Przedstawiamy gotowy projekt nowej ustawy o ochronie danych osobowych!
Po co nam nowa ustawa o ochronie danych osobowych?
Do tej pory przepisy ochrony danych osobowych, opierały się na ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (dalej: uodo). Ustawa o ochronie danych osobowych jest – jak to czasem żartobliwie określamy w Kancelarii – klonem Dyrektywy 95/46/WE.
Podstawowym aktem prawnym regulującym ochronę danych osobowych w Polsce jest nadal (do 25 maja 2018 roku) uodo, jako akt prawny bezpośrednio obowiązujący.
Aktem wykonawczym (precyzującym) uodo jest Rozporządzenie w sprawie warunków technicznych i organizacyjnych (…) z 2004 roku (Dalej: Rozporządzenie 2004).
Całość sytemu aktów prawnych na których obecnie się opieramy, można zobrazować poniższą grafiką:
Wraz z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: RODO), wszystko się zmieni. Aktem prawnym obowiązującym bezpośrednio będzie RODO. Z kolei ustawa o ochronie danych osobowych będzie koncentrowała się przede wszystkim wokół podstaw prawnych działania nowego regulatora.
Całość przyszłego systemu aktów prawnych można zobrazować w poniższy sposób:
Przyjrzyjmy się temu, co znalazło się w projekcie nowej ustawy (dalej: Projekt), który w dniu dzisiejszym na swojej stronie internetowej zamieściło Ministerstwo Cyfryzacji.
GIODO do likwidacji
Generalny Inspektor Ochrony Danych Osobowych po 20 latach funkcjonowania przestanie istnieć! Jego miejsce zajmie Urząd Ochrony Danych Osobowych (dalej: UODO), na czele którego stanie Prezes.
Zgodnie z wcześniejszymi zapowiedziami Ministerstwa Cyfryzacji, zanosi sie na to, że UODO będzie prawnym następcą GIODO. Udostępniony projekt nie obejmuje jednak przepisów przejściowych i wykonawczych. Nie wiemy więc w jaki sposób będzie wyglądała sukcesja i czy będą zmiany kadrowe w GIODO.
Projekt nie mówi kto i w jaki sposób będzie powoływał Prezesa UODO.
Sama nomenklatura przypomina nazewnictwo stosowane w Urzędzie Ochrony Konkurencji i Konsumenta, również kierowanego przez Prezesa UOKiK. Podobieństw będzie więcej, bo Prezes UODO będzie mógł nakładać wysokie kary finansowe.
Kary finansowe
Największą i najbardziej medialną zmianą są oczywiście kary finansowe. Konieczność wyposażenia Prezesa UODO w możliwość nakładania kar finansowych wynika wprost z treści RODO. W myśl art. 52 Projektu, Ściągane kary będą stanowiły dochód budżetu państwa.
Krajowy regulator musi być wyposażony w możliwość nakładania kar finansowych, co wynika wprost z art. 83 RODO. Nie mogło więc być tutaj żadnych niespodzianek.
Poza nakładaniem kar finansowych do kwoty 20 000 000 EUR lub do 4% całkowitego rocznego obrotu, Prezes UODO otrzyma następujące kompetencje:
- uwzględnienie żądań zawartych w skardze osoby, której dane dotyczą;
- dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679, ze wskazaniem, gdzie to właściwe, sposobu i terminu dostosowania;
- zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;
- wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania;
- sprostowanie lub usunięcie danych osobowych;
- powiadomienie odbiorców, którym dane osobowe zostały ujawnione o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych;
- zawieszenie przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.
Kary finansowe dla podmiotów publicznych będą znacznie niższe
Zgodnie z art. 50 ust. 1 Projektu, maksymalna wysokość kary pieniężnej to 100 tys. złotych. Jest to bardzo ważna informacja dla podmiotów publicznych (RODO w art. 83 ust. 7 przewiduje, że każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne). Polska jak widać z tego uprawnienia skorzystała. Rozwiązanie jest praktyczne, ponieważ kary i tak trafiają do budżetu państwa.
Koniec z odpowiedzialnością karną?
Wszystko wskazuje na to, że bardzo wysokie kary finansowe w całości zastąpią odpowiedzialność karną. Do tej pory postępowania karne prowadzone w sprawie naruszenia przepisów uodo, były bardzo rzadkie i mało skuteczne. Jednocześnie ponoszenie odpowiedzialności karnej wydawało się być nieadekwatnie dotkliwą sankcją. Zwłaszcza, że przepisy były wielu obszarach mało precyzyjne. Na przykład niezgłoszenie bazy danych do GIODO obecnie wciąż jest uznawane za przestępstwo (art. 53 obecnej ustawy). Jednak samo pojęcie zbioru danych osobowych, jest pojęciem nieostrym. Może być interpretowane na różne sposoby. Co więcej art. 43 obecnej ustawy, pozwala nie zgłaszać do GIODO np. zbiorów danych osobowych przetwarzanych w ramach drobnych bieżących czynności życia codziennego. Jeśli więc inaczej niż GIODO zinterpretujemy termin drobnych bieżących czynności życia codziennego i nie zgłosimy bazy danych do regulatora, to możliwe, że popełniamy właśnie przestępstwo. Oczywiście GIODO w zdecydowanej większości przypadków nie angażował w takich sytuacjach Prokuratury. Wskazywał jedynie brak rejestracji jako uchybienie i wzywał do zgłoszenia bazy. Co nie zmienia faktu, że literalnie rzecz ujmując, przestępstwo zostało popełnione.
