O (pilnej?) potrzebie dyskusji na temat jawności, re-use i ochrony danych osobowych z publicznych źródeł

"Jeśli Pani Rzecznik wyrazi wolę rozpoczęcia dyskusji na temat jawności informacji w polskim porządku prawnym, proponuję by Rzecznik Praw Obywatelskich i Generalny Inspektor Ochrony Danych Osobowych wspólnie wystąpili w tej sprawie do Prezydenta RP, Prezesa Rady Ministrów i ewentualnie Marszałka Sejmu. Takie wspólne wystąpienie mogłoby przyczynić się do nadania dyskusji naukowej odpowiedniej rangi praktycznej i spowodować, że jej wyniki byłyby możliwe do bezpośredniego wykorzystania w procesie stanowienia prawa."

- Dr Wojciech R. Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych, w liście z dnia 22 sierpnia 2011 r. do Prof. Ireny Lipowicz, Rzecznika Praw Obywatelskich.

List ów jest odpowiedzią na wcześniejszy list RPO w sprawie nowelizacji ustawy o dostępie do informacji publicznej. Ściśle rzecz ujmując - jest to odpowiedź na Wystąpienie do Generalnego Inspektora Ochrony Danych Osobowych oraz Przewodniczącego Komisji Administracji i Spraw Wewnętrznych Sejmu RP w sprawie rozwiązań proponowanych w projekcie nowelizacji ustawy o dostępie do informacji publicznej, dotyczących ponownego wykorzystania informacji sektora publicznego, które RPO wystosowała 12 sierpnia 2011 roku (Sygn. RPO/548554/07/I/105.2 RZ).

Podnoszę ten temat dziś i na wstępie sygnalizuję, że reprezentuję w tej dyskusji konkretny projekt i punkt widzenia, zatem mogę nie być obiektywny. W czym rzecz? W ramach Fundacji ePaństwo moglibyśmy wykorzystać dane z Krajowego Rejestru Sądowego, by - przykładowo - powiązać aktywność gospodarczą posłów z ich aktywnością polityczną. Technicznie jest to do zrobienia i - jak uważam - realizowałoby ważny cel społeczny. Ale pojawia się problem. Problem ów najlepiej chyba ilustruje zapadły w czerwcu zeszłego roku wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (Sygn. akt II SA/Wa 720/11).

Jest sobie spółka, która postanowiła wykorzystać dane z KRS. GIODO zrobił tam kontrolę i zaordynował m.in. "dopełnienie wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) zostały zebrane i utrwalone przez ww. administratora danych, obowiązku informacyjnego o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, w terminie 3 miesięcy, od dnia w którym niniejsza decyzja stanie się ostateczna". Spółka argumentowała, że nie jest w stanie przekazać ujawnionym w KRS osobom fizycznym informacji związanych z przetwarzaniem danych ich dotyczących, ponieważ - tu upraszczam - w KRS nie ma danych kontaktowych do tych osób. W istocie ten argument dotyczył podmiotów, które przestały pełnić funkcje w spółkach, a te dane nada są przetwarzane przez podmiot, by budować dane historyczne. Ale nawet, jeśli jakaś osoba pełni funkcje w spółce, to przecież wysłanie listu na adres spółki niekoniecznie musi wystarczyć za spełnienie takiego obowiązku informacyjnego. Spółka argumentowała:

W celu prawidłowego wykonania obowiązku określonego w nakazie Spółka musiałaby zebrać dodatkowe kategorie danych umożliwiających nawiązanie kontaktu. Taki obowiązek powinien jednak stanowić przedmiot jednoznacznie wyrażonego w decyzji nakazu, co nie nastąpiło. W obecnym stanie prawnym, w tym na podstawie skarżonych aktów administracyjnych, Spółka nie ma podstawy prawnej do pozyskania nowych kategorii danych osobowych. Wyznaczony przez organ termin 3 miesięcy jest nierealny dla przeprowadzenia przedsięwzięcia zgromadzenia dodatkowych danych (np. adresowych) w stosunku do wszystkich osób, których dane są zawarte w zbiorze. Spółka podkreśliła, że przedmiotowy zbiór danych zawiera wszystkie dane osobowe znajdujące się w KRS.

Również w stosunku do pozostałych osób, których dane są przetwarzane (tj. aktualnie pełniących funkcję), nie jest w decyzji w jakikolwiek sposób dookreślone w jaki sposób administrator danych ma przekazać informacje, tak aby skutecznie dotarła do podmiotu danych i czy przesłanie danych na adres siedziby podmiotu ujawnionego w KRS jest wystarczające w tym przedmiocie.

Mamy publikację urzędową, państwo gromadzi pewne informacje o obywatelach, robi to dla gwarantowania pewności obrotu. Dziś, inaczej niż na gruncie rozstrzygania omawianej sprawy, mamy już (niedoskonałe nadal) przepisy o ponownym wykorzystaniu informacji z sektora publicznego, ale one nie wyłączyły stosowania przepisów o ochronie danych osobowych.

Na gruncie poprzedniego stanu prawa spółka argumentowała, że:

W ocenie skarżącej Spółki, w skarżonych decyzjach organ dokonał błędnej wykładni art. 25 ust. 2 pkt 1 uodo polegającej na przyjęciu, że nie zachodzi określona w nim przesłanka wyłączająca obowiązek informacyjny, o którym mowa w ust. 1 tegoż artykułu. Powyższy przepis wskazuje bowiem dwie odrębne kategorie przepisów ustaw szczególnych: przewidujących lub dopuszczających zbieranie danych osobowych bez wiedzy podmiotu danych. W tym przepisie przewiduje się zatem dwie odrębne kategorie przepisów szczególnych, które pozwalają na stwierdzenie wyłączenia obowiązku informacyjnego.

