Co się zmieni w ustawie o ochronie danych osobowych

24 września 2010 r. Sejm jednogłośnie przyjął nowelizację ustawy o ochronie danych osobowych. Projekt ustawy zgłosił w 2007 r. Prezydent Lech Kaczyński. W toku prac sejmowych zrezygnowano z wielu pierwotnie zaproponowanych rozwiązań, nadając ustawie bardziej zachowawczy wymiar. Najważniejsze zmiany dotyczą rozszerzenia uprawnień GIODO i wzmocnienia możliwości egzekwowania wydawanych decyzji administracyjnych. Wykreślono jednocześnie proponowany przez Prezydenta zapis umożliwiający nakładanie kar pieniężnych przez Generalnego Inspektora. Poniżej przypominamy najważniejsze założenia nowelizacji, która oczekuje na podpis Prezydenta.

Zgoda na przetwarzanie danych

Nowelizacja doprecyzowuje pojęcie „zgody na przetwarzanie danych osobowych”. W art. 7 pkt. 5 dodano zapis mówiący, że „zgoda ta może być odwołana w każdym czasie”. Zmiana ta ma znaczenie głównie porządkujące i rozstrzyga w sposób niebudzący wątpliwości dyskusyjną kwestię „odwołalności” zgody. Nowe brzmienie przepisu utrwala interpretację „zgody” stosowaną w dotychczasowej praktyce GIODO i uznaną przez wielu przedstawicieli doktryny. Większość środowiska prawniczego od lat stała na stanowisku, że nie ma podstaw, aby odmówić danemu podmiotowi prawa do cofnięcia raz wyrażonej zgody na przetwarzanie danych.

Czy będą jednak kary finansowe?

Dotychczas, jako o jednej z największych bolączek GIODO mówiło się o ograniczonej skuteczności w egzekwowaniu wydawanych decyzji. Pierwotnie zgłoszony przez Prezydenta projekt, przewidywał podniesienie efektywności działań Urzędu poprzez wyposażenie GIODO w kompetencję do nakładania kar finansowych. Kary te miały zagrażać podmiotom, które nie wykonały wydanych wcześniej decyzji administracyjnych, nakazujących np. usunięcie uchybień związanych z przetwarzaniem danych osobowych. W toku prac sejmowych zrezygnowano z tego pomysłu, wprowadzając „w zamian” inne instrumenty nacisku na administratorów danych.

Nowa ustawa uprawnia GIODO do „zapewnienia wykonania obowiązków o charakterze niepieniężnym wynikających z decyzji, poprzez stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji” (art. 12 ust. 3). Innymi słowy, w razie niewykonania decyzji, wydanej na podstawie art. 12 ust. 2 ustawy., Generalny Inspektor będzie mógł sięgnąć do środków egzekucyjnych uregulowanych w Dziale III tej ustawy. Jednym z nich jest „grzywna w celu przymuszenia”. Oznacza to, że bardzo szerokie ujęcie kompetencji egzekucyjnych GIODO w nowelizacji ustawy, wprowadza w istocie możliwość pociągnięcia administratorów danych do odpowiedzialności finansowej, choć na nieco innych zasadach niż przewidywał to projekt prezydencki.

Nowy typ przestępstwa

Dodatkowym zabezpieczeniem skutecznego wykonywania uprawnień GIODO ma być także nowy przepis karny sankcjonujący „udaremnianie lub utrudnianie prowadzonej kontroli”. Można przypuszczać, że przyczyną zmian legislacyjnych w tym zakresie była potrzeba wynikająca z dotychczasowej praktyki inspektorów. Przepis ten ma zadziałać prewencyjne na tych administratorów danych, którzy w trakcie kontroli nie zechcą podjąć pełnej współpracy z Urzędem. Sprawca dopuszczający się powyższego przestępstwa będzie podlegał odpowiedzialności karnej nawet do 2 lat pozbawienia wolności (art. 54 a).

