Ustawa o ochronie danych osobowych - dodatek do RODO

Przed każdym z państw Unii Europejskiej stoi wyzwanie wdrożenia do krajowego porządku prawnego ogólnego rozporządzenia unijnego o ochronie danych osobowych (rozporządzenie 2016/679).  Przepisy ustawy o ochronie danych osobowych, mają zapewnić skuteczne stosowanie w polskim porządku prawnym rozporządzenia 2016/679. Udostępniony projekt wskazuje na proponowany przez Ministra Cyfryzacji sposób realizacji tego celu.

Tak włanie czytamy na stronie internetowej Ministerstwa Cyfryzacji, gdzie udostępniono projekt ustawy o ochronie danych osobowych oraz uzasadnienie do tego projektu (nawiasem mówiąc uzasadnienie bardzie ciekawe i wartościowe).

Czego dowiadujemy się z projektu?

Prezes Urzędu Ochrony Danych Osobowych, zwany dalej "Prezesem Urzędu" - zamiast GIODO

Zmiana nazwy urzędu, gdyż RODO wprowadza inspektora ochrony danych osobowych i nie było wiadomo, jak tego inspektora powiązać z generalnym inspektorem. Ponadto skoro jest generalny inspektor, to pracownicy biura byliby pewnie normalnymi inspektorami, a wówczas wchodziło by to w kolizję z inspektorem ochrony danych o którym mowa w RODO. Więc ich też nie będzie nazywać się inspektorami, ale po prostu "kontrolującymi". Podsumowując zamiast GIODO będzie Prezes Urzędu Ochrony Danych Osobowych - trochę podobnie jak Prezes UOKiK. A w skrócie mówi się UOKiK. Więc pewnie będzie mówiło się "UODO" - np. złożyłem skargę do UODO.

Kodeks postępowania administracyjnego wciąż w grze

W projekcie zaproponowano by postępowanie w sprawach ochrony danych osobowych było prowadzone na podstawie przepisów ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego.

(...) projektodawca zdecydował się w art. 29 projektowanej ustawy nadać z mocy prawa wydawanym przez Prezesa Urzędu decyzjom rygor natychmiastowej wykonalności. Rozwiązanie takie jest w pełni uzasadnione charakterem chronionego przez wydawane decyzje dobra, którym jest prawo podstawowe do ochrony danych osobowych wymagające szczególnego zabezpieczenia. odstąpiono (jednak) od nadawania z mocy prawa rygoru natychmiastowej wykonalności decyzjom nakładającym takie kary. Mogłoby to skutkować niepowetowanymi stratami po stronie administratorów bądź podmiotów przetwarzających wobec których decyzje takie zostałyby wydane.
(...) odstąpiono od utrzymania dwuinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych, na rzecz postępowania jednoinstancyjnego. Projektując takie rozwiązanie w pierwszej kolejności oparto się na statystykach związanych z obecnym czasem trwania postępowań w sprawach ochrony danych osobowych.
(...) średni czas oczekiwania na decyzję Generalnego Inspektora Ochrony Danych Osobowych w pierwszej instancji wyniósł 295,75 dni, a na decyzję w drugiej instancji 142,30 dni. Uwzględniając szczególny charakter postępowań dotyczących naruszenia zasad ochrony danych osobowych czas konieczny do uzyskania decyzji ostatecznej umożliwiającej skierowanie skargi do sądu jest w chwili obecnej zbyt długi. Zniesienie dwuinstancyjności ma więc zapewnić obywatelom możliwość szybszego uzyskania sądowej ochrony swoich praw.
(...)Art.. 27. W przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes Urzędu może, w drodze decyzji udzielić upomnienia.

Kary

Są dobrze uregulowane, więc niewiele o nich dowiemy się z projektu, poza tym że wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Skarga nie tylko do "Prezesa", ale może być do sądu, z pominięciem "Prezesa"

Rozporządzenie 2016/679 w art. 79 wymaga od państw członkowskich wprowadzenia odrębnej drogi dochodzenia roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych – poprzez przyznanie uprawnienia do skierowania „skargi” bezpośrednio do sądu z pominięciem organu nadzorczego (Prezesa Urzędu). Jednocześnie skorzystanie z takiego uprawnienia nie powinno w ocenie projektodawcy wyłączać możliwości wystąpienia ze skargą do Prezesa Urzędu, a sąd powinien mieć prawo do wydania wyroku niezależnie od rozstrzygnięcia wydanego przez Prezesa Urzędu. To jest dość ciekawe, i w sumie to może i lepiej, niektóre organy były nie tylko powolne, ale być może podchodziły do spraw stronniczo...

