<?xml version='1.0' encoding='utf-8'?> <teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude"> <xi:include href="PPC_header.xml" /> <TEI> <xi:include href="header.xml" /> <text> <body> <div xml:id="div-1"> <u xml:id="u-1.0" who="#AndrzejMaciejewski">Dzień dobry. Otwieram posiedzenie Komisji Samorządu Terytorialnego i Polityki Regionalnej. Na podstawie listy obecności stwierdzam kworum.</u> <u xml:id="u-1.1" who="#AndrzejMaciejewski">Na naszym dzisiejszym posiedzeniu pragnę przywitać pana ministra Mirosława Sanka – zastępcę generalnego inspektora ochrony danych osobowych, oraz pan dyrektora Piotra Drobka. Witam przedstawicieli Ministerstwa Cyfryzacji: pana dyrektora Macieja Kaweckiego. Witam przedstawicieli MSWiA na czele z panem dyrektorem Pawłem Zatrybem. Witam przedstawicieli organizacji pozarządowych. Witam panie i panów posłów.</u> <u xml:id="u-1.2" who="#AndrzejMaciejewski">Porządek dzienny, proszę państwa, przewiduje dzisiaj jeden punkt – rozpatrzenie informacji na temat Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, w szczególności… Jeśli nie usłyszę sprzeciwu, stwierdzę przyjęcie porządku dziennego. Sprzeciwu nie słyszę.</u> <u xml:id="u-1.3" who="#AndrzejMaciejewski">Przechodzimy zatem do realizacji naszego porządku. Proszę o zabranie głosu pana ministra Mirosława Sanka. Proszę bardzo, panie ministrze.</u> </div> <div xml:id="div-2"> <u xml:id="u-2.0" who="#MirosławSanek">Szanowny panie przewodniczący, szanowni państwo posłanki i posłowie, goście Komisji, serdecznie dziękuję za zaproszenie na posiedzenie Komisji. Bardzo dziękuję za zainteresowanie tym tematem. To jest jeden z najszerszych tematów, jaki można rozpatrywać w takim trybie, więc tym bardziej dziękuję za zainteresowanie, chociaż jego rozległość i waga jest – mam wrażenie – odwrotnie proporcjonalna do powszechnego zainteresowania oraz powszechnej wiedzy na temat regulacji, które nas czekają. Proszę państwa, zagadnienie ochrony danych osobowych na terenie państw członkowskich Unii Europejskiej ma swoją już dosyć rozległą historię. Dosyć istotną dyrektywą była dyrektywa z 1995 r., natomiast już wcześniej, dużo wcześniej powstawały niezależne organy nadzorcze nadzorujące tę dziedzinę życia. Jeżeli dobrze pamiętam, pierwszy tego typu organ powstał w Hesji w roku 1970, dzięki czemu wkrótce będziemy mogli mówić o półwieczu instytucjonalnej ochrony. W Polsce w tym roku obchodzimy 20-lecie istnienia Generalnego Inspektora Ochrony Danych Osobowych. Stąd też z jednej strony mamy się na czym opierać – na swoich doświadczeniach i historii. Tym bardziej również możemy pozwolić sobie na bazie tego typu instytucji na rozpatrywanie tego, co nas czeka w przyszłości. A czeka nas niewątpliwie bardzo duża zmiana, bardzo rozległa ewolucja, które jednak nie jest rewolucją, bo cele są takie same. Właściwie zmieniamy środki, które służą tym samym celom.</u> <u xml:id="u-2.1" who="#MirosławSanek">Proszę państwa, w 2016 r. w kwietniu opublikowano w dzienniku ustaw Unii Europejskiej rozporządzenie o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem. Ustalono, że wejdzie ono w życie miesiąc później, natomiast znajdzie bezpośrednie zastosowanie od 2018 r. Dokładnie ustalono tę datę na 25 maja. Jeżeli więc dobrze liczę – oczywiście policzył to w moim imieniu ktoś inny – przed nami tylko 107 dni, zanim nastąpi to istotne wydarzenie. Osobnym dokumentem, o którym tutaj nadmienię, bo nadmienić warto, jest tzw. dyrektywa policyjna, która wymaga implementacji, jeżeli dobrze pamiętam, do 5 maja tego roku. Dotyczy ona ochrony danych osób podejrzanych o popełnienie przestępstw, ofiar, świadków w celu oczywiście ich ochrony, a także w celu ułatwienia działania odpowiednich służb. Proszę państwa, powiedziałem, że dyrektywa policyjna wymaga implementacji. Rozporządzenie ogólne jako źródło prawa wtórnego Unii Europejskiej oczywiście takiej drogi nie wymaga: nie wymaga implementowania, nie wymaga legislacyjnych czynności, które mają na celu ustalenie tych warunków w krajach członkowskich. Istotą tego źródła prawa jest właśnie ujednolicenie regulacji w danym zakresie we wszystkich państwach członkowskich. Oczywiście istnieją pewne możliwości adaptacyjne, natomiast są one ściśle określone w rozporządzeniu.