Zanim zajmiemy się projektem nowelizacji ustawy o ochronie danych osobowych (uodo), warto zastanowić się w jakie kompetencje i uprawnienia wyposażony jest Generalny Inspektor Ochrony Danych osobowych w myśl aktualnie obowiązujących przepisów.
Ustawa o ochronie danych osobowych upoważnia GIODO do wydawania decyzji administracyjnych (np. nakazujących przetwarzanie danych osobowych zgodnie z przepisami, nakazujących usunięcie zbioru danych – co może być szczególnie dotkliwe dla niektórych administratorów danych).
Co jednak dzieje się, kiedy kontrolowany podmiot nie zastosuje się do decyzji administracyjnej
W takiej sytuacji jedyne co może zrobić GIODO to zgłosić się do prokuratury, która na podstawie odpowiednich przepisów uodo powinna zająć się sprawą (w grę wchodzi również egzekucja decyzji administracyjnych w myśl kodeksu postępowania administracyjnego). Prokuratorzy jednak nie są specjalnie zainteresowani ściganiem z urzędu przestępstw polegających na przetwarzaniu danych osobowych niezgodnie z uodo (zwłaszcza w przypadku spraw mniejszej wagi). To kolejny przypadek, kiedy prawo w praktyce nie funkcjonuje.
Aktualnie wytworzył się stan w którym kara za niezgodne z prawem przetwarzanie danych osobowych jest albo bardzo łagodna (decyzja GIODO nakazująca przetwarzanie danych zgodnie z prawem) albo bardzo surowa (wszczęcie postępowania przez Prokuraturę). Brakuje pośredniej możliwości.
Taką możliwością ma być nakładanie kar finansowych przez GIODO za niewykonanie wydanych przez urząd decyzji. Kary te według projektu ustawy mają wynosić od 1 tys. do 100 tys. euro. Kary będzie można nakładać jedynie w ciągu dwóch lat od dnia popełnienia naruszeń. Uprawnienia do nakładania sankcji finansowych przysługują obecnie odpowiednikom GIODO w wielu krajach europejskich, m.in. Austrii, Czechach, Grecji, Hiszpanii, Słowenii czy Łotwie.
Jak powszechnie wiadomo kary finansowe są najskuteczniejszym środkiem egzekwowania przepisów przez państwo. Jest to bardzo silne i skuteczne narzędzie w ręku GIODO. Praktyka pokazuje, że taki instrument służący zdyscyplinowaniu administratorów danych jest potrzebny.
Jednak w parze z nowelizacją powinno iść uelastycznienie pozostałych przepisów ustawy. Drobni przedsiębiorcy, jednoosobowo prowadzący działalność gospodarczą w myśl obowiązujących przepisów także powinni rejestrować swoje zbiory danych, stworzyć politykę bezpieczeństwa i instrukcję zarządzania (ciężko znaleźć firmę, która w toku swojej działalności nie przetwarza danych osobowych). Wiąże się to z dużą ilością pracy, potrzebna jest często fachowa wiedza prawnicza. Zupełnie inne zagrożenie dla naszej prywatności stanowi duża spółka przetwarzająca dane setek tysięcy osób, czerpiąca z tego tytułu duże korzyści i mała firma rodzinna posiadająca np. bazę danych swoich 50 stałych klientów. Czy GIODO nie zacznie kontrolować także małych firm i nakładać na nie wysokich kar finansowych? Tego niestety nikt nikomu obiecać nie może.
Podsumowując – zmiany idą w dobrym kierunku, niestety nie są to wszystkie zmiany jakich wymagają aktualnie obowiązujące przepisy.
Pozostaję więc tylko czekać na kolejną nowelizację…
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.