsiębiorców branży internetowej, a to jest zaledwie niewielki fragment polskiego rynku. To pierwsza rzecz.</u>
<u xml:id="u-24.3" who="#WiesławPodkański">Druga sprawa. Samoregulacje, których sam jestem wielkim zwolennikiem, okazują się być z natury rzeczy nieskuteczne. Co więcej, branża, którą ja z kolei reprezentuję, przez wiele ostatnich lat proponowała tego rodzaju rozwiązania branży pracodawców internetowych, ale bezskutecznie. Teraz, kiedy sytuacja się zmieniła i Unia Europejska zabrała się za porządkowanie rynku, tego rodzaju propozycje się pojawiają. Podchodzę do nich bardzo ostrożnie. Uważam, że rozmawiać trzeba i należy, natomiast, tak jak powiedziałem, jest to moim zdaniem rozwiązanie pozorne. O co chodzi? Chodzi o to, że pod szyldem rozwiązań samoregulacyjnych pojawiają się pomysły, które sankcjonują piractwo na polskim rynku. Co to oznacza? To oznacza wielomiliardowe straty dla Skarbu Państwa głównie z powodu braku wpływów podatkowych. Piractwo na rynku polskim… Polska jest jednym z niechlubnych liderów piractwa w Europie. Ten problem rośnie w postępie geometrycznym. W tej chwili trwają przygotowania do projektu badawczego, bardzo dużego, który ma objąć cały obszar rynku – do tej pory takie badania były robione na potrzeby rynku telewizyjnego – i który pokaże skalę tego problemu. Mówię o piractwie na rynku polskim. Ponieważ nasza dzisiejsza konferencja jest poświęcona trochę innej problematyce, nie będę tego tematu pogłębiał, ale chciałbym zaznaczyć, że rozmawiamy o poważnych sprawach i tego rodzaju propozycje stawiane publicznie w Senacie mają pozory… To jest troszeczkę wprowadzanie w błąd. Dziękuję.</u>
</div>
<div xml:id="div-25">
<u xml:id="u-25.0" who="#MichałSeweryński">Dziękuję bardzo.</u>
<u xml:id="u-25.1" who="#MichałSeweryński">Proszę państwa, na piśmie zgłosiły się 2 osoby, które właśnie się wypowiedziały.</u>
<u xml:id="u-25.2" who="#MichałSeweryński">Czy ktoś z państwa chce się zgłosić? Nie na piśmie, tylko… Pani doktor jest referentką, ale ma prawo brać udział w dyskusji.</u>
<u xml:id="u-25.3" who="#MagdalenaKuba">Chciałabym się odnieść do kwestii komunikacji.</u>
<u xml:id="u-25.4" who="#MichałSeweryński">Proszę bardzo.</u>
</div>
<div xml:id="div-26">
<u xml:id="u-26.0" who="#MagdalenaKuba">Dla mnie zupełnie zrozumiałe jest to, że pracodawca chce mieć dostęp do komunikacji służbowej. To jest bezdyskusyjne. Już wyjaśniam, na tle czego powstały wątpliwości. Nie wiem, czy mogę mówić o stanowisku karnistów… Może pani profesor tutaj… Karniści mają obawy następujące. Naruszenie tajemnicy komunikacji jest przestępstwem. Analizowano, kto właściwie jest stroną komunikacji, jeżeli komunikację prowadzi pracownik oraz, załóżmy, klient pracodawcy. Czy jest to tylko i wyłącznie klient plus pracownik, czyli konkretna osoba fizyczna, czy jednak również pracodawca lub przedstawiciel pracodawcy, ponieważ jest to komunikacja służbowa? Dla mnie z perspektywy prawa pracy i specyfiki relacji łączącej stronę również pracodawca powinien mieć dostęp do tej komunikacji. Natomiast, tak jak mówię, stanowiska karnistów są w tym zakresie znacznie ostrożniejsze. Trzeba przyznać, jak spojrzymy na rozwiązania prawne, które funkcjonują w różnych krajach, nawet bardziej liberalnych z punktu widzenia podejścia do pracodawcy, że wszędzie wprowadza się wyraźnie zezwolenie na to, by pracodawca miał dostęp do komunikacji służbowej pracownika. My poprzestajemy na tym, że logiczne, obiektywnie uzasadnione jest to, że pracodawca ten dostęp ma mieć, bo to jest komunikacja służbowa. Nam w Polsce brakuje jednak przepisu prawnego, który tę kwestię by rozstrzygał. Proszę zwrócić uwagę na to, że właściwie można powiedzieć, iż lepiej chroniony jest klient, którego się uprzedza, że rozmowa jest nagrywana – on ma możliwość podjęcia decyzji, czy uczestniczyć w rozmowie, która będzie utrwalona – niż pracownik, który nie ma pewności, czy pracodawca działa legalnie, nagrywając te rozmowy i później oceniając… Zresztą stosowane są bardziej zaawansowane technologie typu wariograf głosowy, bada się natężenie głosu itd. Moim zdaniem bezdyskusyjnie pracodawca ten dostęp powinien mieć, bo mówimy tu o komunikacji służbowej. Mam jednak wątpliwości co do tego, czy takie działania są legalne. Przypomnę raz jeszcze, że konstytucja, konkretnie art. 49 konstytucji, stanowi, że naruszenie tajemnicy komunikacji jest dopuszczalne tylko w przypadkach wyraźnie wskazanych w ustawie. My nie mamy żadnego przepisu prawnego, który by uprawniał do tego pracodawcę, za to praktyka idzie swoim torem. Prawodawca w ogóle na to nie reaguje. Myślę, że trzeba by się tym zająć. Dziękuję.</u>
</div>
<div xml:id="div-27">
<u xml:id="u-27.0" who="#MichałSeweryński">Dziękuję.</u>
<u xml:id="u-27.1" who="#MichałSeweryński">Czy są dalsze zgłoszenia?</u>
<u xml:id="u-27.2" who="#MichałSeweryński">Nie ma. W takim razie ja się zgłaszam. Jako dyskutant chciałbym poruszyć 2 sprawy.</u>
<u xml:id="u-27.3" who="#MichałSeweryński">Pierwsza jest wywołana tym niezwykle interesującym referatem pana profesora Cellarego, który po prostu daje nam do wiadomości, że dzisiaj środki techniczne w technikach informatycznych są tak ogromne, a pewno za 10 lat będą jeszcze większe niż dzisiaj i będzie można zbierać nie gigadane, tylko teradane albo tetradane… Nie wiem, jakie są dalsze nazwy, w tym języku jestem słaby. Nawiasem mówiąc, czy państwo nie uważają, że jesteśmy świadkami niezwykłego wydarzenia, niezwykłej rewolucji, która nazywa się rewolucją wykluczenia? Jeżeli za 10, 15 czy 20 lat będzie ktoś, kto nie będzie potrafił używać języka informatycznego, to będzie on wykluczony z życia. Ale może się mylę. Wracam do myśli głównej. Myśl główna jest taka, że trzeba uwierzyć ludziom, którzy znają się na tym. Potoczna obserwacja też tego dowodzi. Wystarczy zobaczyć, jak szybko zmienia się sprzęt elektroniczny, którego używamy na potrzeby własne, prywatne chociażby. Środki techniczne, jakie mamy do dyspozycji, będą coraz bardziej zaawansowane. Tych danych o nas samych będzie można zbierać coraz więcej. Czy one potrafią przewidzieć przyszłość, tak jak profesor zapowiada, to mam pewne wątpliwości, ale to jest inna sprawa. Faktem jest to, że zbieranie coraz większej ilości danych będzie technicznie możliwe i coraz więcej osób będzie miało możliwość, by to robić. I w tym kontekście wracam do głównej myśli z referatu pana profesora – mnie się wydaje, że jest ona główna, a w każdym razie najbardziej przemawia do nas jako polityków – o potrzebie kontroli nad tą ogromną możliwością techniczną zbierania danych o ludziach i nad możliwością przetwarzania tych wszystkich danych. Jakie trzeba mieć środki kontroli, żeby zapanować nad tym żywiołem? Bo to jest rozwój żywiołowy, który pozwala coraz większej liczbie podmiotów zbierać o nas coraz więcej informacji. Trzeba mieć inne środki techniczne, równie wydajne jak te, którymi posługują się ci, którzy te dane zbierają. Kto ma to robić? My w trosce o ochronę własnych danych osobowych, własnej prywatności, własnej autonomii, własnej podmiotowości, będziemy chcieli, żeby było coraz mniej takich ludzi i coraz mniej takich możliwości, ale technika idzie w przeciwną stronę. Będziemy zatem chcieli, żeby ta kontrola narastała, żeby była bardziej skuteczna. Kto ma to robić? To przede wszystkim państwo powinno zagwarantować nam tę wolność, tę autonomię, te prawa podstawowe, tę prywatność. W takim razie państwo musi dać swoim służbom potężne środki działania informatycznego, żeby one mogły być użyte w celu kontrolowania tych, którzy zbierają dane. Ale wtedy pojawi się konflikt – my chcielibyśmy mieć prywatność chronioną, ale ci, co mieliby nas chronić, musieliby mieć potężne środki oddziaływania na tych, którzy nie chcą tej naszej prywatności chronić. Przed tym się bronimy. Cała dyrektywa, o której pani doktor mówiła, idzie w tym kierunku. Debaty z ostatnich dni, z ostatnich tygodni nad ustawą antyterrorystyczną również o tym świadczą. My się obawiamy, żeby ta ingerencja organów publicznych powołanych do zapewnienia bezpieczeństwa nie szła za daleko w sferę naszych danych, naszych prywatnych sfer życia. No, łatwo jest służbom publicznym tego zakazać. Państwo może tego zakazać. Państwo może wszystkim zakazać, żeby nie tworzyli ze zbioru danych osobowych, żeby nie tworzyli gigadanych, nie zbierali tego wszystkiego i nie wykorzystywali tego wszystkiego, bo to jest sprzeczne z naszym poczuciem prywatności i wolności. Może, tylko jak ma to zrobić, skoro dzisiaj, za przeproszeniem, byle genialny smarkacz może sobie wykorzystywać dostępne środki techniczne – za 10, 15, 20 lat jeszcze bardziej potencjalne – i może sobie gromadzić dane, tworzyć bazy danych o nas wszystkich niezależenie od tego, gdzie jesteśmy w danej chwili i co robimy? Nikt z państwa nie zaprzecza, bo trudno temu zaprzeczyć. Te możliwości będą coraz większe. Już powstał rynek danych osobowych, którymi się handluje. Już istnieją takie instytucje, które mają potężne możliwości, a niedługo będą takie, które będą miały większe możliwości niż państwo. Jak wtedy, Panie Profesorze, pańską słuszną, powiedziałbym, świętą myśl, że trzeba nad tym sprawować jakąś kontrolę, doprowadzić do realizacji? Jak to zrealizować? Jak mamy się bronić przed tymi, którzy mają pieniądze i środki techniczne narastające w postępie geometrycznym i którzy mogą w związku z tym całkowicie zniweczyć nasze poczucie wolności, prywatności, autonomii osobistej? To jest pytanie.</u>
<u xml:id="u-27.4" who="#MichałSeweryński">Ja widzę tę rękę w górze, ale i patrzę na zegarek. Proszę nie obawiać się, ja nie kończę dyskusji.</u>
<u xml:id="u-27.5" who="#MichałSeweryński">To jest, proszę państwa, sprawa niezwykle doniosła, także w obliczu narastającego zagrożenia terrorystycznego, przestępczości zorganizowanej. Skoro mamy być pół kroku przed przestępcami, to znaczy, że powinniśmy być lepiej wyposażeni od nich. I to znaczy, że powinniśmy mieć jakąś sferę możliwości działania służb, które nas mają zabezpieczyć przed tymi zagrożeniami.</u>
<u xml:id="u-27.6" who="#MichałSeweryński">Mnie najbardziej intryguje jednak coś innego, ten rynek prywatny. Czy my znajdziemy środki kontroli dostatecznie skuteczne, żebyśmy tym, którzy chcą na zbieraniu danych osobowych zarobić duże pieniądze, mogli przeszkodzić, mogli ich poddać kontroli i mogli powiedzieć, że nikt bez zgody państwa czy innego licencjodawcy państwowego, europejskiego czy światowego, jakiejkolwiek rady, nie będzie miał prawa zbierać tych danych i robić z nich użytku? Bardzo się obawiam, że w miarę tego, jak środki techniczne będą coraz bardziej potencjalne, jak będzie można robić na tym coraz większe pieniądze, cała ta sprawa może nam się wymknąć spod kontroli. Mówię o tym jako zwykły obywatel, który by nie chciał, żeby jego sfera prywatności i wolności była ograniczana i naruszana. I mówię także jako senator odpowiedzialny za to, żeby w państwie było właściwe prawo, które by nas przed tym mogło ochronić. Obawiam się, że, tak jak pan profesor powiedział, prawo i ochrona prawna będzie bezsilna, dlatego że środki techniczne wymkną się kontroli prawnej. Będzie nam bardzo trudno znaleźć tych, którzy mają potężne ośrodki gromadzenia danych, przerabiania tych danych, rozpowszechniania i sprzedawania tych danych zgodnie ze swoim interesem. Trochę to mi przypomina scenariusz filmu science fiction albo jakiegoś Jamesa Bonda, ale obawiam się, że reality is beyond, że rzeczywistość pójdzie znacznie dalej.</u>