</u> <u xml:id="u-2.2" who="#MirosławSanek">Jak mówię, 25 maja tego roku ogólne rozporządzenie będzie miało zastosowanie bezpośrednie do wszystkich podmiotów. Nie będzie wymagało uchwalenia ustawy w tym zakresie. Wszelkie ustawowe ograniczenia ewentualne komplikacje i niezgodności będą rozstrzygane na rzecz rozporządzenia ogólnego.</u> <u xml:id="u-2.3" who="#MirosławSanek">Proszę państwa, na początku mówiłem o celach, że one się nie zmieniły, i o środkach, które dostosowują się do rzeczywistości. Mówiąc o celach, oczywiście mówimy o prawie podstawowym jednostek. Cele pośrednie tak naprawdę dla tej wielkiej ujednolicającej regulacji to usunięcie niepewności prawnej, zwłaszcza w obrocie między krajami członkowskimi. Dotychczas państwa członkowskie miały różne regulacje, bo różnie mogły implementować dyrektywę z 1995 r. Stąd też dla obrotu nie było jasne i wymagało dodatkowego wysiłku, aby tego typu odrębności poznać. Koszty związane z takimi odrębnościami na 2012 r. – zdaje się – były szacowane minimalnie na 3 mld euro dla wszystkich uczestników obrotu w Unii Europejskiej. Jasne jest, że dyrektywa z 1995 r. nie dotykała takich kwestii, jakie są w tej chwili i jakie na naszych oczach rozwijają się, jeśli chodzi o społeczeństwo cyfrowe, komunikację cyfrową, geolokalizację, posługiwanie się danymi biometrycznymi, dostęp do danych genetycznych itd., chociażby tak oczywista sprawa, jak portale społecznościowe. To jest kolejna sfera, która właściwie uciekała od tej regulacji. Stąd też konieczność jej uwspółcześnienia, czegoś w rodzaju pościgu technologicznego za zmieniającą się w tej sferze rzeczywistością.</u> <u xml:id="u-2.4" who="#MirosławSanek">Kwestią również bardzo istotną, która legła u podstaw tej regulacji, jest to, co czasami nam umyka, kiedy publicznie rozpatrujemy kwestię RODO. Tak naprawdę RODO czasami bywa kompletnie niezgodnie z rzeczywistością przedstawiane jako regulacja niezgodnie z intencjami, ale jednak skutkująca utrudnieniami dla małych i średnich przedsiębiorstw oraz przedsiębiorczości w ogóle. Tymczasem jednym z wyraźnie wskazanych celów tej regulacji jest podniesienie zaufania do usług świadczonych w tym trybie – powiedzmy – w trybie cyfrowym i pewności usług w zakresie gospodarki cyfrowej. Dane statystyczne dotyczące samopoczucia w tym zakresie są jednoznaczne. Posługuję się danymi bodajże z 2012 r. z terenu wszystkich krajów członkowskich Unii Europejskiej. 89% badanych opowiedziało się za jednakową ujednoliconą dla wszystkich krajów członkowskich ochroną praw. Mniej, 33% Europejczyków wykazało się zaufaniem wobec operatorów sieci telefonicznej i dostawców Internetu. Ponad 75% Europejczyków przyznało się do braku zaufania względem firm internetowych takich jak dostawcy wyszukiwarek i portali społecznościowych. Połowa europejskich internautów obawiała się, że stanie się ofiarą oszustwa polegającego na niewłaściwym wykorzystaniu ich danych. Tylko 15% miało poczucie, że mają oni pełną kontrolę nad danymi, które ujawniają online, natomiast mniej niż jedna na trzy osoby uważała, że zupełnie nie posiada kontroli nad swoimi danymi. Tendencje tych badań są jednoznaczne. Myślę, że one nas nie szokują, bo poniekąd pokrywają się z naszymi intuicjami. Realna ochrona danych osobowych pozwoli także uczestnikom gospodarki cyfrowej na większą skuteczność, ponieważ będzie ona bazować na – mam nadzieję – większej dozie zaufania ich klientów.