W ocenie skarżącej, w przypadku ustaw wprowadzających jawności (formalną i materialną) rejestrów publicznych, w tym rejestrów zawierających dane osobowe, mamy do czynienia z prawnym dopuszczeniem, w rozumieniu art. 25 ust. 2 pkt 1 uodo. Jawność formalna rejestru oznacza prawo każdego do dostępu do danych rejestrowych, bez potrzeby wykazywania w tym swojego interesu prawnego lub faktycznego. Ze względu na powszechną legitymację podmiotową w zakresie dostępu do danych rejestrowanych, uzyskujący informacje z rejestru nie jest w żaden sposób identyfikowany na etapie pozyskania przez niego danych.

Mamy więc nawiązanie do tej jawności formalnej, o której mowa w przywołanym we wstępie cytatu z Generalnego Inspektora Ochrony Danych Osobowych, a tam o chęci rozpoczęcia wspólnej z RPO dyskusji o jawności formalnej (nota bene: w treści listu GIODO sygnalizuje "brak rozróżnienia w polskim prawie pomiędzy jawnością formalną danych, które mogą stanowić informacje publiczną, a tak zwaną „otwartością”").

W sprawie spółki WSA w Warszawie wydał wyrok, który jeszcze nie jest prawomocny. Wyrokiem tym WSA przyznał rację GIODO. Sprawa trafiła do Naczelnego Sądu Administracyjnego, a spółka wniosła o wstrzymanie wykonania decyzji GIODO. NSA przychylił się do wniosku spółki i wydał Postanowienie NSA z 30 września 2011 r. (sygn. I OSK 1827/11). Przyznał tam m.in., że spółka dostatecznie wykazała koszty, jakie musiałaby ponieść w przypadku realizacji decyzji. O jakich kosztach mówimy? Przywołam fragment z uzasadnienia postanowienia:

Przyjmując, że skorzystanie z możliwości przedstawionej przez WSA w Warszawie w zaskarżonym wyroku, w świetle omawianych poprzednio wątpliwości co do sentencji decyzji byłoby w ogóle możliwe, to w świetle § 1 rozporządzenia Rady Ministrów z dnia 19 listopada 2008 r. w sprawie wysokości opłat za udostępnienie danych ze zbiorów meldunkowych, ewidencji wydanych i unieważnionych dowodów osobistych, zbioru PESEL, ogólnokrajowej ewidencji wydanych i unieważnionych dowodów osobistych oraz sposobu wnoszenia tych opłat, koszt uzyskania jednostkowej informacji o osobie fizycznej wyniósłby 31 zł. Mnożąc to przez przyjętą (prawdopodobnie zaniżoną) liczbę osób fizycznych, które dane zostały zawarte w MSiG, można zauważyć, że szacunkowy koszt samego pozyskania danych niezbędnych do realizacji obowiązku informacyjnego wyniesie 3,1 min zł (słownie: trzy miliony sto tysięcy złotych). Wydaje się, że już wielkość tej kwoty pozwala na przyjęcie, że wykonanie decyzji może narazić skarżącą na znaczącą szkodę. Kwota ta nie byłaby jednak górną wysokością kosztów skarżącej związanych z wykonaniem obowiązku informacyjnego – do kosztów należałoby bowiem doliczyć koszty przygotowania i wysłania korespondencji.

Spółka wyjaśniła, że co do zasady podmioty, które zrealizować mają obowiązek informacyjny posiadają informacje pozwalające na bezpośredni kontakt z osobą fizyczną. Ponieważ w przedmiotowym przypadku przetwarzanie danych osobowych następuje "przy okazji" przetwarzania danych dotyczących jednostek organizacyjnych i osób prawnych - administrator nie posiada takich danych i musi ponieść dodatkowe, znacząco przekraczające standardowe koszty realizacji nakazu zawartego w decyzji.

Czekamy na wyrok NSA w sprawie spółki. W gronie znajomych zastanawialiśmy się, jaki on będzie i doszliśmy do wniosku, że wyrok WSA chyba jednak się utrzyma. Jeśli tak, to oznacza to, że spełnienie "obowiązku informacyjnego" jest (lub może być) ekonomiczną barierą stosowania re-use. Po prostu pewne kategorie informacji do re-use (wszystko jedno: komercyjnego, czy niekomercyjnego) nie trafią, bo koszt spełnienia obowiązku informacyjnego będzie przekraczał możliwości podmiotu pragnącego przetwarzać dane publiczne.

Spółka akurat postanowiła wykorzystać dane z KRS dla celów komercyjnych. Dla mnie re-use stanowi narzędzie obywatelskiej kontroli działania państwa. Jeśli miałbym, kosztem 3 milionów złotych, poinformować osoby "formalnie ujawnione" w KRS, że mam zamiar przetwarzać ich dane dajmy na to w Sejmometrze (nota bene: wypadałoby poinformować o przetwarzaniu danych również posłów, senatorów, zapraszanych na komisje sejmowe ekspertów (jakoś nie ma do nich maili), przedstawicieli ministerstw i urzędów, itp.), to Fundacja nie będzie mogła tego zrobić z powodów ekonomicznych. Fundacja działa w oparciu o otrzymane granty, nie jest nastawiona na zysk, a jej celem jest promowanie demokracji przez dostęp do informacji publicznej.

