Awizowany wcześniej nasz kolejny krok na drodze do statystycznej prawdy. Skierowaliśmy kolejne pytania do GIODO. Teraz bardziej szczegółowe. Mają na celu wyjaśnić, że jeśli GIODO twierdzi, że instrumentów reagowania na łamanie prawa nie ma (tak w odpowiedzi było), to… nawet ślepy je w Ustawie znajdzie. Czy może to być cenną wskazówką dla Nowej Pani Minister przy szukaniu i stosowaniu instrumentów prawnych w przyszłości? Na razie wymiana powitalnych uprzejmości trwa.
Publikacja odpowiedzi za około 14 dni. Treść raczej łatwo przewidzieć, ale… najciekawsze zawsze dopiero przed nami.
* * *
Generalny Inspektor Ochrony Danych Osobowych
Stawki 2
00–193 Warszawa
Na podstawie art. 10 ust. 1 Ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2014 r., poz. 782 z późn. zm.) proszę o udzielenie informacji:
- Ile wystąpień skierował GIODO do właściwych organów Kościoła katolickiego w związku z łamaniem przepisów U.o.d.o. (przetwarzanie bez potwierdzonej rejestracji zbiorów danych osób nienależących do Kościoła oraz przetwarzanie danych takich osób na potrzeby statystyk) przez jego liczne podmioty?
- Ile zawiadomień o popełnieniu przestępstw w/w działaniami, przez znane sobie podmioty skierował GIODO do organów ścigania?
Portal „Świecka Polska” zareagował na objęcie stanowiska GIODO przez Panią dr Edytę Bielak-Jomaa przesłanym 21 maja br. mailem. Informowaliśmy o naszej kilkuletniej aktywności na odcinku przetwarzania danych przez kościoły, wyrażając nadzieję na owocną współpracę z Panią Minister. Mój wniosek z 29 czerwca br. miał na celu ustalenie „bilansu otwarcia” nowej kadencji GIODO w zakresie będącym od dawna przedmiotem naszych zainteresowań. Odpowiedź zmusiła mnie do „pytań uzupełniających” oraz szerszego wyjaśnienia powodów takiego ich sformułowania. Mam nadzieję, że pomoże to Pani Minister zrozumieć intencje i dostrzec „historyczny” wymiar żądań zgłaszanych wnioskiem. Nie jest moim celem stworzenie cyklu publikacji – GIODO odpowiada. Kolejnych wniosków na razie nie będzie. Będziemy jednak nadal domagać się pełnego respektowania zapisów U.o.d.o. przez podmioty Kościoła i monitorować aktywność GIODO na tym polu, więc pytania „o postępy” zapewne za jakiś czas się pojawią.
Informacja o braku rejestracji zbiorów danych osób nienależących do Kościoła jest jedyną realizującą wprost żądania poprzedniego wniosku. Przytoczenie treści art. 12 U.o.d.o. zwieńczone tezą o braku instrumentów represyjnego reagowania rozminęło się z szerszym zakresem pytania, obejmującym także pozostałe możliwe reakcje. Postawiona natomiast teza nie odpowiada zapisom Ustawy, co wykazuję niżej.
Podobnie informacja o „zainteresowaniu” GIODO problemem przetwarzania danych przez ISKK z powodu indywidualnej skargi (DOLiS – 440 – 51/15) nie stanowi realizacji żądań tamtego wniosku, opisanych pytaniem nr 2. Generalny Inspektor w piśmie z dnia 7 kwietnia br. oceniał to identycznie, informując skarżącego, że: „Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych w sprawach dotyczących przetwarzania danych osobowych bliżej nieokreślonych osób należy bowiem do autonomicznych kompetencji Generalnego Inspektora Ochrony Danych Osobowych, w związku z czym nie jest realizowana na wniosek. Pismo w sprawie nie dotyczącej przetwarzania danych osobowych jego nadawcy może stać się impulsem dla Generalnego Inspektora Ochrony Danych Osobowych do podjęcia czynności z urzędu, jednakże osoba ta, nie jest stroną tych czynności, w związku z czym nie jest informowana o ich przebiegu i wynikach.”
