Wprowadzenie możliwości dowiedzenia się, kto wnioskował o udostępnienie naszych danych z Rejestru Dowodów Osobistych oraz Rejestru PESEL, rząd tłumaczy realizacją RODO. Eksperci ostrzegają, że takie postawienie sprawy może niepotrzebnie skomplikować zagadnienie.
Umożliwienie obywatelowi uzyskania informacji o tym, kto wnioskował o udostępnienie jego danych osobowych z Rejestru Dowodów Osobistych oraz Rejestru PESEL, zakłada projekt ustawy o zmianie ustawy o dowodach osobistych, ustawy o ewidencji ludności oraz ustawy – Prawo o aktach stanu cywilnego, znajdujący się na etapie konsultacji społecznych. O jego głównych założeniach pisaliśmy w DGP nr 71/2021 („Zrób to sam, czyli automat zamiast urzędnika”). Informacje o przeglądających nasze dane podmiotach otrzymamy w formie dokumentu PDF zawierającego listę logów tych instytucji.
Autorzy projektu wskazują, że stanowi on realizację obowiązków wynikających z RODO (patrz infografika). Minister właściwy do spraw informatyzacji jako administrator danych musi bowiem dopełnić obowiązku informacyjnego o to właśnie, dzięki temu każdy obywatel może uzyskać podstawowe informacje na temat przetwarzania jego danych osobowych we wspomnianych wyżej rejestrach. – Jedną z takich informacji jest wiedza o odbiorcach, którym dane osobowe zostały udostępnione – informują autorzy.
Co pozostanie tajemnicą
Oczywiście zakres danych nie będzie nieograniczony. Poproszony o wyjaśnienia Wydział Promocji Polityki Cyfrowej Kancelarii Prezesa Rady Ministrów zastrzegł, że system nie podzieli się informacjami na temat formacji, które uzyskały dostęp do naszych danych w ramach czynności operacyjnych. – Należy pamiętać, że służby mogą przetwarzać dane osobowe bez wiedzy i zgody osób, których dane dotyczą – zgodnie z przepisami ustaw dedykowanych poszczególnym służbom – czytamy w przesłanym do nas komentarzu.
KPRM wymienia tu Agencję Bezpieczeństwa Wewnętrznego (ABW), Służbę Ochrony Państwa (SOP), Centralne Biuro Antykorupcyjne (CBA) i Żandarmerię Wojskową (ŻW).
Który organ jest odbiorcą...
I na tym można byłoby poprzestać. Jednak KPRM – określając, o zainteresowaniu jakich instytucji obywatel się nie dowie – posiłkuje się definicją odbiorcy pochodzącą z RODO. W przesłanym DGP stanowisku przedstawiciel rządu podkreśla, że zgodnie z art. 4 pkt 9 RODO za odbiorców nie są uznawane organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego. To zdaniem KPRM przemawia za tym, że wśród odbiorców nie będą wykazywane służby, które pozyskują dane do prowadzonych postępowań.
Jak system rozpozna, których przeglądających nasze dane może nam pokazać, a których nie? – Podmioty w momencie dodawania ich do systemu będą oznaczane jako użytkownicy lub odbiorcy danych. Tylko odpowiednio oznaczone podmioty będą brane pod uwagę podczas generowania stosownego dokumentu w ramach usługi transakcyjnej (czyli dokumentu zawierającego logi sprawdzających nas instytucji – wyjaśnienie red.). Informacja o udostępnieniu danych podmiotom, które nie są odbiorcami w rozumieniu RODO, będzie zapisywana w systemie, ale nie będzie udostępniana, poza organami do tego uprawnionymi – informuje KPRM.
...a który nie jest
Eksperci alarmują, że takie postawienie sprawy ma jeden poważny mankament. – Zgodnie z RODO żaden podmiot publiczny, który uzyskuje dostęp do danych w związku z prowadzonymi przez siebie postępowaniami, nie jest odbiorcą danych – zwraca uwagę dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Oznaczałoby to, że nie dowiemy się, że nasze dane sprawdzały policja, skarbówka, sądy, prokuratura, komornicy itd. – Gdyby iść tym tokiem rozumowania, uzyskałbym wyłącznie informację, że szukał mnie np. podmiot prywatny, który chce mnie pozwać. W przypadku podmiotów publicznych wiedza ta dotarłaby do mnie tylko w przypadku, w którym działałby on w sferze dominium, czyli np. jako mój wierzyciel (na gruncie prawa cywilnego, a nie administracyjnego) – argumentuje ekspert.
