Z początkiem lutego niemiecki Rząd Federalny przedstawił projekt „Ustawy o dopasowaniu prawa ochrony danych do Rozporządzenia 2016/679[1] oraz implementacji Dyrektywy[2] 2016/680”[3]. Federalny Minister Spraw Wewnętrznych Thomas de Maizière podkreślał, że Niemcy są pierwszym krajem UE, który uczynił krok w kierunku ujednolicenia regulacji ochrony danych osobowych w Europie, osiągając przez to zharmonizowany, wspólny cyfrowy rynek[4].
Przebieg prac legislacyjnych w Niemczech
Po złożeniu projektu w Bundestagu 24 lutego 2017 r., niezwłocznie ruszyły wstępne prace legislacyjne[5]. Po miesiącu na temat projektu wypowiedział się Bundesrat, a następnie do tej wypowiedzi ustosunkował się Rząd Federalny[6]. Równolegle wezwano do zajęcia stanowiska Andreę Voßhoff, Federalną Pełnomocniczkę ds. Ochrony Danych i Wolności Informacji (odpowiednika GIODO) oraz niezależnych ekspertów i organizacje zajmujące się ochroną danych osobowych. W dniu 27 marca 2017 r. odbyło się zebranie parlamentarnej Komisji Spraw Wewnętrznych, na którym wysłuchano stanowisk ekspertów[7]. Pod koniec kwietnia ustawa została bez większych zmian uchwalona przez Bundestag oraz przekazana do Bundesratu. Następnie zostanie przedłożona Prezydentowi do podpisania. Opublikowanie ustawy w dzienniku urzędowym powinno nastąpić w czerwcu 2017[1]. Wejście w życie nowej regulacji, a zarazem uchylenie obowiązującej obecnie Ustawy o ochronie danych osobowych z 20 grudnia 2012 roku, przewidziane zostało na dzień 25 maja 2018 r.
Tempo prac nad niemiecką ustawą niewątpliwie robi wrażenie. Zaangażowanie niemieckiej administracji świadczy o tym, że dla rządzącej tzw. wielkiej koalicji, która w obecnym Bundestagu 18 kadencji składa się z partii CDU, CSU oraz SPD, projekt ten jest priorytetem. W pewnym zakresie tempo prac tłumaczy nieodległy termin kolejnych wyborów parlamentarnych, zaplanowanych na wrzesień 2017 r. Pozostawienie tego zagadnienia do uregulowania parlamentowi kolejnej kadencji byłoby mocno ryzykowne, w szczególności ze względu na nieprzekraczalny termin rozpoczęcia obowiązywania GDPR, 28 maja przyszłego roku.
Postęp prac legislacyjnych w Polsce
W porównaniu z powyższymi planami niemieckiego prawodawcy, postęp prac nad polskim projektem nowej ustawy o ochronie danych osobowych[9] nie jest może tak imponujący, chociaż wciąż zaliczamy się pod tym względem do czoła europejskiej stawki. Na uznanie zasługuje ponadto fakt, że polscy projektodawcy zdecydowali się „uwolnić” założenia projektu na tak wczesnym etapie, dając wyraźnie do zrozumienia, że są oni otwarci na konstruktywną krytykę ze strony środowisk zajmujących się ochroną danych osobowych. Niebawem w portalu zamieszczone zostanie porównanie zmian proponowanych w polskim i niemieckim projekcie.
Projekt niemieckiej ustawy ODO
Wracając do przyszłej niemieckiej ustawy[10], jak wynika z samej nazwy, projektodawca planuje jednym wysiłkiem legislacyjnym oraz za pomocą jednego aktu prawnego uchwalić przepisy pozwalające na bezpośrednie stosowanie Ogólnego Rozporządzenia o Ochronie Danych (dalej: GDPR)[11] oraz dokonać implementacji Dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (2016/680), dwóch kluczowych aktów prawnych UE, za pomocą których ma zostać osiągnięte ujednolicenie zasad przetwarzania danych osobowych oraz ochrony konsumentów w tym zakresie, w obrębie wspólnego rynku[12]. Takie rozwiązanie wydaje się najrozsądniejsze biorąc pod uwagę, że już sama konieczność równoległego stosowania GDPR oraz krajowej regulacji, stanowić będzie poważne praktyczne utrudnienie. Zdecydowanie zbędne byłoby w takiej sytuacji dodatkowe mnożenie wewnętrznych przepisów regulujących pokrewne zagadnienia.