<u xml:id="u-27.7" who="#MichałSeweryński">To nie koniec, proszę państwa. Mam do powiedzenia jeszcze jedną rzecz, jako prawnik, rzecz ściśle prawniczą. Czekam, jak pani minister wie, od paru lat… Dyskusja nad dyrektywą i rozporządzeniem rozpoczęły się już bodaj 3 lata temu. Brałem chyba ze dwa razy udział w tych dyskusjach w Brukseli. W jednej sprawie chciałbym podnieść coś, co ma znaczenie fundamentalne, konstytucyjne dla naszego państwa. Słyszałem głosy, że może to i dobrze, że nie trzeba będzie teraz rejestrować zbioru danych osobowych, że żaden administrator nie będzie musiał u pani minister się rejestrować. Ja w takim razie pytam: jak będzie można kontrolować prawidłowość zarządzania przez poszczególnych administratorów tymi bazami, prawidłowość ich wykorzystania, jeżeli generalny inspektor nie będzie wiedział, że one w ogóle istnieją? To jest pytanie praktyczne. A prawnicze pytanie jest takie. Rozporządzenie obniża standard ochrony w tej dziedzinie w porównaniu z naszą ustawą o ochronie danych osobowych, bo ona nakazuje rejestrowanie, zgłaszanie tych zbiorów do rejestru. Mamy wobec tego konflikt 2 aktów prawnych: naszej ustawy krajowej i rozporządzenia. To nie jest byle jaki akt prawny europejski, to nie dyrektywa, tylko rozporządzenie, które obowiązuje bezpośrednio. Tu jest konflikt na niekorzyść obywatela polskiego, bo rozporządzenie osłabia tę ochronę w porównaniu do tego, co robi nasza ustawa. Kto ten konflikt może rozstrzygnąć? To jest na poziomie rozstrzygnięcia konstytucyjnego. Przypomnę, że już raz podobna sprawa była rozstrzygana przez polski Trybunał Konstytucyjny. Ona była podobna, nie była identyczna, a chodziło o konflikt pomiędzy ustawą polską i dyrektywą. Trybunał Konstytucyjny wypowiedział się na rzecz pierwszeństwa polskiej ustawy, bo ona była bardziej korzystna dla obywatela aniżeli dyrektywa. To jest historyczne orzeczenie. Ja już kiedyś na ten temat rozmawiałem na takiej niedużej imprezie seminaryjnej. Teoretycznie można wybiec myślą naprzód i zapytać, co by było, gdyby był konflikt na linii ustawa polska – rozporządzenie. Teraz go mamy. Nieuniknione jest to, że Trybunał Konstytucyjny będzie musiał się tą sprawa zająć. Przypomnę tylko tym z państwa, którzy sprawą się interesują bardziej, że swego czasu Trybunał Konstytucyjny Republiki Federalnej Niemiec wydal orzeczenie, że to, co jest gwarantowane w dziedzinie praw człowieka przez konstytucję niemiecką, nie może ustępować pierwszeństwa prawu wspólnotowemu. Powstaje zatem pytanie, jakie będzie orzeczenie Trybunału. Zobaczymy. Jestem pewien, że prędzej czy później ta kolizja będzie musiała być rozstrzygnięta przez Trybunał Konstytucyjny. Nie mam wątpliwości również co do tego, że trybunał luksemburski zajmie stanowisko, iż rozporządzenie w sposób bezwzględny ma pierwszeństwo przed naszą ustawą, nawet jeżeli nasza ustawa jest korzystniejsza dla obywateli.</u>
<u xml:id="u-27.8" who="#MichałSeweryński">Przepraszam, to była dłuższa wypowiedź, ale mówiłem o 2 sprawach. Już się wycofuję. Zgłaszały się 2 osoby. Pan się zgłaszał, bardzo proszę się przedstawić. Panowie będą również mogli zabrać głos.</u>
<u xml:id="u-27.9" who="#MichałSeweryński">Proszę bardzo.</u>
</div>
<div xml:id="div-28">
<u xml:id="u-28.0" who="#RobertŻurakowski">Robert Żurakowski, ABI z firmy MikroBIT.</u>
<u xml:id="u-28.1" who="#RobertŻurakowski">Wydaje mi się, że włączyłem mikrofon… Nie wiem, czy słychać, czy nie? Działa? Dobrze. To może jeszcze raz. Robert Żurakowski z firmy MikroBit, administrator bezpieczeństwa informacji.</u>
<u xml:id="u-28.2" who="#RobertŻurakowski">Chciałbym się odnieść do jednego w pierwszych stwierdzeń, że każdy będzie mógł zbierać dane, na równi. Nie. Ludzie rodzą się równymi, ale komputery nie są równe. Ci, którzy uświadomili sobie, jak cenne są dane o osobach, zbierają je i traktują jak najbardziej strzeżone skarby na świecie. Nic nie jest tak strzeżone – diamenty, złoto – jak dane osobowe. To są superserwerownie w pomieszczeniach wydrążonych w skale itd. po to, żeby te dane nie zginęły. Dlatego, że to jest pieniądz. To jest coś, co daje pieniądz i co będzie dawało pieniądz w jeszcze większym rozmiarze. Ten, kto ma informację, ten będzie decydował o świecie. On będzie decydował o tym, co kupimy, od kogo kupimy, jak kupimy. Wszystko jedno, czy to będzie produkt ekonomiczny, jakaś usługa czy produkt marketingowy. Nie ma to znaczenia. Tak że obaw, że każdy będzie mógł te dane tak samo zbierać, nie ma.</u>
<u xml:id="u-28.3" who="#RobertŻurakowski">Jeżeli chodzi o to, że to jest wartościowe… Można sobie prześledzić ostatnią transakcję Microsoftu, który kupił serwis LinkedIn. Za aktywnego użytkownika, za jeden profil zapłacili 250 dolarów. To są realne pieniądze, to faktycznie przynosi zysk.</u>
<u xml:id="u-28.4" who="#RobertŻurakowski">Jeżeli chodzi o wypowiedź prezesa pracodawców internetowych… Jeżeli chodzi o przestrzeganie prawa, to te mniejsze firmy starają się tego prawa przestrzegać, co wynika z mojego doświadczenia, a z wieloma firmami współpracujemy. Mogę powiedzieć, że tam to staranie jest, w przeciwieństwie do firm dużych, które te starania po prostu zostawiają z boku, bo ich na to stać. Rozporządzenie, które wejdzie z życie, zmieni tę sytuację. Kara wynosząca 20 milionów euro… To nie jest 20 milionów euro maksymalnie, tylko… To jest też 4% światowego rocznego obrotu za rok poprzedni. Kary skalowane są do przewinień i do wielkości firmy. Moje doświadczenie osobiste… Jedna z firm znanych wszystkim, wszyscy używamy jej oprogramowania. Próba dowiedzenia się, kto jest administratorem danych – działa przez 2 powierzenia, tak przypuszczam – trwała pół roku, a próba dowiedzenia się, kto jest przedstawicielem tej firmy w Polsce, trwała prawie rok. W tej chwili próbuję dowiedzieć się, jakie dane o mnie są przetwarzane. Ta firma nie boi się kar polskiego urzędu, bo to są dla nich śmieszne rzeczy. Skoro tam za jeden profil płaci się 250 dolarów, a kara u nas maksymalnie 200 tysięcy zł… Wobec przetwarzania wielkich ilości danych to nie ma w ogóle… To jest rzecz śmieszna. To będzie olbrzymi krok do tego, żeby równać szanse małych przedsiębiorców, dla których kara na poziomie 200 tysięcy jest czymś bardzo poważnym, i dużych przedsiębiorców, których takie kary w ogóle nie interesują.</u>
<u xml:id="u-28.5" who="#RobertŻurakowski">Proces rejestracji. Większość ludzi, którzy tutaj siedzą, powie, że to jest prawo martwe. Chyba 90% zbiorów jest niezarejestrowane. Przejście na samoregulację w sensie odpowiedzialności za czyny, a nie za potencjalne grzechy, jest lepszym rozwiązaniem. To wydaje mi się zbędne, to jest jakaś dodatkowa czynność formalna, która dla wielu… Ja spotykam się z tym, że samo zgłoszenie jest czynnością wystarczającą, jeżeli chodzi o ochronę danych osobowych. Naprawdę większość tak to odbiera. Jego zdaniem jak zarejestrował zbiór, to zrobił wszystko. A to jest jedna z mniej istotnych rzeczy. Tak naprawdę to trzeba dbać o prawa tych osób, trzeba zabezpieczać te dane przed uszkodzeniem czy udostępnieniem komuś. To są najważniejsze rzeczy. Tak że zrezygnowanie z tego jest zrezygnowaniem z przepisu martwego, który ani nie skutkuje niczym, ani nie przynosi korzyści. Dziękuję bardzo.</u>
</div>
<div xml:id="div-29">
<u xml:id="u-29.0" who="#MichałSeweryński">Dziękuję bardzo.</u>
<u xml:id="u-29.1" who="#MichałSeweryński">Proszę następną osobę i apeluję o dyscyplinę wypowiedzi.</u>
<u xml:id="u-29.2" who="#MichałSeweryński">Proszę się przedstawić do mikrofonu.</u>
</div>
<div xml:id="div-30">
<u xml:id="u-30.0" who="#ArwidMednis">Arwid Mednis, Wydział Prawa i Administracji, Uniwersytet Warszawski.</u>
<u xml:id="u-30.1" who="#ArwidMednis">Chciałbym odnieść się do kilku kwestii. Najpierw do znakomitego wystąpienia pana profesora Cellarego. Chciałbym powiedzieć, że środowisko Big Data miałoby pomagać nie tylko w złapaniu przestępcy, zanim on popełni przestępstwo. Już prowadzone są eksperymenty polegające na tym, żeby system wydał wyrok tylko na podstawie tego, kto będzie w składzie sądowym i to podobno z 70% czy 80% skutecznością. Chodzi o to, że system, wiedząc, kto jest w składzie, przewiduje wyrok. Rzeczywiście ta predykcja… To, o czym powiedział pan profesor, to jest uwaga natury ogólniejszej, a mianowicie to, że systemy predyktywne będą rzeczywiście zastępować autonomię woli. I tu jest pytanie, czy jesteśmy na to prawnie przygotowani. To jest taki aspekt… Ja się upieram, że jest to mimo wszystko aspekt prywatności. Pytanie, czy on jest chroniony przepisami o ochronie danych osobowych. Raczej nie, to nie GIODO o tym decyduje. Troszeczkę mamy tutaj kompetencje np. prezesa Urzędu Ochrony Konkurencji i Konsumentów, jeśli np. dochodzi do dyskryminacji ludzi. Jak mówił pan profesor w swojej prezentacji, dopóki jest tak, że ktoś sugeruje mi produkt na podstawie takich analiz, no to jeszcze pół biedy, ale jeżeli… Są już, jak wiadomo, sytuacje, że sklep internetowy czy jakiś serwis oferuje mi produkty po innej cenie niż cena zaoferowana innej osobie, bo z analiz im wychodzi, że kogoś w większym stopniu stać na dany produkt niż kogoś innego. Czy mamy mechanizm chroniący również przed tego typu sytuacjami? Oczywiście u podstaw tego leży kwestia wykorzystania danych osobowych.</u>
<u xml:id="u-30.2" who="#ArwidMednis">Jeśli pan przewodniczący pozwoli, to przedstawię kilka uwag szczegółowych. Pan prezes Schmidt mówił o obawach przed karami. Ja tylko przypomnę, że rozporządzenie dość szczegółowo reguluje kwestie kryteriów, jakie będą brane pod uwagę przez organ w przypadku wymierzana tych kar. Ja nie bardzo rozumiem system wyliczania tych kar. Tu są co najmniej 2 metody… Być może trzeba by wraz z GIODO nad tym usiąść i się zastanowić, jak konkretnie ma to wyglądać od strony proceduralnej. Jeśli chodzi o same obawy co do tego, że za niewielkie naruszenia będą duże kary, to ja bym się akurat tego nie obawiał, bo kryteriów, o których wspomniałem, jest bardzo dużo. Zwrócę uwagę na to, że te kary mają charakter administracyjny, a uroda kar administracyjnych polega na tym, że w zasadzie nie bierze się tu pod uwagę winy, to znaczy nie zwalnia się od odpowiedzialności, mówiąc: nie jestem winień. To już mamy przećwiczone na gruncie innych przepisów w naszym prawie.</u>
<u xml:id="u-30.3" who="#ArwidMednis">Przy okazji wypowiedzi pana prezesa, chciałbym zwrócić uwagę na taki ciekawy aspekt wynikający z rozporządzenia, a mianowicie taki, że kara może być nałożona niezależnie od innych działań organów. To może być np. tak, że niezależnie od ostrzeżeń… Może inaczej. GIODO nie będzie musiał ostrzegać przedsiębiorcy, wydawać mu żadnych nakazów – może od razu nałożyć karę. To jest bardzo ciekawe rozwiązanie, które, jak mi się wydaje, na gruncie naszych przepisów nie jest znane. Do tej pory np. w prawie telekomunikacyjnym było tak, że najpierw trzeba wskazać zakres naruszenia itd., a potem dopiero nakłada się karę. Tu rozporządzenie wyraźnie podkreśla, że GIODO może… Oczywiście musi wszcząć postępowanie itd., ale zamiast wydawania ostrzeżeń czy nakazów, proszę bardzo, od razu kara.</u>
<u xml:id="u-30.4" who="#ArwidMednis">Jeśli chodzi o obawy pana profesora Fajgielskiego, kwestie dorozumienia zgody… Rozmawialiśmy z panem doktorem Litwińskim na ten temat. Jest tam taki przepis, art. 7 ust. 2, który mówi o tym, że… Chyba nie jest to taki regres, ta kwestia zgody nie może być dorozumiana z jakiegoś oświadczenia woli o innej treści. Może się mylę, ale wydaje mi się, że nie jest tak najgorzej.</u>
<u xml:id="u-30.5" who="#ArwidMednis">I uwaga odnośnie do kwestii pracowniczych. Ja się całkowicie zgadzam z tym, że przy tej okazji, przy okazji prac nad wdrożeniem rozporządzenia trzeba się przyjrzeć regulacjom z zakresu prawa pracy. Rozszerzyłbym to o kwestie profilowania. Dzisiaj mamy do czynienia z sytuacjami… W dużych firmach mamy mechanizmy profilowania, które są narzucane przez spółki matki. Jak przyjmuje się pracowników, to oni wypełniają ankietę, która potem w systemie jest oceniania. I mamy profil: nadaje się do pracy; może się nadaje do pracy; w ogóle się nie nadaje. Profilowanie ma miejsce już na etapie przyjmowania do pracy. Wydaje mi się, że kwestia profilowania – ja o tym powiem troszkę szerzej później – jest jednym z najciekawszych punktów tego rozporządzenia. Trzeba się temu bardzo uważnie przyjrzeć, bo rozporządzenie, moim zdaniem, daje możliwość usprawiedliwienia, ale to musi być zrobione ustawowo, profilowania w wielu różnych sektorach. Jeśli chodzi o prawo pracy, to podobnie… Być może trzeba będzie tego zakazać albo jakoś inaczej tę kwestię uregulować. Dziękuję.</u>
</div>
<div xml:id="div-31">
<u xml:id="u-31.0" who="#MichałSeweryński">Dziękuję.</u>
<u xml:id="u-31.1" who="#MichałSeweryński">Proszę państwa, zgłosiła się jeszcze jedna osoba. Zgłasza się także pani senator Zdrojewska. I na tym do przerwy dyskusję kończymy. Niestety nie wszyscy zdążą zabrać głos do przerwy.</u>
<u xml:id="u-31.2" who="#MichałSeweryński">Bardzo proszę i proszę łaskawie o respektowanie czasu 5 minut na wypowiedź.</u>
</div>
<div xml:id="div-32">
<u xml:id="u-32.0" who="#PawełLitwiński">Doktor Paweł Litwiński, Instytut Allerhanda z Krakowa.</u>
<u xml:id="u-32.1" who="#PawełLitwiński">Panie Przewodniczący! Szanowni Państwo!</u>
<u xml:id="u-32.2" who="#PawełLitwiński">Dwie króciutkie kwestie.</u>
<u xml:id="u-32.3" who="#PawełLitwiński">Po pierwsze, zainspirowany wypowiedzią pana doktora Wojsyka i pana przewodniczącego… Szanowni Państwo, tutaj się zmienia paradygmat ochrony danych osobowych. Przechodzimy od modelu rejestracyjnego, koncesyjnego, w którym administratorzy danych chodzili GIODO, GIODO coś tam rejestrował i wszystkim się wydawało, że wszystko będzie w porządku… Odchodzimy od tego modelu. Odchodzimy od modelu, w którym administratorzy danych sami mają wykonywać swoje obowiązki. Mówiąc krótko, mają wykonywać rozporządzenie, mają nie naruszać przepisów. W momencie, w którym dojdzie do naruszenia, pojawia się, o czym wspomniał przed chwileczką pan doktor Mednis, ryzyko nałożenia kary, ryzyko sankcji. To powoduje, że odejście od rejestracji zbiorów w rozporządzeniu jest moim zdaniem całkowicie zasadne. Zmienia się po prostu model zapewnienia ochrony danych osobowych. Jednocześnie to powoduje, w mojej ocenie, konieczność wzmocnienia organu ochrony danych osobowych. Jak pan profesor wspomniał, kto nam zapewni prywatność? Wydaje się, że jednak władza publiczna. Władza publiczna, która gwarantuje nam prywatność w konstytucji, musi być w stanie ją zapewnić na etapie czy to konfliktu, czy ograniczenia innych władz, czy w szczególności sektora prywatnego. Wydaje się, Szanowni Państwo, że tu jest duże pole do zwiększenia faktycznej możliwości działania generalnego inspektora ochrony danych osobowych.</u>
