Opinia Krajowej Rady Sądownictwa z dnia 6 października 2017 r. (Nr WO 020-106/17, UC100, UC101)
OPINIA
KRAJOWEJ RADY SĄDOWNICTWA
z 6 października 2017 r.
w przedmiocie rządowego projektu ustawy o ochronie danych osobowych (UC101) i ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych (UC100)
Krajowa Rada Sądownictwa, po zapoznaniu się z projektami ustawy o ochronie danych osobowych i ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych, przedstawionymi przy piśmie Ministra Cyfryzacji z 14 września 2017 r., nr DP-WLI.0211.2.2017), zgłasza poniższe uwagi.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. L 119 z 4.5.2016, dalej: rozporządzenie) dopuszcza ustanowienie całego szeregu wyłączeń bądź możliwość ograniczenia jego stosowania. Możliwość taka powinna być wykorzystywana wyłącznie w niezbędnym zakresie, związanym z całością funkcjonującego systemu prawnego w państwach członkowskich. Organy władzy państwowej mogą także wyłączyć lub ograniczyć stosowanie rozporządzenia w zakresie związanym ze sprawowaniem wymiaru sprawiedliwości. Rada zauważa, że w zakresie w jaki wskazywane są w projektach wyłączenia obowiązywania poszczególnych przepisów rozporządzenia konieczna jest szczegółowa analiza potrzeby wyłączenia konkretnych przepisów (w tym ich poszczególnych jednostek redakcyjnych) oraz konieczny jest dokładny przegląd obowiązującego ustawodawstwa w zakresie regulacji dotyczących przetwarzania danych osobowych, a w szczególności numeru NIP lub numeru PESEL i zaprojektowania stosownych zmian w związku z wprowadzeniem przez rozporządzenie istotnych ograniczeń w zakresie przetwarzania danych osobowych.
Wątpliwości Krajowej Rady Sądownictwa budzą także szczegółowe przepisy dotyczące zmian proponowanych w ustawie z dnia 27 lipca 2001 r. – Prawo o ustroju sadów powszechnych (Dz. U. z 2016 r. poz. 2062 ze zm., dalej: pusp). Projektowane zmiany w art. 157 tej ustawy nie zostały szczegółowo przedstawione w uzasadnieniu projektu ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. Przewidziane w projektowanym § 2a uprawnienie Ministra Sprawiedliwości do przetwarzania danych osobowych biegłych sądowych „w zakresie realizowanych zadań” z pewnością będzie budzić wątpliwości interpretacyjne.
Projektodawca nie przewiduje ustanowienia szczególnych norm prawnych w zakresie nadzoru nad Ministrem Sprawiedliwości odnośnie do wykonywania przez niego uprawnień względem sądownictwa powszechnego. Minister Sprawiedliwości jest administratorem szeregu systemów informatycznych funkcjonujących w sądach, a nadto systemów ich obsługi kadrowej (np. systemu e-nominacje) i w tym zakresie istotne wątpliwości Rady budzi rola tego organu jako administratora.
Mając powyższe na uwadze, dla pełnej realizacji postanowień rozporządzenia, a w szczególności jej 20 motywu, by właściwość organów nadzorczych zapewniała ochronę niezawisłości sprawowania wymiaru sprawiedliwości konieczne jest rozważenie ustanowienia nadzoru nad przetwarzaniem przez Ministra Sprawiedliwości danych osobowych.
Odrębnej analizy wymaga problematyka przetwarzania danych osobowych zawartych w orzeczeniach sądów i ich uzasadnieniach. Rozporządzenie wprowadza nowe zasady bezpieczeństwa przetwarzania danych osobowych, wprowadza m.in. pojęcie pseudonimizacji danych (zob. m.in. art. 32 ust. 1 lit a rozporządzenia), co w kontekście zasady minimalizacji przetwarzania danych osobowych może nieść ze sobą konieczność zmiany dotychczasowych zasad funkcjonowania systemów informatycznych sądów. Dyskusyjne pozostaje jak powinny być ustanowione zasady przetwarzania tych danych, w szczególności w zakresie możliwości zidentyfikowania stron postępowania. Zdaniem Krajowej Rady Sądownictwa sędziowie powinni mieć zapewniony odpowiednio szeroki dostęp do danych kluczowych dla prowadzonych przez nich postępowań i wydawanych rozstrzygnięć.
Projektodawca proponuje dodanie art. 175d-175g do pusp nie uwzględniając faktu, że ustawodawca dodał przepisy o tym samym oznaczeniu ustawą z dnia 12 lipca 2017 r. o zmianie ustawy – Prawo o ustroju sądów powszechnych oraz niektórych innych ustaw (Dz. U. poz. 1452) i obowiązują one od 12 sierpnia 2017 r. W związku z tym zachodzi konieczność technicznej korekty przedstawionego Radzie projektu.
Krajowa Rada Sądownictwa stwierdza, że na skutek wprowadzenia zaproponowanego rozwiązania legislacyjnego, Rada i prezesi sądów zostaną obciążeni nowymi zadaniami, na które nie przewidziano żadnych środków finansowych. Stoi to w rażącej sprzeczności z celem rozporządzenia, a w szczególności jego 120 motywem. Zgodnie z rozporządzeniem „każdy organ nadzorczy powinien zostać wyposażony w zasoby finansowe i kadrowe, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań, w tym zadań związanych z wzajemną pomocą i współpracą z innymi organami nadzorczymi z całej Unii. Każdy organ nadzorczy powinien dysponować odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu krajowego lub państwowego”.
Projekt ustawy o ochronie danych osobowych, w zakresie przepisów dotyczących pozycji organu nadzorczego jakim w miejsce Generalnego Inspektora Ochrony Danych Osobowych będzie Prezes Urzędu Ochrony Danych Osobowych, powinien kontynuować dotychczasowe, sprawdzone rozwiązania. Projekt osłabia pozycję Prezesa Urzędu Ochrony Danych Osobowych, w ten sposób, że nie pozostaje przy dotychczasowym rozwiązaniu przyjętym dla powoływania zastępców przez Marszałka Sejmu, na wniosek GIODO. Przedstawiony projekt w art. 22 zawiera regulację umożliwiającą powołanie do trzech zastępców Prezesa Urzędu przez Prezesa Rady Ministrów – dwóch na wniosek ministra właściwego do spraw informatyzacji i jednego na wniosek ministra właściwego do spraw wewnętrznych. Projekt pozbawia zatem organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych wpływu na powoływanie tych osób. Takie rozwiązanie podważa dotychczasową i przewidzianą w rozporządzeniu, niezależną pozycję organu nadzorczego.
Krajowa Rada Sądownictwa zgłasza także zastrzeżenie co do przepisów Rozdziału 8 projektowanej ustawy o ochronie danych osobowych. Doprecyzowania wymaga art. 80, albowiem nie wyjaśnia on, czy zawiadomienie Prezesa Urzędu ma mieć charakter procesowy, czy ma polegać jedynie na przekazaniu stosownych informacji.