Nowa ustawa o ochronie danych osobowych – projekt

A A A

W dniu 14.9.2017 r. zostały opublikowane projekty nowej ustawy o ochronie danych osobowych (NUODO) wraz z projektem przepisów wprowadzających, które ustanawiają zmiany w ponad 130 ustawach. Oznacza to, że Ministerstwo Cyfryzacji zdecydowało się wdrożyć prawo unijne, kompleksowo, we wszystkich sektorach. Odeszło tym samym od praktyki innych państw członkowskich UE, w których najpierw udostępniane są ustawy o ochronie danych osobowych, a dopiero w dalszej kolejności podejmowane są prace zmieniające przepisy szczególne.

Nowa ustawa o ochronie danych osobowych

Podejście zaprezentowane przez resort ma dużo plusów. Najważniejszym jest nadanie nowego kierunku całemu systemowi ochrony danych osobowych w Polsce i wskazanie od razu zmian w przepisach sektorowych, co jest szczególnie istotne dla przedsiębiorców – umożliwia przygotowanie się do nowych regulacji już teraz. Poważnym ryzykiem takiej decyzji, jest jednak możliwość znacznego wydłużenia procesu legislacyjnego, co może opóźnić wejście w życie krajowych regulacji. Procesowanie ustawy o ochronie danych osobowych oddzielnie, względem zmiany 133 ustaw sektorowych, bez wątpienia przyśpieszyłoby przyjęcie tej pierwszej.

Trzeba oddać projektodawcy, że podszedł do zagadnienia europejskiej reformy danych osobowych rzetelnie i kompleksowo. Co prawda projekt ukazał się z opóźnieniem, bo według zapowiedzi Ministerstwa Cyfryzacji w czasie publikacji pierwszego projektu NUODO, pełny projekt miał być dostępny w okolicach czerwca 2017 r., a jesienią trafić do Sejmu. Z uwagi na poddanie projektu przepisów konsultacjom społecznym oraz uzgodnieniom międzyresortowym, treść projektowanych zmian na pewno ulegnie jeszcze mniejszym lub większym zmianom. Znamy już jednak kierunek podejścia polskiego ustawodawcy do reformy. W naszej ocenie projektodawca bardzo rzetelnie podszedł do wyzwania jakim jest wdrożenie RODO i po analizie przepisów NUODO wydaje się, że nie przekroczył kompetencji przyznanej państwom członkowskim.

Wyłączenia spod zakresu obowiązywania NUODO

Przepisy unijne zawarte w RODO przyznają państwom członkowskim swobodę w ograniczeniu stosowania przepisów względem niektórych sektorów. Z rozwiązania takiego skorzystał polski projektodawca, wyłączając zastosowanie ustawy względem:

1) działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych;

2) działalności literackiej;

3) działalności artystycznej;

4) wypowiedzi akademickiej.

Zgodnie z uzasadnieniem projektu NUODO, wyżej wymienione wyłączenia mają pierwszeństwo przed regulacjami RODO, o ile korzystanie z nich nie narusza istotnie praw lub wolności podmiotu danych – np. poprzez wykorzystanie danych faktycznie w innym celu niż wskazana twórczość dziennikarska, artystyczna lub literacka. Do wskazanych powyżej rodzajów działalności wyłączono tym samym stosowanie art. 13, art. 15 ust. 3­4, art. 18, art. 27 ust. 2­10 oraz art. 30 Rozporządzenia – czyli obowiązki administratora danych w zakresie:

1) informowanie osoby, której dane dotyczą o danych pozyskanych od tej osoby (art. 13),

2) dostarczania osobie, której dane dotyczą kopii danych (art. 15 ust. 3 oraz ust. 4),

3) ograniczenia przetwarzania na wniosek osoby, której dane dotyczą (art. 18),

4) wyznaczania swojego przedstawiciela w UE w przypadku, o którym mowa w art. 3 ust. 2 Rozporządzenia (art. 27 RODO – podmioty niemające jednostek organizacyjnych w UE przetwarzające),

5) powierzenia przetwarzania danych osobowych podmiotowi przetwarzającemu na podstawie umowy lub innego instrumentu prawnego (art. 28),

6) prowadzenia rejestru czynności przetwarzania danych osobowych (art. 30).

