GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Zmiany w ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku.

Autor: r.pr.Tomasz Osiej
Udostępnij publikację:
Zmiany w ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku.

Poniżej 0mówienie zmian jakie ustawodawca zdecydował się wprowadzić do uchwalonej niecały rok temu ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, czyli kluczowej ustawy w systemie ochrony danych osobowych. Są to zmiany wymuszone po części przez problemy jakie stwarzało jej stosowanie w tym krótkim okresie, a częściowo są odpowiedzią na potrzeby zgłaszane przez Prezesa UODO.

Szczególnie ciekawe wydaje się rozwiązanie rozciągające stosowanie RODO na głowę państwa, a także szeroko dyskutowane prawo do wyznaczenia osoby zastępującej inspektora ochrony danych. Te i inne zmiany są bardzo ważne z punktu widzenia przyszłej praktyki stosowania przepisów o ochronie danych osobowych, dlatego polecam ich uważną lekturę. Omówienie to oczywiście nie wyczerpuje tematu, ale nakreśla ich kierunek i rysuje tło.

Art. 161. W ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669) wprowadza się następujące zmiany:

 1)     po art. 5 dodaje się art. 5a w brzmieniu:

„Art. 5a. 1. Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu:

1)     zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom;

2)     ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności:

  1. a)     realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności,
  2. b)     wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych,
  3. c)     przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi,
  4. d)     ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami,
  5. e)     prowadzenie kontroli, w tym kontroli celno-skarbowych.
  6. W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.”;

Wprowadzenie tego przepisu jest możliwe w oparciu o art. 23 RODO, który daje prawo do ograniczenia jego stosowania m.in. w zakresie art. 12-22 ze względu na realizację ściśle określonych tam interesów państwa członkowskiego. Przepis jest sformułowany w sposób na pierwszy rzut oka bardzo niejasny i nieprecyzyjny. W istocie daje on prawo do nieudzielania informacji przysługującej podmiotowi danych,  która zniweczyłaby prawidłowe wykonanie zadania publicznego przez podmiot udostępniający informacje. Wszystko inicjowane jest na żądanie podmiotu udostępniającego dane, realizującego zadania publiczne. Dodatkowym ograniczeniem jest zamknięta lista tychże zadań publicznych, przy realizacji których możemy odmówić prawa dostępu do danych, a więc jednego z fundamentalnych praw, w pełnym zakresie.

W ustępie 2 rozstrzygnięto, jak administrator (odbiorca danych)  ma je zrealizować, by nie naruszyć regulacji ustanowionej w ust. 1 (udzielić informacji w taki sposób, by uniemożliwić realne ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.”;

2)     po art. 6 dodaje się art. 6a w brzmieniu:

„Art. 6a. 1. Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art. 4–7, art. 11, art. 12, art. 16, art. 17, art. 24 ust. 1 i 2, art. 25 ust. 1 i 2, art. 28–30, art. 32, art. 34, art. 35, art. 37–39 i art. 86 rozporządzenia 2016/679 oraz przepisy art. 6 i art. 11 ustawy.

  1. Przetwarzanie danych, o których mowa w art. 9 i art. 10 rozporządzenia 2016/679, następuje w zakresie niezbędnym do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji.”;

Powyższe przepisy dotyczące działania podejmowanego przez głowę państwa znajdują swoje źródło w niepewności, czy do działań podejmowanych przez głowę państwa stosuje się przepisy RODO. Z jednej bowiem strony przepisy RODO wprost nie wyłączają zastosowania tej regulacji do aktywności głowy państwa, z drugiej zaś prawa głowy państwa mają bardzo często charakter zwyczajowy i wiele Państw Członkowskich uważa, że prawo Unii Europejskiej działań tych nie może regulować. Władza głów państw członkowskich jest w wielu krajach traktowana jako pokrewna władzy królewskiej i jest pochodną historii i kultury danego kraju.

