Dlaczego potrzebna była nowelizacja ustawy o ochronie danych osobowych?
Odpowiada Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych:
Obecna, obowiązująca od 7 marca 2011, nowelizacja jest odbiciem toczącej się od kilku lat dyskusji dotyczącej funkcjonowania systemu ochrony danych osobowych w Polsce.
Warto zaznaczyć, że jej projekt został skierowany do Sejmu już w grudniu 2007. Co istotne, ona jeszcze nie zamyka reformy tego systemu, na temat którego debata toczy się teraz zarówno w Polsce, jak i na forum Unii Europejskiej. Jednak jej wprowadzenie już na tym etapie było ważne z kilku powodów.
Przede wszystkim w dotychczasowej ustawie istniało kilka rozwiązań, które były niejasne lub wywoływały kontrowersje, a także – co może najistotniejsze – skutkowały sprzecznym orzecznictwem sądowym.
W tych wypadkach staraliśmy się doprowadzić do sprecyzowania przepisów. Ponadto udało się wyeliminować procedury, które można by nazwać nadmiarowymi, niepotrzebnymi, a które były efektem kompromisu osiągniętego w 1997 roku, kiedy ustawa powstawała.
Nowością są pewne dodatkowe kompetencje GIODO.
Do tej pory brakowało m.in. przepisów o egzekucji, które wzmacniałyby pozycję generalnego inspektora ochrony danych osobowych. Warto przypomnieć, że kwestie te były długo dyskutowane.
Początkowo planowano, by w ustawie o ochronie danych osobowych wprowadzić zupełnie odrębny reżim egzekucyjny w postaci nakładanych przez GIODO kar finansowych. Ostatecznie przyjęto rozwiązanie, jak się wydaje, prostsze. To znaczy ustawodawca zadecydował, że GIODO uzyska uprawnienia organu egzekucyjnego w administracji. To rozwiązanie znane przedsiębiorcom. Istotną zmianą jest także wprowadzenie przepisu karnego, co zwiększa możliwości działania urzędu.
Chodzi o sankcje karne wobec osób, które np. udaremniają lub utrudniają wykonywanie czynności kontrolnych. Czy ten instrument rzeczywiście będzie przydatny?
W praktyce funkcjonowania urzędu stosunkowo rzadko mieliśmy do czynienia z sytuacjami, w których inspektorom GIODO całkowicie uniemożliwiono przeprowadzenie kontroli. Za to znacznie częściej spotykaliśmy się z sytuacjami, w których próbowano ją utrudniać, np. przez antydatowanie dokumentów, nieudostępnianie wszystkich pomieszczeń lub ukrywanie materiałów.
Teraz osoby, które będą próbowały utrudniać kontrolę, muszą liczyć się z odpowiedzialnością karną. W przypadku tego przepisu niezwykle istotne jest to, że jest on skierowany do każdego, kto utrudnia lub uniemożliwia przeprowadzenie kontroli, a nie tylko do administratora danych osobowych. Zatem, z jednej strony, wprowadza odpowiedzialność każdego pracownika lub współpracownika administratora, który posunąłby się do utrudniania kontroli, z drugiej, może nieco paradoksalnie, poprawia sytuację takich pracowników.
W tej chwili mogą powiedzieć, że jakieś nakazy lub zalecenia wydawane przez administratora, które przyczyniałyby się do utrudniania kontroli, są dla nich niebezpieczne, bo zastosowanie się do nich groziłoby odpowiedzialnością karną. To daje im silniejsze podstawy do odmowy takiego postępowania
Nowe brzmienie art. 7 pkt 5 jednoznacznie przesądza o prawie do odwołania zgody na przetwarzanie danych osobowych. Czy taka zmiana była konieczna?
Nie, nie była. Z dotychczasowego brzmienia przepisów wynikało, że zgoda na przetwarzanie danych jest oświadczeniem woli. Oświadczeniem, które w każdej chwili może zostać odwołane. Jednak w praktyce funkcjonowania urzędu spotykaliśmy się z tym problemem, np. ze skargami osób, którym odmówiono realizacji takiego uprawnienia.