Zgodnie z art. 2 NUODO do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, działalności literackiej oraz działalności artystycznej, nie będzie się stosowało następujących przepisów Rozporządzenia:

• 5 – zasady przetwarzania danych osobowych,

• 6 – przesłanki legalności przetwarzania danych osobowych,

• 7 – warunki wyrażania zgody przez osobę, której dane dotyczą,

• 8 – warunki wyrażania zgody przez dziecko w przypadku usług społeczeństwa informacyjnego,

• 9 – przetwarzanie szczególnych kategorii danych,

• 11 – przetwarzanie danych osobowych osoby niewymagającej identyfikacji,

• 14 – obowiązek podawania informacji w przypadku pozyskiwania danych nie od osoby, której dane dotyczą,

• 15 ust. 1 i 2 – prawo dostępu przysługujące osobie, której dane dotyczą,

• 16 – prawo do sprostowania danych,

• 19 – obowiązek powiadomienia odbiorcy danych o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania,

• 20 – prawo do przenoszenia danych,

• 21 – prawo do sprzeciwu,

• 22 – zautomatyzowane podejmowanie decyzji w indywidualnych sprawach, w tym profilowanie.

Ochrona danych osobowych dzieci

Projektodawca NUODO, skorzystał z kompetencji przyznanej mu na mocy art. 8 ust. 1 RODO ustalając, że w wypadku realizacji usług internetowych, dzieci do lat 13 będą musiałby uzyskać zgodę rodzica na przetwarzanie ich danych (alternatywnie potwierdzenie przez rodzica zgody dziecka). Założeniem przyświecającym projektodawcy, jest jak się wydaje wyrównanie granicy wiekowej, gdy taka zgoda jest konieczna, z wynikającą z Kodeksu cywilnego granicą wiekową, gdy nabywa się ograniczoną zdolność do czynności prawnych. Jednak powstają pytania: w jaki sposób powinno się weryfikować tożsamość rodziców? Co stanie się ze zgodami, gdy osoba skończy 13 lat? Czy powinny być ponownie potwierdzane? Przepisy nie wskazują również, czy w razie cofnięcia zgody, może to zrobić dziecko samodzielnie, czy jej cofnięcie również wymaga aktywności rodzica.

Inspektorzy ochrony danych

W rozdziale 2 NUODO uregulowano warunki oraz tryb wyznaczania inspektorów ochrony danych osobowych (IOD), czyli nowych podmiotów, o kompetencjach zbliżonych do dzisiejszych Administratorów Bezpieczeństwa Informacji (ABI). W rozdziale określono w jakim terminie należy dokonać zgłoszenia inspektora ochrony danych organowi. Powinna być ona dokonana w terminie 14 dni od dnia wyznaczenia inspektora ochrony danych – w takim samym czasie informujemy o każdej zmianie danych, w tym o odwołaniu IOD. Projektodawca ­NUODO postanowił wprowadzić do projektu szeroką definicję podmiotów publicznych odnosząc się do definicji wskazanych w art. 5 § 2 pkt 3 ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (KPA), oraz podmioty publiczne wskazane w art. 9 ustawy z 27.8.2009 r. o finansach pub­licznych. Wskazana definicja nie powinna nastręczać wątpliwości interpretacyjnych i jest również rozwiązaniem racjonalnym i systemowo spójnym. Są nimi niemal wszystkie podmioty realizujące zadania publiczne z wyłączeniem spółek skarbu państwa oraz instytutów badawczych.

Prezes Urzędu Ochrony Danych Osobowych

NUODO wprowadza kluczową zmianę w zakresie funkcjonowania organu odpowiedzialnego za przestrzeganie przepisów o ochronie danych osobowych. Wraz z początkiem obowiązywania RODO, Generalny Inspektor Ochrony Danych Osobowych zostanie zastąpiony nowym organem jakim będzie Prezes Urzędu Ochrony Danych Osobowych (PUODO), który będzie swoje zadania realizował przy pomocy Urzędu Ochrony Danych Osobowych (UODO). PUODO będzie tym samym organem nadzorczym w rozumieniu RODO i „dyrektywy policyjnej”.

Z uzasadnienia ­NUODO możemy odczytać, że wraz z początkiem obowiązywania RODO uchylona zostanie podstawa prawna działania GIODO. Nowy organ nadzorczy, z prawnego punktu widzenia, jest nowym organem państwowym, będącym następcą prawnym Generalnego Inspektora. Nazwa nowego organu również nie jest przypadkowa. Z uwagi na wprowadzenie w Rozporządzeniu funkcji inspektora ochrony danych osobowych, pozostawienie nazewnictwa organu w postaci Generalnego Inspektora Ochrony Danych Osobowych mogłoby wprowadzać w błąd w zakresie powiązania IOD (powołanych przez administratorów danych) z organem nadzorczym.

