Jak wiemy uchwalenie w 1997 r. pierwszej w Polsce Ustawy o ochronie danych osobowych było powszechnie odczytywane, jako przejaw „(…)postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego jej obywatela” [źródło: materiały GIODO]. W tym kontekście warto zadać pytanie, jakie cele chce osiągnąć nasz ustawodawca w ramach wprowadzanych zmian w najnowszej nowelizacji ustawy o ochronie danych osobowych z 1997 r.
Otóż…
Nawet pobieżna analiza motywów ustawodawczych wskazuje jednoznacznie, iż omawianej nowelizacji przyświecało w zamyśle jej twórców zapewnienie skuteczniejszych instrumentów dla egzekwowania prawa (w domyśle przez Generalnego Inspektora Ochrony Danych Osobowych). Nie bez znaczenia była również chęć rozwiania zgłaszanych przez przedstawicieli doktryny wątpliwości interpretacyjnych, jakie pojawiały się na gruncie obecnie obowiązującej ustawy.
Poza tym, nowelizacja ustawy jest również częścią procesu implementacji unijnej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 281 z 23.11.1995, str. 31, z późn. zm.)
Prześledźmy zatem jakie zmiany postanowił wprowadzić ustawodawca i ich rangę. Wprowadzone zmiany modyfikują reżim prawny ochrony danych osobowych na 2 sposoby: po 1. dokonując zmian w przepisach prawnych ustaw innych niż ustawa o ochronie danych osobowych(a które wpływają np. na pozycję GIODO) oraz po 2. wprowadzając zmiany bezpośrednio do tekstu u.o.d.o. z 1997 r.
Z wszystkich wprowadzanym zmian postanowiliśmy wybrać i pokrótce omówić 12 z nich, które wg nas są najważniejsze.
Ad. 1.:
Zasadnicze znaczenie dla zwiększenia poziomu ochrony danych osobowych w Rzeczypospolitej Polskiej mają – zawarte w art. 2 ustawy o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw, modyfikacje art. 2 § 1 oraz art. 20 § 2 ustawy z dnia 17 czerwca 1966 roku o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.), które zdecydowanie zwiększają skuteczności działań GIODO:
1) w ustawie o postępowaniu egzekucyjnym w administracji dodano do obowiązków, które podlegają egzekucji administracyjnej, obowiązki z zakresu ochrony danych osobowych, nakładane w drodze decyzji Generalnego Inspektora Ochrony Danych Osobowych,
2) GIODO został uznany za organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym /na mocy zaś – zmienionego przez art. 2 pkt 2 ustawy nowelizującej – art. 20 § 2 ustawy o postępowaniu egzekucyjnym w administracji/.
Powyższe 2 zmiany, chociaż niepozorne przyczyniają się – w naszej ocenie – znacznie do wzmocnienia pozycji GIODO, który jako organ egzekucyjny w zakresie obowiązków o charakterze niepieniężnym wynikających z decyzji administracyjnych wydanych w sprawach wykonania przepisów o ochronie danych osobowych – będzie mógł, w przypadku niewykonania takiej decyzji administracyjnej przez zobowiązanego, stosować środek egzekucyjny – grzywnę w celu przymuszenia (art. 119 i następne ustawy o postępowaniu egzekucyjnym w administracji). Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10 000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50 000 zł, zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50 000 zł w odniesieniu do osób fizycznych oraz 200 000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej. Przyjęte przez Parlament zmiany ustawy o postępowaniu egzekucyjnym w administracji zastąpiły poprzednio proponowane (źródło: projekt ustawy o zmianie ustawy o ochronie danych osobowych – druk sejmowy nr 488) kary pieniężne za niewykonanie decyzji administracyjnych, które miały być nakładane przez GIODO.
Tym samym wszystkie obowiązki z zakresu ochrony danych osobowych, nakładane w drodze decyzji Generalnego Inspektora Ochrony Danych Osobowych, będą podlegały egzekucji administracyjnej (dodany pkt 2 w §1 art. 2 ustawy).
