uodo

Podsumowanie konsultacji społecznych dot. projektu ustawy o ochronie danych osobowych

W dniu 15 stycznia 2017 roku odbyło się w siedzibie Sejmu RP spotkanie konsultacyjne w sprawie projektu ustawy o ochronie danych osobowych (dalej uodo). Opracowanie projektu nowej ustawy o ochronie danych osobowych wynika z konieczności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady(UE) 2016/679 (RODO), które będzie miało zastosowanie od 25 maja br. Stąd istotne jest by do tego czasu polski ustawodawca wdrożył odpowiednie regulacje dostosowujące RODO do polskich realiów.

Organizatorem wydarzenia było Ministerstwo Cyfryzacji, które przedstawiło swoje stanowisko odnosząc się do ogromnej ilości (ok. 700) uwag zgłoszonych przez m.in. GIODO, prawników, przedstawicieli organizacji poszczególnych branż, stowarzyszeń, związków zawodowych, środowisk naukowych i eksperckich oraz organizacji pozarządowych. Spotkanie było bardzo aktywne, pojawiło się szereg uwag i zastrzeżeń.

Oto główne kwestie, które były konsultowane:

Wyłączenie mikro-, małych i średnich przedsiębiorców

Jedną z największych kontrowersji wzbudził pomysł Ministerstwa wyłączenia spod regulacji art. 13 RODO (obowiązek informacyjny administratora danych) mikro-, małych i średnich przedsiębiorstw, którzy nie przetwarzają danych wrażliwych i nie przekazują danych podmiotom trzecim. Chodzi tu o przedsiębiorców zatrudniających do 250 osób, przy czym przez zatrudnienie rozumieć należy nie tylko umowy o pracę w rozumieniu kodeksu pracy, ale również umowy cywilnoprawne (zlecenia, dzieło, współpracy itp.), jak wynikało z argumentacji przedstawiciela Ministerstwa.

Przedsiębiorcy ci nie będą musieli wskazywać, kto jest administratorem danych, w jakim celu są one zbierane, przez jaki czas będą przechowywane, a nawet informować o tym, że doszło do ich wycieku. Takie wyłączenie w całości obowiązków informacyjnych, według ekspertów, narusza w ogóle postanowienia RODO i może zostać zaskarżone przez Komisję Europejską. Założenie uproszczenia przepisów i pomocy mikro, małym i średnim przedsiębiorstwom w wykonywaniu przez nich obowiązków dot. przetwarzania danych osobowych jest słuszne, niemniej jednak nie może iść w kierunku zupełnie odbiegającym od założeń ochrony danych przewidzianych przez RODO. Tym bardziej, że takich przedsiębiorstw, jest bardzo wiele.

Zgoda dziecka                            

Zgodnie z art. 8 ust.1 RODO, jeśli usługi świadczone drogą elektroniczną są skierowane do dziecka, które ma mniej niż 16 lat, wówczas przetwarzanie jego danych osobowych może nastąpić wyłącznie po otrzymaniu zgody przez osobę sprawującą władzę rodzicielską lub opiekuna. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową dziecka niż przewidziana w Rozporządzeniu. Polski ustawodawca obniżył granicę do 13 roku życia (art. 3 uodo). Decyzja ta została podjęta w oparciu o fakt, że zdecydowana większość państw członkowskich przyjęła analogiczne rozwiązanie oraz że takie ustalenie granicy wiekowej jest spójne z przepisami kodeksu cywilnego.

Podczas konsultacji zwrócono uwagę, że obniżenie granicy wieku do 13 lat dotyczy tylko danych zwykłych, dane sensytywne w dalszym ciągu powinny być ograniczone granicą wieku 16 lat.

Zaznaczono także, że przedsiębiorcy przetwarzający dane dzieci lub mogący je przetwarzać powinni wskazywać wprost komu są dedykowanie określone usługi, zwłaszcza dla jakiej grupy wiekowej, i zwrócić szczególną uwagę na jasny i przejrzysty język komunikacji w aspekcie tej grupy.

Inspektor Ochrony Danych Osobowych (Rozdział 2 uodo)

Projektodawca nie uwzględnił uwagi dotyczącej dookreślenia definicji „dużej skali” przewidzianej w RODO. Rozporządzenie przewiduje bowiem obowiązek ustanowienia inspektora w przypadku gdy administrator przetwarza dane na „duża skalę”. Przedstawiciel Ministerstwa argumentował to niemożnością precyzyjnego określenia, co stanowi dużą skalę. Odmówiono również podkreślenia większej niezależności inspektora ochrony danych od Prezesa UDO, twierdząc, że takie zapewnienie znajduje się bezpośrednio w przepisach RODO.

Ustawa nie reguluje również instytucji zastępcy inspektora ochrony danych, ponieważ RODO w ogóle nie przewiduje podobnej instytucji. Niemniej jednak w związku z praktyczną potrzebą zapewnienia takiego zastępstwa (np. w przypadku niedyspozycji IOD lub jego urlopu) przedstawiciele Ministerstwa wskazali możliwość upoważnienia na zasadach ogólnych odpowiednich osób w danym przedsiębiorstwie, do dokonywania określonych działań i czynności w zastępstwie inspektora ochrony danych. Podkreślili możliwość stworzenia przez przedsiębiorców własnej wewnętrznej organizacji zapewniającej politykę ochrony danych osobowych.

Na plus należy zaliczyć możliwość uwzględnienia propozycji dodania w zawiadomieniu o wyznaczeniu inspektora ochrony danych, obok miejsca zamieszkania również miejsce siedziby przedsiębiorcy lub prowadzenia działalności gospodarczej (art. 5 ust.2).

Ministerstwo nie uwzględniło uwag dotyczących formy zgłoszenia IOD przez administratora do organu nadzoru tj. formy papierowej. Obowiązywać będzie forma elektroniczna z wykorzystaniem elektronicznej skrzynki podawczej organu. Podkreślono istnienie rozbieżności terminologicznej w ramach pojęcia „postaci elektronicznej”, która nie jest tożsama z formą elektroniczną w rozumieniu przepisów kodeksu postępowania administracyjnego.

Certyfikacja (Rozdział 3 uodo)

Według założeń ustawy podmiotem certyfikującym pozostanie Prezes Urzędu Ochrony Danych Osobowych. Natomiast certyfikacji dokonywać będą również inne podmioty akredytowane przez Polskie Centrum Akredytacji.

Założeniem przyjętym przez Ministerstwo jest fakt, że certyfikacja skierowana jest przede wszystkim do sektora prywatnego. W drodze wyjątku natomiast może być wdrażana w sektorze publicznym. Posiadanie certyfikatu może być jedynie kryterium wyróżniającym, a nie decydującym o możliwości przystąpienia do postępowań o zamówienie publiczne, ze względu na nieobowiązkowość posiadania certyfikatu. Niemniej jednak nie wykluczono, że posiadanie certyfikatu mogłoby być jednym z kryteriów możliwości przystąpienia do zamówienia.

Projektodawcy podkreślili także, że planują zawrzeć w ostatecznym kształcie projektu ustawy możliwość, aby certyfikacje mógł otrzymywać nie tylko administrator i podmiot przetwarzający ale też np. producent oprogramowania, które będzie wykorzystywane do przetwarzania danych.

W związku z uwagą złożoną przez jednego z uczestników autorzy projektu uznali zasadność uwzględnienia mechanizmów ograniczających możliwy konflikt interesów w zakresie certyfikacji przez podmioty prywatne ( na przykład jeśli firma certyfikująca świadczy usługi na rzecz firmy certyfikowanej lub odwrotnie).

Niestety projektodawcy nie uwzględnili propozycji zmniejszenia opłaty certyfikacyjnej przez PUODO, i wskazali, że stosunkowa duża jej cena (około 12. tys. zł), ma stanowić dodatkowy bufor bezpieczeństwa i profesjonalizmu podmiotów posiadających odpowiedni certyfikat. Jak podkreślano, opłata jest pobierana za samo złożenie wniosku czyli przystąpienie do procedury certyfikacyjnej, a nie za uzyskanie certyfikatu. Procedura przyznania certyfikatu jest jednoinstancyjna, co oznacza brak możliwości wniesienia odwołania.

