Dane osobowe częścią informatyzacji oraz wewnętrzna uchwała w ustawie; czyli jak Minister Cyfryzacji objaśnia zamiast Prezesa Urzędu Ochrony Danych Osobowych
22.01.2019 o godz. 11:25 Ministerstwo Cyfryzacji opublikowało w BIP (por. Fb) objaśnienia prawne zatwierdzone następnego dnia 23.01.2019 (sic!) na temat dalszego gromadzenia danych osobowych osób ubiegających się o zatrudnienie u pracodawcy po zakończeniu rekrutacji. Bowiem pismem z dnia 7 listopada 2018 r. (RMSP-1.7.11.2018) Rzecznik Małych i Średnich Przedsiębiorców na podstawie art. 9 ust. 1 pkt 2 ustawy z dnia 6 marca 2018 r. o Rzeczniku Małych i Średnich Przedsiębiorców (Dz. U. poz. 648) w związku z art. 33 ust. 1 ustawy z dnia 6 marca 2018 r. — Prawo przedsiębiorców (Dz. U. poz. 646, z późn. zm.) wniósł o wydanie objaśnienia prawnego art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych, Dz. Urz. UE L 119 z 4.05.2016 s. 1, zwanego „RODO”) co do sposobu gromadzenia danych osobowych osób, które ubiegały się o zatrudnienie u pracodawcy, dozwolonego okresu przechowywania tych danych oraz formy wyrażenia zgody na ich przetwarzanie. Choć we wniosku i objaśnieniach nie wskazano tego wprost, stan prawny aktualnie tworzy (również, jeżeli nie głównie) art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.).
Nie skupiam się na samej potrzebie ani treści objaśnień, tylko na kompetencji do ich wydania. Problem bowiem w tym, który organ powinien był być prawidłowo właściwy w sprawie tych konkretnych objaśnień prawnych dotyczących art. 6 ust. 1 RODO lub art. 221 KP: Minister Cyfryzacji, a może Minister Rodziny, Pracy i Polityki Społecznej, czy też Prezes Urzędu Ochrony Danych Osobowych.
Zgodnie z art. 33 ust. 1 prawa przedsiębiorców, właściwi ministrowie oraz organy, które na podstawie odrębnych przepisów są upoważnione do opracowywania i przedkładania Radzie Ministrów projektów aktów prawnych, dążą do zapewnienia jednolitego stosowania przepisów prawa z zakresu działalności gospodarczej, w szczególności wydając, w zakresie swojej właściwości, z urzędu lub na wniosek Rzecznika Małych i Średnich Przedsiębiorców wyjaśnienia przepisów regulujących podejmowanie, wykonywanie lub zakończenie działalności gospodarczej, dotyczące praktycznego ich stosowania (objaśnienia prawne), przy uwzględnieniu w szczególności orzecznictwa sądów, Trybunału Konstytucyjnego i Trybunału Sprawiedliwości Unii Europejskiej (pogrubienie MR).
Zgodnie z rozporządzeniem Prezesa Rady Ministrów z dnia 20 kwietnia 2018 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 761), minister ten kieruje działem administracji rządowej – informatyzacja i jest dysponentem części 27 budżetu państwa. Rozporządzenie to ani obwieszczenie Ministra Cyfryzacji z dnia 19 czerwca 2018 r. w sprawie wykazu jednostek organizacyjnych podległych Ministrowi Cyfryzacji lub przez niego nadzorowanych (M. P. z 2018 r. poz. 652) nie wskazuje, jakoby ministrowi temu podlegał lub był nadzorowany Urząd Ochrony Danych Osobowych (byłoby to niezgodne z art. 51 ust. 1 RODO). Ministerstwo utworzono rozporządzeniem Rady Ministrów z dnia 7 grudnia 2015 r. w sprawie utworzenia Ministerstwa Cyfryzacji (Dz. U. poz. 2077).
Zgodnie z art. 12a ust. 1 pkt 8 ustawy z dnia 4 września 1997 r. o działach administracji rządowej (Dz. U. z 2018 r. poz. 762, z późn. zm.), dział informatyzacja obejmuje sprawy m.in. kształtowania polityki państwa w zakresie ochrony danych osobowych (podkreślenie MR).