Powyższa pozytywna ocena samej inicjatywy ustawodawczej nie oznacza jednak, że zaproponowana przez Rząd Federalny regulacja jest wolna od wad. Wręcz przeciwnie, projekt spotkał się z bardzo intensywną krytyką ze strony ekspertów i organizacji zajmujących się ochroną danych osobowych. Wszystko wskazuje na to, że większość uwag krytycznych, zgłaszanych przez środowiska zajmujące się ochroną danych osobowych, nie została uwzględniona w uchwalonej ustawie Najistotniejsze zgłaszane zastrzeżenia zostaną opisane w osobnej analizie, warto jednak zaznaczyć, że są one bardzo poważne. Dotyczą m.in. takich problemów, jak: zaniżenie poziomu ochrony w stosunku do GDPR; nadmierne ograniczanie praw osób, których dane dotyczą, kosztem uprawnień podmiotów przetwarzających; niedopasowanie projektu do wytycznych wynikających z orzecznictwa Federalnego Sądu Konstytucyjnego oraz wykroczenie poza upoważnienie regulacyjne wyrażone w GDPR, a nawet możliwa niezgodność z jej regulacjami.
Projektowana ustawa składa się z czterech części
Pierwsza obejmuje zagadnienia wspólne dla całej regulacji, do których należą: wspomniana już wstępna część ogólna, obejmująca zakres zastosowania ustawy oraz słownik pojęć (rozdział 1); wskazanie podstaw prawnych przetwarzania danych osobowych przez instytucje publiczne (rozdział 2); regulacje dotyczące mianowania, pozycji oraz zadań Inspektora ochrony danych powoływanego przez instytucje publiczne (rozdział 3); określenie pozycji ustrojowej Federalnego Pełnomocnika Ochrony Danych i Wolności Informacji, w szczególności jego: sposób powołania, kompetencje, gwarancja niezależności, tryb powołania i długość kadencji, stosunek urzędniczy, prawa i obowiązki, zadania, obowiązki sprawozdawcze, oraz uprawnienia (rozdział 4); kwestie proceduralne związane z reprezentacją w Europejskiej Radzie Ochrony Danych, funkcjonowaniem pojedynczego punktu kontaktowego i współpracą pomiędzy organami nadzorczymi na szczeblu federalnym i krajowym, w sprawach Unii Europejskiej (rozdział 5); oraz środki ochrony prawnej (Rozdział 6).
Druga część projektu zawiera przepisy wykonawcze dotyczące przetwarzania w celach wynikających z art. 2 GDPR[13]. Część tę otwiera wskazanie podstaw prawnych przetwarzania danych osobowych (Rozdział 1), po czym następuje określenie praw osób, których dane dotyczą (Rozdział 2) i obowiązków jednostek organizacyjnych administratora oraz podmiotu przetwarzającego (Rozdział 3). W dalszej kolejności projekt reguluje funkcjonowanie organu nadzorczego nad administratorami danych (Rozdział 4), sankcje za działanie naruszające przepisy GDPR (Rozdział 5) oraz środki ochrony prawnej (Rozdział 6). Część ta jest stosunkowo niewielka.
Trzecia część projektu, stanowiąca implementację Dyrektywy 2016/680, jest zdecydowanie najobszerniejsza. Otwierają ją przepisy określające zakres zastosowania tej części regulacji, słowniczek pojęć oraz ogólne zasady przetwarzania danych osobowych (Rozdział 1). W dalszej kolejności uregulowane zostały podstawy prawne przetwarzania danych, w zależności od celu przetwarzania oraz m.in. kwestie zgody na przetwarzanie i obowiązku zachowania tajemnicy (Rozdział 2). Następnie regulowane są prawa osób, których dane dotyczą (Rozdział 3) oraz obowiązki jednostek organizacyjnych administratorów i podmiotów przetwarzających (Rozdział 4). Kolejne części dotyczą przekazywania danych osobowych do państw trzecich oraz organizacji międzynarodowych (Rozdział 5) i współpracy międzyinstytucjonalnej pomiędzy Federalnym Pełnomocnikiem ds. Ochrony Danych i Wolności Informacji, a organami nadzorczymi innych państw członkowskich UE (Rozdział 6). Część tę zamyka określenie zasad odpowiedzialności oraz sankcji.
Ostatnia, czwarta część projektu obejmuje regulacje dotyczące przetwarzania danych osobowych w zakresie nieobjętym regulacją GDPR oraz Dyrektywy 2016/680 (art. 1).