Ad. 2.:
W zakresie zmian wprowadzonych do bezpośredniego tekstu ustawy o ochronie danych osobowych na wyróżnienie i naszą uwagę szczególnie zasługują następujące modyfikacje:
3) ustawa nowelizująca u.o.d.o. przyznała możliwość tworzenia przez GIODO jednostek zamiejscowych /art. 13 ust. 1a ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych – t. j. Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm., dodany przez art. 1 pkt 3 lit. a ustawy nowelizującej/. Ta zmiana jednak w ocenie zdecydowanej większości doktryny akurat zbytnio nie przyczyni się do skuteczniejszego przestrzegania przepisów ustawy, a jedynie – według krytyków – powiększy szeregi dużej rzeszy opłacanych z naszych podatków urzędników. Można spotkać się również z opinią, iż lokalni politycy głównych partii będą szczególnie aktywni w staraniach o stanowiska w tych jednostkach. Można więc odnieść wrażenie, że niektórzy patrzą na zmiany w ustawie o ochronie danych osobowych jak na dodatkowy instrument polityki państwa w zakresie zwalczana bezrobocia (…wśród polityków i ich znajomych)… Wydaje się że nie takie było ratio legis wprowadzanych zmian (taką przynajmniej mamy nadzieję!)….
4) Ustawa nowelizująca wprowadziła także zasadę odpowiedzialności karnej za udaremnianie lub utrudnianie wykonania czynności kontrolnej przez inspektora /art. 54a ustawy o ochronie danych osobowych, dodany przez art. 1 pkt 12 ustawy nowelizującej/: Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.
Genezy tego przepisu należy upatrywać w Stanowisku Rady Ministrów z 14/12/2009 r., bowiem pierwotny projekt ustawy nowelizacyjnej z 21/12/2007 r. przygotowany przez Prezydenta RP nie zawierał tego typu spenalizowanego zachowania. Zmiana ta zaś merytorycznie wydaje się być podyktowana dotychczasową praktyką dotychczasowego stosowania ustawy. Dlatego też – bez przesadnego entuzjazmu – możemy zgodzić się z przyjętym kierunkiem zmian, tym bardziej iż – jak podkreślają karniści – przepisy Kodeksu karnego również nie przewidywały karalności tego rodzaju czynu (bowiem wśród osób, których kontrolne czynności służbowe są chronione przepisem art. 225 k.k. nie ma tych, które są upoważnione do kontroli w zakresie ochrony danych osobowych).
5) Ponadto z ustawy o ochronie danych osobowych wykreślony został art. 29 oraz art. 30 regulujący udostępnianie przez administratora danych posiadanych danych osobowych w celach innych, niż włączenie do zbioru /na mocy art. 1 pkt 7 ustawy nowelizującej /.
Przyczyny zmiany tych przepisów były dosyć proste: nie były one bowiem ujęte w Dyrektywie 95/46/WE i stanowiły przedmiot uwag organów UE dokonujących kontroli implementacji przepisów Dyrektywy 95/46/WE w prawie polskim. Jak czytamy w uzasadnieniu do projektu nowelizacji „Komisja Europejska odnosząc się do treści art. 29 podkreślała, że zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej.” Widzimy więc, że chodziło o dostosowanie naszego krajowego prawa do przepisów unijnych.
6) Charakter porządkujący ma również zmiana art. 33 ustawy, który określa obowiązek administratora danych do informowania danej osoby o prawach, które przysługują jej w zakresie ochrony danych osobowych oraz informacji o zebranych danych. Ponadto administrator danych ma obowiązek odmówić udzielenia powyższych informacji, jeżeli mogłoby spowodować to ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, czy też istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Stanowi o tym znowelizowany art. 34 ustawy.