Organizacje też mogą żądać postępowania

Ciekawszą rzeczą jest "uprawnienie organizacji społecznej do wystąpienia z żądaniem wszczęcia postępowania bądź udziału w postępowaniu, nie tylko w przypadku gdy przemawia za tym interes społeczny, o czym stanowi art. 31 § 1 KPA, ale również gdy przemawia za tym interes osoby, której prawa zostały naruszone". Spodziewam się wysypu firm-szantażystów :-)

Będzie dużo ciekawego materiału

gromne znaczenie Prezes Urzędu powinien przywiązywać do zebrania w toku postępowania dowodów. Dowodów przemawiających nie tylko za wymierzeniem administracyjnej kary pieniężnej, ale również wymierzeniem kary o takiej a nie innej wysokości. Oczekuje się też wyczerpujacych uzasadnień wydanych rozstrzygnięc - a to będzie ciekawa wiedza!

Kontrola nie dłużej niż miesiąc

Kontrole - planowe, doraźne oraz jako środek w ramach prowadzonego postępowania

art.. 45 postępowanie kontrolne nie może trwać dłużej niż miesiąc.
(...) projektodawca przewidział w projektowanych przepisach wprost, że w toku kontroli kontrolujący może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji a organy kontroli państwowej lub Policja wykonują czynności na polecenie kontrolującego. (...) W efekcie, Prezes Urzędu będzie uprawniony do przeprowadzania kontroli bez uprzedniego zawiadomienia o tym fakcie kontrolowanego. Prowadzenie postępowania kontrolnego po uprzednim zawiadomieniu w wielu przypadkach może czynić bowiem niewiarygodnym informacje uzyskane w toku takich czynności.
(...) Terminem zakończenia postępowania kontrolnego jest dzień podpisania protokołu kontrolnego przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 43 ust. 7.
(...) Na podstawie ustaleń kontroli kontrolujący może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Byłeś świadkiem, nie zeznałeś - płać

Kto, będąc obowiązany do osobistego stawienia się mimo prawidłowego wezwania nie stawił się bez uzasadnionej przyczyny jako świadek lub biegły albo bezzasadnie odmówił złożenia zeznania, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej, może być ukarany karą grzywny do 500 zł. Na postanowienie o ukaraniu służy skarga do sądu administracyjnego.

Do przewiczenia było, że kary mniejsze dla urzędów

projektodawca ograniczył więc krąg podmiotów publicznych wobec których możliwe jest nakładanie administracyjnych kar pieniężnych za naruszenia przepisów o ochronie danych osobowych. W pozostałym zakresie w jakim projektowane przepisy przewidują możliwość nałożenia kary pieniężnej na sektor publiczny, wprowadzają znaczne obniżenie maksymalnej granicy możliwej do nałożenia kary, na 100 000 zł. (art.. 50).

Karna pożyczka

W przypadku odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, których wysokość wynosi 50% stawki odsetek za zwłokę

ABI będzie Inspektorem do września 2018, a później...

najwłaściwszym rozwiązaniem, jest przesądzenie wprost, że osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r. Do tego czasu, każdy z inspektorów ochrony danych ma czas na podjęcie decyzji o dalszym pełnieniu takiej funkcji (i dokonaniu stosowanego zawiadomienia do Prezesa Urzędu). W razie braku do tego czasu jakiejkolwiek aktywności z ich strony, w dniu 1 września 2018 r. z mocy prawa przestaną pełnić funkcję inspektorów ochrony danych.

Certyfikacja - wolność i swoboda

kompetencje Prezesa Urzędu powinny być ograniczone wyłącznie do akredytacji podmiotów certyfikujących, a certyfikacja należeć powinna do wyspecjalizowanych podmiotów zajmujących się zawodowo ochroną danych osobowych. W uzasadnieniu podkreśla się, ze gdyby to Prezes UODO certyfikował, to każdy wolałby taki certyfikat i nie korzystałby z innych

Akredytacja i certyfikacja będzie płatna.

Zgoda wyrażona przez dziecko - przyjęto 13 lat

Zgodnie z art. 15 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. z 2016 r. poz. 380, z późn. zm.) osoba, która ukończyła 13 lat ma ograniczoną zdolność do czynności prawnych, a zatem może zawierać umowy w drobnych bieżących sprawach życia codziennego, może także rozporządzać swoim zarobkiem. W ocenie projektodawcy w tym kontekście uzasadnione jest przyjęcie granicy lat 13 także dla skutecznego wyrażenia przez dziecko zgody na przetwarzanie dotyczących go danych osobowych, w związku z kierowanymi bezpośrednio do dziecka usługami społeczeństwa informacyjnego. Nie ma powodu, aby przyjąć, że osoba mogąca rozporządzić swoim zarobkiem oraz zawierać drobne umowy, nie była jednocześnie uprawniona do wyrażenia zgody na przetwarzanie dotyczących jej danych osobowych, szczególnie, że zgodnie z przepisami rozporządzenia 2016/679 zgodę można w każdym czasie wycofać.

Podsumowując

Jak na razie nic zaskakującego nie ma. Czekamy na kolejne, bo to dopiero "regulacyjny początek" :-)