Wystąpienia GIODO – sposób na edukację?

Na gruncie nowych przepisów, GIODO będzie mógł kierować „wystąpienia” do administratorów danych, u których przeprowadzona kontrola ujawniła określone nieprawidłowości (art. 19a ust. 1). Adresatami mogą być organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne i prawne. Wystąpienia nie będą wydawane w formie decyzji administracyjnej. Urzędujący GIODO, Wojciech Wiewiórowski, stwierdził, że wystąpienia staną się raczej sposobem edukowania instytucji prowadzących zbiory danych poprzez „miękkie poinformowanie” o tym, w jaki sposób powinny być one przetwarzane. Formułowanie niewiążących wytycznych pod adresem kontrolowanych instytucji nie jest nową praktyką w biurze Generalnego Inspektora. Nowelizacja, oprócz tego, że zapewnia podstawę prawną dla takich działań, wnosi także nieznany wcześniej element. Nowe przepisy mają skłonić adresatów do podjęcia rzeczywistej analizy wystosowanego wystąpienia. Instytucja będąca jego adresatem, po wejściu w życie nowelizacji, będzie musiała ustosunkować się do przedstawionych wytycznych na piśmie, w ciągu 30 dni od daty ich otrzymania.

Wpływ GIODO na zmiany legislacyjne

Dotychczasowa ustawa w bardzo oględny sposób regulowała możliwości uczestnictwa GIODO w procesie legislacyjnym dotyczącym zagadnień z zakresu ochrony danych osobowych. Zgodnie z art. 12 ust. 5 ustawy, GIODO mógł jedynie „inicjować i podejmować przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych”. Generalny Inspektor mógł korzystać z tego uprawnienia, nieformalnie „lobbując” na rzecz określonych inicjatyw. W ramach wprowadzanej nowelizacji, GIODO nie otrzymał co prawda inicjatywy ustawodawczej (co było swego czasu przedmiotem dyskusji), ale jego pozycja „w procesie legislacyjnym” uległa wzmocnieniu. Zaproponowany przepis art. 19 a ust. 2 przewiduje wyraźne uprawnienie Generalnego Inspektora do występowania z wnioskami o podjęcie inicjatywy ustawodawczej „do właściwych organów”. Co więcej, podobnie jak w przypadku „wystąpień”, ustawodawca dodatkowo zabezpieczył tę kompetencję obowiązkiem po stronie adresata wniosku - do pisemnego ustosunkowania się do zgłoszonej propozycji w ciągu 30 dni. W praktyce przepis ten obliguje więc organy wyposażone w inicjatywę ustawodawczą do zapoznania się z treścią wniosku i zmniejsza ryzyko bezrefleksyjnego odesłania go ad acta.

Biura zamiejscowe

Aby zwiększyć efektywność działań GIODO, nowe przepisy umożliwiają tworzenie tzw. jednostek zamiejscowych Biura „w przypadkach uzasadnionych charakterem i liczbą spraw z zakresu danych osobowych na danym terenie” (art. 13 ust. 1a). Choć – jak wynika z powyższego przepisu - decyzja o powstaniu biura zamiejscowego powinna być podejmowana wedle kryterium zapotrzebowania, ostatnie słowo w tym zakresie należeć będzie do Prezydenta RP. Ustawa przyznaje Prezydentowi (po zasięgnięciu opinii GIODO) uprawnienie do nadania statutu tworzonej delegaturze, który będzie określał jej właściwość terytorialną i przedmiotową. Uruchamianie biur zamiejscowych ma umożliwić GIODO pełniejszą realizację jego zadań, szczególnie w większych miastach poza stolicą, gdzie liczba spraw dotycząca ochrony danych osobowych jest stosunkowo duża. W projekcie uzasadnienia projektu ustawy wskazano, że analogicznym uprawnieniem dysponuje chociażby Rzecznik Praw Obywatelskich. Dużo bardziej sceptycznie do koncepcji tworzenia delegatur GIODO odniosła się Rada Ministrów. W stanowisk Rządu odnoszącym się do nowelizacji czytamy: „W związku z aktualną sytuacją budżetową, wydaje się uzasadnione zakwestionowanie rozwiązań wprowadzających możliwość tworzenia placówek zamiejscowych i tym samym generowania dodatkowych kosztów dla budżetu państwa”. Jeśli Rząd deklaruje otwarcie, że na biura lokalne nie ma w budżecie pieniędzy, to istnieje ryzyko, że przepis art. 13 ust. 1a, nawet jeśli wejdzie w życie, może okazać się martwy.

