Nowelizacja przepisów o ochronie danych osobowych

Przedsiębiorcy powinni przygotować się na wejście w życie nowych regulacji dotyczących baz z informacjami o klientach. Będą musieli chociażby liczyć się z możliwością odwołania zgody na ich przetwarzanie

Aktualizacja: 17.01.2011 03:52 Publikacja: 17.01.2011 02:00

Nowelizacja przepisów o ochronie danych osobowych

Foto: www.sxc.hu

Red

Z ochroną danych osobowych spotykamy się w obrocie gospodarczym na każdym kroku, czy to posiadając bazę tworzoną w ramach programów lojalnościowych (stacje benzynowe, sieci supermarketów), czy to informacje z monitorowania miejsca pracy, czy wreszcie wykorzystując marketingowo (np. do przesyłania ofert handlowych) dane klientów będących konsumentami (np. banki, ubezpieczyciele, handlowcy).

Oczywiście bezpośrednio i wyraźnie problematyka ta zarysowuje się w branży internetowej, u przedsiębiorców prowadzących portale społecznościowe, grupy dyskusyjne czy fora. Od 7 marca 2011 r. wszystkie te firmy będą stosować [link=http://www.rp.pl/aktyprawne/akty/akt.spr?id=166335]znowelizowaną ustawę o ochronie danych osobowych[/link] (DzU z 2010 r. nr 229, poz. 1497).

[srodtytul]Ustawa mniej radykalna niż projekt[/srodtytul]

Nowelizacja, mając funkcję porządkującą (uchyla przepisy, które były wprowadzone ponad obowiązki określone w dyrektywie ramowej), wprowadza również sporo nowych rozwiązań. Wystarczy powiedzieć, że o samym projekcie mówiono, że po jego wprowadzeniu Polska będzie miała jedne z najbardziej restrykcyjnych przepisów o ochronie danych osobowych wśród państw należących do EOG.

W pierwotnej wersji planowano połączyć sankcje karne z poszerzonymi uprawnieniami administracyjnymi (np. wprowadzenie kar pieniężnych, wystąpień czy delegatur). Część z tych rozwiązań przeforsowano w drodze legislacji , sporo jednak wypadło podczas prac sejmowych.

[srodtytul]Jako organ egzekucyjny[/srodtytul]

Nowelizacja usuwa wątpliwości co do prowadzenia postępowania egzekucyjnego przez generalnego inspektora ochrony danych osobowych. Dotychczas przepisy nie przewidywały możliwości wystąpienia GIODO w postępowaniu egzekucyjnym w jakimkolwiek charakterze, a obowiązki przez niego nakładane nie podlegały egzekucji. Nowelizacja zmienia art. 20 ust. 2 ustawy o postępowaniu egzekucyjnym w administracji w ten sposób, że GIODO wymieniony zostaje jako organ egzekucyjny.

Środki, z jakich będzie mógł korzystać GIODO, to: grzywna w celu przymuszenia, wykonanie zastępcze i przymus bezpośredni (pozostałe środki w postaci np. odebrania rzeczy ruchomej będą miały raczej mniejsze znaczenie praktyczne). W celu uspokojenia przedsiębiorców warto podkreślić, że zanim GIODO przystąpi do egzekucji, to zobowiązany będzie do skierowania do administratora upomnienia z wyznaczeniem terminu na reakcję. Dopiero po bezskutecznym upływie tego terminu możliwe będzie zastosowanie środków egzekucyjnych.

Sama grzywna w celu przymuszenia nakładana może być zarówno na osoby fizyczne, jak i osoby prawne. W stosunku do osób fizycznych nie może przekraczać 10 tys. zł. W stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej maksymalna wysokość grzywny wynosi 50 tys. zł.

Uwaga! Środki te w razie braku reakcji mogą być stosowane wielokrotnie (przy czym nakładana wielokrotnie kara nie może przewyższać kwoty 50 tys. zł w przypadku osób fizycznych i 200 tys. zł w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej).

Wykonanie zastępcze dotyczyć może sytuacji, w których egzekucja obowiązku zostanie zlecona innej osobie. Co więcej w postanowieniu o zastosowaniu wykonania zastępczego organ egzekucyjny może wezwać zobowiązanego przedsiębiorcę do wpłacenia w wyznaczonym terminie określonej kwoty tytułem zaliczki na koszty wykonania zastępczego.

