Publikacja w Rzeczpospolitej – nowelizacja ustawy o ochronie danych osobowych

www.sxc.hu

Zachęcamy wszystkich naszych Czytelników do zapoznania się z artykułem prasowym, jaki ukazał się w dniu 17 stycznia w Rzeczpospolitej. Przy opisywaniu skutków nowelizacji położyliśmy głównie nacisk na praktyczne aspekty, które pozwolą administratorom danych przygotować się na nowości.

Praktyczny wymiar i zakres nowelizacji ustawy o ochronie danych osobowych

Z ochroną danych osobowych spotykamy się w obrocie gospodarczym na każdym kroku, czy to posiadając bazę danych tworzoną w ramach programów lojalnościowych (stacje benzynowe, sieci supermarketów), czy to bazę powstałą z monitorowania miejsca pracy, czy wreszcie po prostu wykorzystując marketingowo (np. do przesyłania ofert handlowych) bazę danych naszych klientów będących konsumentami (np. banki, ubezpieczyciele, handlowcy). Oczywiście bezpośrednio i wyraźnie problematyka ta zarysowuje się w branży internetowej, u przedsiębiorców prowadzących portale społecznościowe, grupy dyskusyjne czy fora. Dnia 7 marca 2011 r. wchodzi w życie nowelizacja ustawy o ochronie danych osobowych i dlatego warto już dziś pomyśleć o przygotowaniu naszego przedsiębiorstwa na wprowadzane zmiany.

Nowelizacja poza charakterem porządkującym (uchyla przepisy, które były wprowadzone ponad obowiązki określone w dyrektywie ramowej) wprowadza również do porządku ochrony prywatności sporo nowych rozwiązań.

Wystarczy powiedzieć, że o samej nowelizacji mówiono, że po jej wprowadzeniu Polska będzie miała jedne z najbardziej restrykcyjnych przepisów o ochronie danych osobowych wśród państw należących do EOG. W wyjściowym projekcie planowano połączyć sankcje karne z poszerzonymi uprawnieniami administracyjnymi (np. wprowadzenie kar pieniężnych, wystąpień czy delegatur). Część z tych rozwiązań przeforsowano przez ścieżkę legislacyjną.

Zakres głównych zmian:

- rozszerzenie kompetencji GIODO o możliwość egzekucji decyzji administracyjnej (m.in. grzywna);

- uchylenie art. 29 i 30 Ustawy, czyli regulacji mówiących o formie, podstawach oraz celach możliwego udostępnienia danych osobowych nie należących do wnioskodawcy np. potrzebnych do zainicjowania postępowania cywilnego;

-  rozbudowanie definicji „zgody osoby, której dane dotyczą” poprzez dodanie obligatoryjnego elementu „odwołalności” w brzmieniu „zgoda może być odwołana w każdym czasie”;

- wprowadzenie nowego przepisu karnego, sankcjonującego udaremnianie lub utrudnianie czynności kontrolnych GIODO;

- doprecyzowanie przebiegu kontroli prowadzonych przez GIODO, poprzez zapisanie jakie dane powinno zawierać upoważnienie do przeprowadzenia kontroli, a także co powinno znaleźć się w protokole pokontrolnym;

- uchylenie art. 50 ustawy a więc przepisu karnego sankcjonującego przechowywanie w zbiorze danych niezgodnie z celem utworzenia zbioru;

- wprowadzenie nowej możliwości inicjowania zmian w zakresie przepisów dotyczących ochrony danych osobowych poprzez przyznanie GIODO kompetencji do występowania z wnioskami o zmianę przepisów, dotyczących ochrony danych osobowych. Instytucje, które otrzymają taki wniosek będą miały obowiązek ustosunkować się do niego w ciągu 30 dni;

- wprowadzenie możliwości tworzenia biur zamiejscowych przez GIODO (na wzór UOKIK i RPO) jako środek dla zapewnienia obywatelom łatwiejszego dostępu do organu stojącego na straży zgodnego z prawem przetwarzania dotyczących ich informacji.

Nie wykonasz decyzji – może być grzywna

Nowelizacja usuwa wątpliwości na temat prowadzenia postępowania egzekucyjnego przez GIODO. Dotychczas przepisy nie przewidywały możliwości wystąpienia GIODO w postępowaniu egzekucyjnym w jakimkolwiek charakterze, a obowiązki nakładane przez GIODO nie podlegały egzekucji. Nowelizacja zmienia art. 20 ust. 2 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji – w ten sposób, że GIODO wymieniony zostaje, jako organ egzekucyjny.

Środki z jakich będzie mógł korzystać GIODO to: grzywna w celu przymuszenia, wykonanie zastępcze i przymus bezpośredni (pozostałe środki w postaci np. odebrania rzeczy ruchomej będą miały raczej mniejsze znaczenie praktyczne). W celu uspokojenia przedsiębiorców warto podkreślić, że zanim GIODO przystąpi do egzekucji, to zobowiązany będzie do skierowania do administratora upomnienia z wyznaczeniem terminu na reakcję. Dopiero po bezskutecznym upływie tego terminu  możliwe będzie zastosowanie środków egzekucyjnych.