W tej części zawarte zostały również przepisy nowelizujące inne ustawy, dotyczące przetwarzania danych osobowych, mianowicie: Ustawę o Federalnej Służbie Ochrony Konstytucji (art. 2); Ustawę o Wojskowej Służbie Wywiadu (art. 3); Ustawę o Federalnej Służbie Wywiadu (art. 4), Ustawę o kontroli bezpieczeństwa (art. 5); tzw. Ustawę artykułu 10, ograniczającą tajemnicę pocztową, korespondencji oraz telekomunikacyjną w zakresie wymaganym dla funkcjonowania służb wywiadowczych (art. 6) oraz Federalną ustawę o ochronie danych osobowych (art. 7). Ten ostatni artykuł ma zacząć obowiązywać z dniem ogłoszenia projektowanej ustawy. Wprowadza on zmiany w obecnej Federalnej ustawie o ochronie danych osobowych, które mają obowiązywać do czasu jej zastąpienia nową regulacją, z dniem 25 maja 2018. Ostatni, ósmy artykuł tej części zawiera regulacje dotyczące wejścia w życie Ustawy o dopasowaniu prawa ochrony danych do Rozporządzenia 2016/679 oraz implementacji Dyrektywy 2016/680.
Czy niemiecki projekt jest wzorcowy?
Już pobieżne zaznajomienie się z zarysowaną powyżej systematyką projektowanej ustawy rodzi pewne wątpliwości. Przykładowo, można zadać sobie pytanie czy rzeczywiście nie dało się uniknąć ujęcia w niej dwóch części ogólnych: pierwszej, odnoszącej się do całej regulacji (§ 1 i § 2 projektu) oraz drugiej, pomyślanej na potrzeby implementacji Dyrektywy 2016/680 (§ 45-47 projektu). Każda z tych części zawiera osobny słowniczek pojęć, co sprawia, że – w razie uchwalenia ustawy w projektowanej postaci – obowiązywałyby w sumie trzy słowniczki: dwa w ustawie, oraz trzeci: w art. 4 GDPR; najobszerniejszy, a przy tym w znacznej części powielający się z pojęciami występującymi w Dyrektywie 2016/680. Podobne zastrzeżenia można formułować w odniesieniu do powtarzających się w projekcie katalogów praw osób, których dane dotyczą oraz obowiązków jednostek organizacyjnych administratorów i podmiotów przetwarzających, uregulowane oddzielnie w odniesieniu do GDPR i Dyrektywy.
Peter Schaar, poprzedni Federalny Pełnomocnik ds. Ochrony Danych i Wolności Informacji, krytycznie odnosząc się do Rządowego projektu ustawy, wyraził obawy, że inne państwa członkowskie mogą inspirować się przyszłą regulacją niemiecką, powielając jej błędy. Podsumował swoje uwagi następującymi słowami: „Niemcy posiadają silną tradycję w zakresie ochrony danych osobowych (…). Mieliśmy pierwsze prawo chroniące dane na świecie. Na szali leży nasza reputacja w tym zakresie”[14].
Autor: Marcin Z. Zieliński
Przypisy:
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.
[3] Datenschutzrecht novelliert. Komunikat prasowy Rządu Federalnego z 1.02.2017. www.bundesregierung.de/Content/DE/Artikel/2017/02/2017-02-01-datenschutz.html
[4] Datenschutzrecht novelliert. Komunikat prasowy Rządu Federalnego z 1.02.2017. www.bundesregierung.de/Content/DE/Artikel/2017/02/2017-02-01-datenschutz.html
[5] http://dipbt.bundestag.de/doc/btd/18/113/1811325.pdf
[6] http://dip21.bundestag.de/dip21/btd/18/116/1811655.pdf
[7] www.bundestag.de/dokumente/textarchiv/2017/kw13-pa-innen-datenschutz/499054
[8] www.bvdnet.de/eu-dsgvo.html
[9] www.gdpr.pl/roboczy-projekt-nowej-ustawy-o-ochronie-danych-osobowych-podsumowanie.
[10] Niniejsze opracowanie bazuje na projekcie w wersji wniesionej do Bundestagu w dniu 24.02.2017.
[11] www.eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
[12] www.eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX%3A32016L0680
[14] Kritik von Sachverständigen an geplanter Datenschutz-Novelle. Informacja prasowa Bundestagu. 27.03.2017. www.bundestag.de/dokumente/textarchiv/2017/kw13-pa-innen-datenschutz/499054