Powyższe już wyjaśnia, dlaczego nie jestem obiektywny w tej sprawie. Chciałbym móc te dane wykorzystywać i nie musieć spełniać obowiązku informacyjnego.

Potrafilibyśmy powiązać posła lub eksperta z jego życiem gospodarczym i w ten sposób - jak uważam - potrafilibyśmy zwiększyć przejrzystość życia publicznego. Taka informacja wszak nie jest bez znaczenia również wówczas, gdy zaproszony przez komisję sejmową ekspert prowadzi też działalność w sferze będącej przedmiotem obrad komisji, w tym np. zasiadając we władzach tej lub innej spółki. Czy można ponownie wykorzystywać rejestr lobbystów? A co z oświadczeniami majątkowymi i rejestrami korzyści? Wszak tam są same dane osobowe. Widać, że problemów na styku re-use i ochrony danych osobowych jest wiele. A jak mi się nieuczciwy ktoś, kto "miesza w życiu publicznym", nie zgodzi, bym przetwarzał jego dane osobowe? Tam, gdzie mówimy o gwarancjach "pewności obrotu", tam również powinniśmy mówić o gwarancjach przejrzystości działania państwa. Możliwość przetwarzania danych osobowych z publicznych rejestrów i innych "oficjalnych źródeł" wydaje mi się jedną z takich gwarancji. Nie oznacza to, że nie widzę tu zagrożeń dla prywatności. Nie jest też tak, że uważam, iż w kolizji jawność-ochrona informacji jedno dobro prawnie chronione zasługuje na większą realizację niż inne - potrzebna jest równowaga. Jednak konieczność spełnienia obowiązku informacyjnego w przypadku danych pochodzących z "oficjalnych źródeł" w istocie niweczy często możliwość ponownego przetwarzania danych. Niweczy w ten sposób możliwość realizowania przez obywateli społecznej kontroli nad życiem publicznym.

Jawność formalna czyli przetwarzanie danych osobowych bez spełnienia (dodatkowego) obowiązku informacyjnego?

Oczywiście pod warunkiem, że rzeczywiście przetwarzam dane "formalnie jawne" (chociaż ważne, jakie nadamy temu terminowi znaczenie). Propozycja, by dotyczyło to sytuacji, w której nie modyfikuję danych nie jest - jak uważam - właściwa. Biorąc taki odpis KRS (dostępny wszak powszechnie na stronach Ministerstwa Sprawiedliwości), który to odpis jest plikiem przypominającym kartkę, aby móc go maszynowo przetwarzać powinienem ustrukturalizować zawarte w nim informacje. W istocie zatem zmodyfikować plik, podzielić informacje do odrębnych tabel w bazie danych. Podobnie w sytuacji, w której rejestr korzyści lub oświadczenie majątkowe jest zwyczajnym skanem ręcznie wypełnionego formularza (dlaczego nie można tego zrobić cyfrowo i udostępniać obywatelom w ustrukturalizowanej, przeszukiwalnej bazie danych?). Zatem taka propozycje nie oddaje - moim zdaniem - warunków współczesnego "obrotu informacją".

Być może wystarczy podanie źródła przy prezentowaniu zestawu danych, w szczególności zestawu zawierającego informacje "formalnie jawne"?

Ale - podobnie jak to zrobił Generalny Inspektor Ochrony Danych Osobowych w liście do Rzecznika Praw Obywatelskich - deklaruję chęć wzięcia udziału w dyskusji o jawności (również "formalnej"), ponownego wykorzystania informacji z sektora publicznego oraz ochrony danych osobowych i prywatności. Być może w pewnych sytuacjach wystarczyłoby ogłoszenie publiczne, albo wskazanie źródła. List RPO do GIODO i odpowiedź GIODO do RPO miała miejsce rok temu. Od tego czasu prowadzimy ożywioną dyskusję na temat "anonimizacji" wyroków. Orzeczenia sądowe również zawierają dane osobowe i temat jest trudny. Im wcześniej będziemy potrafili wypracować nadające się do codziennego stosowania zasady postępowania, tym mniej będzie - jak uważam - sytuacji konfliktowych, będzie większa pewność prawa, a dane osobowe różnych podmiotów (w tym przecież moje dane!) będą miały szansę być przetwarzane nie w "szarej strefie", a zgodnie z obowiązującym prawem.

Podobne materiały gromadzę w dziale cytaty niniejszego serwisu.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Do dyskusji o re-use

Do dyskusji o re-use chciałbym dodać postulat obowiązkowego publikowania aktualnych danych stanowiących informację publiczną, gdy instytucja zobowiązana produkuje takie dane a ktoś jest nimi zainteresowany.

Mam na myśli rozkłady jazdy, które dezaktualizują się po kilku dniach. "Legalne" odwleczenie realizacji wniosku o dwa tygodnie (lub 20 dni) czyni je bezużytecznymi.

Ale to nie w tym wątku

Ale to nie w tym wątku. W tym chodzi mi o zderzenie prawa do informacji publicznej, prawa do re-use (o ile takie możemy konstruować, a ja chyba chciałbym takie konstruować) z prawem do prywatności i zasadami ochrony danych osobowych zbieranych przez państwo w rejestrach publicznych oraz w innych "oficjalnych" zasobach. W tym sensie jest to też trochę dyskusja o tym co jest a co nie jest "oficjalnym" i co jest a co nie jest "rejestrem", "publikatorem", "repozytorium", etc.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Dlaczego modyfikować

Dlaczego modyfikować ustawę o dostępie do informacji publicznej? Przecież kwestia dotyka danych osobowych - może więc zmodyfikować dotyczącą ich ustawę dodając zastrzeżenie, że dane osobowe nie są chronione w zakresie w którym są zbierane w obowiązkowych rejestrach (publikatorach, repozytoriach) dostępnych publicznie. To obejmie re-use informacji publicznej ale także inne przypadki.

