Generalny Inspektor Ochrony Danych Osobowych dr Edyta Bielak-Jomaa ( na zdjęciu) wysłała do minister cyfryzacji list z uwagami do dwóch ustaw. Są to Przepisy wprowadzające ustawę o ochronie danych osobowych oraz projekt ustawy o ochronie danych osobowych.

Urząd będzie zależny od polityków
Największy sprzeciw i wątpliwości Generalnego Inspektora Ochrony Danych Osobowych budzą takie kwestie jak niezachowanie gwarancji niezależności organu,  Zaproponowany przez Ministra Cyfryzacji model powoływania osoby pełniącej funkcję organu nadzorczego przez Sejm RP na wniosek Prezesa Rady Ministrów RP, w powiązaniu z innymi rozwiązaniami umożliwiającymi wkraczanie Rządu RP w sferę funkcjonowania organu nadzorczego, istotnie obniża dotychczasowy standard ustrojowy, który w polskim systemie prawnym efektywnie zapewniał gwarancje niezależności organu ochrony danych osobowych.  Organ ochrony danych osobowych nadal bowiem powinien instytucjonalnie być powiązany z Parlamentem.

Brak swobody w wyborze personelu
W tym kontekście kolejną kwestią budzącą uzasadnione wątpliwości jest przewidywany przez Ministra Cyfryzacji brak swobody w wyborze personelu organu nadzorczego. Zaproponowane w projekcie ustawy wyłączne uprawnienie Prezesa Rady Ministrów do powoływania zastępców organu na wniosek dwóch ministrów cyfryzacji oraz spraw wewnętrznych i administracji stanowi naruszenie rozporządzenia 2016/679 oraz art. 16 Traktatu o Funkcjonowaniu Unii Europejskiej.

Dziecko bez ochrony
Generalny Inspektor uważa, że obniżenie wieku dziecka, w którym samodzielnie może ono wyrazić zgodę na przetwarzanie danych w przypadku usług społeczeństwa informacyjnego jest rozwiązaniem złym.
Odnosząc się do skutków społecznych należy pamiętać o tym, że dziecko nie mając świadomości konsekwencji swoich działań może ujawnić swoją sferę prywatną.
W projekcie nie odniesiono się np. do kwestii cofnięcia zgody, złożenia skargi przez dziecko, którego dane osobowe zostały naruszone w związku z wyrażoną wcześniej zgodą bądź skorzystania z innych uprawnień przysługujących osobie, której dane dotyczą. Należy wziąć też pod uwagę, że wszelkie konsekwencje decyzji dziecka w tej sprawie - zgodnie z obowiązującymi krajowymi przepisami prawa- ponosić będą jego rodzice bądź przedstawiciele ustawowi.

Kary tylko dla niektórych
Kolejnym problemem, było całkowite wyłączenie wobec organów publicznych stosowania administracyjnych kar pieniężnych. Takie rozwiązanie w ocenie Generalnego Inspektora może spowodować ryzyko szerokiego wyłączenia administratorów danych spod kar administracyjnych wobec możliwości definiowania organu publicznego w znaczeniu funkcjonalnym. Na problem sprecyzowania trzech kategorii „podmiotów”, które nie będą mogły zostać ukarane żadnymi karami pieniężnymi zwróciła uwagę Komisja Ekspertów GIODO w swoim stanowisku z dnia 10 października 2017 r.

Zmiany bez wiązku z RODO
Generalny Inspektor zwraca uwagę na wprowadzane w przepisach sektorowych, w projekcie ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych, nieuzasadnionych zmian obniżających ochronę osób, których dane dotyczą. Generalny Inspektor  zauważa, że krajowa reforma ochrony danych osobowych została wykorzystana przez projektodawcę jako pretekst dla dodania w przepisach wprowadzających zmian w dotychczas obowiązujących ustawach, które nie pozostają w związku z przygotowaniem polskiego systemu prawnego do stosowania rozporządzenia 2016/679.
Ustawa wprowadzająca niewątpliwie służy zachowaniu większej czytelności ustawy głównej jednak powinna ona odpowiadać celowi jej tworzenia.
Wątpliwości Inspektora budzi zakres zmian zaproponowanych m.in. w ustawie z 6 lipca 1982 r. o księgach wieczystych i hipotece, ustawie z 21 marca  o drogach publicznych, ustawie z 4 lutego 1994 r. 
o prawie autorskim i prawach pokrewnych oraz zmiany proponowane w dużej części ustawy  statystyce publicznej 
Niektóre zmiany zaproponowane w ustawach nie pozostają w związku z tym procesem, lecz zasadniczo i niekorzystnie z punktu widzenia ochrony danych osobowych modyfikują istniejące rozwiązania, które zostały wypracowane często w toku wieloletnich uzgodnień z organem do spraw ochrony danych osobowych i których końcowym efektem było zapewnienie właściwej ochrony osób, których dane dotyczą.

Statystyka publiczna
Zmiany w ustawie o statystyce publicznej wprowadzają również obowiązki na podmioty prowadzące niepubliczne systemy informacyjne. Niepokojące jest to, że projektodawca proponuje aby podmioty prowadzące takie systemy w zakresie m.in. telekomunikacji, ubezpieczeń, transportu i zarządzania portami lotniczymi miały obowiązek przekazywania lub udostępniania przetwarzanych danych służbom statystyki publicznej. Należy wskazać, że maksymalne wykorzystanie danych już przetwarzanych w systemach, dążenie do redukowania, do niezbędnego minimum, obciążeń respondentów przekazywaniem określonych danych bezpośrednio służbom statystyki, ograniczenie kosztów badania – nie jest adekwatne do ilości danych, które będzie mogła pozyskać służba statystyki publicznej bez wiedzy respondenta. Podkreślanie przez projektodawcę w uzasadnieniu projektu, że „wszystkie dane zbierane przez służby statystyki publicznej są objęte bezwzględną ochroną jaką gwarantuje tajemnica statystyczna i są wykorzystywane wyłącznie do prac statystycznych” nie dają gwarancji, że tak rzeczywiście będzie.

Skutki regulacji
Zaproponowane w przepisach projektu ustawy zmiany będą w konsekwencji powodowały nieprawidłowe stosowanie przepisów rozporządzenia 2016/679 przez wiele podmiotów, zarówno  z sektora publicznego, jak i prywatnego. Wydaje się, że projektodawca powinien zaproponować takie przepisy, które będą zapobiegały naruszeniu praw i wolności osób, których dane dotyczą. Można odnieść wrażenie,  że projekt ustawy – Przepisy wprowadzające doprowadzi do pozbawienia podmiotów danych tychże praw. Generalny Inspektor zdecydowanie sprzeciwia się takiej praktyce.
Szczególnie niepokojące są, zdaniem GIODO - proponowane w części przepisów wprowadzających, wyłączenia zasady rozliczalności, która jest fundamentalna dla unijnej reformy ochrony danych.