Akty korporacyjne

Sędz.2012.12.13

| Akt nieoceniany
Wersja od: 13 grudnia 2012 r.

OPINIA
KRAJOWEJ RADY SĄDOWNICTWA
z dnia 13 grudnia 2012 r.
w przedmiocie opracowanego przez Komisję Europejską projektu nowych regulacji dotyczących przepisów Unii Europejskiej o ochronie danych osobowych, tj. rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) oraz dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych

Krajowa Rada Sądownictwa, po zapoznaniu się z przedłożonymi jej do zaopiniowania projektami, nie podważa celu uregulowań zawartych w rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych, COM(2012) 0011 oraz w dyrektywie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych, COM(2012) 0010. Zwraca jednak uwagę, że projekty zawierają rozwiązania, których interpretacja może budzić wątpliwości i przez to utrudniać funkcjonowanie wymiaru sprawiedliwości oraz innych organów wykonujących władzę publiczną. Niektóre obowiązki o bezwzględnym charakterze zwiększą obciążenie administracji sądowej, a także spowodują dodatkowe koszty funkcjonowania wymiaru sprawiedliwości.

Dlatego też konieczne jest zbadanie skutków finansowych związanych z ewentualnym wejście w życie tych przepisów dla budżetu państwa (np. obowiązek powołania inspektora ochrony danych dla jednostek sektora publicznego).

Poniższe uwagi dotyczą szczegółowych uregulowań zawartych w projektach.

- Z art. 6 rozporządzenia nie wynika wprost czy sądy będą mogły przetwarzać dane osobowe bez zgody podmiotów danych. Unormowania zawarte w tym przepisie przewidują wprawdzie przetwarzanie danych na podstawie innej niż zgoda podmiotu danych, jednakże sposób sformułowania art. 6 ust. 1 lit. c oraz e) w związku z ust. 3, które generalnie dotyczą administratorów wykonujących władzę publiczną, może wywołać spory co do uprawnień organów publicznych w tym zakresie.

- Art. 9 rozporządzenia wskazuje na sposób postępowania z tzw. danymi wrażliwymi. Z przepisu tego wynika, że dane szczególnie wrażliwe mogą być przetwarzane bez zgody podmiotu danych tylko w przypadkach, określonych w ust. 2 lit. b) - j) tego artykułu. Sformułowanie wyjątków w tych przepisach nie pozwala na jednoznaczne stwierdzenie, że sądy we wszystkich prowadzonych sprawach będą miały dostęp do danych wrażliwych bez zgody podmiotu danych. W postępowaniach prowadzonych przez sądy np. sprawach cywilnych, rodzinnych, czy nawet w postępowaniach wpadkowych dotyczących kosztów postępowania lub pomocy prawnej, bardzo często występują dane wrażliwe. Strony niejednokrotnie deklarują, że nie wyrażają zgody na przetwarzanie takich danych, mimo, że ich przetwarzanie jest niezbędne do wydania rozstrzygnięcia.

- W art. 13 rozporządzenia nałożono na administratora obowiązek informowania o wszystkich operacjach poprawienia lub usunięcia dokonanych zgodnie z art. 16 (prawo do poprawienia) i art. 17 (prawo do bycia zapomnianym i do usunięcia danych) każdego odbiorcę, któremu ujawniono dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Przepis ten będzie niemożliwy do zrealizowania przez sądy. Sądy niejednokrotnie ujawniają jakieś dane osobowe innym podmiotom publicznym (np. policji, prokuraturze, organom podatkowym) i trudno sobie wyobrazić, żeby sąd przy każdorazowej zmianie danych (np. adres) lub przekazaniu akt do likwidacji (czyli usunięcie danych) musiał informować o tym podmiot, któremu faktycznie dane te zostały ujawnione.

Wskazane byłoby wyłączenie sądów w zakresie obowiązku informacyjnego realizowanego w stosunku do podmiotu danych, przewidzianego w art. 14 rozporządzenia. Realizacja tego obowiązku może znacząco utrudnić pracę sądów oraz spowodować zwiększenie wydatków związanych z ich funkcjonowaniem (znaczny koszt wydruków, papierów oraz przesyłek). Dużo lepszym rozwiązaniem byłoby wskazywanie tych wszystkich informacji, z powołaniem na odpowiednie przepisy prawa, w Biuletynie Informacji Publicznej tak, aby każdy podmiot danych mógł w każdym czasie zapoznać się z tymi informacjami.