<u xml:id="u-32.4" who="#PawełLitwiński">I króciutko w odniesieniu do tego, o czym pan profesor wspomniał. Rozporządzenie po prostu nie mówi nic o rejestracji zbiorów danych osobowych. To nie jest tak, że ono zakazuje tej rejestracji. A więc w sytuacji, w której ustawodawca krajowy… Szanowni Państwo, gdybyście zdecydowali się jakąś formę… nie chcę powiedzieć, że rejestracji, ale współdziałania z organem wprowadzić, byłoby to na gruncie rozporządzenia, jak mi się wydaje, dopuszczalne. To nie byłoby sprzeczne z rozporządzeniem, bo w rozporządzeniu nie ma zakazu. Rozporządzenie po prostu milczy na ten temat. Zmienia się podejście do aspektu ochrony danych osobowych. Dziękuję bardzo.</u>
</div>
<div xml:id="div-33">
<u xml:id="u-33.0" who="#MichałSeweryński">Dziękuję.</u>
<u xml:id="u-33.1" who="#MichałSeweryński">I pani senator jako ostatni dyskutant przed przerwą.</u>
<u xml:id="u-33.2" who="#MichałSeweryński">Proszę bardzo.</u>
</div>
<div xml:id="div-34">
<u xml:id="u-34.0" who="#BarbaraZdrojewska">Dziękuję bardzo, Panie Przewodniczący.</u>
<u xml:id="u-34.1" who="#BarbaraZdrojewska">Szanowni Państwo!</u>
<u xml:id="u-34.2" who="#BarbaraZdrojewska">Chciałabym nawiązać do wypowiedzi pana profesora Cellarego. Wydaje mi się, że tak wiele osób się odnosi do słów pana profesora ze względu na to, że pan mówi językiem humanistyki i podchodzi pan do problemu zupełnie inaczej, w sposób raczej filozoficzny. I to jest chyba klucz do tego, żebyśmy się potrafili porozumieć w dzisiejszych czasach. Kiedy mówimy językiem ekonomii czy językiem prawa, to okazuje się, że ma on niedostateczne narzędzia do tego, żeby opisać, z czym mamy do czynienia w przypadku np. internetu. To, że internet się rozwija, że on się rozszerza jak kosmos itd… Ja jestem jednak optymistką. Tak jak tysiąc czy parę tysięcy lat temu nie zdawaliśmy sobie sprawy z tego, że pewnymi wydarzeniami na ziemi rządzą pewne prawa, tak w tej chwili nie zdajemy sobie sprawy z tego, że… Być może są takie prawa i to jest kwestia kilku lat, kiedy je odkryjemy, a wówczas będzie można bardzo łatwo zabezpieczyć pewne rzeczy związane z internetem. Jeżeli odkrylibyśmy prawa rządzące internetem, a można z dużą dozą prawdopodobieństwa założyć, że jeżeli występują te korelacje, to takie prawa są i takie prawa internetem jednak rządzą, to moglibyśmy, znając te różnego rodzaju algorytmy, mieć większą możliwość ochrony praw bezpośrednio w sieci. Tak to bym nazwała. Tak że ja jestem tutaj raczej optymistką. Natomiast zawsze protestuję przeciwko takiej ekonomizacji mówienia o sieci czy o internecie, dlatego że to powoduje, że… Może powiem tak. Dla nas jako ustawodawców najważniejsze jest patrzenie na to przez pryzmat prawa jednostki itd. To pierwsza sprawa.</u>
<u xml:id="u-34.3" who="#BarbaraZdrojewska">Druga rzecz, bardzo ważna, to ochrona rozwoju przedsiębiorczości, wolności tego rozwoju. Musimy się zastanowić nad tym, co jest ważniejsze: czy prawa obywatelskie, prawa jednostki do zachowania prywatności, czy prawo przedsiębiorstw do tego, żeby zarabiać na tych danych w sieci. Trzeba to jakoś rozstrzygnąć. Parę razy padały tutaj… Bardzo się zgadzam, jeżeli chodzi o to zróżnicowanie kar dla firm. To musi nastąpić, bo inaczej… To byłaby ogromna ekonomiczna niesprawiedliwość.</u>
<u xml:id="u-34.4" who="#BarbaraZdrojewska">Jeszcze dwa słowa o kompetencjach. Musimy dbać o obywatela i patrzeć na to od tej strony. To przedsiębiorstwa, wielkie firmy internetowe itd., które są wielkimi beneficjentami tego, co się dzieje w internecie, mają narzędzia i mają kompetencje. Obywatel najczęściej jest coraz bardziej zagubiony, ma coraz mniejsze kompetencje w tym zakresie. W związku z tym my jako ustawodawcy, ale i np. pani minister, pani, która jest rzecznikiem, powinniśmy przede wszystkim patrzeć na to wszystko przez pryzmat nie ekonomii, tylko przez pryzmat obywatela, którego kompetencje nie zawsze… On nie musi mieć tych kompetencji, nie ma takiego obowiązku, ale powinien być chroniony przez państwo. Jak to ktoś ładnie powiedział, państwo jest od tego, żeby obywatela chronić. Dziękuję.</u>
</div>
<div xml:id="div-35">
<u xml:id="u-35.0" who="#MichałSeweryński">Dziękuję, Pani Senator.</u>
<u xml:id="u-35.1" who="#MichałSeweryński">Ogłaszam przerwę do godziny 13.30. Zapraszam państwa na kawę do foyer.</u>
</div>
<div xml:id="div-36">
<u xml:id="u-36.0" who="#komentarz">(Przerwa w obradach)</u>
</div>
<div xml:id="div-37">
<u xml:id="u-37.0" who="#WaldemarSługocki">Bardzo państwa proszę o zajmowanie miejsc, za momencik będziemy zaczynać drugą część naszego seminarium.</u>
<u xml:id="u-37.1" who="#komentarz">(Wypowiedzi w tle nagrania)</u>
<u xml:id="u-37.2" who="#WaldemarSługocki">Dziękuję bardzo.</u>
<u xml:id="u-37.3" who="#WaldemarSługocki">Proszę państwa, rozpoczynamy drugą część naszego seminarium. Nosi ona tytuł „Wybrane zagadnienia unijnej reformy prawa ochrony danych osobowych”.</u>
<u xml:id="u-37.4" who="#WaldemarSługocki">Pierwszym mówcą będzie pan doktor Grzegorz Sibiga z Instytutu Nauk Prawnych Polskiej Akademii Nauk.</u>
<u xml:id="u-37.5" who="#WaldemarSługocki">Panie Doktorze, bardzo proszę…</u>
<u xml:id="u-37.6" who="#WaldemarSługocki">I bardzo państwa proszę o przestrzeganie czasu: 15 minut.</u>
<u xml:id="u-37.7" who="#WaldemarSługocki">Panie Doktorze, pański kwadrans. Dziękuję bardzo.</u>
</div>
<div xml:id="div-38">
<u xml:id="u-38.0" who="#GrzegorzSibiga">Panie Przewodniczący! Szanowni Państwo!</u>
<u xml:id="u-38.1" who="#GrzegorzSibiga">Bardzo serdecznie dziękuję za zaproszenie i za zorganizowanie tego ważnego spotkania seminaryjnego. Myślę że w części dotyczącej właśnie wybranych zagadnień związanych z ochroną danych osobowych, zagadnienie, które chciałbym państwu pokrótce przedstawić, jest kwestią niezmiernie istotną dla stosowania przepisów o ochronie danych osobowych. W poprzedniej części dużo mówiliśmy – i również w kolejnych referatach będzie o tym mowa – o pewnych obowiązkach, nowych typach uprawnień osób, których dane dotyczą, wymogach nałożonych na podmioty, które przetwarzają dane osobowe; a temat inspektora jest ściśle związany z tematem wykonania przepisów o ochronie danych osobowych. Ktoś te przepisy musi wykonać. Oczywiście jest organ nadzorczy: Generalny Inspektor Ochrony Danych Osobowych; ale nie łudźmy się, że ten organ będzie w stanie skontrolować, zweryfikować, monitorować wszystkie podmioty przetwarzające dane osobowe i tym podmiotom doradzić. Ja przypomnę, że nasz organ jest jednym z większych w skali Unii Europejskiej, ale i tak z punktu widzenia potrzeb, z punktu widzenia skarg osób, których dane dotyczą, liczby spraw, wielkość tego organu jest niewystarczająca. A tych spraw i kategorii spraw, proszę państwa, na gruncie ogólnego rozporządzenia o ochronie danych osobowych, będzie jeszcze więcej. Dojdą nowe kompetencje organu, będą nowe procedury postępowania w tym zakresie. Tak więc pracy będzie jeszcze więcej. I funkcja inspektora ochrony danych osobowych jest funkcją wspomagającą. Ja traktuję ją jako funkcję wspomagającą nie tylko administratora danych i procesora, u którego będą powołane te osoby, ale też jako funkcję wspomagającą realizację przepisów o ochronie danych osobowych. W ten sposób bym na tę funkcję patrzył.</u>
<u xml:id="u-38.2" who="#GrzegorzSibiga">Funkcja ta jest taką kontynuacją funkcji obecnie występującej w prawie polskim, w polskiej ustawie o ochronie danych osobowych, czyli funkcji administratora bezpieczeństwa informacji, aczkolwiek myślę, że nienajgorszym rozwiązaniem była zmiana terminologii. Przypomnę, że była dyskusja na etapie tłumaczenia, czy pozostawić nazwę „administrator bezpieczeństwa informacji”, czy jednak przyjąć sformułowanie „inspektor ochrony danych osobowych”. Na marginesie: ani jedno, ani drugie w pełni nie oddaje zwrotu w języku angielskim „data protection officer”. Ale myślę że dobrze się stało, że nazwa została zmieniona, ponieważ jest znacznie więcej kompetencji i nieco inna rola tej osoby, niż to było w przypadku administratora bezpieczeństwa informacji.</u>
<u xml:id="u-38.3" who="#GrzegorzSibiga">Proszę państwa, w moim wystąpieniu chciałbym pokrótce zająć się dwiema kwestiami, czyli kwestią statusu wspomnianej osoby i samego jej powołania, chciałbym również powiedzieć kilka słów na temat kompetencji, szczególnie tych nowych kompetencji, nieznanych dotychczas w prawie polskim. Otóż, proszę państwa, jak wiemy, obecnie według ustawy o ochronie danych osobowych powołanie administratora bezpieczeństwa informacji jest dobrowolne. Ogólne rozporządzenie zmienia ten stan i wyróżnia trzy sytuacje prawne. Administrator danych i procesor – i zwróćmy uwagę, że oprócz administratora jest wprost przewidziany procesor jako drugi podmiot, który może wyznaczyć inspektora… W pewnych sytuacjach pewne kategorie tychże administratorów i procesorów mają obowiązek takiego powołania. Czyli jest to funkcja w przypadku części podmiotów obowiązkowa, takie podmioty obowiązkowo muszą wyznaczać… Przy czym, proszę państwa, każdy podmiot publiczny, organ lub inny podmiot wykonujący zadania publiczne będzie miał obowiązek wyznaczenia osoby pełniącej taką funkcję, tak więc, proszę państwa, na przykład w Senacie, w Kancelarii Senatu, również będzie obowiązkowo, obligatoryjnie inspektor ochrony danych.</u>
<u xml:id="u-38.4" who="#GrzegorzSibiga">Proszę państwa, oprócz podmiotów publicznych… Z tym że jest tu novum. Jest tu pewne novum, mianowicie dla kilku podmiotów publicznych będzie można wyznaczyć jednego inspektora, biorąc pod uwagę wielkość ich działania oraz ich strukturę. I tu zwrócę uwagę na słowo „kilku”, bo to jest ciekawy przypadek tłumaczenia, z którym będziemy mieli pewne problemy interpretacyjne. Ja się z tym spotkałem w poprzednim tygodniu podczas dyskusji na temat inspektora. W angielskiej wersji językowej są użyte słowa „a few” – co w wersji polskiej zostało przetłumaczone jako „kilka”. I już miałem pytanie, czy to oznacza, że nie więcej niż 9 podmiotów publicznych może powołać jednego inspektora, bo później to już nie jest kilku – prawda? „Kilku” oznacza „do 9”.</u>
<u xml:id="u-38.5" who="#GrzegorzSibiga">Proszę państwa, gdy chodzi o sektor prywatny, jest częściowa obligatoryjność w przypadku monitoringu i w przypadku przetwarzania danych wrażliwych; jeżeli jest to główny przedmiot działalności podmiotów i gdy są spełnione pewne dodatkowe warunki, które pewnie będzie wyjaśniał generalny inspektor, wówczas musi być obligatoryjne.</u>
<u xml:id="u-38.6" who="#GrzegorzSibiga">I rzecz do rozważenia – co mówię, patrząc również na osoby z Ministerstwa Cyfryzacji i z biura generalnego inspektora – mianowicie prawodawca unijny czy RODO daje prawodawcy krajowemu możliwość rozszerzenia obowiązkowego powoływania inspektora na określone sektory branży; czyli może to być regulowane dodatkowo w prawie krajowym. No i warto to rozważyć, nawet jeżeli ocena byłaby negatywna, i zająć się wspomnianą możliwością, czy skorzystamy z tego, czy też nie.</u>
<u xml:id="u-38.7" who="#GrzegorzSibiga">Gdy chodzi o status omawianej osoby, proszę państwa, to w dużej części powtórzona czy zalegalizowana jest ta praktyka, która jest w chwili obecnej. Nie musi to być pracownik. Może to być pracownik, może to być osoba wykonująca swoje czynności na podstawie umów cywilnoprawnych. W jednym i w drugim wariancie bardzo ważną kwestią jest jednak niezależność tej osoby. Osoba, która działa u administratora danych lub procesora ma wykonywać swoje zadania niezależne, jest takim niezależnym doradcą, niezależnym konsultantem administratora danych; przy czym rozporządzenie inaczej niż obecna polska ustawa wyjaśnia, na czym ta niezależność polega: na zakazie wydawania wiążących poleceń co do sposobu realizacji zadań. Czyli rozporządzenie zakazuje tej osobie… Zbliżamy się tutaj do takiej konstrukcji, jak w przypadku audytora – co prawda wewnątrz struktury organizacyjnej, ale pewnego niezależnego audytora.</u>