</u> <u xml:id="u-2.5" who="#MirosławSanek">Proszę państwa, zanim przejdę do kwestii dotyczących jednostek samorządu terytorialnego, pokrótce wymienię niektóre korzyści, które adresowane są do osób fizycznych – korzyści wynikające z RODO. Na pewno wszyscy słyszeliśmy o prawie do zapomnienia. Jest to uprawnienie do wystosowania żądania do usunięcia danych, o ile oczywiście nie ma innych podstaw prawnych do przetwarzania takich danych pomimo braku albo cofnięcia zgody. Generalnie założeniem tej regulacji jest także to, żeby osoby fizyczne miały łatwiejszy dostęp do tego, co – mówiąc potocznie – dzieje się z ich danymi. Jeżeli już wyrażono zgodę na ich przetwarzanie, to dobrze jest wiedzieć, kto się tym zajmuje, czemu one posłużą i jak długo to będzie trwało. Obowiązkowe staje się informowanie o wystąpieniu naruszenia przepisów o ochronie danych osobowych. Informacja ta ma trafić do organu nadzorującego, a także co do zasady do osób, które mogą być pokrzywdzone w tym zakresie. Bardzo istotny także – przechodząc już do bardziej praktycznego ujęcia tego zagadnienia – jest mechanizm, który wymusza na administratorach projektowanie ochrony danych osobowych już na etapie wdrażania jakiegoś projektu, np. usługi elektronicznej.</u> <u xml:id="u-2.6" who="#MirosławSanek">Równie istotna w aksjologii tego dokumentu jest dbałość o prawa dziecka, o ochronę dzieci – uczestników głównie świata cyfrowego. Dzisiaj mamy bodajże Dzień Bezpieczeństwa w Internecie, więc warto o tym powiedzieć. Autor rozporządzenia proponuje próg 16 lat, powyżej którego uczestnik może, nie musi już… nie jest wymagana zgoda opiekuna prawnego, rodzica wykonującego władztwo rodzicielskie. Jest możliwość obniżenia tego progu maksymalnie czy raczej minimalnie do 13. roku życia, natomiast jednoznaczne stanowisko Generalnego Inspektora Danych Osobowych jest takie, że prawo dziecka jest tutaj istotniejsze. Prawo ochrony danych nie jest prawem absolutnym jak żadne z praw – z wyjątkiem jednego – podstawowych. Kolizja więc tych praw powinna być rozstrzygana na rzecz ochrony prawa dzieci.</u> <u xml:id="u-2.7" who="#MirosławSanek">Innym zagadnieniem bardzo dobrze znanym – chyba niestety – jest wzmocnienie egzekucji, a więc to, co się potocznie nazywa możliwością kary. Wcześniej faktycznie generalny inspektor i inne organy nadzorujące nie miały takiego uprawnienia orzekania o administracyjnych karach finansowych. Teraz tego typu instrument będzie w posiadaniu organów nadzorujących. Tak jak mówiłem, jest to zagadnienie, które mocno ożywia dyskusję czy wiedzę wokół tego aktu prawnego. Wydaje mi się, że to ożywianie jest nie do końca potrzebne. Tak naprawdę istotą są właśnie nadrzędne cele tej regulacji, o których już mówiłem. Natomiast niewątpliwie aspekt potencjalnych kar jest perspektywą, która bardziej porządkuje przygotowania do wejścia w życie tego aktu.</u> <u xml:id="u-2.8" who="#MirosławSanek">Co jednostki samorządu terytorialnego powinny uwzględniać w perspektywie dnia 25 maja, a właściwie w czasie do tego momentu? Niewątpliwie niech czują się zobowiązane do wszystkich regulacji przewidzianych w omawianym rozporządzeniu. Odpowiedzialność za realizację obowiązków przewidzianych w rozporządzeniu ogólnym spadnie na organy wykonawcze jednostek samorządu terytorialnego: wójta, burmistrza, prezydenta. Istotną zmianą jest oparcie ochrony danych bądź przetwarzania danych osobowych na ryzyku administratora danych osobowych. To on będzie musiał zrobić wszystko, żeby spełnić wymagania dotyczące kwestii technicznych, organizacyjnych i merytorycznych wynikających z RODO a także ze wskazówek organu nadzorującego. Mówiłem już o konieczności przewidywania w projektowaniu nowych rozwiązań – powiedzmy – w zakresie architektury ochrony danych osobowych.