W przepisach polskiej ustawy o ochronie danych osobowych przewidziano, że osoba zainteresowana może skorzystać z prawa do informacji, o której mowa w art. 32 ustawy nie częściej niż raz na 6 miesięcy. Brak takiego ograniczenia w rozporządzeniu może spowodować paraliż odpowiednich instytucji, gdyż podmiot danych będzie mógł zwracać się o takie informacje nawet codziennie. Zgodnie z art. 15 ust. 2, podmiot danych ma prawo do uzyskania od administratora informacji na temat danych osobowych podlegających przetwarzaniu. Przepis ten przewiduje również, że podmiot danych może złożyć wniosek w formie elektronicznej i wtedy administrator również udziela odpowiedzi w formie elektronicznej. Forma ta może mieć postać np. zwykłego e-maila. Brak możliwości zidentyfikowania podmiotu danych może doprowadzić do sytuacji, że informacje sporządzone przez administratora trafią do osoby nieuprawnionej, która może tylko podszywać się pod określony podmiot danych, co z kolei doprowadzi do naruszenia ochrony danych osobowych.

- Zgodnie z art. 31 rozporządzenia w przypadku wystąpienia incydentu polegającego na naruszeniu ochrony danych osobowych administrator danych będzie zobowiązany do poinformowania Generalnego Inspektora Ochrony Danych Osobowych o takim incydencie w ciągu 24 godzin od momentu powzięcia informacji o naruszeniu. Obowiązek ten może być bardzo uciążliwy dla administratorów z uwagi na konieczność ciągłego monitorowania i wdrażania odpowiednich środków technicznych i organizacyjnych umożliwiających szybkie wykrycie incydentu. Przepisy należałoby ograniczyć do poważnych naruszeń, a nie do wszystkich np. w postaci zagubienia klucza do szafy lub pokoju z aktami, jak to określono w rozporządzeniu. Dodatkowo wskazać należy, że przy tak szeroko sformułowanym obowiązku powszechną praktyką będzie notoryczne ignorowanie postanowień tego przepisu i ukrywanie części incydentów mniejszej wagi.

Ponadto wątpliwości budzą też pkt 65 i pkt 99 preambuły do rozporządzenia.

W pkt. 65 administratorowi (podmiotowi przetwarzającemu) nakazano dokumentowanie każdej operacji przetwarzania danych. Mając na uwadze, że przetwarzanie to m.in. zbieranie, utrwalanie, organizowanie, przechowywanie, wykorzystywanie itp. danych, to wykonanie tego zalecenia oznacza obowiązek dokumentowania wszelkiego rodzaju "operacji" na danych osobowych np. przechowywanie akt w szafie, przekazanie ich sędziemu, do archiwum, niszczenie notatek, brudnopisów. Ścisłe wykonanie tego zalecenia może doprowadzić do sparaliżowania administracji sądowej.

W pkt. 99 nie wyznaczono w sposób precyzyjny zakresu właściwości organów nadzorczych wobec sądów. Pojęcie "rzeczywistych działań sądowych w sprawach sądowych" budzi wątpliwości i nie pozwala jednoznacznie odpowiedzieć, czy takie działania obejmują np. rejestry prowadzone przez sądy lub inne sprawy z zakresu ochrony prawnej.

W dyrektywie w art. 24 nakłada się na państwa członkowskie obowiązek zapewnienia ewidencjonowania operacji dokonywanych na danych w tak szerokim zakresie, że z uwagi na liczbę sytuacji wskazanych w tym przepisie, wydaje się niemożliwy do zrealizowania w pracy sądów. W każdym bądź razie podawanie w ewidencji uzyskiwania wglądu i ujawniania danych osobowych, celu, daty, godziny takich operacji oraz oznaczanie osób, które uzyskały wgląd do danych osobowych, może znacznie utrudnić bieżące funkcjonowanie sądów.

Także wdrożenie środków związanych z bezpieczeństwem przetwarzania danych, o których mowa w art. 27 dyrektywy, wymaga analizy z punktu widzenia możliwości technicznych polskiego wymiaru sprawiedliwości i funkcjonujących w nim systemów informatycznych.

W związku z przedstawionymi wyżej uwagami Krajowa Rada Sądownictwa wyraża obawę, że w wymiarze sprawiedliwości nie będzie możliwe wdrożenie wszystkich rozwiązań zawartych w opiniowanych projektach.