<u xml:id="u-38.8" who="#GrzegorzSibiga">Proszę państwa, dosyć ogólnie są określone wymogi kwalifikacyjne, czyli wiedza fachowa i umiejętności tej osoby, ale ciekawie to tłumaczy motyw dotyczący inspektora. W motywie, czyli w wyjaśnieniu rozporządzenia, jest mowa o tym, że ta wiedza fachowa musi być… Przy ocenianiu, czy osoba ma wiedzę fachową, musi być uwzględniona specyfika konkretnego administratora danych lub procesora. I to ma być osoba, która nie tylko zna przepisy o ochronie danych osobowych, ale zna specyfikę działalności i kulturę organizacji, w której będzie pełniła swoją funkcję. Istotną kwestią statusu inspektora, proszę państwa, jest też kwestia zakazu wchodzenia w konflikt interesów. Muszę powiedzieć, że jest to rzecz bardzo istotna. Tu bym sugerował też zastanowienie się nad obecnym stanem prawnym, ponieważ dosyć często w mojej praktyce zawodowej zdarza się, że administrator bezpieczeństwa informacji jest jednocześnie osobą odpowiedzialną za system informatyczny i procedury zarządzania ochroną danych osobowych, czyli dochodzi tutaj do sytuacji konfliktu interesów w związku z powierzaniem jej innych obowiązków. I ogólne rozporządzenie stawia tu akcent – powinniśmy unikać konfliktu interesów w przypadku takiej osoby.</u>
<u xml:id="u-38.9" who="#GrzegorzSibiga">Teraz, proszę państwa kilka słów – tak żeby wykorzystać swój czas i go nie przekraczać – o zadaniach tej osoby. W dużej części, trzeba powiedzieć… Albo raczej w pewnej części, nie w dużej. Tak więc w pewnej części jest to powtórka obecnych zadań administratora bezpieczeństwa informacji, są też jednak pewnego rodzaju nowe zadania. I według mnie kluczowym zadaniem, co prawda nie do końca w sposób jasny wytłumaczonym, jest zadanie związane z tym, że do inspektora ochrony danych w konkretnej jednostce ma prawo zwrócić się każdy, kogo dane dotyczą, w swojej sprawie. Czyli jest to pewna osoba kontaktowa w jednostkach organizacyjnych, do której zwracamy się z żądaniem informacyjnym, z żądaniem korekty swoich danych osobowych czy usunięcia swoich danych osobowych. Są z tym powiązane inne przepisy rozporządzenia, mianowicie przepisy, że dane kontaktowe do inspektora trzeba będzie podawać w klauzulach informacyjnych, w przypadku zbierania danych osobowych i bezpośrednio od podmiotu danych, i od osoby trzeciej, trzeba będzie również podawać takie dane do publicznej wiadomości. I już teraz trwa dyskusja, co to znaczy „dane kontaktowe”. Czy będę musiał podać swoje imię i nazwisko? W mojej ocenie tak, ponieważ jest równoległy obowiązek podania danych kontaktowych do generalnego inspektora, a to jest ta sama kategoria pojęciowa. I i myślę tak, może troszeczkę antycypując: trudno mi sobie wyobrazić, że pani minister przyjmie zawiadomienie, kto jest inspektorem ochrony danych, bez jego imienia i nazwiska. Podanie danych kontaktowych na zasadzie „podamy sam telefon, ale nie powiemy, jakie inspektor ma imię i nazwisko”… A jest to ta sama kategoria pojęciowa: dane kontaktowe. I trzeba je podać zarówno organowi nadzorczemu, jak i do publicznej wiadomości oraz w klauzulach informacyjnych, więc nie można będzie interpretować tego pojęcia odmiennie w każdej z tych 3 sytuacji.</u>
<u xml:id="u-38.10" who="#GrzegorzSibiga">Proszę państwa, na sali są również administratorzy bezpieczeństwa informacji. Myślę, że podstawową czy jedną z podstawowych umiejętności, którą powinni nabyć, jest po prostu bycie co najmniej punktem kontaktowym dla osób, których dane dotyczą. Załatwiać sprawy, a co najmniej organizować załatwianie spraw osób, których dane dotyczą. To nieco taki model, można powiedzieć, konsumenckiej obsługi osób, których dane dotyczą.</u>
<u xml:id="u-38.11" who="#GrzegorzSibiga">Proszę państwa, druga nowość, którą ja zauważam, to jest udział inspektora ochrony danych osobowych w pewnej nowej procedurze, czyli w ocenie skutków przetwarzania danych osobowych. On będzie musiał to obowiązkowo konsultować administratorom danych, na których będzie nałożony ten obowiązek, co ma związek z pewnymi szczególnymi zagrożeniami dla prywatności danych osobowych. Będzie obowiązkowy konsultant oceny skutków regulacji. W pozostałym zakresie zadania inspektora, można powiedzieć, są dosyć blisko obecnych zadań administratora bezpieczeństwa informacji. Ale ja zwrócę uwagę na terminologię, którą posługuje się rozporządzenie. Rozporządzenie sytuuje inspektora jako osobę, która informuje o przestrzeganiu przepisów i praktyk, a więc jest to funkcja informacyjna, nie tylko wobec administratora danych, tego który go powołał, ale także wobec wszystkich osób, które przetwarzają dane, wobec pracowników, którzy przetwarzają dane osobowe. Tak więc to jest osoba, która podnosi świadomość, wyjaśnia pewne problemy, określa, w jaki sposób prawidłowo stosować przepisy o ochronie danych osobowych. A drugi zwrot, obok informowania, którego używa rozporządzenie, to jest monitorowanie. Bez uszczegółowiania tej kwestii powiem, że chodzi o monitorowanie wszelkich działań związanych z przetwarzaniem danych osobowych. Tak więc inspektor informuje i monitoruje. Ale uwaga, i to rzecz bardzo ważna, która moim zdaniem dotychczas umykała troszeczkę podczas analizy rozporządzenia: funkcja inspektora nie ma być sztuką dla sztuki, tak jak obecna funkcja ABI, ale rozporządzenie o tym mówi wprost. Rozporządzenie mówi, że inspektor powinien działać, wykonywać swoje zadanie, z punktu widzenia podejścia opartego na ryzyku. Czyli on dba o przestrzeganie przepisów i musi oceniać, gdzie jest większe zagrożenie naruszenia przepisów, gdzie jest większe zagrożenie prywatności, i tym się zająć w pierwszej kolejności, a w dalszej kolejności – informowaniem, monitorowaniem zasobów danych osobowych, w przypadku których ma pewność, że wszystko jest prawidłowo.</u>
<u xml:id="u-38.12" who="#GrzegorzSibiga">Ostatnią rzeczą, o której chciałbym powiedzieć, jest współpraca z organem ochrony danych osobowych. Tutaj pozwolę sobie zwrócić uwagę również na termin, który ma duże znaczenie. Inspektor nie wykonuje kontroli, nie wykonuje sprawdzeń na wezwanie generalnego inspektora – on z nim współpracuje. I dla mnie z punktu widzenia znaczeniowego pojęcie „współpraca” ma charakter dwukierunkowy –prawda? To powinna być relacja osób, którym zależy na prawidłowej realizacji ochrony danych osobowych: relacja organu państwowego i osób pełniących swoje funkcje w poszczególnych podmiotach publicznych i w poszczególnych przedsiębiorstwach. I mam nadzieję – a patrząc na praktykę generalnego inspektora, jestem prawie pewien – że właśnie w ten sposób to będzie realizowane. Dziękuję bardzo.</u>
</div>
<div xml:id="div-39">
<u xml:id="u-39.0" who="#WaldemarSługocki">Bardzo dziękuję, Panie Doktorze. Dziękuję również za przestrzeganie dyscypliny czasowej.</u>
<u xml:id="u-39.1" who="#WaldemarSługocki">Kolejnym mówcą w tej części będzie pan profesor Marek Świerczyński z Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego.</u>
<u xml:id="u-39.2" who="#WaldemarSługocki">Panie Profesorze, bardzo proszę, oddaję panu głos.</u>
</div>
<div xml:id="div-40">
<u xml:id="u-40.0" who="#MarekŚwierczyński">Szanowny Panie Przewodniczący! Szanowni Państwo!</u>
<u xml:id="u-40.1" who="#MarekŚwierczyński">Bardzo dziękuję organizatorom seminarium za uwzględnienie wątku kolizyjnoprawnego międzynarodowego. Rzeczywiście w przepisach rozporządzenia pojawiają się przepisy dedykowane, dotyczące właściwości sądów w sprawach związanych z ochroną danych osobowych, i to jest istotna nowość tego rozporządzenia. Świadczy to równocześnie o rosnącym znaczeniu możliwości dochodzenia roszczeń cywilnoprawnych przed sądami powszechnymi w sprawach dotyczących właśnie naruszeń związanych z przetwarzaniem danych osobowych. Taka możliwość jest zapewniana samym poszkodowanym, czyli osobom, których dane są przetwarzane. Rozporządzenie wyraźnie wskazuje też podmioty, które mogą reprezentować interesy poszkodowanych, różne organizacje, które również mogą korzystać z tych reguł jurysdykcyjnych.</u>
<u xml:id="u-40.2" who="#MarekŚwierczyński">Jest oczywiste, że ze względu na coraz częstszy międzynarodowy charakter przetwarzania danych osobowych rozporządzenie w pierwszej kolejności musiało uregulować to, jakie sądy są właściwe w takich sprawach, sądy którego państwa są tutaj właściwe. I kryterium, które wykorzystano, to kryterium… Jest to jedno z kryteriów, myślę jednak, że najistotniejsze dla poszkodowanych: kryterium miejsca ich zwykłego pobytu, czyli to, że oni mają dostęp do sądów w państwie, gdzie znajduje się ich miejsce zwykłego pobytu. I tutaj jedna uwaga terminologiczna, bo o tej kwestii właściwie jeszcze nie było mowy. Mamy problem z tłumaczeniem pewnych przepisów w rozporządzeniu, i to jest jedna z tych sytuacji. To nie dotyczy wyłącznie tego rozporządzenia, ale również innych aktów prawnych, na przykład nowego pakietu o handlu elektronicznym, który Komisja zgłosiła parę tygodni temu, chodzi o kwestię geoblokowania. I tam na przykład pojęcie „miejsce zwykłego pobytu” tłumaczy się jako miejsce zamieszkania, a to nie jest to samo. Miejsce zwykłego pobytu i miejsce zamieszkania to są różne pojęcia, różne sytuacje, i należy je wyodrębnić. Dla nas kolizjonistów to ma duże znaczenie i potem podczas rozstrzygania tych spraw i stwierdzania, czy sąd jest właściwy, ale również jakie prawo bierzemy pod uwagę, to ma znaczenie.</u>
<u xml:id="u-40.3" who="#MarekŚwierczyński">W samym rozporządzeniu RODO w art. 79 dobrze przetłumaczono to pojęcie jako miejsce zwykłego pobytu, a w preambule, prawdopodobnie inna grupa tłumaczy się tym zajmowała, już jako miejsce zamieszkania. To taka dosyć dziwna rozbieżność w jednym akcie prawnym.</u>
<u xml:id="u-40.4" who="#MarekŚwierczyński">Proszę państwa, kiedy spojrzymy na te przepisy dotyczące jurysdykcji, no to możemy stwierdzić, że bardzo dobrze się stało, że mamy taki przywilej jurysdykcyjny, takie uprzywilejowanie poszkodowanych. No w końcu jeżeli nasze dane osobowe są przetwarzane przez podmioty zagraniczne, to powinniśmy mieć możliwość wniesienia, wykorzystania odpowiednich środków prawnych, skorzystania z nich przed naszymi sądami. No i oczywiście z tej perspektywy to jest rozwiązanie, można powiedzieć, korzystne dla Polaków, a właściwie dla osób z miejscem zwykłego pobytu w Polsce. Ale jeżeli teraz spojrzymy na problem od strony przedsiębiorców, administratorów danych osobowych – był tutaj wątek otwarcia rynku i ekspansji międzynarodowej oraz gospodarki cyfrowej, która jest szansą dla polskich przedsiębiorców – to takie rozwiązanie jednak znacząco zwiększa ryzyko litygacyjne, możliwość pozwania polskiego administratora czy też procesora danych osobowych w innym państwie, co pewnie jest wiadomością dobrą dla prawników, jeśli chodzi o obsługę takich podmiotów prawnych, ale na przykład dla start-upów, dla spółek start-upowych, może być to pewną barierą.</u>
<u xml:id="u-40.5" who="#MarekŚwierczyński">Proszę państwa, charakterystyczne jest również to, że rozporządzenie uregulowało, wydaje się, taką najprostszą rzecz pod względem konstrukcji, to znaczy określona została właściwość sądów. Tak naprawdę jednak nie wprowadzono przepisów kolizyjnych dotyczących prawa właściwego, czyli nie rozstrzygnięto – przynajmniej moim zdaniem – w rozporządzeniu tego, jakie prawo krajowe te sądy powinny zastosować. Oczywiście mamy pewne kwestie uregulowane w rozporządzeniu, ale jeśli chodzi na przykład o odszkodowanie, o roszczenia odszkodowawcze, sąd będzie musiał sięgnąć do przepisów jakiegoś systemu prawnego. Problem jest taki, że nie mamy też ujednoliconych reguł kolizyjnych w zakresie prywatności na poziomie Unii Europejskiej. Stosowny akt prawny, czyli rozporządzenie „Rzym II” po prostu wyłączyło z góry te kwestie prywatności, bo uznano to za szczególnie kontrowersyjne. I teraz jednak nie uregulowano tego przy okazji rozporządzenia. Samo rozporządzenie jest pod tym kątem ambiwalentne, może sugerować czy może być tak odczytywane – co moim zdaniem jest błędem – i może zachęcać do tego, żeby sąd, który rozpatruje sprawę, jeżeli stwierdzi swoją właściwość na podstawie tych przepisów, po prostu zastosował własny system prawny. Bo dla sądu jest wtedy najprościej sięgnąć do lex fori, uzasadniając to na tej czy na innej podstawie. To może sugerować art. 82, który mówi o tym, że te kwestie odszkodowawcze są rozstrzygane na mocy prawa państwa członkowskiego, na przykład miejsca zwykłego pobytu poszkodowanego; ale to należy w mojej ocenie rozumieć w troszeczkę innym kontekście, mianowicie w kontekście ustalania właściwości miejscowej sądów.</u>
<u xml:id="u-40.6" who="#MarekŚwierczyński">Proszę państwa, jakie są jeszcze inne kwestia praktyczne i problemy, również dla polskich prawników? Otóż polscy prawnicy i sądy są przyzwyczajeni do stosowania kodeksu postępowania cywilnego i z pewnym oporem, co zauważono… Pewną trudność sprawia to, że te kwestie dotyczące obrotu międzynarodowego, jurysdykcji krajowej, prawa właściwego itd. zaczynają być regulowane przez prawo unijne, na przykład przez rozporządzenie „Bruksela I bis”, do którego zresztą nawiązuje RODO, ale też przez inne rozporządzenia. I to już jest pewne wyzwanie, tymczasem rozporządzenie jeszcze wprowadza nam szczególne zasady, jeszcze wprowadza wyłom, następuje rozproszenie regulacji. Tutaj patrzę na panią Urszulę, bo była prezentacja przygotowana, ale możemy ją, jak rozumiem, potem udostępnić.</u>
