Dołączenie oceny skutków dla ochrony danych do oceny skutków regulacji (OSR) przygotowywanej jako część uzasadnienia projektu aktu prawnego na rządowym etapie procesu legislacyjnego nie zwalnia ze stosowania ustępów przepisów RODO.

W możliwym do stworzenia katalogu powszechnie obowiązujących przepisów odnoszących się do działań związanych z prowadzeniem procesu legislacyjnego w Polsce znajdują się: art. 50 ustawy o finansach publicznych (t.j. Dz.U. z 2023 r. poz. 1270 ze zm.) w odniesieniu do wymogu określenia na rządowym etapie prac legislacyjnych wysokości skutków finansowych projektowanych przepisów dla sektora finansów publicznych czy przepisy rozdziału 6 ustawy – Prawo przedsiębiorców (t.j. Dz.U. z 2023 r. poz. 221 ze zm.) w zakresie obowiązku dokonania oceny wpływu projektowanych przepisów na mikroprzedsiębiorców, małych i średnich przedsiębiorców, co dotyczy nie tylko projektów rządowych, lecz także innych, z wyłączeniem wszakże projektów obywatelskich. Do takiego katalogu należy włączyć również art. 35 ust. 10 RODO w odniesieniu do oceny skutków dla ochrony danych, przy czym RODO nie wprowadziło obowiązku dokonania takiej oceny w ramach procesu legislacyjnego, a jedynie wskazało konsekwencje dokonania oceny „związanej z przyjęciem aktu normatywnego” w sferze obowiązków (a zatem również odpowiedzialności) administratorów danych. Przepis art. 35 RODO określa elementy składające się na ocenę „skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.

Co mówią polskie ustawy…

Jeśli przetwarzanie danych jest istotnym obszarem danego projektu aktu prawnego, konieczność dokonania oceny wpływu na ten obszar wynika dziś z par. 28 Regulaminu pracy Rady Ministrów (RpRM). Siłą rzeczy dotyczy to projektów rządowych. RpRM określa zakres OSR, a także wprowadza zasadę przedstawiania wyniku oceny na formularzu. W ramach KPO uznano, że OSR powinien być przygotowywany również podczas prac parlamentarnych, jednak wynikający z art. 34 ust. 2 Regulaminu Sejmu RP obowiązek dołączania do projektu ustawy uzasadnienia przedstawiającego „przewidywane skutki społeczne, gospodarcze, finansowe i prawne” nie jest sformalizowany (w tym sensie, że parlamentarny proces legislacyjny nie przewiduje stosownego formularza przedstawiającego wyniki dokonanych ocen).

Warto też odnotować, że w ustawie o działalności lobbingowej w procesie stanowienia prawa (t.j. Dz.U. z 2017 r. poz. 248 ze zm.) znajdują się przepisy, na podstawie których istnieje obowiązek udostępniania w BIP projektów aktów normatywnych oraz „wszelkich dokumentów dotyczących prac nad projektem”, co stanowi uszczegółowienie ustawy o dostępie do informacji publicznej (t.j. Dz.U. z 2022 r. poz. 902 ze zm.), w szczególności w zakresie art. 6 ust. 1 pkt 1 lit. b tej ustawy. Z kolei ustawa o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 ze zm.) przewiduje, że „założenia i projekty aktów prawnych dotyczące danych osobowych” są „przedstawiane do zaopiniowania” prezesowi UODO (nawet, jeśli RpRM odszedł od instytucji tworzenia „założeń”).

…a co wynika z RODO

Wedle art. 35 ust. 10 RODO – przepisy ust. 1–7 tego artykułu (dotyczące obowiązku nałożonego na administratorów danych, by przed rozpoczęciem przetwarzania dokonali oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych) nie mają zastosowania, jeśli przetwarzanie danych następuje na jednej z dwóch podstaw prawnych określonych w RODO, tj. na mocy art. 6 ust. 1 lit. c (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) lub art. 6 ust. 1 lit. e (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi), o ile przetwarzanie ma podstawę w przepisach, takie przepisy regulują daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej (czyli tych przepisów). Państwa członkowskie mogą przewidzieć, że mimo dokonania oceny przepisów administratorzy i tak będą musieli dokonać oceny skutków operacji przetwarzania. Pojawia się pytanie, kiedy i w jaki sposób należałoby dokonać oceny przepisów w kontekście ich skutków dla ochrony danych, o której mowa w art. 35 ust. 10 RODO. Innymi słowy, kiedy i w jaki sposób należy dokonać „oceny skutków regulacji w związku z przyjęciem podstawy prawnej przetwarzania danych”, by mógł zajść skutek wyłączający stosowania art. 35 ust. 1–7 RODO.

