Urząd Ochrony Danych Osobowych i Rządowe Centrum Legislacji krytykują propozycje nowych przepisów, które pozwolą firmom na komercyjne wykorzystywanie nieudostępnianych dziś danych.

Przygotowana przez resort cyfryzacji ustawa tworzy ramy potrzebne do korzystania z unijnego rozporządzenia o zarządzaniu danymi 2022/868 (dalej: DGA), które będzie stosowane już od 24 września 2023 r. DGA ułatwia ponowne wykorzystanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego. Chodzi o informacje, które – np. ze względu na ochronę danych osobowych czy ochronę praw własności intelektualnej – wykraczają poza zakres dyrektywy w sprawie otwartych danych. Urząd Ochrony Danych Osobowych wnioskuje o wykreślenie z projektu ustawy o zarządzaniu danymi (UC146) przepisów, które mają go zobowiązać do wydawania opinii na temat zgodności udostępnienia danych. Nowe obowiązki uznaje za naruszające zasadę zgodności z prawem (5 ust. 1 lit. a. RODO) i wiele innych regulacji.

Zdaniem UODO propozycja przepisów zawiera rozwiązania nieprzewidziane w DGA „oraz sprzeczne z jego założeniami” i do tego „ingeruje w niezależność” urzędu. Głównym punktem zapalnym jest zobowiązanie urzędu do opiniowania wniosków, które będą spływać do podmiotów sektora publicznego w sprawie ponownego wykorzystania chronionych danych (patrz: ramka). W przekazanym resortowi cyfryzacji stanowisku UODO stwierdza, że zmusi go to do wyręczania administratorów danych w obowiązkach, jakie nakłada na nich RODO.

Co więcej – wskazuje urząd – jeśli ktoś, czyje dane zostały w ten sposób udostępnione, złoży z tego powodu skargę, to UODO będzie rozpatrywał sprawę, w której już się wypowiedział.

– W mojej opinii uwagi przedstawione przez prezesa UODO, a odnoszące się do tego, że organ ten występowałby w dwóch wykluczających się rolach, są słuszne i powinny stanowić bodziec dla ustawodawcy do lepszego przygotowania projektu ustawy – komentuje Piotr Liwszic, prawnik i autor serwisu Judykatura.pl. – Słusznie wskazuje też w swojej opinii RCL, że wydanie przez prezesa UODO przedmiotowej opinii może się odbyć dopiero po złożeniu przez podmiot sektora publicznego oferty dotyczącej udzielenia dostępu do celów ponownego wykorzystywania chronionych danych, a więc po fakcie ich udostępnienia – dodaje.

Tysiące wniosków

UODO przewiduje też kłopoty techniczne z obsługą wniosków. „Założenia projektu dają podstawę do przyjęcia wniosku, że do organu nadzorczego do spraw ochrony danych osobowych miałyby wpływać tysiące wniosków o wydanie opinii. Jest to rozwiązanie nie do przyjęcia” – stwierdza.

Nowe zadania dla UODO

• Rozpatrując wniosek o ponowne wykorzystywanie chronionych danych, podmiot sektora publicznego może się zwrócić do prezesa UODO z wnioskiem o wydanie opinii dotyczącej zgodności ponownego wykorzystywania tych danych z przepisami o ochronie danych osobowych (art. 12 projektu).

• Właściwy podmiot – GUS lub NASK – rozpatrując wniosek podmiotu sektora publicznego o udzielenie pomocy przy udostępnieniu danych, może się zwrócić do prezesa UODO z wnioskiem o wydanie opinii dotyczącej zgodności ponownego wykorzystywania tych danych z przepisami o ochronie danych osobowych (art. 19 projektu).

• W obu wypadkach prezes UODO wydaje opinię w terminie 21 dni od dnia otrzymania wniosku.

• Zwrócenie się z wnioskiem o wydanie opinii do prezesa UODO wstrzymuje odpowiednio: bieg terminu rozpatrzenia wniosku o ponowne wykorzystywanie chronionych danych przez podmiot sektora publicznego lub bieg terminu rozpatrzenia wniosku o ponowne wykorzystywanie chronionych danych oraz bieg terminu rozpatrzenia wniosku o udzielenie pomocy.

Według dr. hab. Grzegorza Sibigi, profesora Instytutu Nauk Prawnych PAN, adwokata i partnera w kancelarii Traple Konarski Podrecki i Wspólnicy, z uwag UODO wynika, że urząd w ogóle nie chce przepisów instytucjonalnie angażujących go w realizację przepisów rozporządzenia, mimo że unijna regulacja takie zaangażowanie umożliwia. – Z drugiej jednak strony w projekcie ustawy nałożono na prezesa UODO zadanie opiniowania wniosków w sposób wykraczający poza DGA – przyznaje ekspert.