</u> <u xml:id="u-2.9" who="#MirosławSanek">Istotne także jest to, aby czas do wejścia w życie rozporządzenia czy rozpoczęcia skutkowania tego aktu jednostki samorządu terytorialnego i administratorzy danych osobowych przeznaczyli na weryfikację i przegląd tego, co się u nich dzieje z przetwarzaniem danych osobowych, czy dotychczas jest to poprawne, czy już teraz należy wprowadzać zmiany. Do tego na pewno przyda się stosowanie kodeksu postępowań dla jednostek samorządu terytorialnego. Niektóre branże wymagają takiego uźródłowienia. RODO nie jest oczywiście dokumentem w 100% literalnie wyczerpującym. Posługiwanie się takimi kodeksami postępowania z pewnością ułatwi ocenę rzetelności i legalności przetwarzania danych osobowych. Jeżeli mówimy o karach, to także z całą pewnością wpłynie na złagodzenie potencjalnych kar. Z pewnością jednostkom samorządu terytorialnego służyć będą inspektorzy ochrony danych. Są to podmioty, jeśli chodzi o kompetencje, określone podobnie jak ABI do tej pory, których jednym z naczelnych obowiązków oprócz przestrzegania poprawności przetwarzania danych osobowych będzie ścisły kontakt z GIODO.</u> <u xml:id="u-2.10" who="#MirosławSanek">Kończąc już ten wstęp, GIODO z kolei niewątpliwie widzi szansę i obowiązek ścisłej permanentnej współpracy z administratorami danych osobowych. Bez kondensacji i kumulacji wiedzy w tym zakresie ta bardzo słuszna, jeżeli chodzi o cele, regulacja będzie niedostatecznie skuteczna. Zapraszam państwa do zadawania pytań i do rozszerzenia tej tematyki. Bardzo dziękuję, panie przewodniczący.</u> <u xml:id="u-2.11" who="#MirosławSanek">Dziękuję, panie ministrze. Zanim przejdziemy do pytań, zapytam, czy przedstawiciel Ministerstwa Cyfryzacji chciałby zabrać głos. Bardzo proszę.</u> </div> <div xml:id="div-3"> <u xml:id="u-3.0" who="#MaciejKawecki">Bardzo dziękuję. Panie przewodniczący, szanowni państwo, chciałbym tylko krótko przedstawić państwu harmonogram naszych prac legislacyjnych i powiedzieć, jak wygląda wdrażanie reformy w ramach rządu. Sama reforma składa się z dwóch aktów prawnych na poziomie unijnym, tj. z tzw. RODO, czyli z rozporządzenia unijnego o ochronie danych osobowych oraz z dyrektywy policyjnej. Za implementowanie dyrektywy policyjnej, tak jak pan inspektor tu powiedział, odpowiada Ministerstwo Spraw Wewnętrznych i Administracji, natomiast za wdrożenie, czyli za zapewnienie skutecznego stosowania w polskiej przestrzeni prawnej rozporządzenia, o którym tutaj w większości była mowa, odpowiada Minister Cyfryzacji. My jesteśmy na etapie Komitetu do Spraw Europejskich. Postaramy się w piątek, najpóźniej w poniedziałek skierować projekt ustawy o ochronie danych osobowych na Komitet do Spraw Europejskich. Chcielibyśmy, żeby projekt był przyjęty na posiedzeniu Rady Ministrów do końca kwietnia, tak żeby w maju mógł trafić na obrady komisji sejmowych. Terminem, którym jesteśmy związani, wynikającym z prawa unijnego jest 25 maja 2018 r. i do 25 maja rozporządzenie musimy wdrożyć.</u> <u xml:id="u-3.1" who="#MaciejKawecki">Nasze działania w Ministerstwie Cyfryzacji podzieliłbym na dwie części. Pierwsza to jest tworzony projekt ustawy o ochronie danych osobowych, która zapewnia stosowanie rozporządzenia w polskiej przestrzeni prawnej. Jest to więc ustawa, która przewiduje przepisy ustrojowe, a więc ustanowienie organu nadzorczego w Polsce. Ponieważ uchylona zostanie obecnie obowiązująca ustawa, takie przepisy muszą zostać przyjęte. Oprócz tego mechanizmy certyfikacji, postępowania w sprawach naruszeń, ponieważ w Unii Europejskiej obowiązuje zasada autonomii instytucjonalnej oraz proceduralnej państw członkowskich. Procedury więc są przyjmowane przez polski parlament. Natomiast takim drugim obszarem działań podejmowanych w Ministerstwie Cyfryzacji jest zmiana przepisów sektorowych, ponieważ, jeżeli uchylamy obowiązująca ustawę, to musimy dokonać zmiany ogromnej liczby ustaw, począwszy od zmian czysto technicznych, polegających choćby na zmianie nazwy ustawy czy na zmianie nazwy organu, bo wizją rządu jest powołanie nowego organu nadzorczego – prezesa Urzędu Ochrony Danych Osobowych, który zastąpi generalnego inspektora z zachowaniem oczywiście kadencji generalnego inspektora i całej ciągłości kadrowej. Niemniej jednak uchylamy ustrojową ustawę, więc powstanie nowy organ państwowy.