Moim zdaniem powinny być chronione

Moim zdaniem powinny być chronione. Dlatego również dziś GIODO może skontrolowac nie tylko spółki, ale też instytucje publiczne. Może sprawdzić, czy jeden czy drugi urząd właściwie przetwarza, na właściwej podstawie prawnej, czy informuje, czy zapewnia bezpieczeństwo, czy wskazuje osoby odpowiedzialne, czy wdrożył politykę prywatności... Bez tego ktoś by przyszedł i "namieszał" tam z laptopem w bazie PESEL. Przetwarzanie to tez usuwanie lub modyfikowanie danych.
--
[VaGla] Vigilant Android Generated for Logical Assassination

A czy nie jest dziwne, że

A czy nie jest dziwne, że ustawy o świadczeniu usług drogą elektroniczną oraz o ochronie danych osobowych są tak skonstruowane, że jeśli np. mam forum dyskusyjne "komercyjne" to podpadam pod obie z pełnymi konsekwencjami (np. konieczność rejestracji bazy z danymi osobowymi w GiODO) natomiast mając forum "niekomercyjne" nawet jak baza danych jest większą niż w forum "komercyjnym" to pełny luz. Nie podpada się pod żadną z tych ustaw, bazy nie trzeba zgłaszać do GiODO...

Co do tematu to obawiam się, że da to urzędnikom kolejny oręż w piętrzeniu trudności z uzyskaniem informacji publicznej.

Skąd taki wniosek

Skąd wniosek, że "Nie podpada się pod żadną z tych ustaw, bazy nie trzeba zgłaszać do GiODO"?

Przy okazji: Konta w serwisach internetowych a "drobne bieżące sprawy życia codziennego"
--
[VaGla] Vigilant Android Generated for Logical Assassination

Z art. 3 ust. 2 ustawy o

Z art. 3 ust. 2 ustawy o ochronie danych osobowych ;-)

No, ale...

Fundacja (nawet taka, która nie prowadzi działalności gospodarczej) organizując forum "niekomercyjne" realizuje "cele statutowe". Mnie bardziej interesuje jednoznaczna odpowiedź dotyczaca logowania się do serwisu. Dlatego podałem wyżej ten link do tekstu, w którym mowa o "drobnych bieżących sprawach życia codziennego".
--
[VaGla] Vigilant Android Generated for Logical Assassination

Czy Twój serwis jest

Czy Twój serwis jest drobną bieżącą? Moim zdaniem nie jest. Czy przetwarzasz dane w celu zarobkowym, zawodowym lub statutowym? Moim zdaniem nie. Czy więc stosuje się do niego ustawę o ochronie danych osobowych? Nie wiem i bez zmiany art. 3 tejże ustawy się nie dowiem.

Skoro

Skoro księga wejść i wyjść była uznana za "drobne bieżące", a i interpretacja GIODO na temat logowania się do serwisu przez pracowników była w materiałach edukacyjnych GIODO, to dlaczego nie logowanie się do serwisu?
--
[VaGla] Vigilant Android Generated for Logical Assassination

Księga wejść i wyjść

Księga wejść i wyjść została uznana za drobne bieżące w zw. z obowiązkiem rejestracji. A tutaj rozmawiamy o zastosowaniu ustawy jako całości. Czyli art. 3 i 3a, a nie 43 i mówiąc precyzyjnie:

a) w art. 3 i 3a mamy związek przetwarzania danych z działalnością zawodową, zarobkową lub statutową (pozytywnie określony zakres zastosowania) i cele osobiste lub domowe (negatywnie określony zakres zastosowania),
b) w art. 43 mamy drobne bieżące sprawy życia codziennego.

Moim zdaniem, dane z logowania się do serwisu nie są drobnymi bieżącymi sprawami życia codziennego, więc nie mogą skorzystać z 43. Co do 3 i 3a, to jak pisałem poprzednio, nie wiem, jak jest. Bo taki serwis - np. Twój - to nie działalność zarobkowa, zawodowa lub statutowa, ale jednocześnie nie cel osobisty lub domowy. Czyli - ponieważ ustawodawcy podział logiczny się nie udał - nie wiem, czy do Twojego serwisu stosuje się uodo, czy nie.

Ale faktycznie jeśli masz

Ale faktycznie jeśli masz stronę z bazą, która jest CAŁKOWICIE prywatna to bazy do GiODO nie zgłaszasz. Oczywiście trudno dziś znaleźć stronę bez żadnej reklamy, ale to już inna sprawa.

Re-use a komercjalizacja badań

Piotrze chciałem Ci to pytanie zadać już od dawna.

Skoro forsujesz tematykę re-use, w kontekście liberalizacji, jawności, poszerzenia przedmiotowego etc. to jaka jest Twoja opinia o stosowalności re-use do wyników badań jednostek naukowych, przecież też finansowanych z pieniędzy publicznych?

Od razu nadmienię iż odpowiedź nie jest prosta ponieważ mniej więcej od dwóch lat pojawiły się przepisy tworzące procedury do komercjalizacji np. patentów, utworów, software. I w tym przypadku przedmioty IP od przedmiotów "klasycznego re-use" odróżnia ich konkretna wartość księgowa (wycena).

A - przykładowo - nieodpłatne przekazanie IP wytworzonego z badań (np. licencja na patent) trąciłoby rozdawaniem majątku publicznego...

