Zmiany ustawy o Ochronie danych osobowych

W związku z obowiązkiem implementacji przez polskiego ustawodawcę przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych – RODO) rząd przedstawił projekt Ustawy o ochronie danych osobowych. W przedstawionym projekcie uregulowano następujące kwestie:

  • tryb akredytacji i certyfikacji
  • postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,
  • europejską współpracę administracyjną,
  • postępowanie kontrolne,
  • administracyjne kary pieniężne,
  • odpowiedzialność cywilną, za naruszenie przepisów ustawy,
  • status inspektorów ochrony danych.

Poniższe opracowanie przedstawiają w skrócie najważniejsze regulacje zamieszczone w projekcie ustawy, udostępnionym opinii publicznej.

Na wstępie należy wskazać na powołanie nowego organu ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes Urzędu).

Przepisy ogólne

W dotychczasowym stanie prawnym w przypadku małoletniego, który nie ukończył 16 roku życia wymagana była dodatkowa zgoda przedstawicieli ustawowych na przetwarzanie jego danych osobowych. Projekt zakłada natomiast, że ukończenie przez małoletniego wieku 13 lat znosić będzie obowiązek uzyskania zgody przedstawicieli ustawowych. Projektodawca argumentuje to faktem, że „zgodnie z . art. 15 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2016 r. poz. 380, z późn. zm.) osoba, która ukończyła 13 lat ma ograniczoną zdolność do czynności prawnych, a zatem może zawierać umowy w drobnych bieżących sprawach życia codziennego, może także rozporządzać swoim zarobkiem”[1]. Mając na uwadze powyższe projektodawca uznał za słuszne wyznaczenie granicy wieku do którego wymagana jest zgoda przedstawicieli ustawowych w wysokości 13 lat.

W celu skutecznego i jednolitego stosowania przepisów ustawy Prezes Urzędu został zobowiązany do wydawania i publikowania niewiążących „dobrych praktyk”, które zawierać będą „rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.”[2] Mają one na celu stałe informowanie Administratorów danych o ich obowiązkach i uprawnieniach wynikających z aktualnie obowiązujących przepisów prawa.

Akredytacja i certyfikacja

Projekt ustawy reguluje zasady uzyskiwania i postepowania w zakresie akredytacji i certyfikacji. Należy zwrócić uwagę na ograniczenie kompetencji Prezesa Urzędu jedynie do akredytacji podmiotów certyfikujących, pozostawiając prowadzenie postępowań certyfikacyjnych we właściwości działania „wyspecjalizowanych podmiotów zajmujących się ochroną danych osobowych”[3].

Zarówno akredytacja jak i certyfikacja dokonywane mają być jedynie na wniosek, złożony w formie papierowej bądź elektronicznej. Wnioski w obu postępowaniach powinny być rozpatrywane w terminie instrukcyjnym 3 miesięcy. Za udzielenie akredytacji bądź certyfikacji pobierane będą opłaty.[4]

Prezes Urzędu będzie prowadzić wykaz Podmiotów Certyfikujących i ogłaszać go w Biuletynie Informacji Publicznej na stronie internetowej Prezesa Urzędu.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Kompetencje do prowadzenia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych przyznano Prezesowi Urzędu. Postępowanie będzie jednoinstancyjne. W przepisach o postępowaniu wskazano, że:

  1. Organizacje społeczne będą miały prawo występować z żądaniem wszczęcia postepowania lub dopuszczenia ich do udziału w postępowaniu nie tylko w przypadku, gdy przemawia za tym interes społeczny, ale również w przypadku naruszenia praw pojedynczej osoby.
  2. Prezesowi Urzędu przyznano uprawnienia w zakresie:
    1. wyznaczania stronie postępowania terminu do przedstawienia dowodu będącego w posiadaniu strony,
    2. uzyskiwania dostępu do wszelkich informacji, z wyłączeniem tajemnic ustawowo chronionych. Informacje stanowiące tajemnicę przedsiębiorstwa mogą zostać zastrzeżone przez stronę, jednak decyzją Prezesa Urzędu zastrzeżenie może zostać uchylone, jeżeli w jego opinii nie spełniają przesłanek do objęcia ich tajemnicą,
  • w przypadku uprawdopodobnienia naruszeń przepisów ustawy, zobowiązania postanowieniem podmiotu, którego postępowanie dotyczy do ograniczenia przetwarzania danych oraz wskazania dopuszczalnego zakresu przetwarzania.
  1. nałożenia (w decyzji kończącej postępowanie) administracyjnej kary pieniężnej[5]. Uzasadnienie decyzji będzie musiało zawierać zarówno omówienie przesłanek nałożenia, jak i ustalenia samej wysokości kary.
  2. Decyzje Prezesa Urzędu podlegać będą z urzędu natychmiastowemu wykonaniu.
  3. Postanowienia wydawane przez Prezesa Urzędu w trakcie postępowania podlegać będą zaskarżeniu w trybie skargi na decyzję Prezesa Urzędu, wnoszonej do Prezesa Urzędu.
  4. W postępowaniu mają zastosowanie przepisy ustawy z dnia 1 stycznia 1961 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 poz. 1257), z wyłączeniem przepisów: art. 13, art. 66a oraz art. 114 – 122.

Europejska współpraca administracyjna

Projekt wprowadza nowe regulacje dotyczące „Europejskiej współpracy administracyjnej”. Projektodawca wskazał, że informacje kierowane przez Prezesa Urzędu do organów nadzorczych innych państw będą tłumaczone na jeden z urzędowych języków danego państwa, z kolei informacje przesyłane do Prezesa Urzędu powinny zostać przetłumaczone na język polski przez samego nadawcę.

Warto również zwrócić uwagę na zapis stanowiący, że nawet długotrwały pobyt pracowników organów nadzorczych innego państwa na terytorium Rzeczypospolitej Polskiej nie będzie stanowić zmiany ich miejsca zamieszkania i nie wpływa na nałożenie opodatkowania podatkiem dochodowym zgodnie z prawem Rzeczypospolitej Polskiej.

Postępowanie kontrolne

Projekt nowelizacyjnej ustawy przewiduje wprowadzenie trzech różnych sposobów kontroli przestrzegania jej przepisów. Pierwszy rodzaj kontroli – kontrola planowa, będzie przeprowadzony zgodnie z planem kontroli stworzonym uprzednio przez Prezesa Urzędu i nie będzie stanowić następstwa wszczęcia postepowania w sprawie naruszenia przepisów o ochronie danych osobowych. Drugim rodzajem ma być kontrola doraźna, przy której nie będzie wymagane sporządzenie planu kontroli. Jej zadaniem będzie potwierdzenie bądź zaprzeczenie doniesieniom[6] o naruszeniach prawa, lecz podobnie jak w pierwszym przypadku nie będzie powiązana z żadnym prowadzonym postepowaniem. Prezes Urzędu powinien niezwłocznie wszcząć stosowne postępowanie dopiero w przypadku wykrycia przez którąkolwiek z powyższych kontroli nieprawidłowości w przetwarzaniu lub ochronie danych osobowych. Ostatnim rodzajem kontroli ma być kontrola przeprowadzana w toku już toczącego się postepowania administracyjnego. Każda kontrola powinna trwać nie dłużej niż miesiąc, począwszy od dnia podjęcia przez Prezesa Urzędu pierwszych czynności kontrolnych i zostać zakończona przed upływem tego terminu. Czasu trwania kontroli przeprowadzanej w ramach toczącego się postępowania nie będzie się wliczać do terminów wskazanych w art. 35 ustawy z dnia 1 stycznia 1961 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 poz. 1257). W toku czynności kontrolnych kontrolujący będzie uprawniony do korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej bądź funkcjonariuszy Policji. Kontrolującemu przysługiwać będzie również prawo do przesłuchania pracownika kontrolowanego podmiotu w charakterze świadka. Do przeprowadzonej kontroli zastosowanie będą miały przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2016 r. poz. 1829, 1948, 1997, 2255), z wyłączeniem art. 79 i art. 82 – 83.

