Znamy projekt nowej ustawy o ochronie danych osobowych

/ / Opublikowane w Cywilne i Handlowe, Publikacje

Znamy projekt nowej ustawy o ochronie danych osobowych

Ministerstwo Cyfryzacji przedstawiło we wrześniu 2017 roku projekt nowej ustawy o ochronie danych osobowych. Nowa regulacja jest uzupełnieniem tzw. RODO a więc Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. O ogromnych zmianach, jakie w dziedzinie ochrony danych osobowych przyniesie RODO po swoim wejściu w życie 25 maja 2018 roku, pisałem już wcześniej – artykuł dostępny tutaj: https://kancelaria-dcc.pl/rewolucja-ochronie-danych-osobowych-maja-2018-roku/

Rozporządzenie to, choć bezpośrednio stosowane, uznając odmienności porządków i tradycji prawnych poszczególnych państw członkowskich UE, pozostawia pewne kwestie do uregulowania i doprecyzowania w prawie krajowym. Poniżej omówiony projekt ustawy, choć jeszcze nie uchwalony, w bardzo niewielkim zapewne stopniu zmieniony, będzie od maja 2018 roku stanowił podstawę systemu ochrony danych osobowych w Polsce.

Rodzimy ustawodawca skrzętnie skorzystał ze wskazanej powyżej możliwości uregulowania pewnych kwestii na poziomie krajowym – wewnętrzne regulacje dotyczą przede wszystkim:

  1. rozszerzenia kompetencji Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych. Zmiany te spowodują wystąpienie nowych ryzyk dla przedsiębiorców;
  2. sposobu przeprowadzania postępowań kontrolnych;
  3. wprowadzenia odrębnych przepisów sektorowych;
  4. nakładania kar za naruszenia ustawy i RODO, a także sposobu dochodzenia roszczeń odszkodowawczych;
  5. wydawania przez Prezesa UODO rekomendacji;

Ad. 1. Rozszerzenie kompetencji organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych

Wejście w życie nowej ustawy o ochronie danych osobowych (dalej: UODO) przyniesie powstanie nowego organu nadzorczego – dotychczasowego GIODO czyli Generalnego Inspektora Ochrony Danych Osobowych, zastąpi PUODO – Prezes Urzędu Ochrony Danych Osobowych. Zmiany dotyczyć jednak będą nie tylko nazwy, nowy organ uzyska znacząco więcej kompetencji w zakresie badania prawidłowości ochrony danych osobowych. Część z nich może istotnie wpłynąć na obrót gospodarczy, zwiększając obowiązki i ryzyka przedsiębiorców.

Z projektu ustawy dowiadujemy się jak będzie wyglądało postępowania prowadzone przez PUODO. W tym miejscu znacząca nowość – postępowanie to będzie jednoinstancyjne i prowadzone w oparciu o przepisy kodeksu postępowania administracyjnego (KPA). Dotychczas przed wejściem na drogę kontroli sądowej na etapie GIODO przeprowadzano dwie instancje. Zmiana ta ma na celu przyspieszenie postępowania, które w obecnym stanie prawnym trwa nawet kilka lat, i umożliwienie sprawniejszego rozstrzygnięcia sprawy przez sądy administracyjne. PUODO przyznane zostanie jednak uprawnienie do autokontroli wydanej przez siebie decyzji.

UODO wyposaża Prezesa w szereg kompetencji kontrolnych takich jak w szczególności:

  1. prawo dostępu do wszelkich informacji niezbędnych do przeprowadzenia postępowania – od tej zasady przewidziano wyjątki w postaci ochrony tajemnicy radcowskiej i adwokackiej;
  2. możliwość żądania przedstawienia dowodów przez stronę oraz wykonanych na koszt kontrolowanego tłumaczeń dokumentów na język polski;
  3. możliwość nałożenia grzywny za nieuzasadnione niestawiennictwo jako świadek lub biegły oraz za bezzasadną odmowę zeznań, okazanie przedmiotu oględzin albo udziału w innej czynności urzędowej.