Kryteria certyfikacji

Projektodawcy zaznaczyli, że kryteria certyfikacji muszą mieć charakter generalny i branżowy, a każdy podmiot certyfikujący będzie upoważniony do przyjęcia własnych kryteriów certyfikacji, oddzielnie dla poszczególnych branż. Zaznaczono także, że Prezes UODO będzie mógł certyfikować podmiot z każdej branży, oraz że będzie w formie ogłoszenia, publikował kryteria certyfikacji, które powinny być różne w ramach poszczególnych branż.

Przy okazji wskazano również na kodeksy dobrych praktyk, których sporządzenie zaleca RODO w art. 40. Kodeksy te mają charakter fakultatywny, niemniej fakt posiadania kodeksu będzie jednym z kryteriów obniżenia wymiaru ewentualnej kary. Podkreślono także różnice między rekomendacjami Prezesa Urzędu przewidzianymi w art. 43 uodo a kodeksami dobrych praktyk, które mają być tworzone przez poszczególne izby gospodarcze i mają mieć zdecydowanie szerszy zakres niż rekomendacje będące jedynie określeniem środków technicznych i organizacyjnych w danym sektorze gospodarki.

Powołanie Prezesa Urzędu Ochrony Danych Osobowych (PUODO)

Spore kontrowersje wzbudziło wśród uczestników nie uwzględnienie przez Ministerstwo uwag dotyczących możliwości wnioskowania o powołanie Prezesa Urzędu przez grupę 35 posłów. Utrzymano rozwiązanie, które wskazuje, że Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu na wniosek Prezesa Rady Ministrów, argumentując szybkością procedury. To, według wielu specjalistów, powodować będzie upolitycznienie stanowiska i kierowanie się przy kandydaturze kryteriami politycznymi a nie merytorycznymi.

Przedstawiciele Ministerstwa uwzględnili zgłoszone uwagi w zakresie warunków, które musi spełnić kandydat na stanowisko Prezesa Urzędu poprzez usunięcie konieczności posiadania tytułu naukowego doktora. Niemniej jednak pozostanie konieczność posiadania wyższego wykształcenia, niekoniecznie prawniczegoJ

Podobnie przy możliwości odwołania Prezesa przed upływem kadencji odmówiono uwzględnienia przesłanki rażącego naruszenia prawa jako podstawy do odwołania Prezesa, ze względu na problemy interpretacyjne oraz nieostry zakres katalogu czynów mogących zostać uznanymi za rażące naruszenie prawa.

Zmienić ma się jednak sposób powołania zastępców Prezesa, którzy będą wybierani przez Prezesa Urzędu, ale w dalszym ciągu na wniosek wskazanych ministrów ( a nie jak w obecnej wersji przez Prezesa Rady Ministrów). Niemniej jednak jeżeli Prezes Urzędu nie powoła wskazanego kandydata na swojego zastępcę to dane stanowisko może pozostać nieobsadzone.

Rada PUODO

To organ opiniodawczo-doradczy Prezesa Urzędu (art. 34 uodo). Tu poruszono kwestie powołania tego organu. Zgodnie bowiem z art. 34 ust. 7 uodo kandydatów do Rady mogą rekomendować:

– członkowie rady Ministrów

– Rzecznik Praw Obywatelskich

– Prezes GUS

– Prezes UKE

– Prezes UOKiK

– Naczelny Dyrektor Archiwów Państwowych

– Izby gospodarcze

– jednostki naukowe

– stowarzyszenia wpisane do KRS, których celem statutowym jest działalność na rzecz ochrony danych osobowych.