Mam

Od dłuższego czasu mam kłopot intelektualny z tą "komercjalizacją nauki" czy też "komercjalizacją R&D" za publiczne pieniądze. Uważam, że stanowisko w tym obszarze musi wynikać z odpowiedzi na pytanie o system polityczno-społeczny państwa i o roli państwa w takim systemie (ile państwa w państwie). Nie jestem przekonany, że państwo powinno działać jak komercyjna firma, która ma produkt i lokuje go na komercyjnym rynku. Państwo ma policję, wojsko, generalnie - przymus, "zwykli ludzie" nie mogą się łatwo wymiksować od płacenia podatków, etc. Niekiedy jednak słyszę, że państwo może utrzymywać działalność, która powinna być komercjalizowana. A to znaczy, że z moich podatków finansowane jest coś, co ma przynosić potem przychód wybranym, bo nie ogółowi społeczeństwa. Myślę sobie, że ci, którzy chcieliby myśleć w kategoriach komercyjnych mają do wyboru różne formy aktywności w ramach wolności gospodarczej, a ta zakłada rywalizowanie z konkurentami na wolnym rynku. Mojej aktywności nikt nie finansuje dotacjami. Sam muszę się troszczyć o swoje utrzymanie. Nie żyję z majątku wspólnego. Zastanawiam się zatem, dlaczego ktoś inny ma z takiego majątku publicznego żyć, a więc być w uprzywilejowanej pozycji.

Myślę sobie też, że jak gdzieś w sferze publicznej wypracowuje się coś, co ktoś może nazwać własnością intelektualną, to takie coś powinno służyć ogółowi obywateli. I jak służy takiemu ogółowi, to nie ma tu "rozdawnictwa", bo to po prostu byłaby realizacja zadań publicznych - powiększaniem wspólnego dobra. W takiej sytuacji, gdy wyniki byłyby powszechnie dostępne i wolne od praw wyłącznych - w istocie nie miałyby ceny, a ściślej: ich cena wynosiłaby 0 złotych. Na krzywej popytu i podaży monopol własności intelektualnej wygina krzywą podaży (coś nie jest dostęne powszechnie, ktoś może wyłącznie decydować o tym, kto inny z tego korzysta). Przy braku prawa wyłącznego - nie ma ceny, bo popyt nie jest uzależniony od podaży, a linie się nie przecinają. Finansuje się coś, z czego mogą bez ograniczeń korzystać wszyscy. Dobro wspólne zatem kłóci się - tak sobie myślę - z myśleniem w kategoriach komercjalizacji zakładających, że jeden będzie potem mógł korzystać z wypracowanego za publiczne pieniądze R&D przed innymi. Nie ma tu równego traktowania. Nie chcę być źle zrozumiany, to tylko taka formuła retoryczna: takie komercjalizowanie badań publicznych kojarzy mi się trochę z prywatyzowaniem się na majątku publicznym; pojawiają mi się przed oczami wizje uprzywilejowanych w społeczeństwie socjalistycznym. To raczej tu jest kłopot "z rozdawnictwem", nie zaś wówczas, gdy wszyscy z tego mogą korzystać. Państwo jest po coś. Jeśli to coś odpada, to państwo nie ma uzasadnienia. A dobro wspólne, nie zaś partykularne, jest chyba dla mnie tym, po co państwo jest. Nic chyba nie stoi na przeszkodzie, by ci, którzy chcieliby rozwijać dany produkt na rynek założyli sobie spółkę i w jej ramach walczyli z konkurentami (przy okazji płacili podatki, z których będzie można realizować prawdziwe zadania publiczne).

To niedoskonała odpowiedź, ale odpowiadam od razu, chociaż w biegu.
--
[VaGla] Vigilant Android Generated for Logical Assassination

nauka za publiczne pieniądze

Jedna sprawa jest oczywista, a w tej sprawie od pewnego czasu mamy regres - informacja o przyznanych grantach. Np. na stronach Ministerstwa Nauki można znaleźć podstawowe informacje o grantach przyznanych w II edycji konkursu Narodowego Programu Rozwoju Humanistyki, ale informacje o wynikach o I edycji nie są już oficjalnie dostępne (tzn. Google potrafi znaleźć odpowiedni plik PDF, ale nie ma do niego - jak się wydaje - żadnego dowiązania ze stron Ministerstwa.

Jeszcze gorzej jest z tzw. projektami zamawianymi. Informacja o budżecie takich dużych projektów jak SYNAT (http://www.synat.pl/) czy projektów wcześniejszych (np.http://www.nauka.gov.pl/fileadmin/user_upload/18/43/18430/III_konkurs_na_pbz_-_ogloszenie.pdf ) wydaje się kompletnie niedostępna.

Otwarte badania

Dlaczego rozdawaniem? Przecież w badaniach współfinansowanych przez Państwo chodzi o podniesienie poziomu życia obywateli. Jak otwarte publikowanie wyników naukowych może podnieść poziom życia obywateli? Np. tak: US teen invents advanced cancer test using Google.

"W projekcie budżetu

"W projekcie budżetu państwa na przyszły rok są m.in. zapisy o pieniądzach na polski wkład do projektów e-administracji, których unijne dofinansowanie jest obecnie wstrzymane przez Komisję Europejską – powiedział podczas konferencji prasowej Michał Boni, minister administracji i cyfryzacji."
[...]
"W projekcie 4,4 mln zł przeznaczono na Centralne Repozytorium Informacji Publicznej, które ma poprawiać dostęp do informacji i do jej ponownego wykorzystania. [...]"