Przykładem „przywilejów królewskich” w Polsce są prerogatywy prezydenta jakimi jest prawo łaski bądź prawo do przyznawania orderów. Prezydent jest uprawniony pozyskać dane z każdego źródła, każdego ułaskawić, nie uzasadniając jednocześnie swojej decyzji. W zakresie pozyskanych przez głowę państwa danych znajdują się często dane szczególnie chronione a istotą działań w tym trybie jest nie informowanie osoby zainteresowanej o złożeniu wniosku o nadanie odznaczenia. Możliwe było więc przyjęcie dwóch kierunków: 1) Co do zasady RODO do działań głowy państwa nie stosuje się a  Państwa Członkowskie włączają jedynie określone przepisy 2) RODO do działań głowy państwa stosuje się ale Państwa Członkowskie mogą wyłączyć jego stosowanie. Krajowy ustawodawca przyjął pierwsze rozwiązanie i Polska zdecydowała się na przyjęcie zastosowania określonych przepisów do działań podejmowanych przez głowę państwa. Warto zwrócić uwagę na ust. 2, gdzie pomimo wyraźnych kompetencji Prezydenta, będących podstawą opisanych działań, granicę wyznacza relacja praw i wolności  osoby, której dane dotyczą do realizacji zadań (… jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań …).

3)     po art. 11 dodaje się art. 11a w brzmieniu:

„Art. 11a. 1. Podmiot, który wyznaczył inspektora, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności, z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 rozporządzenia 2016/679.

  1. W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora.
  2. Podmiot, który wyznaczył osobę zastępującą inspektora, zawiadamia Prezesa Urzędu o jej wyznaczeniu w trybie określonym w art. 10 oraz udostępnia jej dane zgodnie z art. 11.”;

Polski ustawodawca zdecydował się wprowadzić instytucję zastępcy z kilku względów. Po pierwsze pojawił się bardzo duży problem w małych jednostkach samorządu terytorialnego, gdzie jedyną osobą posiadającą faktyczne kwalifikacje do pełnienia funkcji IOD był informatyk. Z kolej Prezes UODO wychodził z założenia, całkiem logicznego, że powołanie jedynego informatyka na stanowisko IOD rodzi konflikt interesów, gdyż będąc informatykiem musiałby z kolei jako IOD oceniać samego siebie. Dochodziłoby do swego rodzaju „zachowań schizofrenicznych”. Zaproponowana konstrukcja prawna daje możliwość powołania informatyka na zastępcę inspektora ochrony danych, a innego pracownika na IOD. Rozwiązany zostaje więc tym samym problem oczywistego konfliktu interesów. Na marginesie można dodać, że analogiczny problem dotyka osoby kierującej działem prawnym. Drugim argumentem była nieskuteczność nadzoru IOD w przypadku dużych jednostek organizacyjnych, posiadających dodatkowo liczne ośrodki terenowe. Dlatego też po wejściu w życie powyższego przepisu możliwe będzie powołanie w każdej z takich jednostek osoby zastępującej IOD. Powstaje pytanie, czy konieczna była aż taka interwencja ustawodawcy, wszak można było wskazać kogoś jako osobę odpowiedzialną za realizację wsparcia IOD w realizacji konkretnych zadań, szczególnie w danej jednostce organizacyjnej oddalonej od centrali. Otwartym pozostaje pytanie co znaczy „w czasie nieobecności”, czy odległość od jednostki terenowej jest tą „nieobecnością” o której mowa w przepisie, czy chodziło o przerwę spowodowaną niemożliwością pełnienia funkcji w danym okresie (urlop, choroba). Trzecim argumentem było to, że Państwowa Inspekcja Pracy uważa, że jeżeli ktoś formalnie nie pełni funkcji zastępcy określonej osoby, to w opisie stanowiskowym nie można zakazać mu brania urlopów pod nieobecność określonej osoby. W momencie gdy istotą funkcji jest zastępowanie określonej osoby, wprowadzenie takich ograniczeń jest możliwe i w ten sposób zapewnia się ciągłość instytucjonalną.

Nie można zapomnieć, że wprowadzenie tych przepisów rodziło bardzo dużo kontrowersji, bowiem RODO nie przewiduje instytucji zastępcy IOD i powstało pytanie o zgodność tych przepisów z prawem unijnym. Musimy jednak pamiętać, że od 2014 r. w Polsce istniała już instytucja zastępcy Administratora Bezpieczeństwa Informacji (ABI) również nie przewidziana w dyrektywie 95/46. Inną sprawą jest to, czy potrzebny jest tak daleko posunięty formalizm nakazujący zawiadamianie Prezesa UODO o fakcie wyznaczenia osoby zastępującej IOD.