Co niezmiernie istotne – projekt ustawy daje PUODO prawo do wydawania w toku postępowania skargowego postanowień zabezpieczających – będzie on mógł do momentu rozstrzygnięcia sprawy i wydania decyzji wydać postanowienie nakazujące przedsiębiorcy ograniczenie przetwarzania danych osobowych. Przepis korzystny z punktu widzenia osób, których dane są przetwarzane, niesie za sobą znaczące ryzyko dla przedsiębiorców. Wyobraźmy sobie, jak doniosłe dla firmy prowadzącej np. sklep internetowy będzie postanowienie o ograniczeniu przetwarzania danych osobowych wyłącznie do ich posiadania. Oznaczać to może wręcz paraliż bieżącej działalności firmy do czasu zniesienia zabezpieczenia lub zakończenia postępowania przed PUODO.

ad. 2. Postępowanie kontrolne – w tym uprawnienia kontrolerów

Postępowanie kontrolne będzie mogło być wszczynane bez zapowiedzi. Projekt UODO przewiduje procedurę legitymowania i rozpoczynania kontroli w siedzibie przedsiębiorcy. Zalecam dużą ostrożność i zgodne z przepisami postępowanie w razie kontroli – utrudnianie postępowania zostało spenalizowane i grozi za nie wysoka kara, w tym pieniężna, o czym dalej. Zgodnie z ustawą, postępowanie kontrolne nie będzie mogło trwać więcej niż miesiąc. Kontrolę prowadzić będą pracownicy Urzędu Ochrony Danych Osobowych, którzy zostali wyposażeni w szereg kompetencji takich jak:

  1. wstęp na grunt oraz do budynków, lokali lub innych pomieszczeń;
  2. wgląd do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;
  3. przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  4. żądanie złożenia pisemnych lub ustnych wyjaśnień oraz wezwanie i przesłuchanie w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  5. możliwość przesłuchania w charakterze świadka pracowników kontrolowanego.

ad. 3. Przepisy sektorowe i wyłączenia stosowania ustawy

Przepisy ustawy wprowadzającej UODO zawierają z kolei szereg zmian sektorowych wypracowanych wspólnie z właściwymi resortami, regulującymi obszary takie jak sektor bankowy, ubezpieczeniowy, wymiar sprawiedliwości, sektor kultury, statystyka publiczna czy zasady przetwarzania danych osobowych pracowników przez pracodawców. Odpowiednie zmiany w zakresie obowiązków wynikających z bycia administratorem danych osobowych dotyczą także ustawy o radcach prawnych oraz ustawy o adwokaturze.

Przepisy unijne zawarte w GDPR przyznają państwom członkowskim swobodę w ograniczeniu stosowania przepisów względem niektórych sektorów. Ministerstwo Cyfryzacji skorzystało z tego uprawnienia, wyłączając zastosowanie ustawy względem:

  1. działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych;
  2. działalności literackiej;
  3. działalności artystycznej;
  4. wypowiedzi akademickiej.    

Podmioty działające w powyższych branżach nie będą objęte szeregiem obowiązków wynikających z RODO, tj. w szczególności: informowania osoby, której dane dotyczą, o danych pozyskanych od tejże osoby; dostarczanie kopii danych osobie, której dane dotyczą, ograniczenia przetwarzania na wniosek osoby, której dane dotyczą, prowadzenia rejestru czynności przetwarzania danych. Wyłączenie dotyczy ponadto ograniczenia możliwości przetwarzania danych osobowych podmiotowi przetwarzającemu na podstawie umowy.

ad. 4. Nakładanie kar za naruszenia UODO i RODO, dochodzenie roszczeń

Jak powszechnie już chyba wiadomo, RODO wprowadza bardzo wysokie kary za naruszenia w ochronie danych osobowych. W zależności od rodzaju i stopnia naruszenia mogą wynieść do 10 milionów EUR lub 2% światowego obrotu z poprzedniego roku, lub nawet do odpowiednio 20 milionów EUR lub 4% światowego obrotu, w zależności od tego która kwota będzie wyższa. O ile przesłanki nakładania kar jak również ich maksymalne wysokości wynikają wprost z RODO (art. 83), to prawodawca unijny wprowadził możliwość szczególnego uregulowania przez państwa członkowskie kwestii nakładania kar na organy i podmioty publiczne. I tak – kary te nakładane będą przez Prezesa UODO w drodze decyzji administracyjnej, oczywiście z odwoławczą drogą sądową.

Ogólnie jednak należy wskazać, że UODO i RODO łącznie przewidują trzy rodzaje odpowiedzialności za naruszenie przepisów – poza opisaną powyżej sankcją administracyjną (kary pieniężne) istnieje także droga cywilna oraz karna. Co ważne, każda z tych dróg może zostać wykorzystana niezależnie, a więc naruszenie będzie mogło być karane trzykrotnie. I tak odpowiedzialność cywilna wynika z faktu, że osoba, której prawa zostały naruszone, ma dzięki nowym przepisom odrębną podstawę roszczenia odszkodowawczego. Kto poniósł bowiem szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, może żądać uzyskania od administratora lub procesora odszkodowania za poniesioną szkodę. Jest to niezwykle istotna zmiana, wcześniej bowiem osoby, której dane były nieprawidłowo przetwarzane miała trudności z dochodzeniem swoich praw, musząc się posiłkować przy swoich roszczeniach naruszeniem dóbr osobistych. Należy zwrócić uwagę, że z powództwem odszkodowawczym będą mogły występować nie tylko pojedyncze osoby fizyczne, ale także organizacje non-profit, których celem statutowym jest ochrona danych osobowych.