Doktor Litwiński tłumaczy, że informacje o służbach wnioskujących o dostęp do naszych danych nie wchodzą w zakres obowiązku informacyjnego nie dlatego, że nie są one odbiorcami w rozumieniu RODO (jak tłumaczy KPRM), ale wyłącznie z tego powodu, że przepisów RODO z zasady się do nich nie stosuje. – Kwestie związane z bezpieczeństwem państwa nie są objęte RODO, a tzw. DODO, czyli dyrektywą policyjną, a w Polsce ustawą o ochronie danych w związku z zapobieganiem i zwalczaniem przestępczości – kończy dr Litwiński.
Jego zdaniem, jeśli projekt zakłada wykonanie obowiązku informowania o odbiorcach danych zgodnie z RODO, zapisy logów nie powinny obejmować żadnych podmiotów publicznych pytających o dane w związku z prowadzonymi postępowaniami. Jeśli zaś przyjmiemy, że ustawa nie obejmuje informacji o służbach (bo do nich nie stosuje się RODO po prostu), to znaczy, że obejmie wszystkie te podmioty publiczne, które pytają o dane w związku z prowadzonymi postępowaniami. – Ale w ten sposób rozszerzamy z kolei zakres obowiązku informowania o odbiorcach danych poza granice RODO – podkreśla ekspert.
Ma to praktyczne znaczenie, bo wpływa na zakres, formę i treść samej informacji. – Jeżeli wykonuje się obowiązek wynikający z RODO, to prezentowane informacje muszą spełniać kryteria sformułowane w art. 12 ust. 1, a więc w szczególności muszą być przejrzyste, zrozumiałe, łatwo dostępne i dostosowane treścią do odbiorcy – wylicza dr Litwiński.
System obok RODO
Czy istnieje zatem obawa, że skorzystanie z elektronicznej usługi transakcyjnej może zakończyć się ściągnięciem zapisów logów, które będą niezrozumiałe? Doktor Maciej Kawecki, adwokat i dziekan Wyższej Szkoły Bankowej w Warszawie, uspokaja, że raczej nie. – To, że organ administracji publicznej nie jest odbiorcą danych, nie znaczy, że nie stosuje się do niego RODO. Stąd moim zdaniem zasady ogólne i przepisy dotyczące cech samej informacji będą miały zastosowanie od momentu, w którym ta informacja będzie miała charakter osobowy. A ona ma charakter osobowy, bo dotyczy danych konkretnej osoby – argumentuje.
Jego zdaniem nowo tworzony system w odniesieniu do uzyskania informacji o podmiotach, które wnioskowały o wgląd do naszych danych, jest tworzony „obok” RODO. – Podobny mechanizm został wprowadzony w Niemczech, a w jeszcze szerszym zakresie w Estonii. Tam każdy ma dostęp do informacji, kto „zaciąga” jego dane – podkreśla ekspert.
Uspokaja, że w projekcie nowelizacji nie pojawia się nomenklatura RODO, nie powinno więc być problemu z nazwami organów administracji, które z powodu niebycia odbiorcami informacji na gruncie RODO mogłyby z zapisu logów zniknąć. – Ustawodawca ma prawo poszerzyć zakres informacji. Jest to pogłębienie zasady autonomii informacyjnej, czyli tego, że mamy prawo wiedzieć o sobie wszystko i zarządzać informacjami na swój temat – argumentuje dr Kawecki.
Wyraża jednak obawę, że w toku procesu legislacyjnego uprawnienie to może zostać ograniczone. – Proszę zwrócić uwagę, że informacja o tym, że komornik zasięga o nas informacji, przy złej narracji może służyć temu, by uciekać z majątkiem – kończy ekspert.
Co mówi RODO
Etap legislacyjny
Projekt w konsultacjach