Z uwagą przeczytałem ten

Z uwagą przeczytałem ten wpis oraz podlinkowane wyrok i postanowienie. Nasuwa mi się kilka myśli.
GIODO zdaje się stosować podwójne standardy. Z jednej strony żąda od przedsiębiorcy uzyskania zgody na przetwarzanie danych osobowych wszystkich osób zgromadzonych w stworzonej przez tego przedsiębiorcę bazie danych (dodajmy – bazie stworzonej na podstawie ogólnodostępnych i jawnych informacji), nie zważając przy tym na ogromny koszt przeprowadzenia takiej operacji (co najmniej 3,1 mln złotych przy ostrożnych szacunkach). Z drugie strony podczas konferencji "Kto na nas patrzy? Obywatel pod obserwacją kamer" Generalny Inspektor raczył stwierdzić (w kontekście konieczności rejestracji osobowej bazy danych), że

(...) wszystko to powoduje, że na podstawie dziś obowiązujących przepisów wszystkie te zbiory [chodzi o zbiory danych składające się z imienia i nazwiska oraz wizerunku utrwalonego przez monitoring np. księga wejść w budynku GIODO] powinny zostać zgłoszone do Generalnego Inspektora Ochrony Danych Osobowych, zarejestrowane w rejestrze prowadzonym przez Generalnego Inspektora i podlegać inspekcji Generalnego Inspektora. Ja oczywiście zdaję sobie sprawę z absurdalności tego co mówię, ponieważ gdybym w tej chwili zażądał żeby te 800 tyś, milion, może 2 miliony sytuacji, w których videomonitoring jest prowadzony w naszym kraju zostały zgłoszone do Generalnego Inspektora Ochrony Danych Osobowych to mógłbym zamknąć działanie Biura na wiele miesięcy, a być może lat po to żeby przerobić ten materiał, który otrzymam. (...)

[źródło: http://bankier.tv/kto-na-nas-patrzy-obywatel-pod-obserwacja-kamer-czesc-i-11804.html wypowiedź od ok 13:30 minuty]. Jeżeli dobrze rozumiem, to koszt zarejestrowania bazy danych przez przedsiębiorcę, nawet jeśli jest ogromny nie stanowi dla GIODO problemu natomiast gdyby ten sam obowiązek włożyć na niego to problem już się pojawia.
Dalej. Rejestrując działalność gospodarczą należy wypełnić wniosek CEIDG-1 (http://www.mg.gov.pl/files/upload/13267/CEIDG-1_wersja_1.04_za%C5%82acznikami.pdf), w którym znajduje się sekcja 09. Dane do kontaktu, a w niej pola na wpisanie numeru telefonu, faksu, adresu poczty elektronicznej i strony WWW. Według instrukcji zamieszczonej na początku formularza, podanie adresu e-mail oraz www jest obowiązkowe co moim zdaniem stoi w sprzeczności z art. 25 ust. 1 pkt 6 ustawy o swobodzie działalności gospodarczej. Jak rozumiem wiele osób z rozpędu uzupełnia też nr telefonu i faxu. Następnie te dane są odsprzedawane (na co zezwala art 39 ust. 2 w/w ustawy) podmiotom gospodarczym takim jak np. operatorzy komórkowi, którzy na ich podstawie w ramach swojej działalności komercyjnej kontaktują się z nowymi przedsiębiorcami i próbują sprzedać im swoje produkty lub usługi. W tym miejscu warto dodać, że tego typu informacji adresowych jest bardzo dużo gdyż w naszym kraju o wiele więcej rejestruje się indywidualnych działalności gospodarczych niż podmiotów podlegających obowiązkowi ujawnienia w KRS, a co za tym idzie ciężar gatunkowy tego typu sprzedaży jest o wiele większy niż w przypadku sprzedaży informacji z KRS. Oczywistym jest, że wiele osób nie jest świadomych tego, że dane dotyczące ich indywidualnej działalności gospodarczej są przedmiotem obrotu i to w majestacie prawa.
A może problem leży gdzie indziej niż w konieczności ochrony danych osobowych. Być może podmioty takie jak spółka będąca obecnie pod lupą GIODO na tyle dobrze radzą sobie na rynku informacji gospodarczej, że znacząco spadł popyt na dane sprzedawane przez CEIDG? Jeżeli nałożymy na to ogromną popularność "elektronicznego" odpisu z KRS i spadku dochodów do budżetu z tytułu "papierowej" wersji to sytuacja zaczyna się klarować.
Co oprócz wygranej w sądzie zyska GIODO? Czy dane osobowe osób wpisanych do KRS będą lepiej chronione czy też spółka zmieni adres siedziby z warszawskiego na Nikozję, Dublin albo Delawere i nadal będzie prowadziła tego typy działalność, tyle że zza wielkiej wody? Raz wytworzona informacja, zwłaszcza w postaci elektronicznej, nie umrze i z powodzeniem może być dystrybuowana z innego miejsca z pominięciem polskiej jurysdykcji.
I na koniec. Wyrok, który zapadnie w tej sprawie może w mojej ocenie rykoszetem uderzyć w inne obszary "przetwarzania danych". Dla przykładu. Czy dziennikarz śledczy piszący o kimś artykuł będzie musiał uzyskać zgodę bohatera artykułu na wykorzystanie jego danych? Wszak w tego typu publikacjach często pojawiają się informacje dotyczące stanowisk i spółek, w których dana osoba zasiada bądź zasiadała – nie szukając daleko: http://wyborcza.pl/1,75478,12822152,Prokuratura_dziewiec_lat_szukala_dowodow_prania_pieniedzy.html
Z uwagą będę śledził losy tej sprawy.