Odpowiedzialność cywilna

Projektodawca, zgodnie z wymogami art. 79 Rozporządzenia 2016/679, wprowadził dla pokrzywdzonych możliwość dochodzenia roszczeń bezpośrednio przed sądem powszechnym z pominięciem etapu postępowania administracyjnego przed Prezesem Urzędu. Sądem rzeczowo właściwym będzie sąd okręgowy, a sprawy będą rozpoznawane w trybie postepowania cywilnego. W celu uniknięcia wydania przez Sąd i Prezesa Urzędu sprzecznych rozstrzygnięć wprowadzono obowiązek ich wzajemnego informowania o toczących się postepowaniach i zapadłych orzeczeniach bądź decyzjach.

Inspektorzy ochrony danych

Do obowiązków Administratora bezpieczeństwa informacji lub podmiotu przetwarzającego należeć będzie zawiadomienie Prezesa Urzędu o każdorazowym wyznaczeniu lub zmianie inspektora ochrony danych[7] oraz wskazanie jego imienia, nazwiska, adresu poczty elektronicznej bądź numeru telefonu lub zmian powyższych informacji.

W projekcie ustawy nowelizacyjnej zawarto jedynie jeden przepis (przejściowy) dotyczący bezpośrednio Administratorów bezpieczeństwa danych. Zgodnie z jego brzmieniem „Osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r. We wskazanym terminie administrator lub podmiot przetwarzający zawiadamiają Prezesa Urzędu o wyznaczeniu inspektora ochrony danych osobowych zgodnie z art. 59 ust. 1 albo, że administrator bezpieczeństwa informacji nie pełni funkcji inspektora ochrony danych”[8]

Podsumowanie

Zgodnie z art. 288 Traktatu o funkcjonowaniu Unii Europejskiej „Rozporządzenie ma zasięg ogólny. Wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich”. Omawiana ustawa zwiera jedynie przepisy dotyczące tych kwestii, które rozporządzenie pozostawia do uregulowania przez krajowych ustawodawców, w pozostałym zakresie odsyłając bezpośrednio do przepisów rozporządzenia, w związku z czym przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. należy stosować we wszystkich kwestiach nieuregulowanych powyższą ustawą. Rozporządzenie (zawierające 99 artykułów, oraz 173 motywów stanowiących doprecyzowanie regulacji zawartych w artykułach) wraz z mającą wejść w życie Ustawą o ochronie danych osobowych oraz publikowanymi w przez Prezesa Urzędu „Dobrymi praktykami” będą się składać na pełną i kompleksową regulację z zakresu ochrony danych osobowych.

Stan na dzień 22 stycznia 2018 r.

Adam Tchórzewski
aplikant radcowski

Smaga Jaroszyński Spółka Adwokacka S.k.a.

 

 


Przypisy:

[1]Wprowadzenie do projektu ustawy o ochronie danych osobowych, s. 2, https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych [dostęp: 23.10.2017 r.]

[2] Projekt ustawy o ochronie danych osobowych, art. 2 ust, 1, https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych [dostęp: 23.10.2017 r.]

[3] Wprowadzenie do projektu ustawy o ochronie danych osobowych, s. 2, https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych [dostęp: 23.10.2017 r.]

[4] Wysokość opłat nie została jeszcze ustalona.

[5] Na wniosek ukaranego Prezesowi Urzędu przysługuje prawo do odroczenia uiszczenia kary bądź rozłożenia należności na raty. Do kar administracyjnych nakładanych przez Prezesa urzędu nie mają zastosowania art. 189f i art. 189k ustawy z dnia 1 stycznia 1961 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 poz. 1257). W przypadku nałożenia kary na podmioty publiczne, o których mowa w art. 9 pkt. 8 – 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych nie może ona przekraczać 100.000 zł.

[6] Doniesienia mogą mieć dowolną formę np. informacji w mediach, bądź zgłoszenia.

