Prace nad tzw. Pakietem Deregulacyjnym, przygotowanym przez Ministerstwo Rozwoju i Technologii, mają na celu uproszczenie przepisów oraz ułatwienie prowadzenia działalności gospodarczej w Polsce. Jednak w ocenie Prezesa Urzędu Ochrony Danych Osobowych (UODO), Mirosława Wróblewskiego, nowe rozwiązania wymagają doprecyzowania – szczególnie w zakresie dostępu do danych osobowych oraz zasad działania systemów teleinformatycznych, takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG) i Punkt Informacji dla Przedsiębiorcy (PIP).
Niejasne zasady dostępu do danych
Prezes UODO nie kwestionuje głównego celu proponowanych zmian, jakim jest poprawa warunków prowadzenia działalności gospodarczej. Podkreśla jednak, że projektowane przepisy wymagają precyzyjnego określenia zasad dostępu do systemu teleinformatycznego i zakresu danych, które mają być w nim udostępniane. Szczególną uwagę zwraca na brak jasnych reguł dotyczących:
- kto i w jakim trybie będzie miał dostęp do informacji zgromadzonych w PIP,
- jakie dane będą publikowane i w jaki sposób,
- jak odbywać się będzie wymiana informacji pomiędzy systemem PIP a Krajową Administracją Skarbową (KAS) w kontekście wykazu podatników VAT.
Zgodnie z rozporządzeniem RODO (art. 5 ust. 1 lit. a i ust. 2), każda operacja przetwarzania danych musi być przejrzysta i rozliczalna. Obecna wersja projektu, zdaniem UODO, nie spełnia tych wymogów – brakuje w niej wskazania ról podmiotów, trybu przekazywania danych (czy odbywać się będzie on na wniosek, czy z urzędu) oraz informacji o podmiotach odpowiedzialnych za publikację danych.
Pytania o model przetwarzania i odpowiedzialność administratorów
Jednym z kluczowych problemów jest brak jednoznacznego określenia, kto będzie pełnił funkcję administratora danych w nowych systemach. Prezes UODO wskazuje, że w projekcie brakuje definicji modelu przetwarzania danych osobowych, który wskazywałby:
- jaki jest cel przetwarzania,
- kto podejmuje decyzje o zakresie i sposobie publikacji danych,
- kto odpowiada za bezpieczeństwo i zgodność działań z przepisami o ochronie danych.
W opinii UODO, bez wyraźnego określenia tych elementów niemożliwe będzie zapewnienie odpowiedniego poziomu ochrony danych osobowych użytkowników CEIDG i PIP.
Ryzyko nieuprawnionego łączenia baz danych
Szczególne zastrzeżenia budzi również kwestia potencjalnego łączenia baz danych, mimo że projektodawca w uzasadnieniu wskazuje na ich rozdzielność. Prezes UODO przypomina, że motyw 31 RODO wyraźnie zakazuje łączenia rejestrów danych w sposób umożliwiający stworzenie „superbazy”, jeśli nie ma ku temu wyraźnych podstaw prawnych i nie przeprowadzono odpowiedniej analizy ryzyka.
Brak jednoznacznych zapisów w projektowanych przepisach rodzi obawę, że dane mogą być przetwarzane w sposób przekraczający pierwotny cel ich zbierania, co zwiększa ryzyko nadużyć i naruszenia prywatności.