Podwójne standardy

Witam

Dziękuję za włączenie się w dyskusję, bo sprawa jest rzeczywiście bardzo trudna i niejednoznaczna.

Nie mogę oczywiście komentować sprawy, która toczy się przed sądem, proszę więc wybaczyć, że nie dotknę meritum tego sporu sądowego.

To co mogę zrobić to:
1. zwrócenie uwagi na różnicę pomiędzy oboma porównywanymi sprawami,
2. zwrócenie uwagi na pełne znaczenie wypowiedzi na konferencji u Rzecznika Praw Obywatleskich i
3. uspokojenie dziennikarzy :)

Ad 1) Trochę inna jest sytuacja przedsiębiorcy, który działa w ramach art. 54 Konstytucji oraz zasady swobody działalności gospodarczej, musząc jednocześnie brać pod uwagę uwarunkowania prawne - w tym to, czy stać go ekonomicznie na prowadzenie danego rodzaju biznesu i wypełnienie wymagań prawnych - niż sytuacja GIODO jako organu władzy publicznej, który MUSI podjąć działania w ramach art. 7 Konstytucji - tj. kierując się granicami uprawnień i jednocześnie BĘDĄC ZOBOWIĄZANYM do działania.

Ad 2) Nie ukrywam, że wystąpienie, o którym Pan/Pani pisze, było bardzo ryzykownym działaniem z mojej strony. Najbardziej niebezpieczne moje stwierdzenia podczas konferencji u RPO to przyznanie się, że nie podejmuję działań, które powinienem podejmować. Alegoria za strusiem idzie w tym kierunku. Proszę zauważyć, że ja się przyznaję, że robię źle. Przyznaję się do niewypełaniania tego obowiązku. Alegoria z "pupą" strusia jest niebezpieczna, ale potwierdza Pani/Pana słowa, że wiem, że stosuję niewłaściwy standard wobec siebie.

Ad 3) Co do dziennikarzy to sprawa wygląda nieco inaczej. Tu mamy wyraźne wyłączenie w dyrektywie i polskiej ustawie. Niebezpieczeństwo, o którym Pan/Pani pisze tym samym nie istnieje, choć zwracam uwagę na granice wyłączenia opisane w wyroku w sprawie C-73/07 Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy, Oy Satamedia.

Pozdrawiam i zachęcam do dalszej dyskusji, bo temat jest słabo rozpoznany w polskiej doktrynie.

