Wykaz prac legislacyjnych i programowych Rady Ministrów


Numer projektuUC100
Tytuł
Rodzaj dokumentuprojekty ustaw
Informacje o przyczynach i potrzebie wprowadzenia rozwiązań planowanych w projekcie

W dniu 25 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „rozporządzeniem 2016/679”. Rozporządzenie 2016/679 zacznie być aktem bezpośrednio stosowanym od dnia 25 maja 2018 r. i do tego czasu każde z państw członkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcia właściwych przepisów wewnętrznych. Tym samym, począwszy od tej daty,  polskie przepisy muszą zapewniać skuteczne stosowanie przepisów Rozporządzenia, nie powielając rozwiązań Rozporządzenia ani nie będąc z nim sprzecznymi. W tym celu konieczne jest poza uchwaleniem nowej ustawy o ochronie danych osobowych także dokonanie setek zmian w innych ustawach. Z uwagi na ich liczbę zdecydowano się dokonać tego w projekcie ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych.

Istota rozwiązań ujętych w projekcie

W projekcie ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych zawarto szereg zmian ustaw, wypracowanych wspólnie z właściwymi resortami, zapewniającymi stosowanie rozporządzenia 2016/679.  

Oceny poszczególnych regulacji pod kątem ich zgodności z rozporządzeniem 2016/679 dokonywały w znacznej części właściwe resorty, doręczając Ministrowi Cyfryzacji swoje propozycje zmian. Zmiany w tym zakresie obejmować będą w szczególności ustawy takie jak:

W sektorze cyfryzacji:

  • ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2016 r. poz. 1030 i 1579), dalej: „ustawa o świadczeniu usług drogą elektroniczną”;
  • ustawa z dnia 16 lipca 2004 r. prawo telekomunikacyjne (t.j. Dz. U. z 2016 r. poz. 1489, 1579, 1823, 1948, 1954, 2003, z 2017 r. poz. 935.), dalej: „ustawa prawo telekomunikacyjne”;
  • ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570, ), dalej: „ustawa o informatyzacji”.

Ustawa o świadczeniu usług drogą elektroniczną w zakresie przesyłania informacji handlowych za pomocą środków komunikacji elektronicznej stanowi implementację dyrektywy 2002/58 Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37). Art. 13 ust. 1 dyrektywy 2002/58 wskazuje, iż używanie automatycznych systemów wywołujących bez ludzkiej ingerencji (aparaty wywołujące automatycznie), faksów lub poczty elektronicznej do celów marketingu bezpośredniego może być dozwolone jedynie wobec abonentów, którzy uprzednio wyrazili na to zgodę. W tym kontekście należy zwrócić uwagę, iż dyrektywa 2002/58 nie zawiera samodzielnej definicji zgody na przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej i w tym zakresie odwołuje się do dyrektywy 95/46. Zgodnie z motywem 17 dyrektywy 2002/58 „Do celów niniejszej dyrektywy, zgoda użytkownika lub abonenta, niezależnie od tego czy abonentem jest osoba fizyczna czy prawna, powinna mieć to samo znaczenie co zgoda podmiotu danych opisana i szerzej określona w dyrektywie 95/46/WE. Zgoda może być udzielona w jakikolwiek sposób umożliwiający swobodne i świadome wyrażenie woli użytkownika, włączając zaznaczenie okna wyboru podczas przeglądania witryny internetowej”. Rozporządzenie 2016/679 swoim zakresem podmiotowym i przedmiotowym obejmuje przetwarzanie danych osobowych związku ze świadczeniem usług drogą elektroniczną. Jednocześnie ogólne rozporządzenie nie daje podstaw do doprecyzowania lub zawężenia jego przepisów w zakresie i w sposób jaki ma to miejsce obecnie w rozdziale IV ustawy. W związku z tym należy w rozdziale IV ustawy o świadczeniu usług drogą elektroniczną uchylić przepisy dotyczące materii regulowanych treścią rozporządzenia (UE) 2016/679.