W związku z tym znowelizowany przepis ma pokazywać, że nie ma tu żadnej niejasności. Ponadto każda osoba będzie mogła powołać się na konkretny przepis dający jednoznacznie możliwość realizacji uprawnienia w postaci cofnięcia zgody na przetwarzanie danych.
Zatem nie powinno być już problemów z interpretacją tego zagadnienia. To właśnie jeden z przykładów przepisów porządkujących, które znalazły się w noweli.
Jak w praktyce powinien zachować się przedsiębiorca – administrator danych, gdy wpłynie do niego żądanie usunięcia danych?
Najprościej mówiąc, powinien usunąć takie dane z prowadzonych przez siebie baz czy zbiorów. Oczywiście, w rzeczywistości trzeba rozróżnić dwie sytuacje. Przedsiębiorca może dysponować danymi niezbędnymi do realizacji określonej umowy, która cały czas pozostaje w mocy. W takiej sytuacji nie ma mowy o skutecznym cofnięciu zgody.
Najpierw należałoby poczekać na wygaśnięcie takiej umowy, np. związane z upływem czasu, lub w inny sposób doprowadzić do jej zakończenia. Podobnie będzie z danymi, które są niezbędne przedsiębiorcy np. do rozliczenia jakiegoś kontraktu.
Jeśli kiedyś zgodziliśmy się np. na operowanie naszymi danymi w celach marketingowych lub przekazywanie ich innym podmiotom, czyli w celach niezwiązanych bezpośrednio z wykonywaniem umowy, to nawet przy wciąż trwającej umowie możemy z takiej zgody się wycofać.
Ile czasu przedsiębiorca ma na usunięcie danych?
Termin nie jest sprecyzowany. Powinien to zrobić niezwłocznie, czyli mówiąc inaczej bez nieuzasadnionej zwłoki.
Czy cofnięcie zgody na przetwarzanie danych osobowych oznacza, że przedsiębiorca ma obowiązek usunąć je, czy oznacza tylko, że nie ma prawa ich dłużej wykorzystywać, ale mogą pozostawać gdzieś w jego archiwach?
Należy pamiętać o szerokiej definicji przetwarzania danych osobowych. W związku z tym samo przechowywanie informacji także jest przetwarzaniem.
Tym samym, wobec braku zgody na dalsze nimi operowanie, powinny one zostać usunięte. Oczywiście mówimy o danych, które nie są potrzebne do realizacji ważnej umowy cały czas obowiązującej, lub danych, które są np. potrzebne do jej rozliczenia.
Czy administrator danych ma obowiązek poinformować osobę, która wystąpiła z takim żądaniem, że jej dane zostały usunięte, czy wystarczy, że tego dokona i zaprzestanie przetwarzania?
Wystarczy, że to zrobi, chociaż powszechną praktyką jest informowanie o takim zdarzeniu.
Czy na przedsiębiorców będących administratorami danych nowelizacja nakłada jeszcze jakieś inne obowiązki, w szczególności w zakresie np. wymogów technicznych związanych z ochroną zbiorów?
Nie. Jednak w najbliższym czasie należy spodziewać się zmian przepisów m.in. w tym zakresie. Dyrektywa unijna, na której opierają się nasze krajowe regulacje, pochodzi z 1995 roku. To oznacza, że prace nad nią toczyły się jeszcze wcześniej.
Od tamtej pory dokonał się znaczny postęp, jeśli chodzi o różnego rodzaju technologie czy nawet samo wykorzystywanie Internetu. Dlatego zmiany są konieczne. Ponadto w UE trwają prace nad stworzeniem nowego aktu, zastępującego dotychczasowe przepisy. Również w Polsce toczy się taka dyskusja przy udziale GIODO.
21 marca odbyła się np. konferencja naukowa na Uniwersytecie Warszawskim pt. „Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym”. W ciągu najbliższych tygodni będzie miało miejsce kilka kolejnych konferencji poświęconych tym zagadnieniom.
Czytaj też artykuł:
Użytkownik serwisu społecznościowego czy biznesowego może mieć obowiązki
Zobacz więcej w serwisie:
Kadry i płace » Dane osobowe i dobra osobiste
Twoje prawo » Internet, prawo komputerowe » Dane osobowe i dobra osobiste