Zgodnie z rozporządzeniem Prezesa Rady Ministrów z dnia 13 grudnia 2017 r. w sprawie szczegółowego zakresu działania Ministra Rodziny, Pracy i Polityki Społecznej (Dz. U. poz. 2329), minister ten kieruje m.in. działem administracji rządowej – praca i jest dysponentem części 31 budżetu państwa. Poruszany w objaśnieniu prawnym aspekt dotyczy jednak bardziej przetwarzania danych osobowych (byłych kandydatów do pracy) niż samego zatrudnienia (prawa pracy).
Zgodnie z art. 34 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000, z późn. zm.), Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych.
Wolters Kluwer Lex wśród organów, które na podstawie odrębnych przepisów są upoważnione do opracowywania i przedkładania Radzie Ministrów projektów aktów prawnych, proponuje jedynie (pomijalny na potrzeby niniejszego artykułu) pojedynczy art.40 ust. 1 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2018 r. poz. 997, z późn. zm.).
Na próżno szukać przepisu powszechnie obowiązującego, który literalnie upoważniałby nie-ministrów do opracowania i przedkładania RM projektów aktów prawnych. Nie znajduję takiego w ustawie z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2012 r. poz. 392, z późn. zm.), prócz wskazania samych ministrów. Dopiero § 20 ust. 2 pkt 3 nieobowiązującej powszechnie (tj. obowiązującej wewnętrznie) uchwały Nr 190 Rady Ministrów z dnia 29 października 2013 r. — Regulamin pracy Rady Ministrów (M. P. z 2016 r. poz. 1006, z późn. zm., por. RCL) stanowi, że do opracowania (…) oraz wnoszenia do rozpatrzenia projektu dokumentu rządowego inny podmiot jest uprawniony, jeżeli został upoważniony przez Prezesa Rady Ministrów albo upoważnienie (takie) wynika z przepisów odrębnych, np. pełnomocnik Rządu.
O ile Prezes UODO literalnie nie jest właściwy do wydawania objaśnień prawnych, a w ustawowym sejmowym Prawie przedsiębiorców niemalże wprost odwołano się do rządowego wewnętrznego regulaminu, o tyle Minister Cyfryzacji też nie jest właściwy ani w sprawach prawa pracy, ani ochrony danych osobowych, tylko w sprawach kształtowania polityki państwa w zakresie ochrony danych osobowych. Pytanie, czy objaśnienie dotyczy ochrony danych osobowych, czy też kształtowania polityki państwa w tym zakresie, i jak się to ma do art. 57 ust. 1 lit. c RODO, według którego krajowy organ nadzorczy (Prezes UODO) doradza, zgodnie z prawem państwa członkowskiego, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem. Podobny mechanizm spójności na wyższym szczeblu, poprzez wytyczne, zalecenia oraz określa najlepsze praktyki, zastrzeżono nie dla Komisji Europejskiej, tylko dla Europejskiej Rady Ochrony Danych.
Nie kwestionuję prawa Ministra Cyfryzacji ani Rady Ministrów do powierzenia Ministrowi Cyfryzacji opracowania aktów prawnych wdrażających RODO, tj. ustawy i późnego pakietu dostosowującego. Kwestionuję raczej rozstrzygnięcia legislacyjne Sejmu RP, który zdefiniował, że ochrona danych osobowych jest częścią działu informatyzacji (art. 12a ust. 1 pkt 8 ustawy o działach administracji rządowej), choć dane osobowe mają również nieinformatyczną postać. Zdefiniował również organy uprawnione do objaśnień prawnych poprzez odwołanie do przepisów niepowszechnie obowiązujących, pomijając np. PUODO. Zakonserwowano legislacyjnie rosnący konflikt kompetencyjny między MC a UODO. To ten ostatni powinien de lege ferenda interpretować RODO, a nie MC.
Jedynym usprawiedliwieniem, poza istnieniem nieco chybionej wskazanej legislacji, jest chyba fakt, że na obecnym etapie procedowany jest, przygotowany właśnie przez MC, projekt przepisów dostosowujących kilkaset ustaw do RODO. W duchu wynikającym z gąszczu proponowanych zmian, tak by nie objaśniać sprzecznie przed spodziewanymi zmianami, połapie się najlepiej tylko ich autor.