Sama grzywna w celu przymuszenia nakładana może być zarówno na osoby fizyczne jak i osoby prawne. W stosunku do osób fizycznych grzywna jednorazowo nie może przekraczać kwoty 10.000 zł. W stosunku do osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej maksymalna wysokość grzywny wynosi 50.000 zł. Ale uwaga – środki te w przypadku braku reakcji mogą być stosowane wielokrotnie (przy czym nakładana wielokrotnie kara nie może przewyższać kwoty 50.000 zł w przypadku osób fizycznych oraz 200.000 zł w przypadku osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej).

Wykonanie zastępcze dotyczyć może natomiast sytuacji, w których egzekucję obowiązku można zlecić innej osobie. Co więcej w postanowieniu o zastosowaniu wykonania zastępczego organ egzekucyjny może wezwać zobowiązanego przedsiębiorcę do wpłacenia w określonym terminie określonej kwoty tytułem zaliczki na koszty wykonania zastępczego.

Przykład:

GIODO nakazuje sieci aptek demontaż kamer monitorujących powierzchnie lokali. Przedsiębiorca uchyla się od obowiązku wykonania decyzji. W tej sytuacji – w myśl przepisów ustawy o postępowaniu egzekucyjnym w administracji – GIODO będzie mógł zlecić demontaż sprzętu innej firmie (wykonanie zastępcze).

Ostatni z omawianych środków – najbardziej radykalny – przymus bezpośredni polega na doprowadzeniu do wykonania obowiązku podlegającego egzekucji drogą zagrożenia zastosowania lub drogą zastosowania bezpośrednio skutecznych środków, które stoją na przeszkodzie wykonania obowiązku.

Odwołanie zgody

Dotychczas każdy przedsiębiorca przetwarzający dane osobowe na podstawie zgody przy zapisywaniu w posiadanej bazie (czy to elektronicznej, czy to papierowej) faktu udzielenia zgody koncentrował się na odnotowywaniu formy oraz momentu jej udzielenia.

Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu definiuje pojęcie „zgody osoby której dane dotyczą” ale w przeciwieństwie np. do ustawy o świadczeniu usług drogą elektroniczną, nie zawiera zapisu, który stanowiłby, że zgoda może być w każdej chwili odwołana. Zagadnienie to było polem do komentarzy i wypracowywania różnorodnych praktyk. Po nowelizacji sytuacja stanie się jasna bowiem ww. definicja zostanie uzupełniona o słowa – „zgoda może być odwołana w każdym czasie”.

Administratorzy przetwarzający dane osobowe powinni być zatem przygotowani, że osoba która udzieliła zgody np. poprzez formularz na stronie www zechce ją odwołać np. za pomocą faxu czy listu. Oczywiście fakt odwołania zgody również będzie musiał być odnotowany w bazie – jako moment od którego przetwarzanie danych konkretnej osoby nie jest już na tej podstawie dopuszczalne.

Udostępnianie danych po nowemu?

Rozwiązanie przyjęte w jeszcze obowiązującym art. 29 i 30 ustawy o ochronie danych osobowych nie znajduje oparcia w przepisach prawa Unii Europejskiej. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych 95/46/WE porusza temat udostępnienia danych wyłącznie w kontekście ogólnego przetwarzania. Dyrektywa traktuje udostępnianie danych, jako jedną z form „przetwarzanie danych osobowych”.

Obecnie administrator bada:

- czy wniosek złożono w formie pisemnej;

- czy wniosek jest umotywowany;

- czy w sposób wiarygodny wykazano potrzebę posiadania danych osobowych;

- czy udostępnienie danych nie naruszy praw i wolności osób, których dane dotyczą;

- czy dane, których żąda wnioskodawca nie są danymi wrażliwymi;

- czy udostępnienie danych jest wyłączone na podstawie art. 30 ustawy lub innych przepisów szczególnych;

oraz dodatkowo w szczególności dla technicznego umożliwienia udostępnienia, czy:

- czy wniosek zawiera informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych;

- czy wniosek wskazuje zakres i przeznaczenie danych.

Po nowelizacji z uwagi na usunięcie regulacji opisujących wymogi co do wniosku o udostępnienie danych osobowych, zmagania przedsiębiorców z problemem udostępniania danych będą jeszcze trudniejsze.