Procedura powołania PUODO jest zbliżona do powołania GIODO, ale oczywiście zawiera nowe rozwiązania. W stosunku do obowiązującej ustawy zmieniono kryteria, jakie powinien spełniać kandydat na Prezesa UODO. Zgodnie z art. 20 ust. 4 na stanowisko Prezesa UODO może być powołana osoba, która spełnia następujące warunki:

1) jest obywatelem polskim;

2) posiada tytuł naukowy doktora;

3) posiada wiedzę z zakresu ochrony danych osobowych;

4) przez okres co najmniej 5 lat wykonywała czynności bezpośrednio związane z ochroną danych oso­bowych;

5) korzysta z pełni praw publicznych;

6) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skar­bowe.

Warto wspomnieć o tym, że PUODO będzie mógł wykonywać swoje zadania przy pomocy trzech zastępców, powoływanych i odwoływanych przez Prezesa Rady Ministrów na wniosek ministra spraw wewnętrznych (jeden zastępca) oraz przez ministra cyfryzacji (dwóch zastępców). Jest to o tyle ciekawa konstrukcja, że na gruncie NUODO, w porównaniu do UODO, zwiększono niezależność ­PUODO poprzez przyznanie mu między innymi kompetencji do samodzielnego nadania statutu Urzędowi Ochrony Danych Osobowych (obecnie robi to Prezydent w formie rozporządzenia). Ponadto, przy Prezesie UODO działać będzie Rada do spraw Ochrony Danych Osobowych, w skład której wchodzić będzie 8 członków. Do zadań Rady zgodnie z art. 34 NUODO należeć będzie:

1) opiniowanie projektów dokumentów organów i instytucji UE dotyczących spraw ochrony danych osobowych;

2) opiniowanie przekazanych przez PUODO projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;

3) opracowywanie propozycji kryteriów certyfikacji, o których mowa w art. 7;

4) opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;

5) inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie PUODO propozycji zmian prawa w tym obszarze;

6) wyrażanie opinii w sprawach przedstawionych Radzie przez PUODO;

7) wykonywanie innych zadań zleconych przez PUODO.

Powyższe wskazuje, że praca Rady do spraw Ochrony Danych Osobowych będzie dostarczała nam dużo informacji, które administratorzy będą mogli wykorzystać już na etapie systemów służących do przetwarzania danych jak również w codziennej działalności.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Z projektu NUODO dowiadujemy się jak będzie wyglądało postępowania prowadzone przez PUODO. Będzie ono jednoinstancyjne i prowadzone w oparciu o przepisy KPA. NUODO wyposaża Prezesa UODO w szereg kompetencji kontrolnych takich jak:

1) prawo dostępu do wszelkich informacji niezbędnych do przeprowadzenia postępowania (z ograniczeniem w zakresie tajemnic prawnie ustawowo chronionych np. tajemnica radcowska, adwokacka);

2) możliwość żądania przedstawienia dowodów przez stronę oraz wykonanych na koszt kontrolowanego tłumaczeń dokumentów na język polski;

3) możliwość nałożenia grzywny za nieuzasadnione, niestawiennictwo jako świadek lub biegły oraz za bezzasadną odmowę zeznań, okazanie przedmiotu oględzin albo udziału w innej czynności urzędowej;

4) możliwość zobowiązania podmiotu, któremu zarzucane jest naruszenie danych osobowych, do ograniczenia przetwarzania danych, jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy, a dalsze ich przetwarzania może spowodować poważne i trudne do usunięcia skutki.

Decyzje PUODO będą podlegały natychmiastowemu wykonaniu. Ale co ważne, w projekcie przewidziano, że wniesienie przez stronę skargi do sądu, wstrzymuje wykonanie w odniesieniu do administracyjnej kary pieniężnej. Można dopatrzyć się w tym zakresie wątpliwości wyłącznie w zakresie celu wprowadzenia do projektu takiej regulacji. Zgodnie bowiem z art. 108 § 1 KPA, rygor natychmiastowej wykonalności może być nadany decyzji, od której służy odwołanie. W przypadku decyzji, od której odwołanie nie przysługuje – jak w projekcie Ministra Cyfryzacji – rygor taki nadawany jest więc z mocy samego prawa. Przepis pełni więc funkcję informacyjną.

Postępowanie kontrolne

Do NUODO wprowadzony został przepis dotyczący przeprowadzenia przez PUODO postępowania kontrolnego. Postępowania kontrolne prowadzone będą wg planu kontroli, na podstawie przeprowadzonych przez Prezesa UODO analiz, oraz na podstawie uzyskanych przez PUODO informacji – czyli w reakcji na tzw. donos. Zgodnie z art. 52 NUODO postępowanie kontrolne może być prowadzone również w toku postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (uregulowanego w rozdziale 5 NUODO). Kontroli będą dokonywać upoważnieni pracownicy Urzędu Ochrony Danych Osobowych, którzy zostali wyposażeni w szereg kompetencji takich jak:

1) wstęp na grunt oraz do budynków, lokali lub innych pomieszczeń;

2) wgląd do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;

3) przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

4) żądanie złożenia pisemnych lub ustnych wyjaśnień oraz wezwanie i przesłuchanie w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycz­nego;

5) możliwość przesłuchania w charakterze świadka pracowników kontrolowanego.