</u> <u xml:id="u-3.2" who="#MaciejKawecki">Natomiast ta druga część to są zmiany merytoryczne, które musimy wprowadzić do ustaw sektorowych, które mają różny charakter. Czasami są to zmiany, które muszą być po prostu przyjęte, bo legislacja ma 20 lat i jest nieaktualna, więc Minister Cyfryzacji wspólnie z innymi resortami zdecydował się na zmianę, jak Prawo bankowe, Prawo ubezpieczeniowe, Kodeks pracy, a czasami są to przepisy ograniczające zastosowanie rozporządzenia do określonych obszarów oczywiście w zakresie, w jakim rozporządzenie dopuszcza takie ograniczenie. Jako przykład można podać np. ustawę o IPN czy funkcjonowanie Naczelnej Dyrekcji Archiwów Państwowych, gdzie oczywistym jest, że zrealizowanie prawa do bycia zapomnianym czy żądanie usunięcia danych w wielu obszarach nie jest możliwe. I bardzo duży pakiet zmian legislacyjnych w zakresie wymiaru sprawiedliwości, ponieważ rozporządzenie nakłada na państwa członkowskie obowiązek wyodrębnienia odrębnego pionu nadzoru nad ochroną prywatności sprawowaną przez sądy. Nie może tego robić Generalny Inspektor Ochrony Danych Osobowych czy prezes Urzędu Ochrony Danych Osobowych, więc przepisy rzeczywiście dokonują zmian w ustawie o ustroju sadów powszechnych, o Sądzie Najwyższym, wyodrębniając czy tworząc taki pion nadzoru nad przetwarzaniem danych przez sądy.</u> <u xml:id="u-3.3" who="#MaciejKawecki">Tak naprawdę więc jest to ogromny pakiet zmian. Podeszliśmy do tego dwutorowo. To znaczy, w momencie, w którym na komitety trafi projekt ustawy o ochronie danych osobowych, będziemy przygotowywali ten pakiet przepisów sektorowych z takim zastrzeżeniem, że wkłady od właściwych resortów do tej ustawy otrzymaliśmy parę miesięcy temu. Parę dni temu każdy z ministrów otrzymał od Ministra Cyfryzacji, a w zasadzie od premiera – Prezesa Rady Ministrów, prośbę o odniesienie się do uwag zgłaszanych w toku uzgodnień międzyresortowych i konsultacji społecznych, więc również chcielibyśmy, żeby zaraz po tym, jak na Komitet do Spraw Europejskich trafi projekt ustawy, ten pakiet liczący w chwili obecnej ok. 140 ustaw, pakiet zmieniający ok. 140 ustaw, trafił na posiedzenia komitetów.</u> <u xml:id="u-3.4" who="#MaciejKawecki">Od samego początku działań podejmowanych w Ministerstwie Cyfryzacji rzeczywiście przyświecała nam taka pełna transparentność procesu legislacyjnego. W związku z tym organizowaliśmy bardzo wiele spotkań w Ministerstwie Cyfryzacji. W sali kolumnowej w Sejmie kilka tygodni temu odbyła się konferencja podsumowująca konsultacje społeczne przepisów ustawy o ochronie danych osobowych, gdzie przez 9 godzin odpowiadaliśmy na pytania obywateli, organizacji społecznych i organizacji pozarządowych. Jednocześnie jesteśmy już po konferencji uzgodnieniowej. Mamy bardzo małą liczbę rozbieżności w projekcie ustawy pomiędzy resortami, więc wierzę, że ten projekt ustawy o ochronie danych osobowych dość szybko przebrnie przez rząd tak, żeby rzeczywiście mógł stanąć na posiedzeniu Rady Ministrów.</u> <u xml:id="u-3.5" who="#MaciejKawecki">Jeżeli są jakieś pytania, to oczywiście jestem do dyspozycji. Dziękuję bardzo.</u> </div> <div xml:id="div-4"> <u xml:id="u-4.0" who="#AndrzejMaciejewski">Dziękuję. Czy przedstawiciel MSWiA chciałby zabrać głos? Dziękuję.</u> <u xml:id="u-4.1" who="#AndrzejMaciejewski">Otwieram dyskusję. Pozwólcie państwo, że zadam pierwsze pytanie panu ministrowi. Mam pewien niedosyt. O RODO dużo czytałem, dużo słyszałem i zastanawiam się, w czym clou problemu. Kara? Właściwie ciągle mi brakuje i mam wątpliwości, jakie są istotne punkty, jakie są istotne elementy, które muszą spełnić JST w ramach RODO do 25 maja. Gdzie są te słabe strony? Czy jest jakiś pilotaż, jakaś kontrola albo nadzór nad tym, jak to jest realizowane i gdzie są te najważniejsze kwestie?