[ramka][b]Przykład[/b]

GIODO nakazuje sieci aptek demontaż kamer monitorujących powierzchnie lokali. Przedsiębiorca uchyla się od obowiązku wykonania decyzji. W tej sytuacji – w myśl przepisów ustawy o postępowaniu egzekucyjnym w administracji – GIODO będzie mógł zlecić demontaż sprzętu innej firmie (wykonanie zastępcze).[/ramka]

Ostatni z omawianych środków – najbardziej radykalny – to przymus bezpośredni.

[srodtytul]Odwołanie zgody[/srodtytul]

Dotychczas każdy przedsiębiorca koncentrował się na odnotowywaniu formy i momentu jej udzielenia zgody. Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu definiuje pojęcie „zgody osoby której dane dotyczą”, ale w przeciwieństwie np. do ustawy o świadczeniu usług drogą elektroniczną nie zawiera zapisu, który stanowiłby, że zgoda może być w każdej chwili odwołana.

Zagadnienie to było polem do komentarzy i wypracowywania różnorodnych praktyk. Po nowelizacji sytuacja stanie się jasna, bowiem ww. definicja zostanie uzupełniona o słowa „zgoda może być odwołana w każdym czasie”.

Administratorzy przetwarzający dane osobowe powinni być zatem przygotowani, że osoba, która udzieliła zgody np. na formularzu na stronie WWW, zechce ją odwołać np. za pomocą faksu czy listu. Oczywiście fakt odwołania zgody również będzie musiał być odnotowany w bazie jako moment, od którego przetwarzanie danych konkretnej osoby nie jest już na tej podstawie dopuszczalne.

[srodtytul]Udostępnianie innym[/srodtytul]

Rozwiązanie przyjęte w jeszcze obowiązujących art. 29 i 30 ustawy o ochronie danych osobowych nie znajduje oparcia w przepisach prawa Unii Europejskiej.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych porusza temat udostępnienia danych wyłącznie w kontekście ogólnego przetwarzania. Dyrektywa traktuje udostępnianie danych jako jedną z form „przetwarzania danych osobowych”.

Obecnie administrator przed podjęciem decyzji bada, czy:

- wniosek złożono w formie pisemnej;

- wniosek jest umotywowany;

- w sposób wiarygodny wykazano potrzebę posiadania danych osobowych;

- udostępnienie danych nie naruszy praw i wolności osób, których dane dotyczą;

- dane, których żąda wnioskodawca, nie są danymi wrażliwymi;

- udostępnienie danych jest wyłączone na podstawie art. 30 ustawy lub innych przepisów szczególnych

oraz dodatkowo, zwłaszcza dla sprawdzenia, czy są techniczne możliwości udostępnienia, czy:

- wniosek zawiera informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych;

- wniosek wskazuje zakres i przeznaczenie danych.

Po nowelizacji, z uwagi na usunięcie regulacji opisujących wymogi co do wniosku o udostępnienie danych osobowych, zmagania przedsiębiorców z problemem udostępniania danych będą jeszcze trudniejsze. Sytuacja zmieni się na niekorzyść przedsiębiorcy, bo:

- wnioskodawca będzie mógł złożyć wniosek w jakiejkolwiek formie (osobiście, telefonicznie, e-mailowo etc.);

- wnioskodawca nie będzie musiał „w sposób wiarygodny wykazywać potrzeby” posiadania danych;

- wnioskodawca nie będzie ustawowo zobowiązany do szczegółowego określenia danych, o których wydanie wnioskuje;

- przedsiębiorca dodatkowo zobowiązany będzie do badania, czy udostępnienie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów.

Warto w tym miejscu wskazać, że ze względu na dużą wagę problematyki związanej z udostępnianiem danych osobowych (zwłaszcza w kontekście odpowiedzialności karnej za nieuprawnione udostępnienie danych) opracowywane są inicjatywy tzw. dobrych praktyk (samoregulacji) w zakresie udostępniania danych osobowych.

[srodtytul]Nowe przestępstwo[/srodtytul]

Z wprowadzenia nowych regulacji penalizujących najbardziej zadowoleni mogą być inspektorzy GIODO. Nowe przepisy karne przeciwdziałać mają bowiem np. niewpuszczeniu inspektora na teren kontrolowanej jednostki, niechęci do okazywania przedmiotu mającego podlegać oględzinom czy też odmowie okazania dokumentów.

Wraz z nowelizacją ma się to zmienić, przepisy karne ustawy o ochronie danych osobowych zostaną rozszerzone o art. 54a, czyli przestępstwo udaremnienia lub utrudniania wykonania czynności kontrolnych.

Wprowadzeniu przepisu przyświecała idea zagwarantowania prawidłowości wykonywania czynności kontrolnych. Oczywiście terminy „udaremnienie” czy „utrudnienie” nie są pojęciami zdefiniowanymi przez prawo.

Dokonując wykładni językowej, należałoby natomiast przyjąć, że udaremnienie to całkowite uniemożliwienie dokonania czynności, natomiast utrudnienie polega na stworzeniu lub doprowadzeniu do powstania sytuacji, gdy wykonanie czynności kontrolnej napotyka przeszkody, które w istotny sposób wpływają na przeprowadzaną czynność, ograniczając jej efektywność.

Przestępstwo to ma charakter umyślny (nie można go popełnić „przez przypadek”) a okres przedawnienia wynosi pięć lat. Należy jednak pamiętać, że przy przestępstwach skutkowych okres przedawnienia biegnie od czasu, gdy nastąpił skutek, a nie fakt działania.

[ramka][b]Przykład[/b]

Osoba podejmująca się czynności zakłócających kontrolę nie ma świadomości tego, że zakłóca jej przebieg (np. osoba postronna – pracownik kontrolowanego – niezdająca sobie sprawy, że rozmawia z inspektorem GIODO, odmawia wpuszczenia do budynku czy pomieszczenia).[/ramka]

Jakie mogą być konsekwencje nowej regulacji? O ile np. w 2007 roku, według statystyk Ministerstwa Sprawiedliwości, mieliśmy w Polsce 22 prawomocne wyroki za przestępstwa z ustawy o ochronie danych osobowych, o tyle ten przepis może te statystyki wyraźnie podnieść.

[ramka][b]Nowe kompetencje GIODO[/b]

Zakres głównych zmian wprowadzonych przez nowelizację:

- rozszerzenie kompetencji GIODO o możliwość egzekucji decyzji administracyjnej (m.in. grzywna);

- uchylenie art. 29 i 30 ustawy, czyli regulacji mówiących o formie, podstawach i celach możliwego udostępnienia danych osobowych nienależących do wnioskodawcy, np. potrzebnych do zainicjowania postępowania cywilnego;

- rozbudowanie definicji „zgody osoby, której dane dotyczą” przez dodanie obligatoryjnego elementu „odwołalności” w brzmieniu „zgoda może być odwołana w każdym czasie”;

- wprowadzenie nowego przepisu karnego, sankcjonującego udaremnianie lub utrudnianie czynności kontrolnych GIODO;

- doprecyzowanie przebiegu kontroli prowadzonych przez GIODO, przez zapisanie, jakie dane powinno zawierać upoważnienie do przeprowadzenia kontroli, a także co powinno znaleźć się w protokole pokontrolnym;

- uchylenie art. 50 ustawy, a więc przepisu karnego sankcjonującego przechowywanie w zbiorze danych niezgodnie z celem utworzenia zbioru;

- wprowadzenie nowej możliwości inicjowania zmian w zakresie przepisów dotyczących ochrony danych osobowych przez przyznanie GIODO kompetencji do występowania z wnioskami o zmianę przepisów, dotyczących ochrony danych osobowych. Instytucje, które otrzymają taki wniosek będą miały obowiązek ustosunkować się do niego w ciągu 30 dni;

- wprowadzenie możliwości tworzenia biur zamiejscowych przez GIODO (na wzór UOKiK i RPO) jako środek dla zapewnienia obywatelom łatwiejszego dostępu do organu stojącego na straży zgodnego z prawem przetwarzania dotyczących ich informacji. [/ramka]

[i]Grzegorz Wanio jest partnerem w Kancelarii Olesiński & Wspólnicy, szefem zespołu eksperckiego Prawo Mediów Elektronicznych

Michał Kluska jest konsultantem w Kancelarii Olesiński & Wspólnicy i członkiem tego zespołu [/i]