Resort cyfryzacji prezentuje nowe przepisy o ochronie danych

Artykuł
30.03.2017
6 min. czytania
Tekst
Image

Ministerstwo Cyfryzacji zaprezentowało projekt przepisów dotyczących ochrony danych osobowych. Z dokumentu dowiadujemy się, jaką nazwę będzie nosił nowy organ ochrony danych, w jakim trybie rozpatrywana będzie skarga na naruszenie prywatności oraz czy urzędy będą karane za złamanie przepisów. Wiele z przedstawionych rozwiązań zmierza w dobrym kierunku i realizuje pięć postulatów Fundacji Panoptykon dotyczących reformy ochrony danych. Przyjrzyjmy im się bliżej!

Ministerstwo Cyfryzacji (MC) przedstawiło we wtorek propozycje przepisów nowej ustawy o ochronie danych osobowych. Projekt jest częścią unijnej reformy ochrony prywatności. Nowe unijne rozporządzenie obowiązuje bezpośrednio, jednak niektóre kwestie zostały pozostawione do uregulowania samodzielnie przez państwa. Należą do nich np. kształt organu ochrony danych, odpowiednie procedury czy wiek wyrażenia przez dziecko zgody na przetwarzanie danych. Dokument resortu cyfryzacji nie obejmuje tych wszystkich zagadnień. Zgodnie z zapowiedziami resztę propozycji poznamy dopiero w czerwcu tego roku. Wówczas dowiemy się m.in. tego, w jakim trybie powoływany będzie organ ochrony danych czy jak będą wyglądać przepisy sektorowe, np. przetwarzanie danych w kodeksie pracy. Co natomiast znajduje się w ostatnio opublikowanym projekcie? Poniżej przedstawiamy najważniejsze zmiany z komentarzem.

Nowa nazwa organu

Zgodnie z projektem organem odpowiedzialnym za ochronę danych w Polsce nie będzie już Generalny Inspektor Ochrony Danych Osobowych (GIODO), a prezes Urzędu Ochrony Danych Osobowych. Zdaniem MC zmiana nazwy jest konieczna, ponieważ w nowym rozporządzeniu przewiduje się instytucję „inspektorów ochrony danych”, którzy będą powoływani w konkretnych firmach czy instytucjach. Sama nazwa wskazuje na pewne podobieństwa do istniejących już instytucji, takich jak Urząd Ochrony Konkurencji i Konsumentów czy Urząd Regulacji Energetyki. Organy te są regulatorami rynku i są silnie związane z administracją rządową (m.in. prezesi powoływani są przez premiera). Tymczasem organ ochrony danych zajmuje się kwestiami dotyczącymi bezpośrednio ochrony praw konstytucyjnych obywateli i stąd wymaga silnych gwarancji ustrojowych. Nie może również być mocno powiązany z administracją rządową, ponieważ jego kluczową rolą jest recenzowanie jej działań. Z przedstawionej propozycji nie wiemy jeszcze, jak będzie wyglądał kształt przyszłego urzędu. Mamy jednak nadzieje, że resort cyfryzacji postawi na silne gwarancje niezależności jego funkcjonowania.

W jakim wieku zgoda na przetwarzanie danych

Trzynastolatkowie będę mogli wyrażać zgodę na przetwarzanie swoich danych osobowych w przypadku usług społeczeństwa informacyjnego. Według MC rozwiązanie to jest zbieżne z przepisami kodeksu cywilnego, który wskazuje, że osoby, które ukończyły 13 lat, mają ograniczoną zdolność do czynności prawnych i mogą zawierać umowy w drobnych sprawach życia codziennego. Powstaje pytanie, czy np. zakładanie kont na portalach społecznościowych jest „drobną sprawą życia codziennego”. Dane przetwarzane przez media społecznościowe mogą dość swobodnie krążyć po Internecie i w dorosłym już życiu wpływać np. na proces rekrutacji do pracy. Dlatego rozwiązanie dotyczące wieku wyrażenia zgody wymagałoby szerszej dyskusji społecznej, w której przedstawione zostałyby różne konsekwencje podjętej decyzji legislacyjnej. Warto również zastanowić się, czy przy tak niskim wieku wyrażenia zgody nie należałoby wprowadzić dodatkowych gwarancji ochronnych i pewnej kontroli ze strony opiekunów prawnych.

Kodeks postępowania administracyjnego i jednoinstancyjne postępowanie

Projekt przewiduje, że co do zasady w sprawach dotyczących ochrony danych osobowych będą obowiązywały przepisy kodeksu postępowania administracyjnego (z pewnymi wyjątkami). To dobre rozwiązanie, które gwarantuje stronom jasność co do ich uprawnień. Projekt rezygnuje dodatkowo z dwuinstancyjnego postępowania przed organem ochrony danych osobowych. W praktyce oznaczać to będzie, że stronom postępowania nie będzie przysługiwało już prawo złożenia wniosku o ponowne rozpatrzenie sprawy. Będą natomiast mogły od razu złożyć skargę do sądu administracyjnego. Takie rozwiązanie może przyczynić się do skrócenia samego okresu oczekiwania na ostateczną decyzję organu.

Sprawy ochrony danych przed sądami cywilnymi

Niezależnie od postępowania przed organem ochrony danych obywatele będą mogli również wszczynać proces przed sądami cywilnymi. Dotyczy to możliwości uzyskania odszkodowania z tytułu naruszenia ochrony danych. Odpowiedzialnymi za te sprawy mają być sądy okręgowe. Dzięki tej propozycji obywatele uzyskają nowy i silny instrument ochrony swoich praw.

Udział organizacji społecznych w postępowaniu

Projekt ustawy zakłada również, że organizacje społeczne będą mogły zażądać od organu ochrony danych wszczęcia postępowania, jeżeli dojdzie do naruszenia praw obywateli. Za wszczęciem postępowania muszą przemawiać cele statutowe organizacji oraz interes osób, których prawa zostały naruszone. To bardzo dobre rozwiązanie, o którym wspominaliśmy w naszych postulatach dotyczących reformy ochrony danych. Silne organizacje społeczne mogą pozytywnie wpłynąć na stan ochrony prywatności obywateli.

Ograniczone kary dla administracji

Organ ochrony danych będzie mógł nakładać wysokie kary finansowe na firmy naruszające prawo ochrony danych osobowych (20 mln euro lub 4% globalnego obrotu). Inne kary zostały natomiast przewidziane dla administracji publicznej. Tutaj organ będzie mógł wymierzyć maksymalnie karę w wysokości 100 tys. złotych. Jednak karze nie będą podlegać wszystkie podmioty – wyłączone z tego rozwiązania będą m.in. jednostki samorządu terytorialnego czy organy administracji rządowej. Dobrze, że MC zdecydował się na możliwość wymierzenia kar organom publicznym. Jednak można się zastanawiać, czemu krąg tych podmiotów został tak ograniczony.

 

Jędrzej Niklas

 

Polecamy również:

Reforma ochrony danych – 5 postulatów dla polskich władz

Skarga do GIODO – komentujemy propozycje przepisów

Reforma ochrony danych osobowych w Polsce: czy grozi nam bałagan?

Newsletter

Otrzymuj informacje o działalności Fundacji

Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje danejakie jeszcze prawa ci przysługują, w Polityce prywatności.