W trybie przewidzianym zatem do uzyskania takich informacji pytam o reakcje GIODO na „systemowy” charakter łamania przepisów o ochronie danych osobowych przez wszystkie zaangażowane podmioty Kościoła. Dotyczy to bliżej nieokreślonych osób, które własnymi decyzjami o „wystąpieniu”, na gruncie przepisów U.o.d.o., zakazały dalszego (z wyłączeniem archiwowania) przetwarzania własnych danych przez Kościół. Instytucje kościelne, rozstrzygając jednak kryteriami doktrynalnymi o prawie do dalszego przetwarzania danych takich osób na potrzeby statystyk, łamią wszystkie te zakazy. Szczególna rola ISKK w tym procesie wynika z określania w przesyłanych poszczególnym jednostkom organizacyjnym ankietach „kryteriów zaliczania” oraz przekazywania na zewnątrz finalnych efektów liczbowych. Wyjaśnienia ISKK, które GIODO otrzymał 3 lipca br. po raz kolejny potwierdzają znane wcześniej fakty. Nie stanowią jednak informacji o wcześniejszych działaniach GIODO przeciwstawiających się ogólnemu wymiarowi tego procesu. Przedłużająca się analiza stwierdzenia ks. Wojciecha Sadłonia – aktualnego dyrektora ISKK, że dane skarżącego nie są przetwarzane przez Instytut otrzymujący tylko efekt w postaci „anonimowych liczb” może skutkować w postępowaniu indywidualnym… skargą na przewlekłość postępowania, trwającego już ponad pół roku.
Wśród przywołanych artykułem 12 U.o.d.o. zadań Generalnego Inspektora zwracam uwagę na kontrolę zgodności przetwarzania danych z przepisami (pkt. 1) oraz podejmowanie działań zmierzających do doskonalenia ochrony danych (pkt. 6). Instrumenty realizacji określa m. in. art. 14 i 18 Ustawy, przewidując także działanie „z urzędu”, a nie tylko na wniosek strony.
We wrześniu 2013 roku, w ramach krakowskich „Dni Świeckości”, odbyła się telekonferencja z udziałem ówczesnego GIODO. Jedną z podniesionych kwestii był brak rejestracji wspomnianych zbiorów. W maju ubiegłego roku, podczas podobnego spotkania z ekipą „Świeckiej Polski”, Pan Minister odniósł się do nieuprawnionego przetwarzania danych na potrzeby statystyk ISKK. W obydwu przypadkach określił się jako zwolennik wstępnego reagowania na oczywiste łamanie przepisów U.o.d.o. łagodniejszymi niż sankcje karne, instrumentami. Wpisując się zatem w zaproponowaną odpowiedzią GIODO konwencję, przytaczam art. 19a U.o.d.o.:
„Art. 19a. 1. W celu realizacji zadań, o których mowa w art. 12 pkt 6, Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.
2. Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania.”
Podane przesłanki zrodziły żądanie „uzupełnienia”, którego zakres precyzuje pytanie nr 1.
Wykazałem w poprzednim wystąpieniu, że obydwa opisywane i powszechne zachowania są przestępstwami zdefiniowanymi w Ustawie. Decyzje GIODO (ponad czterdzieści na pewno prawomocnych, w tym pierwsza od ponad półtora roku), nakazujące proboszczom dokonanie aktualizacji danych osób „występujących z Kościoła”, wskazują wprost popełniające je podmioty. Daje to instrument, a w zasadzie nakłada na GIODO obowiązek „represyjnego” reagowania, wynikający z art. 19 U.o.d.o.
„Art. 19. W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.”
Z tych przesłanek wynika treść i forma pytania nr 2 w niniejszym wniosku.
Monitorując postępy na opisanym odcinku ochrony danych osobowych będziemy ponawiać pytania o wykorzystanie instrumentów przywołanych treścią postawionych pytań, a w razie potrzeby żądać ich wykorzystania przez GIODO.