Kilka dni temu informowaliśmy naszych czytelników o tym, że na stronie internetowej Ministerstwa Cyfryzacji został udostępniony częściowy projekt nowej ustawy o ochronie danych osobowych. W ten sposób projektodawca odpowiada na ogromne zainteresowanie publiczne tematyką ochrony danych osobowych. Jednocześnie przedstawiciele resortu cyfryzacji podkreślają, że nie jest to jeszcze ostateczny kształt projektu nowej ustawy i cały czas trwają prace nad jego finalną wersją, która jesienią trafi do Sejmu. Poniżej omawiamy kilka naszym zdaniem najciekawszych zmian, jakie zostały ujęte w opublikowanym projekcie.
- Osoby, które ukończyły 13 lat są uprawnione do samodzielnego decydowania o sobie
Element ten został uregulowany już w artykule 1 ust. 1 projektu ustawy. Jego dokładna treść brzmi:
W przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej rodziców bądź opiekunów prawnych.
Treść przepisu nie pozostawia wielu wątpliwości interpretacyjnych. Jednocześnie jest to zapis, który już teraz budzi sporo emocji. Na rynku jest wielu zwolenników liberalizacji dotychczasowego podejścia (do 18.roku wymagana zgoda rodzica), jest jednak równie liczna grupa przeciwników takiej liberalizacji. Wydaje się, że ciężar konsultacji społecznych przy projekcie ustawy może w znacznej mierze spoczywać na tym zagadnieniu.
- Zmiana nazwy GIODO
Już nie Generalny Inspektor Ochrony Danych Osobowych lecz Prezes Urzędu Ochrony Danych Osobowych (PUODO – jakkolwiek by ten skrót nie brzmiał).
- Zniesienie dwuinstacyjności postępowania przed PUODO
Argumentem, który w opinii Ministerstwa przemawia za wprowadzeniem takiej zmiany jest zbyt długotrwały proces wydawania decyzji w sprawach o naruszenia przepisów o ochronie danych osobowych. Trudno się nie zgodzić z taką argumentacją, jednak nadal pozostaje wątpliwość w zakresie zgodności takiego rozwiązania z konstytucyjną zasadą dwuinstancyjności postępowania. W szczególności, że Prezes Urzędu od 25 maja 2018 roku będzie uprawniony do nakładania bardzo bolesnych sankcji na przedsiębiorców.
- Wprowadzenie regulacji dotyczących procedury przed sądami cywilnymi
Główny ciężar rozpatrywania spraw z zakresu danych osobowych będzie spoczywał w dalszym ciągu na sądach administracyjnych. Po prawie dwudziestu latach doświadczeń sądy te mają bogatą wiedzę w tego typu sprawach i będą w stanie zapewnić szybszą kontrolę rozstrzygnięć PUODO.
Propozycja projektu ustawy przewiduje jednak dodatkowy i niezależny mechanizm uzyskiwania ochrony sądowej dla osób fizycznych których prawa zostały naruszone. Osoba taka będzie mogła samodzielnie skierować roszczenie bezpośrednio do sądu powszechnego, z pominięciem konieczności złożenia skargi do PUODO. Jest to istotne novum dla prawa ochrony danych osobowych. Powstanie kilka dróg dochodzenia ochrony prawnej, które zostaną poddane różnym pionom sądownictwa.
Co ciekawe Sądy powszechne i PUODO mają obowiązek niezwłocznego wzajemnego informowania siebie o prowadzonych i zakończonych postępowaniach w sprawach o naruszenia przepisów o ochronie danych osobowych. Ma to gwarantować płynność i efektywność prowadzonych postępowań, np. dzięki informacji przekazanej przez organ nadrzędny sąd będzie mógł zawiesić toczące się przed nim postępowanie do czasu zakończenia postępowania przed PUODO. Projekt przewiduje trzydniowe terminy dla wymiany informacjami. Jesteśmy bardzo ciekawi, czy uda się to założenie zrealizować w trudnej codziennej praktyce sądownictwa powszechnego, które cierpi na niedobór kadr i nadmiar prowadzonych spraw.
- Stosowanie kar w praktyce
To, co budzi największe emocje to sposób implementacji do porządku krajowego administracyjnych kar pieniężnych za naruszenie przepisów o ochronie danych osobowych, które przewiduje rozporządzenie 2016/679. I tu niektórzy mogą się zawieść – projektodawca uznał, że przepisy unijne są na tyle klarowane, że nie ma potrzeby ich doprecyzowywania.
Projektodawca zdecydował się na odrębne regulacje tylko w zakresie nakładania administracyjnych kar pieniężnych w odniesieniu do organów i podmiotów publicznych. Projektodawca ograniczył wysokość kary jak może zostać nałożona na podmioty i organy publiczne do kwoty 100 000 zł. Część organów publicznych została w ogóle wyłączona od możliwości obciążenia ich karą administracyjną. Mając na względzie, że podmioty prywatne od 25 maja 2018 roku będą zagrożone karą w wysokości do 20 000 000 EURO, odbiór społeczny takiego ograniczenia nie będzie zapewne pozytywny.
Dla tych wszystkich, którym towarzyszy poczucie pewnego rodzaju niesprawiedliwości mamy małe „pocieszenie”: na wniosek każdego ukaranego podmiotu (w tym przedsiębiorcy) PUODO będzie mógł odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.
- Rygor natychmiastowej wykonalności
Decyzjom wydawanym przez PUODOD automatycznie nadawany będzie rygor natychmiastowej wykonalności. I tu na szczęście rygor ten nie będzie dotyczył tej części decyzji, która obejmuje nakładanie kar administracyjnych. Niemniej sam rygor może prowadzić do istotnych naruszeń, jeżeli finalnie przedsiębiorca wygra z PUODO przed sądem, ale w międzyczasie musiał już usunąć całą bazę danych, co do której PUODO miał „wątpliwości”. W takim przypadku przedsiębiorcy pozostanie tylko dochodzenie odszkodowania od PUODO na zasadach ogólnych.
- Administratorzy Bezpieczeństwa
Wiele osób zadaje pytanie co stanie się z osobami wykonującymi funkcje Administratora Bezpieczeństwa Informacji po dniu rozpoczęcia stosowania rozporządzenia 2016/679. Tutaj projektodawca stanowi jednoznacznie, że od dnia 25 maja 2018 r. do dnia 1 września 2018 r. osoby te będą pełnić funkcję Inspektorów Danych Osobowych, natomiast do ich indywidualnej decyzji należy określenie, czy funkcję Inspektora Ochrony Danych osobowych będą również wykonywać po 1 września 2018 r.
Omówione zagadnienia wskazują już kierunek zmian polskiej ustawy o ochronie danych osobowych. Jednocześnie będziemy na bieżąco informować o kolejnych propozycjach i ustaleniach przedstawicieli rządu w tym niezmiennie gorącym temacie.
Jeżeli jesteś zainteresowany audytem lub przygotowaniem dokumentacji dotyczącej przetwarzania danych osobowych w Twojej firmie, która będzie uwzględniała nowe regulacje unijne, pisz śmiało.