Przepisy o przetwarzaniu danych w rejestrach publicznych wymagają pilnego przeglądu

Prezes UODO Mirosław Wróblewski zwrócił się do wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego o przeprowadzenie przeglądu rejestrów publicznych.

Prezes Urzędu Ochrony Danych Osobowych wielokrotnie przedstawiał swoje uwagi do przepisów regulujących działanie różnych rejestrów, m.in. Krajowego Rejestru Sądowego, Rejestru Dowodów Osobistych czy Rejestru PESEL. Miał także zastrzeżenia do aplikacji działających w oparciu o dane pobierane z publicznych rejestrów, jak np. mObywatel czy Zintegrowana Platforma Analityczna. Teraz organ nadzorczy ponownie apeluje o dokonanie przeglądu funkcjonowania rejestrów publicznych. Jest to konieczne, gdyż polski system prawny stoi przed wyzwaniami związanymi z zapewnieniem stosowania szeregu aktów prawa Unii Europejskiej, które zmieniają dotychczasowe modele przetwarzania danych, w tym danych osobowych, w rejestrach publicznych – wskazuje Prezes UODO. Chodzi m.in. o

• akt w sprawie zarządzania danymi,
• akt w sprawie sztucznej inteligencji,
• akt o usługach cyfrowych,,
• akt w sprawie danych,
• rozporządzenie w sprawie europejskiej przestrzeni danych dotyczących zdrowia,
• zmianę rozporządzenie w sprawie europejskich ram tożsamości cyfrowej,
• czy też implementację dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Prezes UODO zwraca uwagę, że stosowanie tych przepisów będzie związane z wykorzystywaniem narzędzi informatycznych, w tym z wykorzystaniem np. sztucznej inteligencji. To powoduje konieczność zapewnienia odpowiedniego nadzoru nad tymi procesami oraz niesie ze sobą ryzyka dla praw i wolności osób, w tym m.in. ich prywatności. Prezes UODO przypomniał, że na problematykę przetwarzania danych osobowych w rejestrach publicznych w kontekście ograniczenia władzy publicznej zwracał uwagę TSUE. Trybunał odnosił się także nad zagadnieniem łączenia w rejestrach publicznych danych pozyskiwanych z różnych baz danych oraz pojęcia i roli administratora.

Zdaniem Prezesa UODO, aby nowe przepisy wdrożyć we właściwy sposób, konieczny jest przegląd rejestrów publicznych – zarówno pod względem podstaw prawnych, jak i merytorycznym. Dopiero taka inwentaryzacja pozwolił na ocenę przepisów prawa, na podstawie których rejestry są prowadzone.

Uwagę Prezes UODO zwraca przede wszystkim na:

• identyfikację i właściwe przypisanie ról w procesach przetwarzania danych podmiotów prowadzących rejestry
• ocenę zawartości danych osobowych w rejestrach publicznych pod kątem ich faktycznej niezbędności
• ocenę roli podmiotów i organów zaangażowanych w przetwarzanie danych osobowych w rejestrach publicznych, w tym sposobu zasilania rejestrów i zasad eksploatacji danych w nich zawartych.
• ocenę przyjętego modelu jawności danych zgromadzonych w rejestrach publicznych, zwłaszcza w aspekcie upubliczniania numeru PESEL.
• ocenę przyjętych w niektórych rejestrach publicznych rozwiązań dotyczących dostępu do danych, ich wymiany, wykorzystywania przez innych administratorów i tzw. teletransmisji
• ocenę wpływu aktów prawa Unii Europejskiej na rejestry publiczne.

Przy projektowaniu i kształtowaniu treści przepisów, a także sposobów przetwarzania danych nie mniej istotne są m.in:

• przygotowywanie oceny skutków dla ochrony danych w trakcie projektowania rejestrów publicznych.
• uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych w trakcie projektowania rejestrów publicznych.
• doprecyzowywanie zasad retencji danych.
• ustalenia dotyczące zautomatyzowanego podejmowanie decyzji, w tym profilowania oraz wykorzystania sztucznej inteligencji
• zapewnienie bezpieczeństwa, prawidłowości, poufności i integralności danych osobowych w trakcie użytkowania rejestrów publicznych, w tym w sytuacjach zagrożenia bezpieczeństwa państwa.

W ocenie Prezesa UODO obecna sytuacja międzynarodowa nakazuje spojrzeć na bezpieczeństwo danych osobowych przetwarzanych w rejestrach publicznych także przez pryzmat zagrożenia państwa i bezpieczeństwa narodowego w wielu jego aspektach, które należy potraktować kompleksowo. Rejestry publiczne, w których przetwarzane są dane osobowe zarówno obywateli, jak i innych osób przebywających w Polsce są bowiem kluczowym elementem bezpieczeństwa państwa. Ochrona tych danych jest więc podyktowana nie tylko zagrożeniami dla prywatności jednostki, ale także istotnymi ryzykami w sferze obronności Polski i Unii Europejskiej. Ryzyka te nie ograniczają się do cyberzagrożeń, ale wiążą się z całym spektrum działań związanych z nielegalnym przetwarzaniem danych  osobowych.

Ze szczegółami wystąpienia Prezesa UODO do Ministra Cyfryzacji można zapoznać się w załączonym poniżej dokumencie.

DOL.413.11.2024