Stan prawny w którym dany czyn jest przestępstwem ale w praktyce nikt go nie ściga, nie jest pożądanym zjawiskiem.
Dlatego zastąpienie odpowiedzialności karnej, odpowiedzialnością administracyjną (finansową), jest krokiem w dobrym kierunku.
Dobre praktyki wyznaczane przez Urząd Ochrony Danych Osobowych
Prezes UODO będzie przygotowywał i udostępniał na swojej stronie internetowej tzw. dobre praktyki przetwarzania danych osobowych. Dobre praktyki zastąpią bardzo nieaktualne już Rozporządzenie z 2004 roku. Za pomocą dobrych praktyk, regulator będzie wskazywał zalecane środki bezpieczeństwa. To tutaj będzie miejsce na wskazanie elementów, które powinna zawierać polityka bezpieczeństwa danych osobowych.
Rozwiązanie takie warto pochwalić. Jest znacznie bardziej elastyczne niż Rozporządzenie, którego zmiana każdorazowo wymaga uruchomienia skomplikowanych procedur legislacyjnych. Przy wyjątkowo szybkim postępie technologicznym, będzie możliwa szybka aktualizacja dobrych praktyk przez Prezesa UODO.
Administrator Bezpieczeństwa Informacji (ABI) automatycznie ewoluuje w Inspektora Ochrony Danych (IOD)
Dla ABIch szczególnie istotne są zapisy o pełnieniu funkcji IOD. Na podstawie art. 61 Projektu, każdy ABI stanie się automatycznie IODem.
Ale tylko do 1 września 2018 roku! Do tego czasu Administrator Danych powinien zgłosić powołanego przez siebie ABI/IOD do Prezesa UODO. Zgłoszenie będzie można zrealizować również w formie elektronicznej.
Powyższą konstrukcję prawną znają dobrze wszyscy doświadczeni ABI. Przypomnę, że dość podobny mechanizm zastosowano w nowelizacji ustawy w ramach pakietu deregulacyjnego.
Każdy IOD powołany już po 24 maja 2018 roku, będzie miał 14 dni na zawiadomienie Prezesa UODO o objęciu swojej funkcji.
Szczegóły techniczne znajdą się zapewne w przepisach wykonawczych do nowej Ustawy.
Outsourcing procesu certyfikacji
RODO przewidziało dwie możliwości nadawania certyfikatów potwierdzających odpowiednie standardy ochrony danych osobowych. Jedna z nich to certyfikowanie przez Regulatora. Druga to certyfikacja przez uprzednio akredytowane przez regulatora podmioty.
Ministerstwo wybrało opcję numer dwa. Taki wybór można określić jako outsourcing procesu certyfikacji. Najpierw Prezes UODO certyfikuje godne zaufania podmioty. A następnie te podmioty będą wydawać certyfikaty.
Oczywiście cały proces certyfikacji musi być transparentny. Sama procedura akredytacji do wydawania certyfikatów została szczegółowo opisana w Ustawie. W art. 8 Projektu pozostawiono wykropkowaną kwotę, którą będzie należało uiścić Prezesowi UODO tytułem opłaty akredytacyjnej.
Postępowanie kontrolne
Do tej pory przebieg postępowania kontrolnego nie był uregulowany w przepisach zbyt szczegółowo. W projekcie dodano cały szereg przepisów mających zagwarantować zarówno skuteczność kontroli, jak i prawa osobom, które podlegają kontroli.
W art. 19 Ustawy wskazano, że prawo Prezesa UODO do dostępu do informacji, ograniczone jest ze względu na tajemnice ustawowo chronione. Przedsiębiorcy mogą zastrzec część informacji, powołując się na to, że stanowią one ich tajemnicę przedsiębiorstwa.
Z kolei w art. 38 Projektu wskazano, że kontrolujący podlegają wyłączeniu z kontroli w niektórych sytuacjach. Na przykład, kiedy inspektor prowadzący kontrolę jest krewnym Prezesa kontrolowanej organizacji.
Odniesiono się do kwestii niezapowiedzianych kontroli. Zdecydowana większość kontroli GIODO była zapowiadana, jednak przepisy nie regulowały tej materii wprost.
W nowych przepisach wyłączono działanie art. 79 ustawy o swobodzie działalności gospodarczej. Nie ulega więc wątpliwości, że postępowania kontrolne będą mogły być niezapowiadane.