Postępowanie kontrolne nie może trwać dłużej niż miesiąc. Zgodnie z art. 74 NUODO postępowanie kontrolne rozpoczyna okazanie legitymacji i upoważnienia kontrolującego, a kończy podpisanie protokołu kontrolnego (art. 74 ust. 2 NUODO).

Postanowienie zabezpieczające

Projekt przewiduje uprawnienie Prezes UODO do wydania postanowienia zabezpieczającego skargę za naruszenie przepisów o ochronie danych. Prezes będzie mógł do momentu rozstrzygnięcia sprawy i wydania decyzji wydać postanowienie nakazujące przedsiębiorcy ograniczenie przetwarzania danych np. do ich posiadania. To znaczne wzmocnienie praw obywateli – będą mogli uzyskać natychmiastową ochronę swoich praw, i rozwiązanie mogące ogromnie wpłynąć na przedsiębiorców.

Odpowiedzialność cywilna i karna oraz administracyjne kary pieniężne

Projekt przewiduje trzy odrębne ścieżki dochodzenia roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych. Co szczególnie ważne, każda z tych dróg może zostać wykorzystana niezależnie, a więc naruszenie będzie mogło być karane trzykrotnie – odpowiedzialność karna, cywilna i administracyjna.

Odnosząc się do odpowiedzialności administracyjnej, PUODO będzie uprawniony do nakładania administracyjnych kar pieniężnych na podstawie i warunkach określonych w art. 83 RODO. Kary będą nakładane w drodze decyzji administracyjnej. Projektodawca dokonał gruntownej zmiany względem projektu udostępnionego w marcu 2017 r. do konsultacji publicznej, przyznając PUODO uprawnienie do nakładania kary finansowej wobec wszystkich organów administracji publicznej. Z uwagi na obniżenie maksymalnego wymiaru kary nakładanej na administrację publiczną, projektodawca wzmocnił odpowiedzialność z tytułu naruszenia prywatności przez ten sektor poprzez nałożenie na niego obowiązku sprawozdawczego – każdy z adresatów decyzji wydawanych przez PUODO zobowiązany będzie do niezwłocznego wykazania sposobu ich wykonania. Administracyjne kary pieniężne będą stanowić dochód budżetu państwa, a ich 1% zasilał będzie nowo utworzony Fundusz Ochrony Danych Osobowych (FODO).

W przypadku, kiedy waga naruszeń jest znikoma, a strona zaprzestała naruszeń PUODO może udzielić upomnienia w drodze decyzji.

W projekcie znajduje się również możliwość dochodzenia roszczeń na drodze sądowej przed sądami cywilnymi (obok wszczęcia postępowania administracyjnego). Nie wyłącza to jednak możliwości jednoczesnego wystąpienia z roszczeniami z tytułu naruszenia przepisów NUODO wobec administratora danych osobowych. Praktyczne znaczenie tego uregulowania jest duże. Powołany przepis stanowi odrębną podstawę prawną dochodzenia roszczeń względem przewidzianej w art. 24 KC.

NUODO wprowadza obowiązek dla sądów o zawiadomieniu PUODO o każdym toczącym się postępowaniu, a także o każdym wyroku uwzględniającym powództwo w sprawach roszczeń cywilnych związanych z naruszeniem przepisów ochrony danych osobowych. Powyższe oznacza, iż podmiot danych będzie w stanie, na drodze cywilnej, uzyskać szeroką ochronę w razie naruszenia przepisów o ochronie danych.

W NUODO znalazły się również przepisy karne. Za udaremnienie lub utrudnienie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych grozi grzywna nakładana w parciu o przepisy Kodeksu postępowania w sprawach o wykroczenia; za przetwarzanie tzw. danych wrażliwych (art. 9 RODO) bez podstawy prawnej grozi grzywna, ograniczenie wolności lub pozbawienie wolności do roku – orzekane w trybie przepisów KK.

Podstawa prawna

  • projekt z 12.9.2017 r. ustawy o ochronie danych osobowych, opublikowany na stronach Ministerstwa Cyfryzacji

 

Marek Kozica
Specjalista ds. danych osobowych
Aplikant radcowski Omni Modo

Tomasz Osiej
Radca Prawny. Firma doradcza
Omni Modo www.omnimodo.com.pl

Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Nowa ustawa o ochronie danych osobowych – projekt
Tomasz Osiej , Marek Kozica
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny