W dniu 28 marca 2017 r. Ministerstwo Cyfryzacji opublikowało na swojej stronie internetowej roboczy projekt części przepisów wdrażających regulację unijnego ogólnego rozporządzenia o ochronie danych osobowych (dalej: GDPR/ RODO). Co istotne, projekt nie zawiera przepisów sektorowych np. w zakresie prawa pracy czy ubezpieczeń. Polska ustawa jest efektem swobody decyzyjnej państwa członkowskiego, którą pozostawia RODO.
Na wstępie warto generalnie wspomnieć, iż przedstawione propozycje odnoszą się na razie tylko do niektórych regulacji z GDPR. Projekt zawiera propozycje przepisów dotyczących:
- nowej nazwy urzędu ochrony danych osobowych
- akredytacji i certyfikacji
- postępowania w sprawie naruszenia przepisów o ochronie danych
- europejskiej współpracy administracyjnej
- postępowania kontrolnego
- administracyjnych kar pieniężnych i odpowiedzialności cywilnej
- inspektorów ochrony danych
- granicy wieku dziecka, od kiedy nie będzie wymagana zgoda rodzica bądź opiekuna prawnego
Nowy urząd ochrony danych osobowych
Znaczącą zmianą jest propozycja utworzenia „Urzędu Ochrony Danych Osobowych”, na czele którego stałby Prezes w miejsce dzisiejszego Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jak czytamy we wprowadzeniu do projektu, utrzymanie dotychczasowej nazwy wprowadzałoby w błąd, jeżeli chodzi o status pracowników biura GIODO (inspektorów) w kontekście inspektorów ochrony danych, którzy będą kontynuować funkcję obecnych ABI. Pracownicy nowo utworzonego Urzędu byliby nazywani „kontrolującymi”.
Jak się wydaje zmiana nazewnictwa ma służyć nie tylko celom porządkującym ale także podkreśleniu nowej niezwykle silnej pozycji urzędu, zbliżonej – a być może nawet silniejszej – niż to ma miejsce w przypadku UOKiK.
Co bardzo ważne, Prezes Urzędu byłby upoważniony do wydawania niewiążących dobrych praktyk przetwarzania danych. Byłyby to zalecenia o charakterze informacyjnym, dotyczące zastosowania środków technicznych i organizacyjnych pod kątem ochrony danych. W związku z wprowadzonym mechanizmem „risk-based aproach” dobre praktyki będą stanowić istotną wskazówkę dla przedsiębiorców (administratorów danych/procesorów) określającą adekwatny poziom bezpieczeństwa. Risk-based aproach przerzuca na administratorów danych oraz procesorów ciężar ustalenia tego jakie mechanizmy bezpieczeństwa w ich konkretnej sytuacji są odpowiednie.
Uregulowanie akredytacji i certyfikacji
Polski projektodawca w propozycjach uszczegółowił instytucje akredytacji podmiotów certyfikujących i certyfikacji administratorów. Proponowane przepisy określają procedurę wnioskowania, nadawania tych uprawnień, kontroli przestrzegania oraz udziału Prezesa Urzędu w samej procedurze. Co ciekawe, projekt zakłada, że Prezes Urząd byłby tylko podmiotem akredytującym, nie certyfikującym, co jest naszym zdaniem bardzo dobrym rozwiązaniem, ponieważ zapewnia to bezstronność organu nadzoru w razie ewentualnej późniejszej kontroli w certyfikowanym przez niego podmiocie.
Postępowanie w sprawie naruszenia przepisów o ochronie danych
Bardzo ważną zmianą jest wprowadzenie nowych przepisów postępowania w sprawie naruszeń przepisów o ochronie danych. Projekt ustanawia jednoinstancyjność postępowania, pozbawionego istniejącego do tej pory wniosku o ponowne rozpatrzenie sprawy jako środka odwoławczego. Prezes Urzędu będzie miał prawo autokontroli (uchylenia i zmiany) swoich decyzji w terminie 30 dni od dnia wniesienia skargi. Do udziału w postępowaniu przed Urzędem dopuszczone zostały organizacje społeczne, które będą mogły działać w interesie osoby, której dotyczy naruszenie. Pojawiło się uprawnienie po stronie Prezesa Urzędu do wyznaczenia określonego terminu na przedstawienie wniosku dowodowego przez stronę (nie krótszy niż 3 dni). Prezes Urzędu będzie mógł żądać w drodze postanowienia ograniczenia przetwarzania przez podmiot, co do którego zachodzi prawdopodobieństwo naruszenia przepisów.
Innym uprawnieniem będzie prawo do ograniczenia wglądu do materiału dowodowego ze względu na tajemnicę przedsiębiorstwa. Sam podmiot (np. administrator danych) będzie mógł w drodze zastrzeżenia uchylić się od ujawnienia niektórych informacji z jej powodu. Po stronie Prezesa Urzędu zaś przepisy przewidują możliwość uchylenia tego rodzaju zastrzeżenia. Co istotne, to uchylenie następować będzie w formie decyzji Prezesa Urzędu.
Nowe przepisy nadają ponadto organowi szereg uprawnień już w przypadku stwierdzenia naruszenia (art. 26 projektu), obok których będzie istnieć uprawnienie do nakładania kar pieniężnych. Projekt określa bardzo szeroki zakres kompetencji w tym zakresie:
1) uwzględnienie żądań zawartych w skardze osoby, której dane dotyczą;
2) dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679, ze wskazaniem, gdzie to właściwe, sposobu i terminu dostosowania;
3) zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;
4) wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania;
5) sprostowanie lub usunięcie danych osobowych;
6) powiadomienie odbiorców, którym dane osobowe zostały ujawnione o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych;
7) zawieszenie przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.
Co istotne, w przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes Urzędu może, w drodze decyzji udzielić upomnienia.
Warto dodać, iż wszystkie rozstrzygnięcia Prezesa podlegają rygorowi natychmiastowej wykonalności. Natomiast wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji tylko w zakresie dotyczącym administracyjnej kary pieniężnej. Postanowienia wydane przez Prezesa w toku postepowania (np. można zaskarżyć dopiero w skardze na decyzję Prezesa Urzędu. Dotyczy to np. postanowienia w przedmiocie zobowiązania podmiotu, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania.
Europejska współpraca administracyjna
Przepisy konkretyzują rozdział GDPR odnośnie współpracy pomiędzy organami nadzorczymi. Konkretyzacja dotyczy głównie formy komunikowania oraz języków, w jakich powinna odbywać się korespondencja. W przypadku komunikacji wychodzącej będzie to język urzędowy kraju adresata lub język angielski, w przypadku przychodzącej – język polski.
Postępowanie kontrolne
Projekt zawiera w sobie trzy rodzaje postępowań kontrolnych:
- kontrola planowa
- kontrola doraźna (w przypadku np. doniesienia)
- jako jeden ze środków w toku postępowania
Bardzo istotną zmianą będzie ograniczenie czasowe przeprowadzania kontroli. W myśl projektu ustawy kontrola musi zakończyć się w ciągu miesiąca, przy czym termin liczy się od wszczęcia kontroli do zatwierdzenia protokołu pokontrolnego. Jeżeli w toku kontroli zostanie stwierdzone uchybienie, będzie to podstawą do wszczęcia postępowania przez Prezesa Urzędu.
Rozdział określa również szczegóły procesu kontroli, prawa i obowiązki kontrolowanego i kontrolującego oraz zawartość protokołu. Pracownik organu delegowany do przeprowadzenia kontroli będzie mógł w razie konieczności skorzystać z pomocy służb, w tym Policji. Co istotne, projekt wyłącza stosowanie art. 79 ustawy o swobodzie działalności gospodarczej. W praktyce oznacza to wyłączenie regulacji o wcześniejszym zawiadamianiu przedsiębiorcy o kontroli.
Kary administracyjne i odpowiedzialność cywilna
Projekt przepisów implementuje również uprawnienie Prezesa Urzędu do nakładania kar administracyjnych z art. 83 RODO w drodze decyzji administracyjnej, zwłaszcza w stosunku do podmiotów prywatnych. Co ważne, w stosunku do podmiotów publicznych maksymalna kara będzie mogła wynosić 100 000 zł. Propozycja ta motywowana jest koniecznością sprawnego funkcjonowania organów publicznych, co mogłoby być zaburzone przez stosowanie zbyt dotkliwych sankcji. Należy jednak z ulgą przyjąć fakt, że podmioty publiczne nie zostały usunięte z katalogu adresatów kar, w innym przypadku stawiałoby to sens stosowania RODO wobec organów pod znakiem zapytania. Przepisy ustanawiają również możliwość odroczenia zapłaty kary i rozłożenia jej na raty przez Prezesa Urzędu.
W przypadku, kiedy waga naruszeń jest znikoma, Prezes Urzędu udzieli upomnienia w drodze decyzji.
W projekcie znajduje się również możliwość dochodzenia roszczeń na drodze sądowej przed sądami cywilnymi (obok wszczęcia postępowania administracyjnego). Chodzi o żądanie dopełnienia czynności potrzebnych do usunięcia skutków naruszenia. Nie wyłącza to jednak możliwości wystąpienia z roszczeniami z tytułu naruszenia przepisów odo wobec administratora danych osobowych. Praktyczna doniosłość tej regulacji jest duża. Przeniesiono w ten sposób regulację art. 24 § 1 zd. 1-2 kodeksu cywilnego, która dotyczy niemajątkowej ochrony dóbr osobistych do regulacji ustawy o ochronie danych osobowych. W praktyce więc podmiot danych będzie miał następujące roszczenia przeciwko administratorowi danych/procesorowi:
– na podstawie art. 24 k.c. – roszczenia niemajątkowe i majątkowe z tytułu naruszenia dóbr osobistych (np. prawa do prywatności);
– roszczenia odszkodowawcze (w przypadku szkody majątkowej lub niemajątkowej) na podstawie art. 82 rodo;
– roszczenie niemajątkowe o usunięcie skutków, którego bezpośrednim źródłem będzie ustawa o ochronie danych osobowych bez potrzeby odwoływania się do pojęcia dóbr osobistych (co może być istotne w sytuacji gdy naruszenie przepisów o ochronie danych trudno będzie zakwalifikować jako naruszenie prawa do prywatności np. w ramach prawa do uzyskania kopii danych).
Powyższe oznacza, iż podmiot danych będzie w stanie na drodze cywilnej uzyskać szeroką ochronę w razie naruszenia przepisów o ochronie danych.
Inspektorzy ochrony danych (Data Protection Officers – DPO)
W propozycjach przepisów odnajdujemy również rozdział poświęcony inspektorom ochrony danych. Czas na zawiadomienie Urzędu o ustanowieniu własnego inspektora to 14 dni od dnia wyznaczenia. Ważną regulacją jest przejściowe unormowanie pozycji obecnych ABI w stosunku do przyszłej funkcji inspektorów ochrony danych. Obecni Administratorzy Bezpieczeństwa Informacji będą mieli czas do 1 września 2018 r. na podjęcie decyzji o rezygnacji z funkcji lub jej dalszym kontynuowaniu w charakterze DPO (do 1.09.2018 r. dotychczasowi ABI pełnią funkcję inspektorów!). To rozwiązanie jest kompromisem pomiędzy twardym przejściem do nowej rzeczywistości przez ABI, a zmianą proponowaną przez Biuro GIODO, automatycznej zmiany ABI na DPO. Czas nieco ponad 3 miesiące to wystarczający czas na podjęcie bardzo ważnej decyzji czy i ewentualnie kto będzie DPO.
Wiek dziecka niezbędny do samodzielnego wyrażenia zgody
Projekt ustalił, że granicą wieku wystarczającą do decydowania o wyrażeniu przez dziecko zgody na przetwarzanie danych jest 13 lat. Oznacza to, że jeżeli dziecko nie ukończyło 13 lat, takie przetwarzanie będzie zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła
lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.
Głównym motywem takiego rozstrzygnięcia jest zbieżność z przepisami polskiego prawa cywilnego, gdzie ograniczona zdolność do czynności prawnych zaczyna się właśnie w wieku 13 lat, oraz jak należy domniemywać, ułatwienie dla osób które będą zmagać się z problemem zbierania zgód, będzie ona wymagana w niebagatelnie mniejszej liczbie przypadków.
W kontekście zgody dziecka należy zwrócić uwagę, na kilka kwestii które często umykają w dyskusji np. na konferencjach dotyczących GDPR:
- regulacja art. 1 projektu dotyczy wyłącznie zgody dziecka w kontekście przetwarzania danych osobowych w ramach usług społeczeństwa informacyjnego. Brak jest w związku z tym wyraźnej regulacji (GDPR oraz projektu), rozwiązującej problem zgody dziecka w innych sytuacjach – kwestia ta będzie musiała zostać rozwiązana w praktyce stosowania GDPR;
- ani projekt ani GDPR nie reguluje kwestii innych –niż zgoda – podstaw przetwarzania danych dziecka np. umowy. W związku z tym, jeżeli dane osobowe dziecka przetwarzane będą w ramach innej podstawy przetwarzania danych (np. umowy o świadczenie usług drogą elektroniczną) to przepis art. 1 projektu nie znajdzie zastosowanie.
Nowa ustawa a przepisy Kodeksu Postępowania Administracyjnego
W zakresie nieuregulowanym przez nowe przepisy ustawy o ochronie danych osobowych stosuje się przepisy Kodeksu postępowania administracyjnego (KPA). Jednak propozycje ustanawiają wyłączenie art. 10,13,66a (prowadzenie metryk) oraz przepisów o ugodzie z Kodeksu.
Zmianą w stosunku do KPA jest również wprowadzenie przez nową ustawę przepisów o udziale organizacji społecznych oraz możliwość zakreślenia terminu do przedłożenia dowodów przez Prezesa Urzędu.
Podsumowanie
Wstępnie projekt spotkał się z pozytywną reakcją, zwłaszcza w kwestii uproszczeń, przyspieszenia postępowania i modyfikacji jeszcze mocniej chroniących dane osobowe przed naruszeniami. Jako pozytywne oceniane są zmiany: ustanowienia jednoinstancyjności postępowania, pozostawienia jurysdykcji dalej w rękach sądów administracyjnych, zakreślenia 1-miesięcznego terminu na przeprowadzenia kontroli przez Prezesa Urzędu oraz możliwości dochodzenia roszczeń z tytułu naruszenia również przed sądem powszechnym. Pozytywnie odebrany został również brak przyznania kompetencji do certyfikacji po stronie Prezesa Urzędu. Według tego założenia, zajmą się tym firmy wyspecjalizowane w dziedzinie ochrony danych, które nie będą poniekąd konkurowały w nierównej walce z Urzędem, gdyby ten certyfikował.
Pomimo tego, oczekiwane są dalsze uzupełnienia projektu pod kątem kompleksowego wdrożenia RODO. Chodzi tutaj o uregulowanie ustrojowe polskiego organu ochrony danych oraz regulacje sektorowe. W pełnym projekcie ustawy powinny zostać zaimplementowane i uregulowane na gruncie krajowym również takie kwestie jak:
– rejestry czynności przetwarzania
– procedura zgłaszania incydentów
– terminy postępowania przed UODO
– metodyka przeprowadzania oceny skutków dla ochrony danych
– wskazanie okresu przedawnienia karania czynów naruszających GDPR i ustawy
Wedle zapowiedzi Ministerstwa, kompletny projekt zmian zostanie przedstawiony w okolicach czerwca, natomiast jesienią br. projekt miałby trafić do Sejmu.
Autor: r. pr. Tomasz Osiej