Ustawa prawo telekomunikacyjne w zakresie sposobu wyrażenia zgody, o której mowa w art. 174 pr. tel. stanowi implementację dyrektywy 2002/58. Natomiast rozporządzenie 2016/679 - stosownie do art. 95 - „nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określonym w dyrektywie 2002/58/WE”. Konieczne jest również uchylenie art. 174a-174d co jest konsekwencją treści przepisów rozporządzenia NR 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej. Przepisy rozdziału VII prawa telekomunikacyjnego - w obecnym kształcie - zawierają regulacje dotyczące przetwarzania danych dotyczących użytkownika będącego osobą fizyczną, które nie stanowią implementacji dyrektywy 2002/58. Dane te nie są objęte treścią art. 95 rozporządzenia 2016/679, w związku z czym należy je wyłączyć spod regulacji pr. tel. i objąć przepisami o ochronie danych osobowych.

W zakresie sektora energii:

  • ustawa z dnia 10 kwietnia 1997 r. – Prawo energetyczne (Dz. U. z 2017 r. poz. 220 i 791),
  • ustawa z dnia 25 sierpnia 2006 r. o biokomponentach i biopaliwach ciekłych (Dz. U. z 2017 r. poz. 285, z późn. zm.),
  • ustawa dnia 16 lutego 2007 r. o zapasach ropy naftowej, produktów naftowych i gazu ziemnego oraz zasadach postępowania w sytuacjach zagrożenia bezpieczeństwa paliwowego państwa i zakłóceń na rynku naftowym (Dz. U. z 2016 r. poz. 1899, z późn. zm.),
  • ustawa z dnia 20 lutego 2015 r. o odnawialnych źródłach energii (Dz. U. z 2015 r. poz. 478, z późn. zm.).

W ww. ustawach zidentyfikowano następujące kwestie wymagające dostosowania do wymagań rozporządzenia 2016/679: w przepisach regulujących prowadzenie rejestru podmiotów przywożących, rejestru wytwórców energii w małej instalacji, rejestru wytwórców, rejestru rolników, rejestru administratorów systemów certyfikacji, rejestru jednostek certyfikujących oraz rejestru wytwórców biogazu rolniczego brak regulacji określających jednoznacznie skutek wykreślenia danych z rejestru. W związku z tym mogą pojawiać wątpliwości, czy dane podmiotu wykreślonego są nadal widoczne, ale np. z adnotacją „wykreślony” lub odpowiadającym jej oznaczeniem graficznym. W ustawie o odnawialnych źródłach energii w przypadku danych osobowych przetwarzanych w związku z przekazywaniem sprawozdań, o których mowa w art. 22 ustawy, informacji, o której mowa w art. 21 ustawy oraz wydawaniem świadectw pochodzenia i świadectw pochodzenia biogazu rolniczego nie określono, kto pełni funkcję administratora tych danych osobowych. W art. 29b ustawy o zapasach ropy naftowej, produktów naftowych i gazu ziemnego oraz zasadach postępowania w sytuacjach zagrożenia bezpieczeństwa paliwowego państwa i zakłóceń na rynku naftowym zastosowano niezgodne z rozporządzenia 2016/679 wyłączenie dot. przetwarzania danych osobowych. W ww. ustawach zastosowano odwołania do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która ma zostać uchylona.