Zasady prowadzenia kontroli

Obok zapisów rozszerzających uprawnienia GIODO, w nowelizacji znalazły się również postanowienia wzmacniające pozycję administratorów danych. Dodane art. 15 ust. 3 i 4 oraz art. 16 ust. 1a wspierają gwarancje prawidłowego przebiegu kontroli prowadzonej przez inspektorów Urzędu. Należy traktować te przepisy jako ukłon w stronę podmiotów kontrolowanych, ponieważ istniejąca regulacja na poziomie ustawowym - obejmuje tę sferę w bardzo ograniczonym zakresie (bardzo ogólny wzór odpowiedniego upoważnienia zawierało dotychczas rozporządzenie MSWiA z 22 kwietnia 2004 r.). Nowelizacja natomiast doprecyzowuje zawartość tzw. upoważnienia imiennego, które inspektor przystępujący do czynności służbowych jest obowiązany okazać obok legitymacji. Upoważnienie powinno zawierać m.in.: wskazanie podstawy prawnej, dokładny zakresu przedmiotowy i czasowy kontroli oraz pouczenie o prawach i obowiązkach podmiotu kontrolowanego. Nowelizacja wprowadza także katalog elementów, które powinny znaleźć się w protokole z zakończonej kontroli. Dotychczas obowiązująca ustawa wylicza powyższe dokumenty, jednakże bez określania wymaganej zawartości.

Wykreślenie art. 29 i 30

Nowelizacja uchyla art. 29 i art. 30 ustawy wskazujące dodatkowe warunki udostępniania danych osobowych w celach innych niż włączenie do zbioru. Zmiana ta jest efektem dostosowania przepisów do prawa UE. Zgodnie z zaleceniami Komisji Europejskiej przyjęto, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej. Ponadto, jak czytamy w uzasadnieniu projektu: „nieuzasadnione było poddanie odrębnemu reżimowi wyłącznie procesu udostępniania danych osobowych w celach innych niż włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady – określone w art. 23 ust. 1 i art. 27 ust. 2 ustawy – regulujące legalność przetwarzania, a zatem również udostępniania danych”.

Podsumowując przedstawione założenia nowelizacji, trzeba przyznać, że w obliczu wyzwań stojących obecnie przez organami zajmującymi się ochroną danych osobowych, wprowadzane zmiany wydają się mieć charakter „kosmetyczny”. Nowelizacja w ogóle nie dotyka problematyki przetwarzania danych osobowych w dobie rozwoju nowoczesnych technologii. Obecnie urzędujący GIODO Wojciech Wiewiórowski zapowiedział już zresztą zainicjowanie prac nad kolejną nowelizacją ustawy o ochronie danych osobowych., która w większym stopniu uwzględni aspekty technologiczne. GIODO poinformował także, że w trakcie prac nad kolejną nowelizacją., podejmie próbę uporządkowania kwestii stosowania wyjątków od ustawowych zasad przetwarzania danych osobowych. Wyjątki te obecnie rozproszone są w wielu aktach prawnych. Nowy projekt pojawi się jednak najprawdopodobniej dopiero w następnej kadencji Parlamentu.

Dorota Głowacka, Piotr Stanek