Odpowiedzialność cywilna
Istotnym novum w stosunku do przepisów aktualnej ustawy o ochronie danych osobowych są zapisy o odpowiedzialności cywilnej.
Zapewniają one niezależną (niezależną wobec trybu postępowania administracyjnego przez Prezesem UODO) drogę dochodzenia roszczeń z tytułu naruszeń przepisów o ochronie danych osobowych.
Na podstawie tych przepisów, osoba której dane osobowe zostały naruszone, będzie mogła wystąpić z pozwem przeciwko temu kto dopuścił się takiego naruszenia. Właściwymi do rozpoznawania takich spraw mają być sądy okręgowe.
Co istotne, ten odrębny tryb nie wyłącza możliwości występowania z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych np. na podstawie art. 24 kodeksu cywilnego czyli w trybie w właściwym dla dochodzenia naruszeń dóbr osobistych.
Warto również zwrócić uwagę, że chociaż sąd i Prezes UODO nie będą związani swoimi rozstrzygnięciami to jednak ustawodawca proponuję w art. 58 Ustawy tryb wzajemnego informowania się tych organów o prowadzonych przez siebie postępowaniach i wydawanych rozstrzygnięciach. Wydaje się to bardzo słusznym rozwiązaniem, gdyż może ono wyeliminować przypadki wydawania sprzecznych wobec siebie decyzji i wyroków.
Czy to już cały projekt?
Bardziej dociekliwi zauważą, że w projekcie brakuje kilku istotnych elementów. Na przykład wskazania sposobu wyboru Prezesa UODO. Należy też pamiętać o tym, że nowa ustawa to nie wszystko. Konieczna jest nowelizacja ogromnej ilości ustaw i innych aktów prawnych, odwołujących się do obecnej ustawy o ochronie danych osobowych. Prawnicy Ministerstwa Cyfryzacji mają więc co robić. Kompletny projekt, wraz z projektami nowelizacji pozostałych przepisów ma zostać przedstawiony przez Ministerstwo w czerwcu 2017 roku.
Podsumowanie
Projekt ma to do siebie, że jest tylko projektem. Najprawdopodobniej nie ma się jednak co spodziewać rewolucyjnych zmian.
Na pewno warto zwrócić uwagę na rozbudowę i uszczegółowienie kwestii dotyczących kontroli organizowanych przez nowy Urząd. Z jednej strony można to odbierać jako znaczącą rozbudowę arsenału Prezesa UODO. Kolejny wyścig zbrojeń i nowy groźnie wyglądający Urząd, gotowy nałożyć na nas potężne kary.
Z drugiej strony możliwość nakładania tak wysokich kar, jak te przewidziane w RODO, wymaga też odpowiednich ram i procedur. Projekt takie właśnie ramy wyznacza.
Wszyscy ABI z niecierpliwością będą oczekiwali na dobre praktyki, które wyda Prezes UODO. Dokumenty te staną się zapewne nową Biblią Inspektorów Ochrony Danych i zastąpią przestarzałe i nieaktualne Rozporządzenie z 2004 roku.
Kolejne niewiadome związane z reformą prawa ochrony danych osobowych przestają być niewiadomymi. Z pewnością jednak jesteśmy teraz w najtrudniejszym momencie całego procesu. Zmian jest bardzo dużo. Nie wszystkie są jeszcze zmianami pewnymi (Projekt nowego uodo), kolejne zmiany dopiero pojawiają się horyzoncie (dobre praktyki Prezesa UODO).
Później poczekamy jeszcze na orzecznictwo Prezesa UODO i sądów, które pozwolą reformie nabrać dojrzałego kształtu.
Moment procesu w którym obecnie się znajdujemy, możemy porównać do wzburzonej wody znajdującej się bezpośrednio pod wodospadem.
Jednak im dalej od wodospadu, tym woda będzie bardziej przejrzysta i… spokojna.
Z pewnością wrócimy jeszcze do tematu Projektu na łamach naszego bloga.
Samą treść projektu znajdą Państwo tutaj:
Projekt ustawy do pobrania
Pobierz projekt4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Bardzo przydatny artykuł 😉 Mogłabym prosić o źródło, z którego zdobył Pan projekt ustawy?
Bardzo nam miło 🙂
Jeśli chodzi o projekty, to zapraszamy na stronę Ministerstwa Cyfryzacji: https://mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie-danych-osobowych
Cały proces legislacyjny jest transparentny i na bieżąco aktualizowany.
Certyfikaty, akredytacje – czyli znowu powstaną pseudo urzędy do zgarniania kasy.
Obecnie funkcjonują różne nieoficjalne certyfikaty. Dzięki akredytacjom jest szansa, że takie certyfikaty staną się bardziej transparentne i będzie wiadomo co tak naprawdę oferuje dany certyfikat. Ale oczywiście ryzyko biurokratyzacji też istnieje.