W zakresie sektora infrastruktury i budownictwa m.in.:

  • ustawa z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2015 r., poz. 1892),
  • ustawa z dnia 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (Dz.U. z 2016 r. poz. 250, z pózn. zm.),
  • ustawa z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz. U. z 2013 r. poz. 1222),
  • ustawa z dnia 7 czerwca 2001 r. o zbiorowym zaopatrzeniu w wody i zbiorowym odprowadzaniu ściek6w (Dz. U. z2017r. poz. 328),
  • ustawa z dnia 21 czerwca 2001 r. o dodatkach mieszkaniowych (Dz. U. z 2017 r., poz. 180),
  • ustawa z dnia 21 czerwca 2001 r. o ochronie praw lokatorów, mieszkaniowym zasobie gminy i o zmianie Kodeksu cywilnego (Dz. U. z 2016 r. poz. 1610)
  • ustawa z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. z 2016 r. poz. 1907, 1935 i 1948 oraz z 2017 r. poz. 708),
  • ustawa z dnia 12 stycznia 2007 r. o drogowych spółkach specjalnego przeznaczenia (Dz. U. z 2015 r. poz. 1502 i 2260).

W sektorze finansów

  • ustawa z dnia 17 czerwca 1966 o postępowaniu egzekucyjnym w administracji (Dz. U. z 2016 r. poz. 599, z późn. zm.),
  • ustawa z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (Dz. U. z 2016 r. poz. 476, z późn. zm.),
  • ustawa z dnia 29 sierpnia 1997 – Ordynacja podatkowa (Dz. U. z 2017 r. poz. 201, z późn. zm.),
  • ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2016 r. poz. 1988, z późn. zm.),
  • ustawa z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2016 r. poz. 2060),
  • ustawa z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2016 r. poz. 1910, z późn. zm.),
  • ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2016 r. poz. 1572, z późn. zm.);
  • ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. poz. 1844, z późn. zm.),
  • ustawa z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. poz. 1947, z późn. zm.),
  • ustawa z dnia 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami (Dz. U. poz. 648).

W zakresie zmian ustawy Prawo bankowe i ustawy o spółdzielczych kasach oszczędnościowo-kredytowych projektowane zmiany polegają na wskazaniu podstawy prawnej, zakresu oraz celu przetwarzania danych osób fizycznych w toku prowadzonej działalności przez banki i spółdzielcze kasy oszczędnościowo - kredytowe, w sposób zgodny z przepisami rozporządzenia 2016/679, w tym m.in. w zakresie pozyskiwania wyraźnej zgody na przetwarzanie danych osobowych osoby, której dane dotyczą, czy wykorzystywania w prowadzonej działalności zautomatyzowanego przetwarzania, w tym profilowania. Ponadto proponuje się uregulowanie kwestii, takich jak: - przetwarzanie danych biometrycznych w celu identyfikacji/uwierzytelnienia osoby fizycznej - ograniczenie stosowania niektórych przepisów rozporządzenia 2016/679 w odniesieniu do administratorów danych (banki/skoki), - przetwarzanie danych dotyczących niekaralności pracowników banków (skoków).

W zakresie zmian w ustawie UFG - celem zmian jest jednoznaczne wskazanie podstawy prawnej, zakresu oraz celu przetwarzania danych w związku z wykonywaniem zadań ustawowych przez Ubezpieczeniowy Fundusz Gwarancyjny (UFG) i Polskie Biuro Ubezpieczycieli Komunikacyjnych (PBUK). W zakresie zmian w ustawie o działalności ubezpieczeniowej i reasekuracyjnej – celem zmian jest wskazanie podstawy prawnej, zakresu oraz celu przetwarzania danych w związku z wykonywaniem zadań przez zakłady ubezpieczeń w ramach prowadzonej działalności. Proponuje się również wprowadzenie zmian m.in. w zakresie automatycznego przetwarzania informacji i podejmowania zautomatyzowanych decyzji, przetwarzania szczególnych kategorii danych osobowych, ograniczenia obowiązków i praw podmiotów danych wskazanych w art. 12-22 i 34 zgodnie z art. 23 rozporządzenia 2016/679 w odniesieniu do UFG i PBUK z uwagi na wykonywane zadania nałożone w drodze ustawy na te instytucje.

Zmiany w ustawach podatkowych mają na celu wskazanie podstawy prawnej przetwarzania danych osobowych przez organy państwowe lub dostosowywane do nowych przepisów w zakresie ochrony danych osobowych.