Wskazuje, że zgodnie z art. 9 ust. 2 rozporządzenia prawo krajowe może ustanowić organ ochrony danych osobowych jako organ kontrolujący – w wyniku zaskarżenia – decyzje w sprawie wniosków o ponowne wykorzystywanie danych chronionych. Inne możliwe opcje to sąd lub organ konkurencji. – Natomiast nie znajduje uzasadnienia w DGA zobowiązanie prezesa UODO do opiniowania każdego indywidualnego wniosku o takie wykorzystywanie, i to na podstawie niejasnych (bo uznaniowych) kryteriów przekazania do opiniowania – podkreśla dr hab. Grzegorz Sibiga.

Piotr Liwszic zwraca ponadto uwagę, że obowiązujące przepisy odnoszące się do ponownego wykorzystania informacji sektora publicznego – tj. ustawa o otwartych danych (t.j. Dz.U. z 2023 r., poz. 1524 ze zm.) – nie przewidują możliwości zasięgania opinii jakiegokolwiek organu. – Wnioski trafiające do podmiotów zobowiązanych są rozpoznawane wewnętrznie, co na pewno pozwala na zachowanie 14-dniowego terminu ich rozpatrzenia – stwierdza prawnik.

Maciej Jankowski, adwokat i partner w kancelarii prawnej Media, wskazuje też, że te zapisy mogą blokować proces udostępniania danych.

– Podobnie jak w przypadku dostępu do informacji publicznej: niby dostęp jest gwarantowany, ale jeżeli organ nie chce danych ujawnić, to jest w stanie rzucać wnioskodawcy kłody pod nogi, np. uznając informację za przetworzoną, objętą tajemnicą lub zasłaniając się RODO – wylicza Maciej Jankowski, dodając, że długość ścieżek odwoławczych często zniechęca do weryfikowania takich rozstrzygnięć.

Dwie ustawy

Krytyczne uwagi UODO wykraczają poza sprawę wniosków. Chce on też usunięcia przepisów dotyczących informowania go o ryzyku naruszenia ochrony danych w sytuacjach monitorowania pośrednictwa danych i altruizmu danych.

Profesor Grzegorz Sibiga nie zauważa jednak wady w tym rozwiązaniu.

– Nawet bez takiego przepisu każdy może sygnalizować prezesowi UODO wszelkie spostrzeżone uchybienia w obszarze ochrony danych osobowych. To, co uczyni organ ochrony danych osobowych z taką informacją, pozostawione jest jego niezależnej decyzji – argumentuje prawnik.

Poważne zastrzeżenia do projektu zgłosiło też Rządowe Centrum Legislacji. Proponuje, aby przepisy dotyczące ponownego wykorzystywania chronionych danych (czyli trzon projektowanej ustawy) przyjąć w formie nowelizacji ustawy o otwartych danych zamiast nowej regulacji. Argumentuje, że w przeciwnym razie podmiot sektora publicznego „będzie zobowiązany do odmowy zgody na ponowne wykorzystywanie danych na podstawie ustawy o otwartych danych”, a następnie do jej udzielenia na warunkach projektowanej ustawy.

Profesor Grzegorz Sibiga zgadza się, że jest to istotna wada. – Projektujący popełnił błąd, ponieważ powinien zaproponować ograniczenie stosowania dotychczasowej ustawy (o otwartych danych – red.) i regulacje eliminujące sytuacje kolizyjne, np. w rozpatrywaniu wniosków – stwierdza ekspert. – Natomiast jestem sceptyczny co do łączenia w jednej dotychczasowej ustawie tych dwóch materii, ponieważ przepisy DGA dotyczące ponownego wykorzystywania bardzo się różnią pod każdym względem od obecnej ustawy o otwartych danych (materialnym, proceduralnym i ustrojowym). Zostałby w ten sposób stworzony niezwykle niejednolity i trudny w stosowaniu akt – zastrzega.

Jak informuje Ministerstwo Cyfryzacji, trwa analiza uwag i „przedwczesne jest przesądzanie ostatecznego kształtu projektu”. Resort zakłada, że projekt ustawy zostanie przyjęty przez Radę Ministrów we wrześniu br.©℗

Podstawa prawna

Etap legislacyjny

Projekt ustawy po konsultacjach