</u> <u xml:id="u-4.2" who="#AndrzejMaciejewski">I drugie pytanie. Mamy rok wyborczy. Ochrona danych osobowych. Dobrze, jeśli chodzi o urzędy, to temat jest chyba najbardziej opanowany, ale przecież komitety wyborcze zbierają podpisy. I teraz pytanie: Jak RODO będzie się miało do tych zwykłych podpisów zbieranych przez poszczególne komitety lokalne i jak RODO będzie tutaj oddziaływało? Czy pełnomocnik czy osoba, która zajmuje się wyborami, w ramach danego komitetu do rady miasta, gminy, powiatu, do sejmiku, będzie miała jakieś specjalne zobowiązania albo kompetencje? To przecież jest bardzo ważna sprawa dzisiaj w tym roku. Może się okazać, że wiele osób może mieć bardzo przypadkowo problemy, a może nie. Prosiłbym tutaj o wyjaśnienie, bo myślę, że wszyscy są tym zainteresowani. Jeśli mogę prosić o odpowiedź…</u> </div> <div xml:id="div-5"> <u xml:id="u-5.0" who="#MirosławSanek">Bardzo dziękuję, panie przewodniczący, za to pytanie. GIODO przygotował poradnik dla komitetów wyborczych, więc może oddam głos panu dyrektorowi w sprawie szczegółów.</u> </div> <div xml:id="div-6"> <u xml:id="u-6.0" who="#PiotrDrobek">Dziękuję. Dzień dobry. Dziękuję bardzo, panie przewodniczący. Jeżeli chodzi o drugie pytanie, to chcę zwrócić uwagę, że problem działania komitetów wyborczych nie jest problemem nowym. Z tej perspektywy pewne rozwiązania, które funkcjonowały dotąd, również będą funkcjonowały na gruncie ogólnego rozporządzenia. Kluczową tutaj regulacją są przepisy dotyczące przeprowadzania wyborów – Kodeks wyborczy i to, co się w nim znajduje. Wychodząc naprzeciw wątpliwościom, bo to jest rzeczywiście problem szczególnie w przypadku wyborów samorządowych, gdzie często mówimy o małych komitetach, przed poprzednimi wyborami (już kolejnymi) przygotowaliśmy poradnik dla komitetów wyborczych. Teraz przed najbliższymi wyborami, kiedy będziemy już w tym toku, że komitety będą się konstytuowały, również mogę w imieniu pana ministra i pani minister Bielak-Jomaa zadeklarować, że taki poradnik będzie właśnie w kontekście RODO, jak to się ma w kontekście obowiązków komitetów.</u> <u xml:id="u-6.1" who="#PiotrDrobek">Warto przypomnieć, że te obowiązki ciążyły na komitetach, o czym już teraz… Oczywiście to nie jest nic strasznego, bo też musimy trochę zdemitologizować ochronę danych osobowych. To nie są jakieś obowiązki, które są niemożliwe do realizacji. W odniesieniu do funkcjonowania komitetów wyborczych to są przede wszystkim obowiązki związane z legalnością i celowością, ale o tym, co jest legalne i czy te dane możemy wykorzystywać, rozstrzyga Prawo wyborcze. Jeżeli mieścimy się w tych ramach, to z perspektywy legalności zachowujemy zgodność z obecnymi przepisami o ochronie danych osobowych oraz w przyszłości z RODO. Odrębnym zagadnieniem jest konieczność zabezpieczenia danych przed wypłynięciem danych, przed dostępem osób nieuprawnionych. Teraz ten obowiązek również istnieje. Zmieni się jednak sposób realizacji tego obowiązku na gruncie RODO.</u> <u xml:id="u-6.2" who="#PiotrDrobek">I w ten sposób chciałbym przejść do pierwszego pytania. Proszę państwa, z ogólnym rozporządzeniem problem polega na tym, że to ogólne rozporządzenie w dużym stopniu jest mitologizowane. Generalnie mówi się o tym, że mamy nowy akt unijny. Wspomina się o wysokich karach pieniężnych, zupełnie nie zwracając uwagi, co ten akt unijny przynosi. Z perspektywy jednostek samorządu terytorialnego musimy zwrócić uwagę na to, że RODO w dużym stopniu przenosi takie wymogi, które dotąd miały charakter formalny i organizacyjny – takie bardzo biurokratyczne jak np. zgłaszanie zbiorów danych osobowych do rejestru prowadzonego przez GIODO – i rezygnują z tych wymogów, które obowiązują obecnie na gruncie ustawy o ochronie danych osobowych i wprowadza rozwiązania, które zapewniają dużo większą elastyczność i zapewniają realnie większą ochronę. A więc w mniejszym stopniu koncentrujemy się na tych wymogach dosyć biurokratycznych, jak właśnie wypełnienie zgłoszenia, prowadzenie określonej dokumentacji przetwarzania danych. Obecne przepisy regulują to bardzo ściśle, jakie elementy w tej dokumentacji mają być zawarte.