Wojciech Wiewiórowski - GIODO

Witam serdecznie,cieszę

Witam serdecznie,

cieszę się, że zgodził się Pan zająć w tym miejscu stanowisko w tej sprawie.
Chciałbym uzupełnić swoje poprzednie zdanie. W mojej opinii toczące się postępowanie, jeżeli sąd wyda niekorzystne dla spółki orzeczenie, będzie brzemienne w skutkach dla całej szeroko pojętej branży informacji gospodarczej / Yellow Pages. Dodatkowo negatywne skutki odczuje także pewność obrotu gospodarczego jako takiego. Przepis, o którym wspomniałem, dopuszczający możliwość nabycia z CEIDG bazy przedsiębiorców stanie się martwym gdyż żaden przedsiębiorca, parający się tworzeniem np. katalogów adresowych, nie zdecyduje się na zakup takiej bazy mając świadomość tego, że wpierw będzie musiał skontaktować się z podmiotami w niej zawartej celem uzyskania zgody na przetwarzanie ich danych. Jak rozumiem cała branża będzie musiała teraz skontaktować się ze wszystkimi podmiotami, których dane obecnie posiada, celem uzyskania od nich stosownej zgody. Paradoksalnie, nawet chcąc to uczynić nie będą mogli tego zrobić, gdyż już sam fakt przeszukania swojej bazy danych celem nawiązania kontaktu będzie stanowił fakt przetwarzania danych, na co oczywiście w sposób pierwotny zgody nie mają, a dopiero chcą ją uzyskać – błędne koło.
Dla mnie, jako obywatela uczestniczącego w obrocie gospodarczym, niezwykle istotna jest możliwość szybkiego i taniego uzyskania informacji na temat osób uczestniczących w obrocie. Rejestry publiczne, takie jak KRS i CEIDG, dają taką możliwość jedynie w ograniczonym zakresie. Cóż z tego, że z publicznego rejestru mogę uzyskać informację na temat jakiejś spółki i jej składu osobowego w danym momencie czasu skoro nie mogę zasięgnąć informacji na temat wcześniejszej działalności osób reprezentujących daną osobę prawną. To właśnie taka informacja, o ile jest rzetelna i wiarygodna, a takimi przymiotami zdają się legitymować baza przedmiotowej spółki będącej w obszarze zainteresowania GIODO, ma realną wartość. Wszak o jakości jakiejś osoby prawnej stanowią m.in. osoby ją reprezentujące. Posiadanie informacji na temat wcześniejszej działalności tych osób pozwala w lepszym stopniu oszacować ryzyko wchodzenia w interakcje gospodarcze. Dla przykładu - jeżeli kontaktuje się ze mną osoba, która w swojej przeszłości była prezesem kilku spółek, w stosunku do których ogłoszono upadłość, to dla mnie jest to sygnał aby dodatkowo zabezpieczyć swoje interesy albo w ogóle nie wchodzić z taką osobą w relacje biznesowe. Niestety w publicznie dostępnych rejestrach takich danych w łatwy sposób nie znajdę.
W mojej ocenie należałoby zbadać jakie przesłanki przyświecały prawodawcy ustanawiającemu KRS. Wydaje się, że były to ułatwienie obrotu i zapewnienie mu bezpieczeństwa właśnie poprzez możliwość uzyskania wiarygodnej informacji na temat podmiotów gospodarczych. Rozwój technologii i upływ czasu sprawił, że możliwym stało się tworzenie alternatywnych dla KRS baz danych stanowiących jego odzwierciedlenie i uzupełnienie. Życie po raz kolejny wyprzedziło poczynania prawodawcy.
Rozumiem zastrzeżenia GIODO. Bazy danych, w szczególności takie przetwarzające dane osobowe, powinny być pod szczególnym nadzorem. Dlatego za uzasadnione należy uznać nałożenie na przedsiębiorców tworzących tego rodzaju spisy szczególnych obowiązków związanych z dostępem do tych danych i ich bezpieczeństwa. Nie mogę się jednak zgodzić z opinią, że wtórne przetwarzanie danych będących - co należy podkreślić z całą stanowczością - odzwierciedleniem publicznych i jawnych rejestrów, nawet zawierających dane osobowe, wymaga uzyskania szczególnej zgody. Uważam, że osoby decydujące się na uczestnictwo w obrocie gospodarczym, który ze swej istoty następuje w "przestrzeni publicznej" godzą się, przez sam fakt zgłoszenia się do KRS na to, aby ich dane osobowe były publicznie dostępne i "swobodnie" przetwarzane. Mówiąc "swobodnie" mam na myśli oczywiście takie przetwarzanie, które nie stoi w sprzeczności z celem takiej czynności, a więc zapewnieniem pewności obrotu.
Należałoby postulować aby przedsiębiorcy zajmujący się tworzeniem alternatywnych dla CEIDG oraz KRS baz danych robili to w sposób rzetelny przy poszanowaniu prawa do prywatności. Jako kryterium rzetelności uznałbym odzwierciedlenie danych będących w posiadaniu organów publicznych bez dodawania informacji niesprawdzonych albo pozyskanych w sposób podstępny (np. prywatne stosunki majątkowe bądź rodzinne). Z kolei jako kryterium poszanowania prawa do prywatności uznałbym zakaz gromadzenia i przetwarzania danych podmiotów, które wycofały się z "publicznego" życia gospodarczego; z taką sytuacją mielibyśmy do czynienia np. w stosunku do osób, które w latach ubiegłych pełniły funkcje w organach zarządzających jakąś osobą prawną jednak obecnie nie pełnią już funkcji w tym czy innym organie i nie są już wpisane ani do KRS ani do CEIDG.
Jak Pan pewnie dobrze wie życie, a życie gospodarcze w szczególności, nie znosi pustki. To, że na spółkę zostanie nałożony realnie niemożliwy do spełnienia obowiązek nie sprawi, że dane osobowe, o które się rozchodzi, będą lepiej chronione. Albo spółka przeniesie swoja działalność do innego państwa albo jej miejsce zajmą podmioty, które będą handlowały informacją nierzetelną bądź pozyskaną w sposób rażąco sprzeczny z prawem. W tym drugim przypadku ucierpią, oprócz osób których dane będą przetwarzane, także inni uczestnicy obrotu, którzy zakupią dane zupełnie niepotrzebne w bieżącej działalności gospodarczej obarczone błędami bądź zupełnie zmyślone. Wszak powszechnie znany jest problem wszelkiej maści rejestrów nierzetelnych płatników, czarnych list itp. zlokalizowanych na zagranicznych serwerach będących poza jurysdykcją GIODO.
Kończąc chciałbym zwrócić uwagę na możliwość jaką daje GIODO rozdział 13 KPA :-)
Dodatkowo chciałbym zaznaczyć, że nie jestem w żaden sposób związany ani ze spółką będącą w obszarze zainteresowań GIODO, ani z żadnym z podmiotów z tej branży.

Komentarz nie komentarz

Niestety konkretnej sprawy nie wolno mi komentować, gdyż toczy się spór sądowy. Nie mogę więc podać żadnych kontrargumentów :)

Wojciech Wiewiórowski

Jaka ustawa takie standardy

Z błędnych przesłanek nie można wyciągnąć prawdziwych wniosków, z fatalnej ustawy nie sposób wypracować dobrych standardów.

Skoro dziennikarze, a także np. historycy, statystycy i generalnie naukowcy, zgodnie z zapisami wiadomej ustawy mogą "zbierać dane osobowe nie od osoby, której te dane dotyczą", to co stoi na przeszkodzie by wydawać i sprzedawać czasopismo biznesowe "Spółki polskie" albo pracę historyczną "Członkowie zarządów spółek polskich w latach ...". W tym kontekście jaki jest sens blokowania działalności jawnie biznesowej ?

Jeśli zaś praca dziennikarza czy historyka nie usprawiedliwia "zbierania danych osobowych nie od osoby, której one dotyczą" i upubliczniania tychże to mamy, między innymi, gwóźdź do trumny dla badań nad historią najnowszą Polski (co prawda i tak już de facto nielegalnych mocą art.27 ustawy o ochronie danych osobowych). Możemy też zapomnieć o skutecznej kontroli społecznej polityków i klasy rządzącej jako takiej.

Btw. Co czyni obywatela dziennikarzem ? No i czy historyk amator jest historykiem ? Czy też na uprawianie tego typu zajęć potrzebne są jakieś licencje ? Pytanie mnożą się jak króliki.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>