W zakresie zmian ustawy o postępowaniu egzekucyjnym w administracji konieczne jest dodanie § 4 w art. 36 korzystając z możliwości ograniczenia praw osób, których dane dotyczą wskazanych w art. 12-22 i art. 34 rozporządzenia 2016/679. Powyższe ograniczenie zostałoby zastosowane w zakresie niezbędnym do wszczęcia i prowadzenia postępowania egzekucyjnego oraz udzielania pomocy przy dochodzeniu należności państw obcych na podstawie ustawy z dnia 11 października 2013 r. o wzajemnej pomocy przy dochodzeniu podatków, należności celnych i innych należności pieniężnych (Dz. U. poz. 1289, z późn. zm.). Podstawą powyższego ograniczenia praw podmiotów danych jest przepis art. 23 ust. 1 lit. d i e rozporządzenia 2016/679.

W sektorze statystyki publicznej

Ustawodawca unijny w art. 89 ust. 2 rozporządzenia 2016/679 wprowadził możliwość zastosowania wyjątków od praw, o których mowa w art. 15, 16, 18 i 21 rozporządzenia 2016/679. Takie wyłączenie może mieć miejsce na gruncie przepisów krajowych lub unijnych. Stąd konieczność dostosowanie przepisów ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2016 r. poz. 1068, z późn. zm.) do wymogów zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679. Ponadto w związku z tym, że statystyka publiczna jest zobowiązana do informowania społeczeństwa, organów państwa i administracji publicznej oraz podmiotów gospodarki narodowej o sytuacji ekonomicznej, demograficznej, społecznej i środowiska naturalnego. Informacje te dostarczane są w oparciu o wyniki obliczeń, opracowań i analiz dokonanych na podstawie zebranych w badaniach statystycznych statystyki publicznej danych statystycznych, w tym danych osobowych. Dla służb statystyki publicznej istotne jest zapewnienie innowacyjnych rozwiązań w zakresie zbierania danych statystycznych, takich jak wykorzystanie nowych źródeł danych, nowych technologii w celu zbierania i analizy danych, w tym również danych osobowych. Stąd konieczna jest nowelizacja obowiązujących przepisów w sposób spójny z przepisami ww. rozporządzenia.

W sektorze pracy zmian wymagają:

  • ustawa z dnia 13 lipca 2006 roku o ochronie roszczeniach pracowniczych w razie niewypłacalności pracodawcy (Dz U 2016r poz. 1256),
  • ustawa z dnia 16 września 2016 roku o szczególnych rozwiązaniach związanych z usuwaniem skutków powodzi (Dz U 2016r. poz. 825),
  • ustawa z dnia 11 października 2013 roku o szczególnych rozwiązaniach związanych z ochroną miejsc pracy (Dz U z 2015 r. poz. 385. z pozn. zm.),
  • ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U. 2016 nr 0 poz. 1666).

 

W zakresie zmian w Kodeksie pracy, projekt zakłada w szczególności - dostosowanie brzmienia obowiązujących przepisów prawa pracy do wymogu zawartego w art. 6 ust. 1 lit c. ww. rozporządzenia 2016/679, wprowadzającego przesłankę istnienia obowiązku prawnego jako podstawy pobierania danych osobowych. W konsekwencji przepisy, które obecnie zawierają jedynie możliwość żądania określonych danych osobowych w stosunkach pracy, zostają zmienione na obowiązek pobierania tych danych. Przepisy przewidują również modyfikację dotychczasowego katalogu danych osobowych pobieranych od osoby ubiegającej się o zatrudnienie oraz pracownika, uwzględniającą ich niezbędność dla pracodawcy, obligatoryjność ich pobierania oraz ochronę pracownika. Przepisy zawierają również unormowanie zasad wyrażenia zgody przez osobę ubiegającą się o zatrudnienie lub pracownika na pobranie określonych danych osobowych przez pracodawcę. Przepisy przewidują również stworzenie negatywnego katalogu danych których pozyskanie nie może nastąpić nawet za zgoda osoby ubiegającej się o zatrudnienie lub pracownika. Uregulowano również instytucję monitoringu jako szczególną formę przetwarzania danych osobowych pracowników. Do projektu wprowadzono również podstawę prawną do pozyskiwania i przechowywania przez pracodawcę skierowań na badania lekarskie oraz orzeczeń lekarskich wydawanych w wyniku tego skierowania, jeżeli osoba przyjmowana do pracy u innego pracodawcy posiada aktualne orzeczenie lekarskie stwierdzające brak przeciwskazań do pracy na danym stanowisku.

W zakresie sektora sportu i turystyki zmiany wymaga:

  • ustawa z dnia 29 sierpnia 1997 r. o usługach turystycznych (Dz. U. 2016 poz. 187 z późn. zm.).

W zakresie sektora sportu i turystyki istnieje potrzeba jednoznacznego określenia, że przedsiębiorcy prowadzący obiekty hotelarskie, w zakresie swojej działalności i w zakresie uzasadnionym świadczonymi usługami hotelarskimi mają możliwość przetwarzania danych osobowych dotyczących zdrowia klientów. Projektowana regulacja będzie sankcjonowała działanie zwłaszcza przedsiębiorców prowadzących obiekty hotelarskie, którzy świadczą szeroko rozumiane usługi sanatoryjno-zdrowotne, a jednocześnie nie są oni objęci ustawą z dnia 28 lipca 2005 r. o lecznictwie uzdrowiskowym, uzdrowiskach i obszarach ochrony uzdrowiskowej oraz o gminach uzdrowiskowych.

Proponowane rozwiązania prawne mają na celu ograniczenie praw przyznanych na mocy art. 14 rozporządzenia 2016/679 i są zgodne z art. 23 rozporządzenia 2016/679. Istnieje również potrzeba ograniczenia stosowania art. 14 rozporządzenia 2016/679 w stosunku do przedsiębiorców prowadzących obiekty hotelarskie. Znajduje to uzasadnienie w art. 23 ust. 1 rozporządzenia 2016/679. Obiekty hotelarskie w bardzo wielu przypadkach pozyskują dane osobowe klientów w sposób inny niż bezpośrednio od nich samych. Dzieje się tak w szczególności w przypadku zawierania umów o usługi hotelarskie na rzecz klientów przez podmioty trzecie (np. organizatorów turystyki czy pracodawców rezerwujących nocleg dla swoich pracowników). Jednocześnie, z uwagi na częste zmiany klientów faktycznie korzystających z obiektów hotelarskich, utrzymanie obowiązków z art. 14 rozporządzenia 2016/679 w stosunku do obiektów hotelarskich może naruszyć prawa i wolności klientów. W szczególności, naruszenie praw i wolności może mieć miejsce w sytuacji poinformowania klienta o przetwarzaniu jego danych, podczas gdy z przyczyn niezależnych od klienta, w ostatecznym rozrachunku nie będzie on korzystał z usług hotelarskich świadczonych przez obiekt hotelarski. Nie mniej jednak, obiekty hotelarskie będą zobowiązane do wypełnienia obowiązków wynikających z art. 14 rozporządzenia 2016/679.

W zakresie sektora zdrowia zmian wymagają:

  • ustawa z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym (Dz. U. z 2016 r. poz. 1868, z późn. zm.). Projektowana zmiana dotyczy przepisów odnoszących się do zasad przetwarzania danych osobowych w Systemie Wspomagania Dowodzenia Państwowe Ratownictwo Medyczne. Wynika ona z konieczności dostosowania przepisów ustawy o Państwowym Ratownictwie Medycznym do skutków wejścia w życie przepisów rozporządzenia 2016/679. Odwołania zawarte w ustawie o Państwowym Ratownictwie Medycznym do przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz aktów wykonawczych powinny zostać dostosowane do nowej sytuacji;
  • ustawa z dnia 1 lipca 2011 r. o samorządzie pielęgniarek i położnych (Dz. U. poz. 1038, z późn. zm). W związku z wejściem w życie rozporządzenia 2016/579 powstaje konieczność jednoznacznego wskazania podmiotu odpowiedzialnego za administracje danych osobowych zawartych w rejestrach pielęgniarek i położnych, o których mowa w art. 31 pkt 3 ustawy z dnia 1 lipca 2011 r. o samorządzie pielęgniarek i położnych (Dz. U. poz. 1038, z późn. zm.) poprzez zmianę wskazującą, jako administratora tych danych – Okręgowe Rady Pielęgniarek i Położnych;
  • ustawa z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz. U. z 2016 r. poz. 1251, z późn. zm.). W związku z wejściem w życie rozporządzenia 2016/679 powstaje konieczność jednoznacznego wskazania podmiotu odpowiedzialnego za administracje danych osobowych zawartych w Centralnym Rejestrze Pielęgniarek i Położnych, o którym mowa w art. 43 ustawy z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej poprzez zmianę wskazującą,  jako administratora tych danych – Naczelną Radę Pielęgniarek i Położnych;
  • ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2016 r. poz. 1535, z późn. zm.). Celem zaproponowanych zmian jest dostosowanie obowiązujących przepisów ustawy o systemie informacji w ochronie zdrowia do regulacji rozporządzenia 2016/679;
  • ustawa z dnia 25 czerwca 2015 r. o leczeniu niepłodności (Dz. U. poz. 1087  z późn. zm.). Projektowana zamiana dotyczy przepisów odnośnie zasad przetwarzania danych w Rejestrze Dawców Komórek Rozrodczych i Zarodków oraz ogólnych zasad przetwarzania danych związanych z wykonywaniem zadań ośrodka medycznie wspomaganej prokreacji i banku komórek rozrodczych i zarodków. Wynika z konieczności dostosowania przepisów ustawy z dnia 25 czerwca 2015 r. o leczeniu niepłodności do skutków wejścia w życie przepisów rozporządzenia 2016/679. Obowiązujące przepisy w zakresie ochrony danych osobowych, w tym ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zostaną zastąpione. Odwołania zawarte w ustawie z dnia 25 czerwca 2015 r.  o leczeniu niepłodności do przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz aktów wykonawczych powinny zostać dostosowane do nowej sytuacji prawnej;
  • ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2016 r., poz. 1793, z późn. zm.). Rozwiązywanym problemem jest dotychczasowy stan braku formalnego uregulowania kto jest administratorem danych osobowych określonych w art. 32b ust. 4 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, tj. danych osobowych zawartych w Karcie Diagnostyki i Leczenia Onkologicznego (dalej zwanej „Kartą DILO”). Wydaje się być naturalne, iż w sytuacji, gdy Karta DILO zawierająca dane osobowe w rozumieniu rozporządzenia 2016/679, pozostaje u świadczeniodawcy (co oznacza, że ten gromadzi dane osobowe, a zatem dokonuje czynności wyczerpującej znamiona przetwarzania tego typu danych), świadczeniodawca ten powinien być uznany za administratora danych osobowych, i jako taki wskazany wprost w przepisie prawa; przepisy pozwalające Narodowemu Funduszowi Zdrowia, zwanemu dalej „NFZ” na nieinformowanie osób, których dane NFZ pozyskał w związku ze zgłoszeniem do ubezpieczenia zdrowotnego i opłacaniem składek (m.in. od świadczeniodawców udzielających świadczeń opieki zdrowotnej, ZUS, czy KRUS)  o każdym przypadku przetwarzania danych, jeśli przetwarzane dane osobowe były pozyskane od podmiotów innych niż osoby, których te dane dotyczą. Zwolnienie z obowiązku informowania osób, których dane NFZ przetwarza, jest możliwe o ile przepisy prawa krajowego wydane na podstawie na art. 23 rozporządzenia 2016/679 rozwiązanie takie przewidują, a przetwarzanie danych (informacji) jest związane z interesem publicznym w obszarze zdrowia publicznego i zabezpieczenia społecznego;
  • ustawa z dnia 25 września 2015 r. o zawodzie fizjoterapeuty (Dz. U. poz. 1994). W art. 12 ust. 9 ustawy znajduje się odwołanie do obecnie obowiązującej „ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych”. W związku z wejściem w życie rozporządzenia 2016/679  oraz nowej ustawy o ochronie danych osobowych odwołanie do obecnie obowiązującej ustawy o ochronie danych osobowych stanie się nieaktualne.

W zakresie sektora sprawiedliwości:

Treść rozporządzenia 2016/679 ma zastosowanie między innymi do działań sądów i innych organów wymiaru sprawiedliwości, niemniej prawo Unii lub prawo państwa członkowskiego może doprecyzować operacje i procedury przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości. W świetle rozporządzenia 2016/679 właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości – tak by chronić niezawisłość sprawowania wymiaru sprawiedliwości. Powinna istnieć możliwość powierzenia nadzoru nad takimi operacjami przetwarzania danych specjalnym organom w systemie wymiaru sprawiedliwości państwa członkowskiego, organy te powinny w szczególności zapewnić przestrzeganie przepisów rozporządzenia, zwiększać w wymiarze sprawiedliwości wiedzę o jego obowiązkach wynikających z treści rozporządzenia oraz rozpatrywać skargi związane z takimi operacjami przetwarzania danych. W ramach realizacji swoich zadań sądy przetwarzają dane osób fizycznych. Jest to bowiem niezbędne dla zapewnienia należytego biegu toczącym się postępowaniom (doręczanie zawiadomień o rozprawach, informacji, pism i orzeczeń sądowych). W wymiarze sprawiedliwości przetwarzanie danych osobowych ma miejsce zarówno w systemach teleinformatycznych obsługujących postępowanie sądowe (np. elektroniczne postępowanie upominawcze), systemach teleinformatycznych,  w których prowadzone są rejestry sądowe ( np. elektroniczna księga wieczysta, Krajowy Rejestr Sądowy) oraz w sądowych systemach informatycznych (biurowość sądowa), jak również w postępowaniach sądowych prowadzony w tradycyjny sposób. Sposób przetwarzania danych osobowych (elektronicznie albo papierowo) determinuje administratora danych. Sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są administratorem danych osobowych przetwarzanych w prowadzonych papierowo aktach spraw, a także w elektronicznych postępowaniach sądowych oraz rejestrach sądowych. W odniesieniu do niektórych z funkcjonujących w sądach systemów teleinformatycznych administratorem danych osobowych jest również Minister Sprawiedliwości jako podmiot odpowiedzialny za utrzymanie systemu i zapewnienie jego bezpieczeństwa, a także jako zwierzchnik komórki organizacyjnej Ministerstwa Sprawiedliwości wykonującej w systemie czynności określone w przepisach szczególnych (np. udzielanie informacji z rejestrów sądowych, zakładanie konta w systemie teleinformatycznym obsługującym postępowanie sądowe). W odniesieniu do sądowych systemów teleinformatycznych, które wspierają pracę sądów, za administratora danych osobowych oprócz sądów należy również uznać prezesa właściwego sądu.