Autorzy projektu zaznaczyli, że rozważane jest wprowadzenie ograniczenia, mówiącego że każdy z wymienionych podmiotów dopuszczonych do wskazania kandydatów do Rady, będzie mógł przedstawić jedynie jednego kandydata. Dodatkowo zapewniono, że katalog podmiotów umocowanych do wskazywania kandydatów na członków Rady zostanie poszerzony o fundacje, których celem statutowym jest działalność na rzecz ochrony danych osobowych.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Autorzy projektu nie uwzględnili uwag dotyczących wprowadzenia dwuinstancyjnego postępowania (art. 44 ust.2 uodo), ze względu na potrzebę zachowania szybkości i ekonomiki postępowania. Argumentowali w oparciu o statystyki orzecznictwa wojewódzkich sądów administracyjnych i Naczelnego Sądu Administracyjnego, z których wynika że olbrzymia większość orzeczeń wydanych w II instancji podtrzymywały decyzję podjęte w ramach postępowania I- instancyjnego.

Wśród zmian dotyczących postępowania znalazły się kwestie dotyczące występowania w postępowaniu organizacji społecznych, zawiadomienie przez Prezesa Urzędu stron o niezałatwieniu sprawy w terminie, kwestie zabezpieczenia przez przedsiębiorców tajemnic ustawowo chronionych czy podniesienia kary grzywny za nieuzasadnione nie stawienie się.

Zdecydowano się na usunięcie z projektu art. 54 uodo dotyczącego umorzenia postępowania oraz możliwość usunięcia przepisu art. 59 ust.1 regulującego natychmiastową wykonalność decyzji wydanych przez Prezesa Urzędu, ze względu na istnienie odpowiedniej podstawy prawnej w k.p.a.

Postępowanie kontrolne

W zakresie postępowania kontrolnego poszerzono dopuszczalność utrwalania przebiegu kontroli lub poszczególnych czynności w jej toku przy pomocy urządzeń rejestrujących dźwięk, a nie tylko obraz. Również podjęto się rozważenia odpowiedniego unormowania aktywnego udziału Policji w trakcie kontroli, która w obliczu obecnych przepisów może stanowić jedynie organ asystujący bez prawa do podejmowania jakichkolwiek czynności.

Dopuszczono możliwości przeprowadzenia postępowania kontrolnego bez wcześniejszego zawiadomienia o zamiarze jego wszczęcia, ze względu na charakter danych osobowych jako katalogu dóbr podlegających specyficznej ochronie.

Autorzy ustawy zdecydowali się na usunięcie z projektu art. 76 uodo, którego treść brzmiała: Na podstawie ustaleń kontroli Prezes Urzędu może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Kary pieniężne

Z przykrością należy stwierdzić, iż Ministerstwo utrzymało wysokość kary administracyjnej za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych nakładaną na podmioty sektora publicznego. Jej maksymalna wysokość została przewidziana na 100 tys. zł (art. 83 ust 1 uodo). Wskazano na jednoczesne nałożenie na organy publiczne odpowiedniego obowiązku sprawozdawczego. Brak zmiany stawek kar uzasadniano modelem finansowania jednostek sektora publicznego, który opiera się o budżet państwowy. Stąd kary będą zarówno pochodziły z tego budżetu jak i do niego wchodziły. Ta argumentacja nie jest jednak zbyt przekonywująca.

Projekt ustawy przewiduje również powołanie funduszu ochrony danych osobowych, do którego trafi procent (ok. 5%) środków pochodzących z kar. Będą one mogły być wydatkowane tylko na cele edukacyjne. Postulaty zwiększenia wysokości funduszu i przeznaczenia środków na ewentualne wsparcie merytoryczne przedsiębiorców w postaci zatrudnienia specjalistów w Urzędzie nie mogą być niestety zrealizowane w związku z dyscypliną finansów publicznych.

Odpowiedzialność karna

W projekcie ustawy penalizacji podlegają jedynie dwa czyny, tj. udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli oraz przetwarzanie danych osobowych bez właściwej podstawy prawnej (art. 89 i 90 uodo), przy czym chodzi o przetwarzanie danych objętych art. 9 RODO. Autorzy rozważą jednak objecie tym przepisem danych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

To najważniejsze z konsultowanych zmian. Całość konsultacji dostępna na stronie Ministerstwa Cyfryzacji.

Warto nadmienić, iż prawdopodobnie ostateczna wersja ustawy będzie podlegała uchwaleniu podczas kwietniowej sesji plenarnej Sejmu.

No Comments

Post a Comment