Projekt nowej ustawy o ochronie danych osobowych – wdrożenie RODO
Dnia 28 marca 2017 r. Ministerstwo Cyfryzacji opublikowało na stronie internetowej projekt nowej ustawy o ochronie danych osobowych. Nowe przepisy mają zapewnić skuteczne stosowanie RODO w polskim porządku prawnym. Projekt przewiduje m.in. nową nazwę organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych oraz reguluje w odmienny sposób postępowanie przed organem nadzorczym. Kolejny projekt ustawy prawdopodobnie ukaże się na przełomie czerwca i lipca.
****
Projekt ustawy to tylko część przepisów
Celem nowej ustawy o ochronie danych osobowych jest zapewnienie skutecznego stosowania w polskim porządku prawnym rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO).
Projekt ten obejmuje jedynie część koniecznych zmian w prawie związanych w rozpoczęciem stosowania RODO. Projekt reguluje m.in. zagadnienia związane z postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych, europejską współpracą administracyjną, postępowaniem kontrolnym, administracyjnymi karami pieniężnymi, odpowiedzialnością cywilną i inspektorami ochrony danych. Poza zakresem projektu pozostają przede wszystkim kwestie odnoszące się do przetwarzania danych na podstawie przepisów sektorowych (np. Prawa telekomunikacyjnego). Kolejny projekt ustawy wraz z propozycjami zmian ustaw sektorowych prawdopodobnie ukaże się na przełomie czerwca i lipca.
Proponowane zmiany – Prezes Urzędu Ochrony Danych Osobowych (PUODO) i nowa procedura
Projekt ustawy przewiduje nową nazwę organu ochrony danych osobowych: Prezes Urzędu Ochrony Danych Osobowych (PUODO). Prezes Urzędu zgodnie z projektem będzie mógł prowadzić:
- postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych lub
- kontrolę przestrzegania przepisów o ochronie danych osobowych.
Projektodawca zdecydował się także na utrzymanie sądowo-administracyjnej ścieżki odwoławczej od decyzji Prezesa Urzędu (skarga na decyzję do sądu administracyjnego). Dodatkowo, wprowadzono nową podstawę prawną dla kierowania do sądów powszechnych (sądów okręgowych) roszczeń podmiotów danych z tytułu naruszenia przepisów o ochronie danych osobowych.
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
Postępowanie to będzie prowadzone tak jak obecnie w oparciu o przepisy kodeksu postępowania administracyjnego, ale z pewnymi ograniczeniami. Do najważniejszych zmian należą:
- prekluzja dowodowa (krótki termin). Do projektu wprowadzone zostało postanowienie, w świetle którego Prezes Urzędu może wyznaczyć stronie termin do przedstawienia każdego dowodu będącego w jej posiadaniu. Termin może wynosić trzy dni, co w wielu przypadkach może być zbyt krótkim czasem, aby uczynić zadość żądaniu PUODO (np. gdy żądanie jest obszerne, a adresatem rozbudowany organizacyjnie podmiot),
- niezaskarżalne postanowienie o ograniczeniu przetwarzania danych osobowych (niezaskarżalny środek tymczasowy). Prezes Urzędu może wydać na czas postępowania (nie dłużej niż do wydania decyzji kończącej postępowanie w sprawie) postanowienie, w którym zobowiąże stronę do ograniczenia przetwarzania danych wskazując dopuszczalny zakres tego przetwarzania. Przesłanką wydania tego postanowienia jest uprawdopodobnienie, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki. Strona będzie mogła zaskarżyć takie postanowienie dopiero w skardze na decyzję PUODO do sądu administracyjnego, co samo w sobie nie wstrzymuje wykonania postanowienia. Brak możliwości przetwarzania danych osobowych – wynikający z postanowienia Prezesa Urzędu – może oznaczać, że wielu przedsiębiorców nie będzie mogło świadczyć usług lub sprzedawać swoich produktów konsumentom przez cały okres trwania postępowania administracyjnego aż do wydania decyzji przez Prezesa Urzędu lub aż do zakończenia postępowania sądowo-administracyjnego. Uznanie przez sąd w wyroku niezasadności wydania postanowienia będzie mogło być podstawą do skierowania wobec Prezesa Urzędu roszczeń cywilnoprawnych. Takie rozwiązanie jest mało satysfakcjonujące i należy mieć nadzieję, że przepis ten zostanie zmieniony w kolejnej wersji projektu ustawy,
- jednoinstancyjność postępowania przed Prezesem Urzędu. Taka zmiana może przyśpieszyć postępowanie, gdyż w zdecydowanej większości przypadków ponowne rozpatrzenie sprawy kończy się utrzymaniem decyzji w mocy. Zgodnie z projektem, Prezes Urzędu może w trybie autokontroli w terminie 30 dni od dnia wniesienia skargi do sądu uchylić zaskarżoną decyzję i wydać nowe rozstrzygnięcie,