W porównaniu do sytuacji sprzed nowelizacji, sytuacja przedsiębiorcy, który otrzyma żądanie udostępnienia danych zmienia się, a przede wszystkim:

- wnioskodawca może złożyć wniosek w jakiejkolwiek formie (osobiście, telefonicznie, mailowo etc.);

- wnioskodawca nie musi „w sposób wiarygodny wykazywać potrzeby” posiadania danych;

- wnioskodawca nie jest ustawowo zobowiązany do szczegółowego określenia danych, o których wydanie wnioskuje;

- przedsiębiorca natomiast dodatkowo zobowiązany będzie do badania, czy udostępnienie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów.

Warto w tym miejscu wskazać, że ze względu na dużą wagę problematyki związanej z udostępnianiem danych osobowych (zwłaszcza w kontekście odpowiedzialności karnej za nieuprawnione udostępnienie danych) opracowywane są inicjatywy tzw. „dobrych praktyk” (samoregulacji) w zakresie udostępniania danych osobowych, w których aktywnie bierze udział nasza kancelaria wraz z największymi partnerami z branży internetowej.

Nowe przestępstwo

Z wprowadzenia nowych regulacji penalizujących najbardziej zadowoleni mogą być Inspektorzy GIODO. Nowe przepisy karne przeciwdziałać mają bowiem sytuacji np. niewpuszczenia inspektora na teren kontrolowanej jednostki, nieokazania przedmiotu mającego podlegać oględzinom, czy też na przykład odmowy okazania dokumentów.

Wraz z nowelizacją ma się to zmienić – przepisy karne ustawy o ochronie danych osobowych zostaną rozszerzone o art. 54a czyli przestępstwo udaremnienia lub utrudniania wykonania czynności kontrolnych.

Wprowadzeniu przepisu przyświecała idea zagwarantowania prawidłowości wykonywania czynności kontrolnych. Oczywiście pojęcia „udaremnienia” czy „utrudnienia” nie są pojęciami zdefiniowanymi przez prawo. Dokonując wykładni językowej należałoby natomiast przyjąć, że udaremnienie to całkowite uniemożliwienie dokonania czynności, natomiast utrudnienie polega na stworzeniu lub doprowadzeniu do powstania sytuacji, gdy wykonanie czynności kontrolnej napotyka przeszkody, które w istotny sposób wpływają na przeprowadzaną czynność, ograniczając jej efektywność.

Przestępstwo to ma charakter umyślny (nie można go popełnić „przez przypadek”) a okres przedawnienia wynosi 5 lat. Należy jednak pamiętać, że przy przestępstwach skutkowych okres przedawnienia biegnie od czasu, gdy nastąpił skutek, a nie fakt działania.

O ile np. w 2007 roku, według statystyk Ministerstwa Sprawiedliwości, mieliśmy w Polsce 22 prawomocne wyroki za przestępstwa z ustawy o ochronie danych osobowych, o tyle ten przepis może te statystyki wyraźnie podnieść.

Kiedy przestępstwa nie popełnimy?

- dla przykładu – gdy osoba podejmująca się czynności zakłócających kontrolę nie ma świadomości tego, że zakłóca jej przebieg (np. osoba postronna – pracownik kontrolowanego – nie zdająca sobie sprawy, że rozmawia z inspektorem GIODO, odmawia wpuszczenia do budynku czy pomieszczenia).

Ciąg dalszy nastąpi

Nie tak dawno, bo dnia 4 listopada, Komisja Europejska oficjalnie ogłosiła dokument - „Strategia poprawy skuteczności unijnych przepisów dotyczących ochrony danych”. Jak słusznie zauważono, przepisy o ochronie danych sprzed 15 lat nie przystają do rzeczywistości społeczeństwa informacyjnego i wymagają gruntownych zmian. Komisja ogłosiła otwarte konsultacje, w których wzywa do zgłaszania uwag (termin mija w dniu 15 stycznia 2011 r.).

W podobnym tonie – potrzeb dalszych zmian – wypowiada się polski Generalny Inspektor Ochrony Danych Osobowych, wskazując szereg problemów wymagających uregulowania np. dane biometryczne czy cloud computing. Konsultacje w tym zakresie w pełnym wymiarze mają się zacząć już na początku 2011 r.

Pozostaje mieć nadzieję, że kolejne nowelizacje doprowadzą do uregulowania całości materii w sposób kompleksowy – zwłaszcza, że problematyka ochrony prywatności oraz danych osobowych, która dotyczy praktycznie każdej branży, staje się co raz bardziej aktualna, zwłaszcza w kontekście nowych możliwości identyfikacji w Internecie tożsamości na podstawie nieopisanego wizerunku.


Tagi: , , ,

Komentarze do artykułu Publikacja w Rzeczpospolitej – nowelizacja ustawy o ochronie danych osobowych :

  1. Założyłem portal na Facebooku, na którym umieszczałem dokumenty z wielu spraw pewnego sądu. Na dokumentach tych widnieją pełne dane osobowe stron sprawy. Czy mam prawo je udostępniać jeśli nie jestem stroną postępowania? jaka kara mi grozi? mam 17 lat.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>