<u xml:id="u-40.7" who="#Gloszsali">Ja cały czas mogę ją wyświetlić.</u>
<u xml:id="u-40.8" who="#MarekŚwierczyński">Jeśli pani może, to proszę wyświetlić. Chyba najważniejszy jest pierwszy slajd z wnioskami.</u>
<u xml:id="u-40.9" who="#MarekŚwierczyński">I teraz tak naprawdę pytanie jest nie tylko o to, żeby dostrzec te reguły szczególne, choćby zawarte w RODO, żeby do nich sięgnąć i je zastosować, chodzi też o interakcję między tymi aktami prawnymi. Bo jeżeli teraz mówimy o tym, że RODO daje przywilej jurysdykcyjny, daje możliwości, to pozostaje pytanie, co w zakresie nieuregulowanym. Do jakich aktów prawnych sięgniemy? Czy na przykład jeżeli „Bruksela I bis” mówi nam o tym, że strony mogą sobie ustalić właściwość sądów w ramach umowy, w ramach porozumienia, choćby w regulaminie serwisu internetowego, gdzie wpiszemy, że właściwe są tylko sądy państwa, w którym znajduje się siedziba administratora, to czy w ten sposób, dając wyłączność tym sądom, wyłączymy przepisy szczególne RODO? To nie zostało też wyjaśnione. Widać, że ta regulacja jest dosyć kadłubkowa. Oczywiście już przedstawiając własne stanowisko, powiem, że nie miałoby to sensu. Wtedy byłby to martwy przywilej, który bardzo łatwo można byłoby obejść za pomocą wspomnianych przepisów.</u>
<u xml:id="u-40.10" who="#MarekŚwierczyński">Proszę państwa, jeszcze jedna uwaga, jedno spostrzeżenie na koniec. Mówiłem tutaj o dostępie do sądów znajdujących się w miejscu zwykłego pobytu osoby, której dane są przetwarzane. Ale tym podstawowym łącznikiem, podstawowym kryterium jest miejsce czy państwo, w którym znajduje się jednostka organizacyjna administratora danych osobowych. Czyli to pojęcie, które już się wcześniej pojawiało, jednostki organizacyjnej, tutaj jest też wykorzystywane jako kryterium dla właściwości sądów, co może być potem wykorzystywane, jak stwierdziłem, dla stwierdzenia właściwości prawa. Osobiście próbowałem zwalczyć w fazie tłumaczenia taki sposób zdefiniowania… Chodzi może nie tyle o zdefiniowanie, ile o przetłumaczenie pojęcia „establishment” z oryginalnej wersji językowej rozporządzenia. Bo wydawało mi się oczywiste, że jest to po prostu siedziba i że posługujemy się… Przynajmniej dla nas kolizjonistów pojęcie „siedziba” jest szeroko rozumiane: obejmuje nie tylko siedzibę statutową, ale również organizacyjną, funkcjonalną. A to pojęcie jednostki organizacyjnej, zwróćcie państwo uwagę, w ogóle nie zostało w ustawie zdefiniowane. Mamy jakieś wyroki, o których pani minister już wspominała – Google Spain, Veltimo – jest coś w preambule, ale nie ma zdefiniowania kluczowego pojęcia; i to kryterium też może być rozumiane bardzo szeroko i za jego pośrednictwem znowu można powodować, że być może właściwie wszędzie, w dowolnym państwie, możemy znaleźć taką jednostkę organizacyjną i za pośrednictwem tego manipulować właściwością sądów, właściwością prawa i stwierdzić, że jak ktoś na przykład kieruje swoją stronę internetową czy ma odbiorców, klientów z danego państwa członkowskiego, to w takim razie ma tam jednostkę organizacyjną, w związku z czym możemy go pozwać w tym państwie, i w ten sposób to zrealizować…</u>
<u xml:id="u-40.11" who="#MarekŚwierczyński">Absolutnie już ostatnia uwaga. Czy musimy w polskich przepisach wprowadzać jakieś zmiany w ślad za tymi przepisami? Nie, nie ma potrzeby zmiany polskiego k.p.c., to znowu będą reguły szczególne prawa unijnego. Jest jedynie postulat do ustawodawcy unijnego, aby wreszcie określił normy kolizyjne prawa prywatnego międzynarodowego dla kwestii naruszeń prywatności, czyli żeby zmienił rozporządzenie „Rzym II” i wreszcie dokonał ujednolicenia, tak żebyśmy pod tym względem mieli pewność, że sprawę mogą rozstrzygać różne sądy w różnych państwach członkowskich, ale niech te sądy przynajmniej sięgają do jednego systemu prawnego, niech to nie będzie jakaś taka mozaika. Dziękuję bardzo.</u>
</div>
<div xml:id="div-41">
<u xml:id="u-41.0" who="#WaldemarSługocki">Serdecznie dziękuję, Panie Profesorze.</u>
<u xml:id="u-41.1" who="#WaldemarSługocki">Przechodzimy do kolejnego punktu naszego seminarium.</u>
<u xml:id="u-41.2" who="#WaldemarSługocki">Poproszę o zabranie głosu pana doktora Pawła Litwińskiego z Instytutu Allerhanda.</u>
<u xml:id="u-41.3" who="#WaldemarSługocki">Panie Doktorze, bardzo proszę.</u>
</div>
<div xml:id="div-42">
<u xml:id="u-42.0" who="#PawełLitwiński">Panie Przewodniczący! Szanowni Państwo!</u>
<u xml:id="u-42.1" who="#PawełLitwiński">Dziękuję bardzo. Ja też…</u>
<u xml:id="u-42.2" who="#Gloszsali">Tam jest pilot.</u>
<u xml:id="u-42.3" who="#PawełLitwiński">Tak, już mam w ręce. Ja też poproszę o wyświetlenie prezentacji, ponieważ…</u>
<u xml:id="u-42.4" who="#PawełLitwiński">Proszę państwa, temat, który chciałbym państwu pokrótce omówić, dotyczy zasad przetwarzania danych osobowych dzieci w świetle rozporządzenia ogólnego. Ten temat wydaje się istotny, moim zdaniem z dwóch powodów. Po pierwsze, ze względu na takie bardziej społeczne ujęcie, czyli rosnące stale zagrożenie dla prywatności danych osobowych, zwłaszcza jeżeli chodzi o dzieci…</u>
<u xml:id="u-42.5" who="#PawełLitwiński">Jeżeli mógłbym prosić o zmianę slajdu… O, dziękuję bardzo.</u>
<u xml:id="u-42.6" who="#PawełLitwiński">Będę się starał wplatać w tok wypowiedzi to, co jest na kolejnym slajdzie, żeby było łatwiej.</u>
<u xml:id="u-42.7" who="#PawełLitwiński">Po pierwsze, powtarzam, ze względów społecznych, czyli ze względu na rosnące zagrożenia dla prywatności dzieci. Po drugie, proszę państwa…</u>
<u xml:id="u-42.8" who="#WaldemarSługocki">Przepraszam bardzo. Przepraszam, Panie Doktorze, jest taka prośba, żeby pan sam… Ma pan pilota w ręku – tak? Proszę sobie tak żonglować prezentacją, żeby to pan nadawał ton slajdom, a nie slajdy panu.</u>
<u xml:id="u-42.9" who="#komentarz">(Wypowiedź poza mikrofonem)</u>
<u xml:id="u-42.10" who="#PawełLitwiński">Do trzeciego być może, ale może jakoś się uda…</u>
<u xml:id="u-42.11" who="#komentarz">(Wypowiedź poza mikrofonem)</u>
<u xml:id="u-42.12" who="#PawełLitwiński">O, to będzie jeszcze lepszy pomysł.</u>
<u xml:id="u-42.13" who="#PawełLitwiński">Tak że, Panie Przewodniczący, proszę o odliczenie tych 30 sekund z czasu.</u>
<u xml:id="u-42.14" who="#WaldemarSługocki">Zatrzymałem czas – jestem bardzo uczciwy.</u>
<u xml:id="u-42.15" who="#PawełLitwiński">Bardzo serdecznie dziękuję.</u>
<u xml:id="u-42.16" who="#PawełLitwiński">Po pierwsze, kwestie społeczne, o których już wspominałem. Po drugie, proszę państwa, to są te przepisy, które trzeba implementować do polskiego porządku prawnego. Mamy rozporządzenie, wydawałoby się, że o implementacji mówić nie będziemy. Otóż nie, w tym przypadku ustawodawca musi podjąć konkretną decyzję co do konkretnego kształtu tej regulacji, i dlatego, tak myślę, jest to bardzo istotne zagadnienie. I bardzo dziękuję pani minister i szanownemu państwu, że to zagadnienie jest omawiane.</u>
<u xml:id="u-42.17" who="#PawełLitwiński">Proszę państwa, żeby państwu uświadomić praktycznie, o czym rozmawiamy, pozwoliłem sobie wykonać pewne ćwiczenie, mianowicie na potrzeby naszego dzisiejszego spotkania zarejestrowałem się na 2 portalach społecznościowych. To jest jeden z nich, a to drugi. Nie posługuję się nazwami, państwo domyślicie się, o które chodzi. Na pierwszym z portali udało mi się zarejestrować, podając datę urodzenia 2003, czyli, o ile dobrze liczę, mam lat 14 czy 13 może jeszcze. Analiza regulaminu tego portalu doprowadziła do wniosku, że on w ogóle nie posługuje się kwestią wieku, w ogóle się nie odnosi do kwestii wieku swoich użytkowników. Z kolei na drugim portalu, proszę państwa, nie udało mi się zarejestrować. Tutaj miałem lat 9. Analiza regulaminu tego drugiego portalu doprowadziła mnie do wniosku, że ten portal wyznacza arbitralnie granicę wieku na 13 lat. Osoby, które nie ukończyły 13 lat, w ogóle nie mogą się zarejestrować, pod żadnym pozorem, a osoby, które ukończyły 13 lat, mogą wszystko. Tutaj granica jest jedna: wiek 13 lat.</u>
<u xml:id="u-42.18" who="#PawełLitwiński">Jeżeli chodzi, proszę państwa, o dzisiejszy stan prawny w Polsce, to punktem wyjścia jest stwierdzenie, że nie mamy w ogóle przepisów, które by to regulowały. Zgoda na przetwarzanie danych osobowych jest oświadczeniem woli w rozumieniu przepisów prawa cywilnego, brak jednak jakiejkolwiek dedykowanej regulacji, która odnosiłaby się do przetwarzania danych osobowych dzieci. Jeżeli państwo analizowalibyście poglądy doktryny, to bardzo, tak myślę, bardzo dla mnie przydatny był komentarz, którego współautorem jest pan profesor Fajgielski, bardzo ładnie pokazujący wszystkie stanowiska doktryny. i to jest, proszę państwa, rozbieżność pełna, począwszy od przyjęcia, że stosujemy tu wprost przepisy kodeksu cywilnego, czyli granicę, przypomnę, 13 lat dla ograniczonej zdolności do czynności prawnych i granicę 18 lat dla pełnej zdolności do czynności prawnych. Skrajnie odmienne stanowisko, całkiem w drugą stronę, proszę państwa, zakłada, że w ogóle nie możemy stawiać żadnych granic, istotne jest, czy dziecko jest w stanie ocenić i zrozumieć istotę zgody, którą składa – czyli proponuje się oderwanie od sztywnych kodeksowych reguł i przejście na regulacje bardziej ocenne. Z kolei analiza materiałów, które pochodzą od GIODO, pozwoliła mi postawić tezę, że generalnie inspektor raczej skłania się ku tej granicy 18 lat jako granicy, do której dziecko, osoba fizyczna, nie jest w stanie samodzielnie wyrazić zgody na przetwarzanie danych osobowych. Te slajdy, od których zacząłem, pokazują, proszę państwa, że praktyki rynkowej nie ma, nie tylko w Polsce, ale, powiedzmy, w skali ogólnoświatowej bo internet granic nie zna.</u>
<u xml:id="u-42.19" who="#PawełLitwiński">Pamiętać musimy również o tym, że do tej pory kwestia zgody na przetwarzanie danych osobowych wyrażanej przez dzieci była przedmiotem analiz, między innymi analiz grupy roboczej do spraw ochrony danych osobowych. Proszę państwa, grupa robocza poczyniła takie założenie: za dzieci uznała osoby, które nie ukończyły 18 lat. I to było pierwsze założenie. Drugie założenie: w tej grupie należy… Bazując na tej granicy 18 lat, osoby fizyczne trzeba podzielić na 3 kategorie: osoby, których stanowisko czy zdanie dotyczące omawianej zgody nie jest wiążące dla rodzica czy opiekuna prawnego, ale trzeba je wziąć pod uwagę w momencie, w którym rodzic lub opiekun prawny decyduje; osoby w takim wieku, po przekroczeniu którego podejmuje się zgodę łącznie z rodzicem czy z opiekunem prawnym; i osoby w takim wieku, po przekroczeniu którego podejmuje się taką decyzję samodzielnie. Problem w tym, proszę państwa, że grupa nie wskazała granic, w związku z czym wracalibyśmy do stanowiska, które również w polskiej literaturze było prezentowane, że tak naprawdę trzeba to oceniać w zależności od przypadku, w zależności od tego, jak dziecko czy jak dana osoba jest w stanie rozeznać się co do skuteczności swoich działań. I tu powolutku dochodzimy do rozporządzenia. Bo, proszę państwa, jednym z istotnych elementów rozporządzenia była właśnie próba uregulowania kwestii możliwości wyrażenia przez dzieci zgody dotyczącej przetwarzania ich danych osobowych. Widzicie państwo na slajdzie motyw 38 preambuły, który wyjaśnia, dlaczego prawodawca wspólnotowy chciał tę kwestię uregulować. No to jest truizm, że dzieci są mniej świadome ryzyka i konsekwencji, ale mamy to zapisane w preambule i musimy to brać pod uwagę przy konstruowaniu przepisów krajowych, o których będę mówił za chwilę. I mamy, proszę państwa, jeszcze motyw 58 preambuły, który wiążę się z przekazywaniem różnych informacji dziecku. W tym motywie czytamy, że informacje przekazywane dziecku powinny być sformułowane jasnym i prostym językiem, by dziecko mogło je zrozumieć. Czyli mamy dwie dyrektywy wykładnie. Z jednej strony dziecko nie ma świadomości skutków podejmowanych decyzji, z drugiej strony informacje do niego kierowane należy kierować w taki sposób, żeby one były sformułowane jasnym, prostym językiem, by dziecko miało możliwość ich zrozumienia.</u>