Wprowadzono także przepisy karne, zgodnie z którymi karane będzie udaremnienie lub utrudnienie prowadzenia kontroli, a także przetwarzanie bez podstawy prawnej tzw. danych wrażliwych (ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby).

ad. 5 Wydawanie przez Prezesa UODO rekomendacji;

Projekt ustawy nakłada na Prezesa UODO obowiązek wydawania rekomendacji, w których będzie wskazywał zalecane środki bezpieczeństwa przy przetwarzaniu danych osobowych. W rekomendacjach może znaleźć się miejsce na wskazanie elementów, które powinna zawierać polityka bezpieczeństwa danych osobowych czy na wymogi odnośnie częstotliwości zmiany hasła. To bardzo ważne przepisy, istotne dla środowisk biznesowych o tyle, że będą miały one realny wpływ na określanie wytycznych ochrony zgodnie z zasadą proporcjonalności i odpowiedniości do potrzeb. Rekomendacje bowiem mają być konsultowane z przedstawicielami branż, których będą dotyczyły i okresowo aktualizowane, a ich celem jest zwiększenie bezpieczeństwa ochrony danych oraz zmniejszenie ryzyka nakładania kar pieniężnych na przedsiębiorców.

Inne

Projekt nowej ustawy wprowadza także inne regulacje w granicach kompetencji udzielonych państwom członkowskim przez RODO. Należy w tym miejscu przywołać zapisy, zgodnie z którymi w wypadku realizacji usług internetowych, dzieci do lat 13 będą musiały uzyskać zgodę rodzica na przetwarzanie ich danych (alternatywnie potwierdzenie przez rodzica zgody dziecka).

Ustawa w rozdziale 3 reguluje ponadto procedurę certyfikacji (więcej w art. 42 RODO) oraz akredytacji podmiotów dokonujących monitorowania kodeksów postępowań. Uprawnienia do dokonywania certyfikacji i nadawania akredytacji przekazano Prezesowi Urzędu Ochrony Danych Osobowych.

Zmiany na rynku wskutek RODO i UODO

Podsumowując powyższe, a także uwagi przywołane we wcześniejszym artykule dotyczącym RODO, należy zwrócić uwagę na kilka prawdopodobnych konsekwencji rynkowych wprowadzenia nowych regulacji:

  • znaczącemu powiększeniu ulegnie zapewne rynek firm świadczących usługi certyfikacji prawidłowości ochrony danych osobowych przez przedsiębiorców. Wobec skomplikowania przepisów i potencjalnych bardzo wysokich kar finansowych, firmy będą wolały zlecać na zewnątrz kontrolę zgodności przetwarzania danych z prawem, aby móc uniknąć przyszłych problemów, lub w razie ich wystąpienia (kontrole UODO) dysponować argumentem o dołożeniu należytej staranności w określeniu polityk bezpieczeństwa danych osobowych.
  • wprowadzenie jednoinstancyjności postępowania przed Prezesem UODO, które będzie się zapewne łączyło ze zwiększeniem ilości skarg do sądów administracyjnych na decyzje PUODO, a także opisana powyżej nowa droga dochodzenia odszkodowań przez osoby, których dane będą przetwarzane nieprawidłowo, doprowadzą do zwiększenia obciążenia sądów administracyjnych i cywilnych wszystkich szczebli;
  • rozszerzenie obowiązku wyznaczenia przez przedsiębiorców Inspektorów Ochrony Danych doprowadzi prawdopodobnie w krótkim czasie do zwiększenia popytu na pracowników z kompetencjami w tym zakresie.

Niezależnie od powyższego należy zwrócić ponownie uwagę na fakt, że wejście w życie RODO i wraz z nim polskiej ustawy, której projekt został właśnie omówiony, nadchodzi wielkimi krokami (maj 2018 roku) i przedsiębiorcy przetwarzający dane osobowe powinni jak najszybciej dostosować swoje procedury wewnętrzne do nowych, znacznie surowszych niż do tej pory, wymogów.

 

Alan Dudkiewicz, radca prawny