Mając na względzie dostosowanie treści ustaw pozostających we właściwości Ministra Sprawiedliwości do przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych proponuje się następujące zmiany:

  • w projektowanym art. 175d ustawy Prawo o ustroju sądów powszechnych jako administratorów danych osobowych w systemach teleinformatycznych , w których prowadzone są rejestry sądowe oraz w sądowych systemach informatycznych wskazano: sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, prezesów właściwych sądów oraz Ministra Sprawiedliwości w ramach realizowanych zadań,
  • w projektowanym ustawy Prawo o ustroju sądów powszechnych odrębnie określono administratorów danych osobowych w postępowaniach sądowych prowadzonych poza systemami teleinformatycznymi. Administratorami takich danych są wyłącznie sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej,
  • w projektowanych art. 157 i 175a 175e ustawy Prawo o ustroju sądów powszechnych uwzględnia się odrębny charakter i przeznaczenie przetwarzania danych osobowych biegłych sądowych oraz osób ubiegających się o ustanowienie biegłymi sądowymi związane z prowadzonymi w odniesieniu do nich postępowaniami administracyjnymi i innymi czynnościami podejmowanymi wobec nich przez prezesów sądów okręgowych oraz Ministra Sprawiedliwości,
  • w ustawie Prawo o ustroju sądów wojskowych oraz ustawie Prawo o ustroju sądów administracyjnych zaproponowano rozwiązania analogicznie jak w ustawie Prawo o ustroju sądów powszechnych. Sądy wojskowe, sądy administracyjne oraz Sąd Najwyższy podobnie jak sądy powszechne sprawują bowiem wymiar sprawiedliwości w ramach, którego przetwarzają dane osobowe. Dane przetwarza się w celu realizacji obowiązku prawnego. Konieczne jest zatem zachowanie odrębności postępowania z danymi osobowymi stosownie do reguł rządzących postępowaniami przed sądami administracyjnymi i Sądem Najwyższym.

W polskim systemie prawnym przetwarzanie danych osobowych w ramach sprawowania wymiaru sprawiedliwości dokonuje się w toku postępowań prowadzonych przez sądy powszechne, sądy wojskowe, sądy administracyjne (Naczelny Sąd Administracyjny oraz wojewódzkie sądy administracyjne), Sąd Najwyższy oraz Trybunał Konstytucyjny. W związku z tym proponuje się, aby nadzór nad przetwarzaniem danych osobowych dokonywany był w ramach prowadzonych przez te sądy postępowań sądowych. W pozostałym zakresie działalności sądów – innym niż dotyczący postępowań sądowych – nadzór pozostałby w zakresie właściwości centralnego organu nadzorczego. Generalna zasada nadzoru oparta jest o system kontroli rozproszonej. Oznacza to, że nie wskazuje się jednego organu, który pełniłby funkcję organu nadzorczego, a jedynie istniejącym podmiotom powierza się pełnienie tej funkcji. Planuje się, aby przetwarzanie danych osobowych przez sady powszechne dokonywane w ramach prowadzonych postępowań sądowych podlegało nadzorowi:

  • w zakresie działalności sądu rejonowego – prezesowi sądu okręgowego,
  • w zakresie działalności sądu okręgowego – prezesowi sądu apelacyjnego,
  • w zakresie działalności sądu apelacyjnego – Krajowej Radzie Sądownictwa,
  • w zakresie działalności wojewódzkich sądów administracyjnych – Prezes Naczelnego Sądu Administracyjnego,
  • w zakresie działalności Naczelnego Sądu Administracyjnego – Krajowej Radzie Sądownictwa,
  • w zakresie działalności Sądu Najwyższego – Krajowej Radzie Sądownictwa,
  • w zakresie działalności Trybunału Konstytucyjnego – Krajowej Radzie Sądownictwa.

Należy zauważyć, że podmioty będące organami nadzoru nad poszczególnymi sadami chociaż same pozostają w strukturze wymiaru sprawiedliwości, to zachowują samodzielność i niezależność od sądów podlegających nadzorowi.

Organ odpowiedzialny za opracowanie projektuMC
Osoba odpowiedzialna za opracowanie projektuAnna Streżyńska Minister Cyfryzacji
Organ odpowiedzialny za przedłożenie projektu RMMC
Planowany termin przyjęcia projektu przez RMIV kwartał 2017 r.
Informacja o rezygnacji z prac nad projektem (z podaniem przyczyny)-