- rygor natychmiastowej wykonalności każdej decyzji Prezesa Urzędu (z wyjątkiem decyzji nakładających kary administracyjne). Rozwiązanie to budzi wątpliwości, gdyż rygor natychmiastowej wykonalności może być nadany jedynie decyzji, od której służy odwołanie lub wniosek o ponowne rozpatrzenie sprawy, czyli od decyzji nieostatecznej. W związku z jednoinstancyjnością postępowania decyzji Prezesa Urzędu nie ma potrzeby nadawania decyzji rygoru natychmiastowej wykonalności (decyzja jest ostateczna i wykonalna). Potwierdza to orzecznictwo: „kwestia nadania decyzji rygoru natychmiastowej wykonalności decyzji traci znaczenie, gdy wydana decyzja stanie się ostateczna” (zob. wyr. WSA w Warszawie z 9.3.2007 r., IV SA/Wa 1872/06, Legalis). Trudno oceniać, jak należy rozumieć rygor natychmiastowej wykonalności w propozycji nowych przepisów. Sądy administracyjne orzekają na podstawie ustawy prawo o postępowaniu przed sądami administracyjnymi, która w art. 61 przewiduje odrębną regulację wstrzymania wykonania decyzji,
- uprawnienie organizacji społecznej do wystąpienia z żądaniem wszczęcia postępowania bądź udziału w postępowaniu, nie tylko w przypadku gdy przemawia za tym interes społeczny, o czym stanowi art. 31 § 1 kpa, ale również gdy przemawia za tym interes osoby, której prawa zostały naruszone,
- możliwość ograniczenia w drodze postanowienia Prezesa Urzędu prawa wglądu do materiału dowodowego, jeżeli udostępnienie tego materiału groziłoby ujawnieniem tajemnicy przedsiębiorstwa lub innych tajemnic podlegających ochronie na podstawie odrębnych przepisów,
- uprawnienie Prezesa Urzędu do wydania w drodze decyzji upomnienia, gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia (dookreślenie uprawnienia organu nadzorczego, o którym mowa w art. 58 ust. 2 lit. b RODO),
- wyłączenie możliwości zawarcia ugody pomiędzy osobą, której dane dotyczą, a naruszycielem (stronami postępowania).
Kontrola przestrzegania przepisów o ochronie danych osobowych
W art. 58 ust. 1 lit. b RODO wskazano, że każdemu organowi nadzorczemu przysługuje uprawnienie do prowadzenia postępowań w formie audytów. W projekcie ustawy o ochronie danych osobowych to uprawnienie zostało nazwane postępowaniem kontrolnym. Co więcej, odstąpiono od nazywania pracowników organu nadzorczego przeprowadzającymi w jego imieniu czynności kontrolne inspektorami, na rzecz nazwania ich „kontrolującymi”. Projekt przewiduje trzy typy kontroli:
- kontrola planowa, zgodnie ze stworzonym uprzednio przez Prezesa Urzędu planem kontroli i bez wszczynania jakiegokolwiek postępowania w sprawie naruszenia przepisów o ochronie danych osobowych,
- kontrola doraźna, przeprowadzana poza planem kontroli, bez wszczynania postępowania w sprawie naruszenia przepisów o ochronie danych osobowych,
- kontrola w toku postępowania administracyjnego (postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, o którym mowa powyżej).
Projekt wyłącza niektóre przepisy ustawy o swobodzie działalności gospodarczej dotyczące kontroli działalności gospodarczej. W konsekwencji na gruncie nowej ustawy:
- kontrola mogłaby być dokonana bez uprzedniego zawiadomienia o tym fakcie kontrolowanego,
- Prezes Urzędu mógłby prowadzić kontrole bez ograniczeń związanych z maksymalnym łącznym czasem trwania kontroli danego przedsiębiorcy w roku kalendarzowym lub prowadzenia w tym samym czasie jakiejkolwiek innej kontroli.
Takie propozycje należy ocenić krytycznie. Brak jest podstaw do uznania, że przepisy chroniące przedsiębiorców przed nadmiernymi obciążeniami związanymi z kontrolami powinny być wyłączone przy kontrolach PUODO.
Inne zmiany
Projektodawca ograniczył krąg podmiotów publicznych, wobec których możliwe jest nakładanie administracyjnych kar pieniężnych za naruszenia przepisów o ochronie danych osobowych. W pozostałym zakresie, w jakim projektowane przepisy przewidują możliwość nałożenia kary pieniężnej na sektor publiczny, wprowadzono znaczne obniżenie maksymalnej granicy możliwej do nałożenia kary, na 100 000 zł. Tymczasem podmioty publiczne bardzo często przetwarzają ogromne ilości danych zwykłych i sensytywnych, a groźba kary, podobnie jak w stosunku do przedsiębiorców, pełniłaby wobec nich rolę dyscyplinującą. Tak znaczne rozróżnienie sytuacji prawnej przedsiębiorców i podmiotów publicznych należy ocenić krytycznie.
W projekcie przyjęto granicę 13 lat dla skutecznego wyrażenia zgody przez dziecko na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego. Obniżenie tej granicy w stosunku do przepisów RODO należy ocenić pozytywnie.
Z pozostałych ciekawych zmian ustawa ma regulować także instytucję inspektora ochrony danych osobowych, m.in. wyznaczając okres, na jaki dotychczasowi ABI zostaną z mocy prawa inspektorami ochrony danych osobowych.
Projekt dostępny jest na stronie internetowej Ministerstwa Cyfryzacji.