28 marca b.r. Ministerstwo Cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych (projekt ustawy), stanowiący niezbędne uzupełnienie przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO). Projekt ten, choć odnosi się w swojej treści do kompetencji organu nadzorczego mającego czuwać nad przestrzeganiem przepisów rozporządzenia, określanego jako Prezes Urzędu Ochrony Danych Osobowych (Prezes Urzędu), nie zawiera w obecnym kształcie przepisów ustrojowych dotyczących jego wyboru i funkcjonowania, ani także przepisów przejściowych w zakresie kadencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Choć na uregulowanie wskazanych kwestii trzeba będzie jeszcze poczekać, do niektórych z nich odniosła się Minister Cyfryzacji w odpowiedzi jakiej 21 czerwca b.r. udzieliła Rzecznikowi Praw Obywatelskich na pismo Rzecznika odnośnie reformy ochrony danych osobowych.

Powołanie nowego organu nadzorczego

Jak wskazała Minister Cyfryzacji:

rozporządzenie 2016/679 nakłada na państwa członkowskie obowiązek powołania nowych organów ochrony danych, których zakres kompetencji znacznie wykracza poza zadania powierzane takim organom obecnie (…) z chwilą wejścia w życie nowej ustawy o ochronie danych osobowych utworzony zostanie taki nowy organ nadzorczy, który w zakresie swoich kompetencji, w tym do nakładania administracyjnych kar finansowych, będzie znacznie różnił się od Generalnego Inspektora

Oznacza to, że na gruncie nowej ustawy o ochronie danych osobowych, w miejsce Generalnego Inspektora Ochrony Danych Osobowych powołany zostanie nowy organ odpowiadający za egzekwowanie w Polsce przestrzegania przepisów rozporządzenia –  Prezes Urzędu Ochrony Danych Osobowych. Minister Cyfryzacji wskazała także, że konieczne jest uznanie Prezesa Urzędu Ochrony Danych Osobowych za następcę prawnego Generalnego Inspektora Ochrony Danych Osobowych, gdyż uchylona zostanie podstawa prawna działania Generalnego Inspektora.

Nazwa nowego organu nadzorczego

Jak chodzi o samą zmianę nazwy nowego organu – zarówno w Projekcie ustawy, jak i w odpowiedzi Minister Cyfryzacji wskazała, że zmiana została podyktowana treścią RODO, która mianem inspektora ochrony danych określa osobę wyznaczoną przez administratora  bądź podmiot przetwarzający wewnątrz ich struktury organizacyjnej, zobowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów rozporządzenia. Inspektor ochrony danych w rozumieniu RODO nie ma zatem żadnego związku z organem nadzorczym, więc uznano, że utrzymanie dotychczasowej nazwy tego organu byłoby w świetle powyższego mylące.  Na zmianę nazwy miała wpływ także okoliczność, że pracownicy biura Generalnego Inspektora Ochrony Danych Osobowych przeprowadzający w jego imieniu kontrole nazywani są inspektorami, co także mogłoby wprowadzać w błąd, biorąc pod uwagę wyżej wskazane pojęcie inspektora ochrony danych na gruncie rozporządzenia.

Kadencja GIODO a kadencja Prezesa Urzędu

Na gruncie art. 8 ust. 5 aktualnie obowiązującej ustawy o ochronie danych osobowych (UODO), kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania.

Zgodnie z art. 54 ust. 1 lit. d RODO, każde państwo członkowskie określa w swoich przepisach prawnych okres kadencji członka lub członków każdego z organów nadzorczych – nie krótszy niż cztery lata, z wyjątkiem pierwszej kadencji po dniu 24 maja 2016 r., która może częściowo trwać krócej, jeżeli jest to niezbędne, aby chronić niezależność organu nadzorczego w drodze procedury stopniowej wymiany członków.

Jak wskazała Minister Cyfryzacji, z powyższego wynika, że z dniem rozpoczęcia stosowania rozporządzenia (25 maja 2018 roku), rozpocznie bieg pierwsza nowa kadencja organu nadzorczego. Przepis ten, wskazuje wyraźnie na nową kadencję, nie wskazuje na kontynuację kadencji już (przed tą datą) rozpoczętej. W świetle powyższego, Minister Cyfryzacji wskazała, że w każdym przypadku konieczne jest więc wprowadzenie do projektowanej ustawy stosownego przepisu przejściowego, a w razie jego braku, należałoby opowiedzieć się z prawnego punktu widzenia za stanowiskiem, w świetle którego kadencja ulegałaby zakończeniu.

Sposób wyboru, kadencyjność i odwołanie Prezesa Urzędu

Zgodnie z art. 8 ust. 2 UODO Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu. Z kolei art. 53 RODO stanowi, że Państwa członkowskie zapewniają by organ nadzorczy był powoływany przez parlament, rząd, głowę państwa bądź niezależny organ uprawniony do powoływania członków organu nadzorczego. Jak możemy przeczytać w odpowiedzi, jeszcze nie zdecydowano o tym, w jaki sposób będzie powoływany nowy organ nadzorczy, niemniej jednak w ocenie Minister Cyfryzacji procedura powołania organu powinna zgodnie z treścią RODO zapewniać jego niezależność oraz  być możliwie szybka – by nie dochodziło do sytuacji, w których organ przez długi czas funkcjonuje bez piastuna.

Co więcej, Prezes Urzędu, tak jak Generalny Inspektor ma być organem kadencyjnym, odwołalnym wyłącznie w przypadkach enumeratywnie wyliczonych w rozporządzeniu (gdy dopuścił się poważnego uchybienia lub przestał spełniać warunki niezbędne do pełnienia obowiązków).

Niezależność i wzmocnienie pozycji Prezesa Urzędu

Minister Cyfryzacji widzi potrzebę zapewnienia nie tylko ustrojowych gwarancji pełnej niezależności Prezesa Urzędu, ale także gwarancji finansowych. Wobec tego można się spodziewać, że budżet nowego organu nadzorczego będzie znacznie wyższy w porównaniu do budżetu obecnego organu. Jest to także uzasadnione zwiększoną ilością zadań Prezesa Urzędu na gruncie RODO.

Z pisma Minister Cyfryzacji można także odczytać, że  Minister Cyfryzacji jest za zwiększeniem liczby zastępców organu, podniesieniem ich rangi oraz przyznaniem Prezesowi Urzędu prawa do nadawania sobie samemu statutu (dzisiaj statut jest organowi nadawany przez Prezydenta RP).

Istotną zmianą mającą na celu wzmocnienie pozycji Prezesa Urzędu w porównaniu z GIODO, o której wspomniała Minister Cyfryzacji, a wynikającą już z treści Projektu ustawy ma być przyznanie organowi prawa do przeprowadzania niezapowiedzianych kontroli naruszenia zasad ochrony danych osobowych, przeprowadzania kontroli planowanych czy możliwość korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji w toku przeprowadzanej kontroli.

Podsumowanie

Jak wynika z wyżej przytoczonych wypowiedzi, Ministerstwo Cyfryzacji jest za stworzeniem niezależnego organu nadzorczego, który podoła przy tym wyzwaniom jakie stawia wobec niego unijna reformy ochrony danych osobowych. Choć niektóre kompetencje nowego organu wydają się być bardzo daleko idące i jako takie mogą rodzić pewne obawy po stronie administratorów danych, Minister Cyfryzacji wskazała, że urząd ma być nie tylko efektywny w zakresie rozpatrywania skarg czy nakładania administracyjnych kar finansowych, ale także ma być organem otwartym i doradzającym. Taka postawa z pewnością wpłynie pozytywnie na przestrzeganie przepisów RODO.

Related Post

UDOSTĘPNIJ
Poprzedni artykułRODO to inteligentny akt – wywiad z dr. Maciejem Kaweckim, koordynatorem krajowej reformy ochrony danych osobowych
Następny artykułPrawo do bycia zapomnianym poza granicami UE
Radca prawny, absolwentka i doktorantka wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Stypendystka na Internacional Universitat de Catalunya w Barcelonie. Słuchacz studiów podyplomowych LLM in Internacional Commercial Law na Akademii Leona Koźmińskiego w Warszawie. Otrzymała nagrodę Ministra Nauki i Szkolnictwa Wyższego za pracę magisterską pod tytułem „Specyfika ochrony produktów leczniczych wprawie własności intelektualnej”. Autorka i współautorka publikacji naukowych i popularnonaukowych z zakresu prawa konsumenckiego i ochrony danych osobowych. Prelegentka na ogólnopolskich i międzynarodowych konferencjach naukowych. Wykładowca na studiach podyplomowych z ochrony danych osobowych organizowanych przez UMCS w Lublinie.Specjalizuje się w prawie konsumenckim, ze szczególnym uwzględnieniem regulacji konsumenckich na rynku e-commerce, prawie ochrony danych osobowych oraz prawie nowych technologii.