Na którym etapie?

Trudno uznać, że oceną, o której mowa w art. 35 ust. 10 RODO, będzie ocena skutków dla ochrony danych załączona do formularza OSR przygotowywanej na rządowym etapie procesu legislacyjnego. Czy to znaczy, że nie należy dokonywać takiej oceny przetwarzania danych w OSR? W świetle par. 28 RpRM OSR powinna zawierać przedstawienie wyników analizy wpływu projektowanego aktu normatywnego na istotne obszary oddziaływania i chociaż przepis ten nie wymienia wprost ochrony danych, to wymienione tam obszary są wskazane „w szczególności”. Jeśli zatem projektowane przepisy wpływają na obszar ochrony danych, to wyniki analizy tego wpływu powinny się znaleźć w OSR. Tu warto wspomnieć, że ewentualna opinia prezesa UODO do projektu aktu normatywnego pojawia się już po przygotowaniu OSR na etapie rządowym, a nie można też wykluczyć, że obywatele będą zgłaszali uwagi do dokumentów rządowego procesu legislacyjnego w ramach etapu konsultacji publicznych. Czy pod wpływem opinii prezesa UODO należy zmodyfikować rządowy OSR? Czy taka opinia jest wiążąca dla rządu, czy też można z nią dyskutować? Modyfikacja projektowanych przepisów na kolejnych etapach rządowego procesu legislacyjnego powinna się wiązać z aktualizacją załączanego do projektu uzasadnienia, a częścią tego jest też formularz OSR. Zmiany brzmienia projektowanych przepisów mogą nastąpić na etapie prac komisji prawniczej RCL (niemal wieńczących rządowy proces legislacyjny), która nie dysponuje wszak narzędziami dokonywania analiz skutków regulacji. Rządowe projekty ustaw bywają modyfikowane w ramach prac parlamentarnych, zaś trudno sobie wyobrazić, że każdy pakiet głosowanych w komisjach sejmowych i na sali plenarnej poprawek jest poprzedzony każdocześnie uruchamianą, formalnie uregulowaną procedurą dokonania takiej oceny.

Ocena, o której mowa w art. 35 ust. 10 RODO, by zrealizowało się wyłączenie stosowania ust. 1–7 tego artykułu, powinna być związana „z przyjęciem podstawy prawnej” (w angielskojęzycznej wersji RODO: „in the context of the adoption of that legal basis”), nie zaś dotyczyć (różnych) wersji przepisów, nad którymi pracowano na etapach poprzedzających ich przyjęcie. W efekcie należy uznać, że oceny, o której mowa w art. 35 ust. 10 RODO, należałoby dokonać już po przyjęciu przepisów przez parlament (w trzech czytaniach, po rozstrzygnięciu w sprawie ewentualnych poprawek Senatu RP), a więc na etapie kierowania ustawy do podpisu prezydenta RP albo w okresie vacatio legis. Wówczas treść przepisów byłaby już ustalona. Otwarte są pytania, kto i w jakiej procedurze miałby dokonać takiej oceny, jaki byłby jej charakter normatywny, w jaki sposób taka ocena byłaby ogłaszana opinii publicznej, oraz kto i w jaki sposób monitorowałby cały proces legislacyjny toczący się w Polsce, by identyfikować zmiany systemu prawnego mające wpływ na normy wynikające z przepisów już raz ocenionych. Nadto: kto i w jakiej procedurze i z wykorzystaniem jakiej metodyki powinien sprawdzać poprawność przeprowadzenia oceny skutków dla ochrony danych i jakimi metodami zainteresowane tym podmioty mogłyby taką ocenę podważać?

Inne dokumenty

Ocena skutków dla ochrony danych dołączona do OSR w rządowym procesie legislacyjnym nie jest (nawet wówczas, gdy tożsame z rządowym projektem przepisy zostaną przyjęte następnie przez parlament i ogłoszone w dzienniku urzędowym) tą „oceną skutków dla ochrony danych”, o której mowa w art. 35 ust. 10 RODO. Ocena skutków regulacji, o której mowa w RODO, jest w istocie innym dokumentem niż funkcjonujące w polskim porządku prawnym dokumenty OSR i OSR ex post, dla którego w tym porządku prawnym trudno poszukiwać procedury jego tworzenia i funkcjonowania. Dołączenie oceny skutków dla ochrony danych do formularza OSR na rządowym etapie procesu legislacyjnego nie zwalnia zatem administratorów danych ze stosowania ustępów 1–7 art. 35 RODO, tj. z obowiązku dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych przed rozpoczęciem przetwarzania.©℗