7) GIODO uzyskał również uprawnienie do kierowania do: organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, jak również innych jednostek organizacyjnych, a także osób fizycznych i prawnych wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych (dodany przez art. 1 pkt 6 ustawy nowelizującej: art. 19a ust. 1 ustawy o ochronie danych osobowych) oraz art. 19a ust. 2 uodo: na mocy którego Generalny Inspektor zyskał również prawo do występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
Co do tej zmiany, możnaby rzec iż chcąc osiągnąć słuszny cel (bowiem Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu nie przyznawała Generalnemu Inspektorowi takich uprawnień, pomimo tego że analogicznymi uprawnieniami dysponuje – w sprawach objętych zakresem ich działania – szereg podmiotów, np. Rzecznik Praw, Rzecznik Praw, czy Rzecznik Ubezpieczonych to ustawodawca nie przyłożył się zbytnio do jej odpowiedniego przełożenia na język prawny. Do głównych zarzutów pod adresem tej kompetencji GIODO należy fakt iż „(…) nie jest jasne dlaczego GIODO ma kierować wystąpienie, a nie wydawać decyzje administracyjne. Istnieje naturalna obawa, że do podmiotów publicznych będą kierowane wystąpienia (brak sankcji za niewykonanie), a do podmiotów z sektora prywatnego decyzje (niewykonanie skutkuje sankcją)” [źródło: opinia Polskiej Izby Ubezpieczeń]. Według nas jest to słuszna uwaga, bowiem poziom ochrony danych osobowych nie powinien być tak dowolnie różnicowany – nawet tylko potencjalnie.
8) Nadano nowe brzmienie art. 7 pkt 5 ustawy o ochronie danych osobowych, który obecnie jednoznacznie przesądza, sporną niegdyś w doktrynie, kwestię dopuszczalności odwołania zgody na przetwarzanie danych osobowych przewidując, iż zgoda na przetwarzanie danych osobowych może być odwołana w każdym czasie. Ustawodawca – wydaje się – iż potwierdził to co doktryna nauki prawa uważała za słuszne w tej kwestii.
9) Uszczegółowieniu uległy procedury kontroli oraz sporządzania protokołu pokontrolnego. Przed przystąpieniem do czynności kontrolnych inspektor danych osobowych winien okazać legitymację oraz imienne upoważnienie do przeprowadzenia kontroli. Jego zawartość określono szczegółowo w art. 15 ust 3 i 4 uodo. Podobnie określono niezbędne elementy protokołu pokontrolnego – ich wykaz zawarto w dodanym ust. 1a art. 16 ustawy.
10) Pamiętać musimy również o dodaniu do art. 41 ust. 3 i 4 uodo stanowiącego, iż w razie rozszerzenia zakresu przetwarzania danych o dane, o których mowa w art. 27 ust 1 ustawy (ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym) administrator danych będzie zobowiązany zgłosić te zmianę do GIODO przed dokonaniem jej w zbiorze.
Nowelizacja wchodzi w życie po upływie 3 miesięcy od dnia ogłoszenia tj. 7 marca 2011 r.
Podsumowując – powyższe rozważania i oceniając efekty pracy naszego ustawodawcy podtrzymujemy nasze zdanie [wyrażone we wpisie z dn. 22/01/2009 pn.: Większe kompetencje dla GIODO – czy rzeczywiście potrzebne? Analiza projektu nowelizacji ustawy o ochronie danych osobowych] iż, „(…)zmiany idą w dobrym kierunku, niestety nie są to wszystkie zmiany jakich wymagają aktualnie obowiązujące przepisy. Pozostaje więc tylko czekać na kolejną nowelizację…”
Niemożliwe w najbliższym czasie … ?
A jednak z wypowiedzi obecnego GIODO wynika, iż kolejna nowelizacja nadejdzie szybciej niż byśmy się mogli tego spodziewać. Możecie być pewni, iż będziemy Was o tym informować na bieżąco. Obyśmy tylko nie musieli kończyć oceny i tej oczekiwanej, kolejnej nowelizacji uodo tymi samymi słowami co z powyższej nowelizacji…
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.