Uwagi UODO do rządowego projektu ustawy dotyczącej przewodnictwa Polski w Radzie UE w 2025 r.
Zmiany prawa mają zwiększyć bezpieczeństwo wydarzeń, odbywających się w Polsce, która 1 stycznia 2025 r. przejmie przewodnictwo w Radzie EU. Zdaniem Prezesa projektowane regulacje wymagają doprecyzowania w kwestiach związanych z procesami przetwarzania danych osobowych przez służby.
Choć dbanie o bezpieczeństwo obywateli i gości wydarzeń organizowanych przez Polskę od 1 stycznia do 30 czerwca 2025 r. nie może być kwestionowane, to służby nie powinny dostawać blankietowych uprawnień w zakresie przetwarzania danych osobowych.
Chodzi o projekt ustawy o szczególnych rozwiązaniach w związku z przygotowywaniem i sprawowaniem przez Rzeczpospolitą Polską przewodnictwa w Radzie Unii Europejskiej w I połowie 2025 roku. Projekt ten nie był konsultowany z UODO na rządowym etapie procesu. W tej kadencji Marszałek Sejmu przyjął jednak zasadę zbierania uwag do wszystkich projektów, by tempo prac nie uzasadniało pomijania ważnych stanowisk.
Prezes UODO Mirosław Wróblewski przedstawił więc 30 maja 2024 r. swoje stanowisko w odpowiedzi na pismo szefa Kancelarii Sejmu.
Fundamentalne wątpliwości dotyczące projektu polegają na tym, że projekt – choć dotyczy przetwarzania danych osobowych – powstał bez analizy jego skutków dla ochrony tych danych. Tymczasem zgodnie z art. 35 RODO pożądane jest by oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych dokonywano już w ramach oceny skutków regulacji w związku z przyjęciem podstawy prawnej. Jednak – jak to wynika z wcześniejszych analiz Prezesa UODO dla Sejmu – przy tworzeniu projektów rządowych ten pożądany element oceny skutków regulacji był wielokrotnie pomijany.
Gdyby projektodawca taką analizę przeprowadził, sam mógłby wykryć braki regulacji w obszarze ochrony danych osobowych. Poprawnie przeprowadzona ocena skutków powinna bowiem wskazywać związek pomiędzy operacjami wykonywanymi na danych osobowych z konkretnym celem i sposobami ich przetwarzania. A w projekcie tego nie ma. Nie wskazuje on bowiem precyzyjnie:
- jakie dane osób wyznaczonych do kontaktów z właściwymi służbami będą przetwarzane,
- jakie są gwarancje, że dane będą przetwarzane jedynie w zakresie niezbędnym do realizacji wskazanych celów, związanych m.in. z zapewnieniem bezpieczeństwa,
- w jaki sposób dane i opinie o osobach lub podmiotach będą przekazywane do organów ścigania (w szczególności w zakresie celu, formy i trybu ich udostępniania na podstawie projektowanych przepisów),
- po jakim czasie służby powinny usunąć zebrane dane (projekt nie wskazuje okresu, w którym retencja, czyli przechowywanie danych, będzie możliwe).
W efekcie projekt zakłada udzielenie służbom uprawnień o charakterze blankietowym: brakuje jasności co do danych podlegających przetwarzaniu i sposobu realizacji obowiązków wynikających z ogólnego rozporządzenia o ochronie danych, a w konsekwencji - także odpowiedzialności służb za dane osobowe, które będą przetwarzać (zasady zgodności z prawem, przejrzystości i rzetelności oraz rozliczalności).
Opinia Prezesa UODO do rządowego projektu ustawy dotyczącej przewodnictwa Polski w Radzie UE w 2025 r. dostępna jest w załączonym poniżej pliku.
DOL.401.176.2024