[7] „Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy publiczne wskazane w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego [tj. ministrów, centralne organy administracji rządowej, wojewodów, działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej) oraz organy jednostek samorządu terytorialnego – przyp. red.] oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, (Dz. U. z 2016 r. poz. 1870, z późn. zm.)”, – art. 60 projektu ustawy o ochronie danych osobowych, tj. organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały; jednostki samorządu terytorialnego oraz ich związki; związki metropolitalne; jednostki budżetowe; samorządowe zakłady budżetowe; agencje wykonawcze; instytucje gospodarki budżetowej; państwowe fundusze celowe; Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego; Narodowy Fundusz Zdrowia; samodzielne publiczne zakłady opieki zdrowotnej; uczelnie publiczne; Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne; państwowe i samorządowe instytucje kultury; inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

[8] Art. 61 projektu ustawy o ochronie danych osobowych


Icon made by Freepik from www.flaticon.com

Komentarze ( 0 )

    Napisz komentarz

    Twój adres email nie zostanie opublikowany. Wymagane pola oznaczone są *

    Autorzy Bloga

    Krzysztof Smaga

    Zawodowo – adwokat, syndyk, członek rad nadzorczych, na każdej z tych funkcji z wieloletnim doświadczeniem. Absolwent Wydziału Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Stypendysta na Uniwersytetach Alberta Ludwika we Fryburgu i Karola Franciszka w Grazu. Współzałożyciel Kancelarii i współautor jej charakteru. Pozazawodowo - aktywny sympatyk sportu w każdej popularnej postaci (bieganie, jazda na rowerze, narty, żeglarstwo) i wielki miłośnik gór.

    Jacek Jaroszyński

    Adwokat i doradca podatkowy. Absolwent Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II, gdzie obronił doktorat. Ukończył również studia doktorskie oraz zdał minimum doktorskie na Wydziale Ekonomii Uniwersytetu Warszawskiego. Posiada doświadczenie w biznesie międzynarodowym, które zdobył jako dyrektor spółki rosyjsko-polskiej w Nowogrodzie. Wraz z Krzysztofem Smagą - współzałożyciel Kancelarii i współautor jej charakteru. Pasjonat koni - zarówno tych naturalnych, jak i mechanicznych.

    Tomasz Czapla

    Żeromszczak z Kielc, absolwent Wydziału Prawa Uniwersytetu Marii Curie Skłodowskiej w Lublinie. Studiował na Uniwersytetach w Monachium, w Utrechcie i Edinboro University of Pennsylvania. Ukończył również z wynikiem bardzo dobrym aplikację sądową. Radca prawny od 2008 roku. Zajmuje się zamówieniami publicznymi, niszowymi zagadnieniami gospodarczymi (prawo lotnicze, bezpieczeństwo żywności) i co ciekawszymi procesami cywilnymi. Regularny uczestnik zawodów narciarskich i maratonów MTB na dystansie giga. Zdarza mu się wziąć kilka dni wolnego, po czym okazuje się że pokonał Albrechts Route albo trasę Świeradów Zdrój – Ustrzyki.

    Michał Połaniecki

    Radca prawny. Absolwent Wydziału Praca, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II. Pełnił funkcję koordynatora lubelskiego oddziału Fundacji Acedamia Iuris. Zajmuje się obsługą prawną podmiotów gospodarczych z sektora lotniczego oraz reprezentuje klientów w toku postępowań w sprawach gospodarczych. Zawodowo stara się łączyć przeciwstawne wyzwania: wszechstronności prawniczej oraz specjalizacje w zakresie prawa gospodarczego. Uwielbia aktywny tryb życia. Odreagowuje codzienność na torze kartingowym.

    Krzysztof Józefaciuk

    Doradca podatkowy. Ukończył studia prawnicze na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Absolwent studiów podyplomowych w zakresie rachunkowości i finansów Akademii Leona Koźmińskiego w Warszawie. Pasjonat optymalizacji podatkowej oraz przekształceń podmiotów gospodarczych. Prywatnie lubi rajdy terenowe i inne sportowe okazje, żeby się pobrudzić.

    Karol Kajka

    Absolwent Wydziału Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Ukończył również podyplomowe Studium Zamówień Publicznych na Uniwersytecie Warszawskim. Z wyróżnieniem zdał egzamin wstępny na aplikację radcowską. Pracując wzoruje się na rywalizacji sportowej, gdzie cel osiąga się przede wszystkim systematycznym i mądrym przygotowaniem. Prywatnie, entuzjasta biegów długodystansowych (10 km, półmaraton).
    ↓