</u> <u xml:id="u-6.3" who="#PiotrDrobek">Efekt jest taki, że dokumentacja staje się celem samym w sobie w praktyce jednostek samorządu terytorialnego. Nowe podejście odchodzi od tego. W dużo większym stopniu musimy się skoncentrować na tym, jakie jest ryzyko w organizacji. Te wszystkie obowiązki dokumentacyjne, które też będą, w dużym stopniu mają pomóc jednostkom samorządu terytorialnego we właściwym zapewnieniu zgodności z przepisami o ochronie danych osobowych. I to jest ta istotna zmiana, którą niesie RODO. Z jednej więc strony jest większa elastyczność. Jeżeli właściwie zarządzamy danymi osobowymi – ja patrzę na to od razu z tej perspektywy zarządzania informacją – to RODO nie będzie niczym nowym. RODO będzie stanowiło problem we wszystkich tych jednostkach, również samorządu terytorialnego, w których dotąd podchodzono czysto formalnie do wymogów związanych z ochroną danych osobowych. Bo jeżeli realizacja wymogów opierała się tylko i wyłącznie na stworzeniu określonej dokumentacji na wypadek kontroli, to to nowe podejście będzie dużo trudniejsze, bo ono wymaga realnego wdrożenia w jednostkach organizacyjnych. To ma przynieść… Te wymogi mają być bliższe życiu i realnym zagrożeniom, ale jednak to jest pewne wyzwanie, bo to wymaga rzetelnego podejścia do tych wymogów. To jest ta istotna zmiana, jeżeli patrzymy na cały pakiet, który niosą przepisy o ochronie danych osobowych – przypomnijmy – przepisy, które będziemy od 25 maja stosowali bezpośrednio.</u> <u xml:id="u-6.4" who="#PiotrDrobek">Też trzeba pamiętać o tym, że wiele praw, które na nowo zostały ukształtowane bądź wprowadzone w RODO, które mają zastosowanie przede wszystkim w odniesieniu do sektora prywatnego, w odniesieniu do sektora publicznego, będą podlegały ograniczeniom ze względu na to, że o przetwarzaniu danych przede wszystkim decydują przepisy prawa. I tutaj przypomnę, pan minister wspomniał o prawie do zapomnienia, które spędza sen z powiek również administratorom działającym w sektorze publicznym, ale musimy pamiętać, co to prawo oznacza w sektorze publicznym. To prawo – okazuje się – nie jest niczym nowym, bo to jest to, co mieliśmy dotąd w sytuacji, kiedy nie ma już podstawy prawnej, żeby przetwarzać dane. A więc np. zgodnie z przepisami, jeżeli administrator danych, jednostka samorządowa nie ma prawa dalej przechowywać określonej dokumentacji, to wtedy osoba ma prawo zażądać usunięcia tej dokumentacji. W tym sensie to nie jest rewolucja, to nie jest jakieś rewolucyjne podejście, wywracające dotychczasowy model znany wszystkim samorządowcom.</u> <u xml:id="u-6.5" who="#PiotrDrobek">Z drugiej strony jednak pojawiają się problemy związane z tym, że obecne prawo dosyć szczegółowo regulowało kwestie bezpieczeństwa danych, kwestie techniczne i organizacyjne. Mamy dotąd obowiązujące rozporządzenie Ministra Spraw Wewnętrznych i Administracji, w którym określa się szczegółowo, jak ma wyglądać dokumentacja przetwarzania danych – bardzo szczegółowo – ale również określa się wymogi dotyczące funkcjonalności systemów informatycznych. Proszę sobie wyobrazić, że w polskim prawie mamy wymogi dotyczące składni hasła i częstotliwości jego zmiany pomimo tego, że standardy bezpieczeństwa w tym zakresie uległy zmianie, ale my mamy je na sztywno. Oczywiście to już jest nieadekwatny model, ale z drugiej strony on jest prostszy we wdrożeniu w tym sensie, że mamy przepisy prawa i tak jak mamy check-listę – wdrażamy to, co jest w określonym rozporządzeniu. RODO nie dopuszcza już przyjmowania takich aktów prawnych, tak żeby ustawodawca określał szczegółowe wymogi techniczne i chyba bardzo dobrze, bo w tym zakresie powinniśmy mieć większą elastyczność. Ale – i tutaj mamy bardzo wiele sygnałów szczególnie z małych gmin – to jest też problematyczne, bo wszędzie tam, gdzie nie mamy tego wsparcia fachowego, pojawia się problem: No, dobrze, co stanie się teraz z tym standardem, jeżeli nie ma teraz takiej bardzo prostej check-listy?</u> <u xml:id="u-6.6" who="#PiotrDrobek">W ten obszar wchodzi nowy instrument, nieznany, tzn. nierozwijany dotąd w polskim prawie. To są kodeksy postępowań, które również mogą odegrać bardzo dużą rolę właśnie w tym obszarze w odniesieniu do jednostek samorządu terytorialnego. I tutaj myślę np. o szkołach, myślę o ośrodkach pomocy społecznej, które bardzo podobnie funkcjonują we wszystkich jednostkach samorządu terytorialnego, w przypadku których organizacje zrzeszające, gminy i powiaty, mogłyby przygotować kodeks, który np. wprowadzałby pewne standardy, wspólne standardy. To jest pewna nowość. My to promujemy już od maja 2016 r. Na razie jesteśmy na takim etapie promowania tego rozwiązania, ale to się spotyka z dosyć dużym zainteresowaniem, bo to jest rozwiązanie, gdzie możemy również w odniesieniu do jednostek samorządu terytorialnego zapewnić elastyczność i dostosować, dać pewne wzorce, które będą odpowiednie do specyfiki działania tych jednostek. Dodam tylko, że takie kodeksy będą zatwierdzane przez GIODO, więc też będziemy mieli pewność, że one spełniają wymogi określone w RODO.</u> <u xml:id="u-6.7" who="#PiotrDrobek">I teraz – już na koniec – jeśli chodzi o przygotowanie, GIODO stara się szerzyć wiedzę o nowych obowiązkach w bardzo różnych formach. Dla nas taką podstawową grupą jest grupa administratorów bezpieczeństwa informacji, czyli takich osób wyznaczonych w jednostkach (w tej chwili dobrowolnie), które nadzorują przetwarzanie danych. Te osoby staną się w świetle nowych przepisów inspektorami ochrony danych. Prowadzimy szkolenia sektorowe dla tych osób. Mieliśmy szkolenie dla administratorów bezpieczeństwa informacji z szeroko rozumianego sektora pomocy społecznej, gdzie musimy pamiętać, jaki charakter danych, jak wrażliwych, tam się pojawia. W tym miesiącu organizujemy szkolenie dla administratorów bezpieczeństwa informacji ze szkół. Jest to kolejny obszar, który wywołuje bardzo dużo… który wymaga podjęcia odpowiednich działań. Jednocześnie generalny inspektor jest jednym z konsorcjantów projektu finansowanego z funduszy Komisji Europejskiej (takiego międzynarodowego), w ramach którego już niedługo będziemy szkolili administratorów bezpieczeństwa informacji sektora publicznego po to, żeby dać narzędzia umożliwiające wdrożenie tych przepisów.</u> <u xml:id="u-6.8" who="#PiotrDrobek">Jeszcze kolejna rzecz. Generalny inspektor ma pełną świadomość, że ochrona danych osobowych to nie jest tylko Warszawa – to jest właśnie samorząd. Staramy się być w tym samorządzie. Ja może tylko przypomnę takie inicjatywy skierowane zarówno do samorządu, jak i mieszkańców, w ramach których uczestniczymy w szkoleniach i konferencjach, ale również wszędzie tam, gdzie się pojawiamy, organizujemy dni otwarte tak, żeby mieszkańcy przedsiębiorcy, ale też zwykli obywatele, mogli poradzić się w sprawie nowych przepisów. To spotyka się z bardzo dużym zainteresowaniem. Ja tylko wspomnę, bo jeździmy w bardzo różne miejsca: Siedlce, Rzeszów, Białystok, Lublin, Katowice, Dąbrowa Górnicza. Myślimy o województwach na północy Polski i na zachodzie. Będziemy podejmować takie działania jeszcze przed 25 maja. To są tylko przykłady, jak pomóc, żebyśmy 25 maja nie byli zaskoczeni, bo to jest największy problem, że 25 maja to jest dzień, w którym musimy spełniać nowe wymogi. Okres przejściowy zaczął się 6 maja 2016 r. Dziękuję bardzo.</u> </div> <div xml:id="div-7"> <u xml:id="u-7.0" who="#AndrzejMaciejewski">Dziękuję. Czy są jeszcze pytania?</u> <u xml:id="u-7.1" who="#AndrzejMaciejewski">Jeżeli nie ma, to dziękuję panu ministrowi i dziękuję za informację. Dziękuję przybyłym gościom.</u> <u xml:id="u-7.2" who="#AndrzejMaciejewski">Zamykam posiedzenie Komisji.</u> </div> </body> </text> </TEI> </teiCorpus>