4)     w art. 57 ust. 1 otrzymuje brzmienie:

„1. Administrator może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o których mowa w art. 36 rozporządzenia 2016/679.”;

Celem całej regulacji art. 57 była odpowiedź na pytanie, czy administrator danych mimo braku spełniania przesłanek z art. 36 RODO może z własnej inicjatywy chcieć skonsultować projekt z UODO i czy UODO ma obowiązek konsultacje takie przeprowadzić. Na kanwie RODO projektodawca uznał, że nie. Dlatego uznając, że nie jest to sprzeczne z prawem UE i nie ogranicza zastosowania prawa unijnego przyznał administratorom danych dodatkowe uprawnienie krajowe do wystąpienia z wnioskiem o przeprowadzenie konsultacji nakładając na prezesa UODO obowiązek ich przeprowadzenia.

W toku stosowania tego przepisu pojawiła się podstawowa wątpliwość, czy z wnioskiem takim może wystąpić także podmiot przetwarzający. Przepis w poprzednim brzmieniu sformułowany był bowiem następująco: „Administrator lub podmiot przetwarzający może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o którym mowa w art. 36 rozporządzenia 2016/679”. Poddawano pod wątpliwość zgodność tego przepisu z art. 36 RODO, podnosząc, że jedynie administrator danych może być wnioskodawcą. Tak też zostało to ujęte w nowej regulacji, rozstrzygając w ten sposób ostatecznie tą kwestię.

5)     po art. 101 dodaje się art. 101a w brzmieniu:

„Art. 101a. 1. W związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot, o którym mowa w art. 101, jest obowiązany do dostarczenia Prezesowi Urzędu, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.

  1. W przypadku niedostarczenia danych przez podmiot, o którym mowa w art. 101, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes Urzędu ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub  ogólnie dostępne dane finansowe dotyczące podmiotu.”;

 Źródłem tego przepisu były wątpliwości pojawiające się po stronie UODO .na jakiej podstawie urząd ma skorzystać z możliwości określania wysokości kary stanowiącej procent światowego obrotu, w sytuacji gdy są wątpliwości co do podstaw prawnych do uzyskiwania dostępu do dokumentów księgowych przedsiębiorcy i występowania do właściwych organów skarbowych z żądaniem przekazania informacji dotyczącej takiego obrotu.Możliwe były dwa rozwiązania, jedno bardziej sformalizowane, a drugie oparte o bezpośrednie zobowiązanie podmiotów o których mowa w art. 101 ustawy  do dostarczenia danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej. Ustawodawca przyjął to drugie wychodząc z założenia, że będzie równie skuteczne, jak uzyskiwanie informacji z organów skarbowych, a szybsze.

Dodatkowo uprawnienia urzędu zostały wzmocnione przepisem karnym, który penalizuje czyn w postaci nie dostarczenia przez podmiot zobowiązany informacji o których mowa wyżej lub dostarczenie danych, które uniemożliwiają skuteczne ustalenie podstawy wymiaru kary.

6)     w art. 108 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:

„2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.”.

Jest to o tyle interesujące, że w obecnym stanie prawnym i w obowiązującej „europejskiej kulturze prawnej RODO” unikającej penalizacji czynów, poprzez uchwalanie przepisów, które byłyby trudne w stosowaniu lub co gorsza nie stosowane, zdecydowano się na wprowadzenie kolejnego przepisu karnego (do dwóch już istniejących). To dowodzi wagi jaką ustawodawca przykłada do nakładania administracyjnych kar pieniężnych.

Podsumowanie

W ustawie o ochronie danych osobowych:

  • ograniczono prawo podmiotu danych do informacji w okolicznościach, gdy administrator otrzymał dane osobowe od podmiotu realizującego zadanie publiczne i jest to konieczne do prawidłowego wykonania takiego zadania określonego typu;
  • doprecyzowano stosowanie przepisów RODO do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej;
  • uwzględniono możliwość powołana zastępcy inspektora ochrony danych;
  • doprecyzowano, iż tylko administrator może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o których mowa w art. 36 RODO,
  • wprowadzono obowiązek udzielania Prezesowi UODO danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej i obwarowano go sankcją karną.

Powyższe zmiany, wynikające z problemów interpretacyjnych, a także praktyki stosowania nowego prawa należy ocenić pozytywnie, w szczególności w kontekście funkcjonowania jednostek publicznych, w których powołanie zastępcy IOD rozwiąże szereg problemów natury organizacyjnej. Równie istotne jest wzmacnianie ram właściwego funkcjonowania organu nadzorczego, który powinien mieć dostęp do informacji pozwalających na nakładanie administracyjnych kar pieniężnych zgodnie z literą i duchem Rozporządzenia.

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies