W resorcie cyfryzacji trwają intensywne prace nad projektem nowej ustawy o ochronie danych osobowych. Z opublikowanego już fragmentu wynika, że dotychczasowego generalnego inspektora ochrony danych osobowych zastąpi Urząd Ochrony Danych Osobowych. Konsekwencje tych zmian zainteresowały rzecznika praw obywatelskich dr. Adama Bodnara. W wystąpieniu skierowanym do Ministerstwa Cyfryzacji pyta m.in. o potrzebę zmiany nazwy organu zajmującego się ochroną danych osobowych, gwarancje jego niezależności i konsultacje przy pracach nad ustawą. Jego zaniepokojenie wzbudził opublikowany w DGP wywiad z dr Edytą Bielak-Jomaa, GIODO, w którym mówiła m.in. o tym, że nie jest informowana o zamiarach ministerstwa.

Z roku na rok coraz więcej skarg

Z roku na rok coraz więcej skarg

źródło: Dziennik Gazeta Prawna

Nic przesądzonego

Utworzenie nowego urzędu stawia pytanie o przyszłość dotychczasowego GIODO. Kadencja dr Edyty Bielak-Jomaa upływa w 2019 r. Czy automatycznie zostanie prezesem UODO, czy też jej kadencja zostanie skrócona? Dr Adam Bodnar uważa, że to ostatnie rozwiązanie byłoby niezgodne z prawem unijnym.

„Ewentualne zmiany w organizacji i statusie organów ochrony danych muszą respektować ich niezależność, a w szczególności niedopuszczalne jest, aby w związku z przekształceniami organu państwo członkowskie przedwcześnie odwołało osoby aktualnie wykonujące zadania jako organ ochrony danych osobowych” – napisał w swym wystąpieniu, przywołując wyrok Trybunału Sprawiedliwości Unii Europejskiej (sprawa C-288/12). Dotyczył on również utworzenia nowego organu ochrony danych osobowych i skrócenia kadencja dotychczasowego inspektora. Trybunał uznał to ostatnie za niedopuszczalne.

„Zagrożenie tego rodzaju skróceniem kadencji ciążące na owym organie podczas wykonywania jego funkcji mogłoby prowadzić do pewnego rodzaju posłuszeństwa względem władzy politycznej (...) Ma to miejsce nawet wówczas, gdy skrócona kadencja wynika z przekształcenia lub ze zmiany modelu” – napisano w uzasadnieniu tego wyroku.

Anna Streżyńska uważa, że nie można porównywać tych sytuacji. Przede wszystkim dlatego, że potrzeba utworzenia nowego urzędu wynika z przepisów unijnych, a nie jest krajowym wymysłem. Rozporządzenie w sprawie ochrony danych osobowych 2016/679 nakłada obowiązek powołania organów ochrony danych, których zakres kompetencji znacznie wykracza poza zadania powierzane obecnym. A zgodnie z art. 54 ust. 1 lit. d rozporządzenia, każde państwo członkowskie określa w swoich przepisach prawnych okres kadencji nie krótszy niż cztery lata, z wyjątkiem pierwszej kadencji, która może częściowo trwać krócej.

„W powołanym przepisie wskazano, że z chwilą rozpoczęcia stosowania rozporządzenia rozpoczyna swój bieg pierwsza nowa kadencja organu nadzorczego, a nie ulega kontynuacji kadencja rozpoczęta przed rozpoczęciem jego stosowania” – napisała w odpowiedzi do RPO Anna Streżyńska, dodając, że przepis ten mówi o możliwości, a nie obowiązku przyznania szefowi dotychczasowemu organu nowej, krótszej kadencji. Podkreśliła, że są to rozważania teoretyczne, bo przepisy przejściowe w zakresie kadencji GIODO nie zostały jeszcze przesądzone.

Wybór nowego prezesa

Resort cyfryzacji zapewnia RPO, że nowe przepisy zagwarantują prezesowi UODO pełną niezależność. Na razie nie wiadomo, kto będzie go wybierał, ale – jak przypomina Anna Streżyńska – unijne rozporządzenie pozostawia państwom członkowskim tę decyzję. Może to być parlament, rząd, głowa państwa czy niezależny organ.

„Podejmując decyzję w tym zakresie, kieruję się powyższymi zasadami, uznając jednocześnie, że procedura powołania organu powinna być możliwie szybka – by wyeliminować zaistniałe już w polskiej przestrzeni prawnej sytuacje, gdy organ przez długi czas funkcjonuje bez piastuna” – pisze minister, co może stanowić wskazówkę, że wybór prezesa nowego organu nie będzie już pozostawiony w gestii parlamentu właśnie ze względu na przewlekłość procedur.

Jednocześnie zmiana nazwy organu jest zdaniem resortu konieczna ze względu na ryzyko pomyłek. Zgodnie z unijnym rozporządzeniem o bezpieczeństwo danych wewnątrz firm czy urzędów będą się troszczyć inspektorzy ochrony danych, którzy mogliby być myleni z pracownikami GIODO. – Mamy przecież europejskiego inspektora ochrony danych, który jest organem nadzorczym w zakresie przetwarzania danych osobowych przez organy i instytucje unijne, a w poszczególnych organach lub instytucjach powołuje się inspektorów ochrony danych i nikt nie obawia się, że to z nim będą oni kojarzeni – mówiła dr Edyta Bielak-Jomaa w wywiadzie dla DGP.