<u xml:id="u-42.20" who="#PawełLitwiński">I w tym momencie dochodzimy, proszę państwa, do sedna. Prawodawca europejski nie zdecydował się na uregulowanie kwestii zgody udzielanej przez dzieci w ogóle, w stosunku do wszystkich sytuacji, w których taka zgoda może być udzielana. Uregulowano wyłącznie sytuację, w której dochodzi do udzielenia zgody w kontekście świadczenia usług społeczeństwa informacyjnego dziecku. To pojęcie usług społeczeństwa informacyjnego nie jest wprost przeniesione do polskiego porządku prawnego. Myślę, że pewnym odpowiednikiem będzie pojęcie usługi świadczeń drogą elektroniczną, a bardziej kolokwialnie: chodzi o sytuację, w której dziecko wyraża taką zgodę w kontekście swojej aktywności internetowej. Czyli te dwa przykłady, od których zacząłem, jak najbardziej byłyby relewantne z punktu widzenia regulacji art. 8 rozporządzenia. Proszę państwa, rozporządzenie wprowadza sztywną, jak by się wydawało, granicę: 16 lat. Rozporządzenie stanowi, że jeżeli zgoda jest udzielana przez dziecko w związku ze świadczeniem usług społeczeństwa informacyjnego, to do ukończenia przez dziecko 16 lat taka zgoda musi być potwierdzana, musi to być również zgoda rodzica bądź opiekuna prawnego – z możliwością obniżenia przez państwo członkowskie tej granicy do 13 lat. Tu się pojawia ta implementacja, od której zacząłem. Bo Rzeczpospolita Polska będzie musiała zdecydować, proszę państwa, na którym poziomie, od 16 lat do 13 lat, tę granicę wieku ustanowić.</u>
<u xml:id="u-42.21" who="#PawełLitwiński">Drugi problem, jaki tu się pojawia, to jest problem weryfikacji, kto jest po drugiej stronie – czy to rzeczywiście rodzic lub opiekun prawny potwierdza zgodę. Z praktyki, jaką my dzisiaj obserwujemy… Ja mogę państwu przytoczyć wiele przykładów rozwiązań, począwszy od prostego „ptaszka” do zatwierdzenia, „tak, mam zgodę rodzica” – i umówmy się, że to nie jest żadna weryfikacja – poprzez bardziej rozbudowane mechanizmy, na przykład podanie numeru PESEL rodzica, a skończywszy na sytuacjach, w których żąda się przesłania skanu dowodu osobistego przez rodzica z jego konta poczty elektronicznej, tak żeby weryfikacja była jak najbardziej dokładna. Tu rozporządzenie nie mówi wprost, jak taką weryfikację należy przeprowadzać, posługuje się bardzo miękkimi określeniami, na przykład „dostępna technologia”, czyli weryfikacja powinna być prowadzona przy pomocy dostępnej technologii – czytaj: wraz z rozwojem technologii metody będą się zmieniać – i powinna uwzględniać „rozsądne starania”. Czyli jakiś próg staranności po stronie rodzica trzeba będzie ustanowić, poniżej którego starania rozsądne nie będą. Przykład, który mi się ciśnie na usta, to taki, że osobista wizyta w biurze obsługi klienta, które jest zlokalizowane 300 km od miejsca zamieszkania, pewno nie byłaby już rozsądnymi działaniami, ale mamy klauzulę o charakterze bardzo otwartym, do oceny przez praktykę i przez generalnego inspektora.</u>
<u xml:id="u-42.22" who="#PawełLitwiński">Podsumowując, proszę państwa, króciutko, powiem tak: nie zmienia się nic, jeżeli chodzi o zgody udzielane poza usługami społeczeństwa informacyjnego. Nie zmienia się nic, czyli prawodawca polski może to uregulować, nie musi tego uregulować; jeżeli tego nie ureguluje, no to wracamy do początku prezentacji. Zmienia się wszystko, jeżeli chodzi o kontekst usług społeczeństwa informacyjnego. Tutaj, jeżeli nie będzie żadnej regulacji, granica będzie na poziomie 16 lat. A jeżeli prawodawca krajowy zdecyduje się na zmiany, może tę granicę obniżyć do poziomu 13 lat. Jakie czynniki trzeba brać pod uwagę? Proszę państwa, z jednej strony, ochrona tego dziecka – prawda? Im bardziej będziemy tę granicę podwyższać, tym ochrona będzie większa. Z drugiej strony, trzeba pamiętać o tak prozaicznej, wydawałoby się, kwestii, jak swoboda świadczenia usług czy generalnie kwestia świadczenia usług internetowych przez polskich przedsiębiorców. No, jednak podwyższanie tej granicy będzie powodowało, że dostępność usług będzie mniejsza, ponieważ trzeba będzie spełnić więcej wymagań, żeby z takich usług skorzystać. Tak że przed państwem decyzja o charakterze wyważenia dwóch wartości: z jednej strony, bezpieczeństwa dzieci korzystających z internetu, z drugiej strony, swobody polskich przedsiębiorców świadczących wspomniane usługi. Dziękuję bardzo.</u>
</div>
<div xml:id="div-43">
<u xml:id="u-43.0" who="#WaldemarSługocki">Serdecznie dziękuję, Panie Doktorze, także za przestrzeganie dyscypliny czasowej, aczkolwiek, tak jak wspominałem wcześniej, czas zatrzymałem, żeby mógł pan się swobodnie przemieścić i móc nam przedstawić prezentację.</u>
<u xml:id="u-43.1" who="#WaldemarSługocki">Kolejnym mówcą jest pan doktor Arwid Mednis z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, a temat to „Ochrona danych osobowych a statystyka publiczna”.</u>
<u xml:id="u-43.2" who="#WaldemarSługocki">Bardzo proszę, Panie Doktorze.</u>
</div>
<div xml:id="div-44">
<u xml:id="u-44.0" who="#ArwidMednis">Dziękuję Panie Przewodniczący. Dziękuję za zaproszenie na dzisiejsze seminarium.</u>
<u xml:id="u-44.1" who="#ArwidMednis">Temat to rzeczywiście wpływ rozporządzenia na służby statystyki publicznej, ale wykorzystam okazję także do tego, żeby odnieść się do kilku rozwiązań w tym rozporządzeniu, nie tylko w kontekście statystyki publicznej, ale w ogóle sfery publicznej, jak również, w niektórych przypadkach, w kontekście skutków tych rozwiązań odnośnie do sfery prywatnej. Bo wydaje mi się, że o niektórych rzeczach już była tutaj mowa, ale na niektóre warto, moim zdaniem, zwrócić większa uwagę.</u>
<u xml:id="u-44.2" who="#ArwidMednis">Jeśli chodzi o statystykę publiczną, to oczywiście RODO będzie miało zastosowanie do tej sfery. Służby statystyki publicznej i w ogóle cele statystyczne są może troszkę łaskawiej potraktowane w rozporządzeniu, zresztą tak było i w dyrektywie i… To znaczy tak jest cały czas – już tak przyzwyczailiśmy się mówić o niej w czasie przeszłym, a dyrektywa oczywiście nadal obowiązuje, tak jak nasze przepisy ustawy o ochronie danych osobowych. Cele statystyczne w tej chwili korzystają z pewnych ułatwień; my mamy do czynienia z taką sytuacją, że jeżeli przetwarzamy dane, wykorzystujemy dane zebrane dla innych celów, dla celów statystycznych, to ta zmiana celu jakby jest prawnie usankcjonowana. Na przykład wykorzystanie danych dla tych celów może się wiązać ze zwolnieniem z obowiązku informacyjnego. Niemniej jednak nie zmienia to faktu, że nowe rozwiązania oczywiście będą wpływać na działalność służb statystycznych.</u>
<u xml:id="u-44.3" who="#ArwidMednis">W ogóle statystykę czekają zmiany, ponieważ mamy w tej chwili do czynienia z pracami nad zmianą na przykład koncepcji spisów powszechnych. Z uwagi na nasze zobowiązania po 2021 r. spisy powszechne będą wyglądały inaczej, w sposób zapewne mniej angażujący osoby. Statystyka w większym stopniu będzie korzystać z dostępnych źródeł administracyjnych. Ta koncepcja jeszcze nie jest do końca wyklarowana, ale toczą się nad nią prace. Należy również uwzględniać fakt zobowiązań naszego GUS i podległych mu jednostek wobec organów europejskich. To wszystko będzie wpływało na konieczność zmian w ustawie o statystyce publicznej, jak również pewnie na konieczność wypracowania nowej ramowej ustawy spisowej. I tu jest też okazja do tego, żeby przejrzeć te regulacje, które mamy, również w zakresie ochrony danych osobowych.</u>
<u xml:id="u-44.4" who="#ArwidMednis">Podzielę się taką ogólną refleksją, ponieważ zajmuję się tymi tematami już od jakiegoś czasu, współpracując z GUS. Czasami zastanawiamy się nad tym, że statystyka publiczna to, z jednej strony, są oczy i uszy państwa, jak to się ładnie mówi. Jest to dziedzina bardzo szczegółowo uregulowana, ponieważ mamy obowiązek zachowania danych, nie tylko danych osobowych, ale w ogóle wszystkich informacji, w tajemnicy. Jest to tak zwana tajemnica statystyczna. Z drugiej strony, w ostatniej nowelizacji wrzucono do ustawy o statystyce publicznej wprawdzie bardzo dużą objętościową, jednak zamkniętą listę danych osobowych, które mogą być przetworzone. To powoduje, że te oczy i uszy państwa mogą być w pewnym momencie jakby na gorszej pozycji niż na przykład różnego typu serwisy, które przetwarzają ogromne ilości danych. I owszem, być może te serwisy nie korzystają czy nie są zobligowane do stosowania takiej metodologii, jak statystyka publiczna, niemniej jednak może się okazać, że jeśli chodzi o możliwości przetwarzania różnego typu danych, to po prostu są albo staną się źródłami być może bardziej wiarygodnymi niż właśnie wspomniane oczy i uszy państwa. Dlatego wydaje mi się, że poza przemyśleniem całej koncepcji modelu wykorzystywania informacji i modelu funkcjonowania statystyki publicznej warto też przyjrzeć się pod kątem RODO temu, żeby statystyka, która jest w taki sposób dość wyjątkowa, a jednocześnie cieszy się, jak się wydaje, zaufaniem obywateli… Obywatele wiedzą, że jest coś takiego, jak statystyka publiczna, i generalnie mają świadomość tego, co te organy robią. Wydaje mi się, że w kontekście wdrożenia RODO uzasadnia to również pewne wyjątki wobec tych służb. I do niektórych chciałbym się właśnie teraz szczegółowo odnieść, biorąc pod uwagę przede wszystkim fakt, że to są ogromne koszty, które być może są po prostu niepotrzebne.</u>
<u xml:id="u-44.5" who="#ArwidMednis">Pierwsza rzecz, o której tu już była mowa, to obowiązki związane z informowaniem. Zwrócę uwagę na to, o czym już mówił tutaj chyba pan prezes Szmit, mianowicie że RODO wprowadza w art. 12 obowiązek w zasadzie permanentnej komunikacji z klientami, z osobami, których dane dotyczą. To jest jeden z tych przepisów, od którego, zgodnie z art. 23, może nie tyle będziemy mogli się zwolnić, ile będziemy mogli, jeśli zrobimy to ustawowo, ograniczyć w pewien sposób jego stosowanie. I tu bym gorąco namawiał, przynajmniej jeśli chodzi o statystykę publiczną, żeby zastanowić się nad takimi rozwiązaniami, które jednak by racjonalizowały to, biorąc pod uwagę ilości danych i liczbę osób, których dane są przetwarzane, i żeby wprowadzić tutaj na przykład pewne ograniczenia, tak jak to mamy dzisiaj, czyli że komunikacja następuje raz na pół roku, a nie że trwa permanentna komunikacja z podmiotami danych. To dotyczy firm, to dotyczy również administracji. Wydaje mi się, że to rozwiązanie, które mamy teraz, mimo wszystko jest jednak rozwiązaniem racjonalnym. To pierwsza sprawa. Obowiązek informacyjny został rozbudowany – wydaje mi się, że należy utrzymać wyjątki właśnie w zakresie przetwarzania danych dla celów statystycznych, bo to znowu są koszty, a nie jest też tak, że ludzie są nieświadomi tego, że GUS przetwarza informacje osobowe.</u>
<u xml:id="u-44.6" who="#ArwidMednis">Następna kwestia. Chciałbym zwrócić uwagę na obowiązek oceny skutków przetwarzania danych. Jak już była tutaj mowa, taka ocena skutków będzie dokonywana w związku z wprowadzeniem nowej usługi. Wydaje mi się, że to się będzie przekładać na statystykę publiczną w ten sposób, że każdy nowy program badań statystycznych, który jest przyjmowany odpowiednim rozporządzeniem, będzie traktowany zapewne jako taki nowy rodzaj przetwarzania danych i będzie musiał podlegać ocenie. Tutaj zwrócę uwagę tylko na taką kwestię, nie wiem czy dobrze to interpretuję: z jednej strony wymieniono w rozporządzeniu kilka sytuacji, kiedy ta ocena skutków, data protection impact assessment, będzie obowiązkowy, i w zasadzie, jak się na to spojrzy, to można powiedzieć, że skala przetwarzania danych przez GUS i podległe jednostki jest taka, że takie programy będą podlegać ocenie, ale w art. 35 ust. 10 istnieje możliwość zwolnienia, z tym że ustawowego, od tego obowiązku; przepis odwołuje się do wszystkich wcześniejszych ustępów, tak że wydaje mi się, że nawet tam, gdzie zostały wskazane obowiązkowe sytuacje podlegające ocenie skutków, ustawa i tak będzie mogła zwalniać od tego również w tym zakresie. Nie wiem, czy dobrze to interpretuję. Wydaje mi się, że tak. Z tym że ustawowe zwolnienie z oceny skutków powoduje, że i ta ustawa zwalniająca będzie również musiała podlegać ocenie skutków. Tak to zostało napisane. Szczerze powiem, że nie wiem, kto będzie dokonywał tej oceny skutków. Czy to Kancelaria Sejmu, na przykład? No bo tu generalnie chodzi o akt ustawodawczy. Tu wydaje mi się, że charakter wykonywanych zadań uzasadniałby to, żeby z takiej oceny skutków zwalniać służby statystyki publicznej, bo to znowu są dodatkowe koszty. I zważywszy na fakt, że programy są i tak zatwierdzane przez Radę Ministrów i że dzieje się to w drodze rozporządzenia, sądzę, że tu też można by było z możliwości zwolnienia skorzystać.</u>
<u xml:id="u-44.7" who="#ArwidMednis">Oczywiście statystyka publiczna będzie musiała mieć inspektora ochrony danych osobowych – bo tu zwolnień nie ma, zresztą nie sądzę, żeby było zasadne, żeby takie zwolnienie szczególne przewidywać –wyjątki, o których mówił tutaj pan doktor Sibiga, to znaczy te sytuacje, kiedy to jest obowiązkowe, oczywiście też powodują, że statystyka będzie temu podlegać.</u>
<u xml:id="u-44.8" who="#ArwidMednis">Chciałbym jeszcze powiedzieć tak: oczywiście na pewno należy się zastanowić w kontekście idei privacy by default i privacy by design, bo jakby niezależnie od obowiązkowości oceny skutków to też będzie miało, jak sądzę, zastosowanie do podmiotów publicznych, w tym do statystyki; czyli jakby każdy nowy program będzie musiał mieć wbudowane te elementy ochrony prywatności, na przykład zasada minimalizacji danych dla potrzeb konkretnego badania.</u>
<u xml:id="u-44.9" who="#ArwidMednis">Ostatnia rzecz, której chciałbym może szerzej poświęcić uwagę, to kwestia profilowania, bo wydaje mi się, że… To jest zagadnienie, które dotyczy nie tylko służb państwowych, ale też podmiotów prywatnych. Otóż, jak widzimy, w rozporządzeniu poświęcono odrębne przepisy profilowaniu – mam na myśli przede wszystkim definicję, ale też wymieniono profilowanie w przepisie dotyczącym prawa sprzeciwu wobec przetwarzania danych, mianowicie można wnieść sprzeciw wobec przetwarzania danych, w tym wobec profilowania. Odrębny przepis mówi o kwestii niepodlegania decyzjom automatycznym. I tutaj moim zdaniem to jest bardzo ciekawe rozwiązanie, które może nieść ogromne skutki, szczególnie w dziedzinach, w których to profilowanie jest po prostu potrzebne, wręcz niezbędne. Zwrócę państwa uwagę na przykład na przepisy, które nakazują choćby bankom badanie zdolności kredytowej, a firmom ubezpieczeniowym – badanie ryzyka ubezpieczeniowego. I oczywiście to badanie kończy się jakąś decyzją, prawda? Najczęściej decyzją o charakterze zautomatyzowanym, czyli o udzieleniu kredytu albo, sam nie wiem, o przyznaniu polisy ubezpieczeniowej, to tak przykładowo. Ale ta kwestia profilowania moim zdaniem skłania do takiego wniosku, że może być tak, że ktoś, kto jeszcze nie jest jakby adresatem tej zautomatyzowanej decyzji, może na etapie samego profilowania przyjść i powiedzieć: nie życzę sobie tego, zgłaszam sprzeciw wobec profilowania. I co wtedy? Konkluzja jest taka, że jeżeli w pewnych przypadkach uważamy, że to profilowanie jest niezbędne, na przykład jako metoda badania zdolności – a to również dotyczy statystyki, która w jakimś stopniu profiluje czy będzie profilować w większym stopniu jednostki – to żeby to było dopuszczalne… Powiem inaczej: żeby nie było tak, że nasze dane będą ułomne, bo niektóre osoby, część osób, przyjdą właśnie z takim sprzeciwem, i będziemy musieli zaprzestać profilowania takich osób. Moim zdaniem prawo sprzeciwu nie będzie działać tylko wtedy, gdy będzie to przewidziane w wyraźnie określonych regulacjach prawnych. Tak sądzę. Jak mówię, to jest uwaga szersza, żeby zastanowić się i tam, gdzie profilowanie jest metodą niezbędną do różnego typu badań, wprowadzić to wyraźnie w przepisach ustawowych.</u>
<u xml:id="u-44.10" who="#ArwidMednis">Mówiąc o profilowaniu, zwrócę też uwagę – i to już ostatnia kwestia – na zagadnienie odnośnie do prawa dostępu do danych. To prawo dostępu zostało rozszerzone o dodatkowe kategorie i prawodawca unijny przewidział, że w ramach prawa dostępu osoba ma możliwość otrzymania informacji o zasadach profilowania i o konsekwencjach, jakie profilowanie ze sobą niesie. Ja się tak naprawdę zastanawiam już od dłuższego czasu, jak to będzie wyglądało ze względu na wspomnianą ciągłą komunikację z tą osobą. Jeżeli ktoś będzie nieusatysfakcjonowany poziomem odpowiedzi, na przykład „u nas decyduje określony algorytm”, i będzie się domagał informacji na temat zasad działania tego algorytmu, to jak szczegółowo ta informacja będzie wyglądała? Uważam, że to jest jeden z problemów praktycznych, które będą miały różne instytucje: banki, instytucje ubezpieczeniowe i cała masa różnych innych podmiotów, w tym również i statystyka publiczna. Powód: wymóg ciągłej komunikacji, możliwość dopytywania się o szczegóły i brak takiej jasnej regulacji, na jakim poziomie szczegółowości te informacje, na przykład co do konsekwencji profilowania, będą musiały być udzielone.</u>
<u xml:id="u-44.11" who="#ArwidMednis">Tutaj wymieniłem takie różne wątpliwości, oczywiście zagadnień jest mnóstwo. Konkluzja jest taka, że jeśli chodzi o statystykę publiczną, to uważam, że jest to też dobry moment, żeby przyjrzeć się regulacjom dotyczącym statystyki publicznej, w szczególności – żeby spróbować ograniczyć niektóre obowiązki wynikające z RODO w stosunku do służb statystyki publicznej. Dziękuję.</u>
</div>
<div xml:id="div-45">
<u xml:id="u-45.0" who="#WaldemarSługocki">Bardzo dziękuję, Panie Doktorze.</u>
<u xml:id="u-45.1" who="#WaldemarSługocki">Kolejnym mówcą będzie pan Jędrzej Niklas z Fundacji Panoptykon.</u>
<u xml:id="u-45.2" who="#WaldemarSługocki">Bardzo proszę, oddaję panu głos.</u>
</div>
<div xml:id="div-46">
<u xml:id="u-46.0" who="#JędrzejNiklas">Dziękuję bardzo, Panie Przewodniczący.</u>
<u xml:id="u-46.1" who="#JędrzejNiklas">Ja będę mówił o prawach osoby, której dane dotyczą, o prawach podmiotu danych, czy też właśnie prawach jednostki w kontekście ochrony danych osobowych, które de facto stanowią pewien rdzeń prawa ochrony danych osobowych i wynikają, przynajmniej na gruncie prawa unijnego, z podstawowego prawa do ochrony danych osobowych.</u>
<u xml:id="u-46.2" who="#JędrzejNiklas">Ja będę tu oczywiście opisywał tak po kolei konkretne uprawnienia, bardzo ogólnie też wskazując na pewne problemy, przy czym również będę starał się porównywać te uprawnienia do poprzednio obowiązującego porządku prawnego na poziomie dyrektywy.</u>
<u xml:id="u-46.3" who="#JędrzejNiklas">Jak wiemy, dyrektywa z 1995 r. ustanawiała szereg uprawnień jednostki: prawo do informacji, dostępu, sprostowania, usunięcia, sprzeciwu czy właśnie przed chwilą wspomniana przez pana doktora wolność od bycia przedmiotem decyzji podejmowanych na poziomie automatycznego przetwarzania danych. Większość tych praw, a właściwie wszystkie te prawa zostały ujęte również w rozporządzeniu; mamy też kilka nowych kwestii, o których za chwilę. Część spraw została bardziej uszczegółowiona, co wynika też z faktu, że rozporządzenie jest trochę innym aktem, wynika też z jego charakteru prawnego jako aktu, który obowiązuje bezpośrednio. I już tak przechodzę od art. 12… Bo uprawnienia jednostek są w art. 12 i 22 rozporządzenia. Art. 12 – i tutaj nawiązuję do słów pana doktora Mednisa – ustanawia zasadę transparentności w kontekście egzekwowania prawa do informacji. Administrator musi przekazywać taką informację w sposób zrozumiały, łatwy, w łatwo dostępnej formie, jasnym i prostym językiem – są tu pewne takie dyrektywy. Jestem ciekaw, jak to będzie wyglądało w praktyce. Prawo do informacji jest ujęte w 2 artykułach, podobnie jak w dyrektywie. Mamy tutaj rozróżnienie na prawo do informacji w przypadku, gdy dane pochodzą od osoby, której dotyczą bezpośrednio, i na obowiązek informacyjny w kontekście sytuacji, gdy te dane pochodzą niebezpośrednio od podmiotu, którego dotyczą. I tutaj chciałbym zwrócić uwagę na wyłączenia. One z naszego punktu widzenia stanowią pewne zagrożenie, ponieważ w drugim przypadku, czyli obowiązku informacyjnego czy prawa do informacji w sytuacji, gdy dane nie pochodzą bezpośrednio od jednostki, istnieją wyłączenia, chociażby w sytuacji gdy poinformowanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, pozyskiwanie lub ujawnienie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego. Czy dane osobowe muszą pozostać poufne? Oczywiście. Wyjątki do pewnego stopnia na pewno są potrzebne, ale naszym zdaniem często może stać się tak, że prawo do informacji w wielu przypadkach może okazać się po prostu iluzoryczne.</u>
<u xml:id="u-46.4" who="#JędrzejNiklas">Teraz art. 15, czyli prawo dostępu do informacji. Tutaj jest powielenie bardzo wielu rzeczy, które były w dyrektywie, aczkolwiek mamy tutaj chociażby te kwestie związane z profilowaniem – o czym przy samym profilowaniu. Wyjątkiem jest niejako wyjęcie z tego, w stosunku do dyrektywy, prawa do sprostowania danych i ich usunięcia. I właśnie, przechodzę do prawa do usunięcia danych, czyli do czegoś, co rozbudzało chyba największe emocje w trakcie prac legislacyjnych, podobnie jak prawo do bycia zapomnianym, mam wrażenie, że głównie poprzez tak poetycką nazwę tego prawa – bo brzmi to cudownie: prawo do bycia zapomnianym. My jako organizacja pozarządowa, która przecież walczyła o to, żeby rozporządzenie było jak najbardziej skuteczne w kontekście realizacji uprawnień jednostki, nawet mówiliśmy, że dla nas to nie jest najważniejsza sprawa. Zresztą ono przecież już zostało wyinterpretowane w wyroku Google Spain na gruncie obowiązującej dyrektywy. Nie stanowi więc ono jakiegoś zupełnego novum, zostało jednak nazwane w nowy sposób, co stanowi pewnie też jakąś nową jakość. Ten przepis oznacza, że podmiot będzie miał prawo do usunięcia danych, jak również, co jest ciekawe, że jeżeli administrator upublicznił te dane, to będzie musiał powiadomić innych administratorów, oczywiście w granicach pewnego rozsądku, o tym, że podmiot takie żądanie złożył. Prawo do bycia zapomnianym nie będzie mogło być skutecznie wyegzekwowane także wtedy, gdy będzie to sprzeczne z prawem do wolności wypowiedzi czy różnymi innymi warunkami, na przykład jeżeli są jakieś kwestie archiwalne.</u>
<u xml:id="u-46.5" who="#JędrzejNiklas">Art. 18 to też pewne ciekawe novum. Chodzi o prawo do ograniczenia przetwarzania. Otóż ustalono prawo do żądania od administratora ograniczenia przetwarzania, w tym sensie, że przetwarzanie może odbywać się tylko pod określonymi warunkami. Żądanie może być wysunięte, gdy kwestionowana jest w ogóle prawidłowość danych lub gdy przetwarzanie jest niezgodne z prawem.</u>
<u xml:id="u-46.6" who="#JędrzejNiklas">Art. 19, i to jest też ciekawa rzecz, zupełnie nowa, no, tak zupełnie to… Otóż prawo do przenoszenia danych po prostu zostało w jakiś sposób nazwane. Na gruncie poprzednio obowiązujących przepisów, tak mi się wydaje, można było je wyegzekwować, po prostu wycofując zgodę i korzystając z dotychczas obowiązujących uprawnień. Prawo to, powiem tak w skrócie, nadaje jednostce wolność do przenoszenia swoich danych od administratora do administratora. Być może ono zostało… Przede wszystkim ono było dyskutowane w kontekście portali społecznościowych. Co jest też ciekawe w tym kontekście, ono ma bardzo istotne połączenie z prawem konkurencji w tym wypadku, bo to przenoszenie będzie musiało odbywać się w jakimś formacie możliwym do odczytania i w pewnym ustrukturyzowaniu.</u>
<u xml:id="u-46.7" who="#JędrzejNiklas">Przechodzę do sprzeciwu, czyli art. 21. Podobnie jak w dyrektywie, zapis sprowadza się do pewnego wyważenia interesów podmiotu, który chce zaprzestać przetwarzania danych, z interesem administratora, który chce ten proceder kontynuować. I ono nie będzie mogło być skutecznie wyegzekwowane chociażby w sytuacji, gdy interesy administratora będą ważne i uzasadnione prawnie, i będą nadrzędne wobec interesów i wolności osoby, której dane dotyczą. Co istotne, w tym kontekście, i pan doktor też o tym mówił, sprzeciw może być zastosowany również explicite wobec profilowania.</u>
<u xml:id="u-46.8" who="#JędrzejNiklas">I przechodzę do profilowania. Dla nas w całym tym procesie, jeżeli chodzi o RODO, to była w ogóle kluczowa kwestia. Bo nawet dla ruchu organizacji, które zajmują się ochroną danych, prawami cyfrowymi, profilowanie jest jak dla ruchu ekologicznego globalne ocieplanie. To hasło jest naładowane bardzo dużymi emocjami, i my sobie zdajemy sprawę z tego, że te emocje czasami są rzeczywiście nadmierne, ale też ryzyka, z którymi spotykamy się w przypadku profilowania, są istotne – na gruncie polskiego prawa chociażby w przypadku profilowania przez urzędy pracy, gdzie to ryzyko dyskryminacji, stygmatyzacji, pewnego uprzedmiotowienia jest bardzo wysokie, a po stronie legislacji nie ma w tej kwestii odpowiednich gwarancji. My, przyznaję, oczywiście widzimy pewną nową jakość, jeżeli chodzi o przepisy dotyczące profilowania, są nowe, ciekawe uprawnienia, jednak do pewnego stopnia są one niewystarczające. Mam też wrażenie, że w gronie osób, które zajmują się prawami człowieka, ochroną danych osobowych, my jeszcze nawet nie wypracowaliśmy jakiegoś mechanizmu, który w przypadku profilowania… Chodzi chociażby o dostęp do informacji, o to, co taka osoba ma dostawać – bo przecież nie algorytm, jeżeli jest stosowany. Ja mówię akurat o kwestii profilowania bezrobotnych, bo ten przypadek najlepiej znam. Osoba, jeżeliby dostała algorytm, i tak w żaden sposób go nie oceni, a ryzyko dyskryminacyjne i tak może powstać.</u>
<u xml:id="u-46.9" who="#JędrzejNiklas">Nie wiem, jak to ma się odbywać. Myślę, że tu jest ogromny znak zapytania i że to temat na przyszłość i na jakieś naprawdę pogłębione dyskusje seminaryjne, warsztatowe, o co apelujemy. Być może Generalny Inspektor Ochrony Danych Osobowych… Bo myślę, że o tym warto porozmawiać. Tak czy siak zwracam uwagę, że tutaj jest ruch w dobrym kierunku, ale trochę za mały, jeżeli chodzi o profilowanie, zwłaszcza że tam też są dosyć istotne wyłączenia. I w przypadku wyłączenia, jeżeli chodzi o obowiązek informacyjny, z art. 14, to może dochodzić też do takich sytuacji, że osoba w ogóle nie będzie wiedziała, że jest profilowana, więc nie wiadomo, jak ona będzie mogła w ogóle wyegzekwować swoje uprawienia.</u>
<u xml:id="u-46.10" who="#JędrzejNiklas">Już podsumowując tę ogólnikową prezentację, powiem, że my się bardzo cieszymy, że rozporządzenie rzeczywiście weszło w życie, i też włożyliśmy w to ogromną energię i pracę – to jedna sprawa. Cieszymy się też z tego, że przynajmniej na tym poziomie w Unii Europejskiej powstaje pewna harmonizacja, i to taka dosyć ścisła. Ale ryzyka, które powstają, i fakt, że rozporządzenie wejdzie w życie w ciągu 2 lat… W ciągu 2 lat tak wiele rzeczy jeszcze może pójść źle, nie po naszej myśli czy w ogóle nie po myśli osób, o których prawa chodzi, i nie po myśli nas wszystkich – co mówię w kontekście tego, że wszyscy posiadamy prawo do ochrony danych osobowych. Powtarzam: tak wiele rzeczy może pójść źle, chociażby na poziomie fragmentaryzacji, implementacji w różnych krajach. To wszystko wciąż wymaga ogromnej pracy. I jestem ciekaw, jak to będzie się odbywało. Tak więc to jest, tak jak mówię, kolejny wielki znak zapytania. Bardzo dziękuję.</u>
</div>
<div xml:id="div-47">
<u xml:id="u-47.0" who="#WaldemarSługocki">Ja również serdecznie panu dziękuję za tę prezentację.</u>
<u xml:id="u-47.1" who="#WaldemarSługocki">Przed nam ostatnia prezentacja pod tytułem „Ochrona danych osobowych a działalność archiwalna”. Bardzo proszę o zabranie głosu pana doktora Dariusza Grota – Naczelna Dyrekcja Archiwów Państwowych w Warszawie.</u>
<u xml:id="u-47.2" who="#WaldemarSługocki">Panie Doktorze, bardzo proszę.</u>
</div>
<div xml:id="div-48">
<u xml:id="u-48.0" who="#DariuszGrot">Dziękuję bardzo.</u>
<u xml:id="u-48.1" who="#DariuszGrot">Kiedyś zdarzyło mi się rozgniewać, i to bardzo rozgniewać, generalnego inspektora ochrony danych osobowych, jeszcze w osobie pani minister Ewy Kuleszy. Rozprawiałem wówczas, i to publicznie, o tym, jakich to wybiegów archiwa gotowe są używać i jak naginać przepisy o ochronie danych osobowych w imię wolności informacyjnej, w imię wolności badań.</u>
<u xml:id="u-48.2" who="#DariuszGrot">Mieliśmy wtedy powody, żeby skupiać uwagę na zapewnieniu szerokiej dostępności archiwalnych zasobów, a mało jeszcze myślało się o roli archiwów w społecznym zapominaniu. Nadal zresztą to drugie nie jest archiwom bliskie, przejawiają one raczej informacyjną zachłanność, skądinąd szlachetną. Przypominam też, że instytucje publiczne, o których tak ciepło dzisiaj mówiliśmy, że powinny nas bronić i chronić przed nadużyciami w zakresie danych osobowych, same są wielkimi konsumentami danych i nawet nie zawsze muszą używać instrumentów manipulacji, perswazji, posługują się bowiem przymusem. Archiwa, w każdym razie, te o których myślę, czyli historyczne, zajmują się przeszłością, a więc czymś z zasady bezpiecznym. Wiadomo jednak, że teraźniejszość niechętnie ustępuje, dlatego też w historycznych archiwach znajdują się wiadomości o żyjących ludziach wraz z informacjami o ich żywotnych interesach. A wiemy że obywatele, ludzie, bardzo często nie pragną, żeby informacje o nich funkcjonowały w sferze publicznej, w każdym razie nie bardziej i nie dłużej niż to konieczne. Przeciwnie – życzą sobie, żeby takie informacje czasem przepadły bez śladu. To są postawy nieprzystające do zwykłego toku myślenia archiwistów i historyków. A zarazem archiwa bezspornie powinny respektować informacyjną powściągliwość obywateli, zwłaszcza nie potęgować i tak powszechnego w rozwiniętych społeczeństwach poczucia pomniejszania informacyjnej autonomii.</u>
<u xml:id="u-48.3" who="#DariuszGrot">Archiwom przypadła w udziale ważna rola w obliczu informacyjnych oczekiwań ludzi, rola złożona, tak jak i te oczekiwania, z przeciwieństw. Problem ogranicza się, z jednej strony, do cienkiej chronologicznej warstwy zapisów informacji powstałych na przestrzeni ostatnich kilkudziesięciu lat. W tym czasowym przedziale archiwom udaje się jako tako utrzymywać bezpieczeństwo danych osobowych, które gromadzą, pod pewnymi względami docierają jednak do krawędzi ryzyka. Nie chodzi właściwie o eksponowany obszar udostępniania danych, przynajmniej nie w pierwszym rzędzie; tu można trzymać się ustawowych reguł, korzystać z ustawowych przyzwoleń, a zresztą archiwa są wieczne, mogą czekać, aż ustanie ochrona. Istotniejsze jest to, co ma miejsce przed udostępnianiem. Archiwa, które aspirują do gromadzenia historycznych świadectw z samej zasady czynią to, co w systemie prawa kojarzone jest z zagrożeniem, a nawet podlega zakazom: przetwarzają informacje i dane z reguły w celu innym niż ten, do którego informacje te zostały zebrane albo wytworzone. Korzystają wprawdzie z upoważnienia ustawodawcy, ale prowokują też niekiedy pytania, czy aby rozważnie działają w konkretnych sprawach, a to dlatego, że ingerują w tysiące społecznych umów, nawet niepisanych, ale niewątpliwych, na których mocy rozmaite osoby powierzyły organom publicznej władzy wiedzę na swój temat do użytku ściśle określonego co do zakresu i czasu. Kiedy informacje i dane ulegną już wykorzystaniu w sposób deklarowany, objęty przyzwoleniem, przychodzą jednak archiwiści, aby niektóre z nich uczynić źródłem historycznej wiedzy, przeznaczonej w perspektywie do rozpowszechniania. Są tam również sekrety ludzi, powierzone na chwilę urzędom państwa albo samorządu, a później swoiście zawłaszczone w imię wiedzy o przeszłości. To nie znaczy, żeby archiwa bezprawnie gromadziły takie informacje, ponieważ wykonują swoje ustawowe zadania zgodnie z ustalonymi procedurami. Mowa tu raczej o narastających w tle potencjalnych kolizjach pozytywnych i negatywnych interesów informacyjnych, a także pewnej konkurencji między różnymi źródłami prawa. W archiwalnych magazynach jednocześnie nie brak danych, których przetwarzania ustawa zabrania, a tylko nieliczne z nich korzystają z wyraźnych, wyjątkowych przyzwoleń. Właściwie można byłoby powołać się głównie na sytuację, w której sam podmiot danych podał je do publicznej wiadomości albo kiedy dane niezbędne są badań naukowych. To byłoby dalece niewystarczające. Z zasady wprawdzie takie dokumenty czasowo są wyłączone z udostępniania, przede wszystkim według kryterium typowego trwania ludzkiego życia, ale inne aspekty przetwarzania jak najbardziej występują. Również w tej sprawie pochopne byłoby odmawianie legalności takim praktykom archiwów, które to archiwa powołane są do ochrony wiedzy o przeszłości, a ta przecież od dawna nie sprowadza się do historii monarchów, a współcześnie – publicznych osobistości. Niemniej jednak pewnej niepewności prawnej nie można do końca wykluczyć.</u>
<u xml:id="u-48.4" who="#DariuszGrot">Wiele ustawowych przesłanek dopuszczalności przetwarzania danych osobowych można byłoby odnieść do działalności archiwalnej, chociaż zwykle nie bez zastrzeżeń. Otóż zasadniczo wolno gromadzić i udostępniać takie dane, jeżeli jest to niezbędne do wykonania określonych prawem zadań, realizowane dla dobra publicznego, a także gdy jest niezbędne do wypełniania usprawiedliwionych celów administratorów albo odbiorców danych. W tym miejscu ustawa formułuje jednak twardy warunek, żeby przetwarzanie danych nie naruszało praw i wolności osoby, której dane dotyczą. Archiwa natomiast z trudem radzą sobie z ujęciem tak kategorycznym, nawykły raczej do wzajemnego uzgadniania kolizyjnych interesów informacyjnych. Skłonne są kierować się logiką uprawnionych naruszeń, które nie powinny ingerować w istotę prawnej ochrony – a jednak powodują uszczerbek informacyjnej autonomii ludzi. Archiwa patrzą w tę stronę, kiedy stosują przepisy o ochronie danych osobowych. W zamian otrzymuje się oczywiście wiedzę o przeszłości, a także, co nie mniej ważne, wyobrażenie o niej. Wiele osób poszukuje w archiwach, z dobrym skutkiem, poczucia tożsamości, przynależności, odtwarzając dzieje rodzin albo lokalnych wspólnot albo zaspokajając inne jeszcze potrzeby informacyjne. Istotne, że nie są to wyłącznie badania naukowe, preferowane w przepisach o ochronie danych osobowych. Można tu często mówić także o, powiedzmy, eksploracji emocjonalnej, której nie sposób odmówić doniosłego kulturotwórczego znaczenia. Take podejście znajduje mocne oparcie w ustawie o archiwach i w żadnym razie nie neguje pryncypiów ochrony danych osobowych – a jednak może pod tym względem budzić pewien niepokój.</u>
<u xml:id="u-48.5" who="#DariuszGrot">Problematyczna okazuje się przy tym siła aksjomatu nienaruszalności owego historycznego zasobu archiwalnego. W ślad za normą konstytucją ustawa o ochronie danych osobowych wyposażyła każdego w prawo żądania uzupełniania, uaktualnienia, sprostowania dotyczących go danych osobowych, czasowego albo stałego wstrzymania ich przetwarzania, albo ich usunięcia, jeżeli są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy. Otóż magazyny archiwów pełne są takich ułomnych informacji, które, jeśli są wykorzystywane, to zwykle dla potrzeb innych niż przyświecające ich wytworzeniu albo zgromadzeniu. Kłamstwa i przeinaczenia podniesione do rangi dokumentów, również stanowią składnik historycznej rzeczywistości i podlegają zachowaniu w stanie naturalnym. Niemniej jednak z tego powodu archiwa, zwłaszcza archiwa państwowe, w każdej chwili mogłyby stanąć wobec żądań, aby przetwarzanie części ich zasobów zostało zaprzestane albo przynajmniej by treść tej części poddać modyfikacji. To jednak zderzałoby się z ugruntowaną zasadą nienaruszalności zasobu archiwalnego, która opiera się na nieodpartych argumentach, z tym że nie znajduje umocowania w ustawie.</u>
<u xml:id="u-48.6" who="#DariuszGrot">W rozporządzeniu ogólnym o ochronie danych upatrywałbym wielu odpowiedzi na informacyjne zagrożenia współczesności. Zarazem bardzo wiele pojęć oraz warunków przetwarzania danych uległo w tym dokumencie sprecyzowaniu z punktu widzenia archiwów, no i w porównaniu z dotychczasowym dorobkiem w tej dziedzinie. Dlatego te zmiany otwierają przed instytucjami pamięci, zwłaszcza przed archiwami, możliwość pewnego przewartościowania, przemyślenia na nowo kluczowych założeń ich działalności, właśnie z intencją ugruntowania zgodności z prawem przetwarzania danych. Przy wszystkich paradoksach, o których wcześniej mówiłem, stało to się w świetle nowych przepisów całkiem realne. Bardzo dziękuję.</u>
</div>
<div xml:id="div-49">
<u xml:id="u-49.0" who="#WaldemarSługocki">Bardzo dziękuję, Panie Doktorze.</u>
<u xml:id="u-49.1" who="#WaldemarSługocki">Mam pytanie do państwa: czy są pytania.? Jeżeli nie, to bardzo dziękuję.</u>
<u xml:id="u-49.2" who="#WaldemarSługocki">Chcę powiedzieć, proszę państwa, że mamy też inne obowiązki, i w związku z tym nie będę się dopraszał, żebyście państwo uczestniczyli za wszelką cenę w dyskusji.</u>
<u xml:id="u-49.3" who="#WaldemarSługocki">Chciałbym państwu w imieniu pana profesora Seweryńskiego i swoim własnym, ale także w imieniu przewodniczącego Komisji Spraw Zagranicznych i Unii Europejskiej, profesora Marka Rockiego, serdecznie podziękować za udział. Szczególnie chciałbym podziękować naszym znakomitym prelegentom za niezwykle ciekawe, ważne prezentacje. Dziękuję oczywiście pani minister. Pani Minister, bardzo dziękuję, że mogliśmy wspólnie tę konferencję zorganizować i przeprowadzić. Dziękuję obu sekretariatom komisji, bardzo paniom dziękuję za pomoc, za współpracę. I dziękuję gorąco uczestnikom konferencji.</u>
<u xml:id="u-49.4" who="#WaldemarSługocki">Pozwolę sobie jeszcze oddać głos pani minister, która także chciałaby się z państwem podzielić kilkoma refleksjami.</u>
<u xml:id="u-49.5" who="#WaldemarSługocki">Bardzo proszę, Pani Minister.</u>
</div>
<div xml:id="div-50">
<u xml:id="u-50.0" who="#EdytaBielakJomaa">Bardzo dziękuję.</u>
<u xml:id="u-50.1" who="#EdytaBielakJomaa">Ja przyłączam się do podziękowań. Bardzo dziękuję panom przewodniczącym za to, że mogliśmy się dzisiaj tutaj spotkać. To dla nas jest niezwykle istotne, dlatego że jest to dyskusja na temat kształtu ochrony danych osobowych podjęta w takim szerokim gronie. To nas cieszy, będziemy budować wspólnie przepisy dotyczące ochrony danych osobowych. Myślę, że uda nam się to zrobić w sposób doskonały. I z taką nadzieją tutaj do państwa się zwracam.</u>
<u xml:id="u-50.2" who="#EdytaBielakJomaa">Podjęliśmy wiele wątków o charakterze ogólnym i szczegółowym. Tak jak powiedziałam, to jest doskonała dla nas inspiracja, daje to asumpt do podjęcia ciężkiej, wytężonej pracy. Dziękuję również wszystkim panelistom, wszystkim państwu za to, że zechcieliście państwo wziąć udział w tym spotkaniu. I przy tej okazji dziękuję również pracownikom i współpracownikom urzędu. Dziękuję państwu uprzejmie za pracę, którą włożyliście państwo w przygotowanie tego spotkania oraz za tę pracę, którą wykonujecie państwo na co dzień. Bardzo uprzejmie dziękuję.</u>
</div>
<div xml:id="div-51">
<u xml:id="u-51.0" who="#WaldemarSługocki">Dziękuję, Pani Minister.</u>
<u xml:id="u-51.1" who="#WaldemarSługocki">Raz jeszcze bardzo dziękuję. Do miłego, mam nadzieję, zobaczenia. Do widzenia.</u>
</div>
<div xml:id="div-52">
<u xml:id="u-52.0" who="#komentarz">(Koniec posiedzenia o godzinie 14 minut 51)</u>
</div>
</body>
</text>
</TEI>
</teiCorpus>