Pierwszy projekt nowej ustawy o ochronie danych osobowych w końcu ujrzał światło dzienne
Dnia 14 września 2017 roku pojawił się pierwszy projekt ustawy o ochronie danych osobowych, uwzględniającej nowe wymogi w zakresie ochrony danych osobowych narzucone przez Parlament Europejski na podstawie „RODO„[1]. Projekt ten – przynajmniej co do zasady – określa:
1) podmioty obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania
o wyznaczeniu;
2) warunki i tryb udzielania certyfikacji i akredytacji,
3) organ właściwy w sprawie ochrony danych osobowych;
4) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,
5) europejską współpracę administracyjną,
6) postępowanie kontrolne;
7) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych;
8 ) administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Z powyższego wynika już, że projekt ten nie zawiera informacji, jakie konkretnie obowiązki spoczywać będą na administratorach i podmiotach przetwarzających, choć ten aspekt wydaje się najbardziej istotnym z punktu widzenia przedsiębiorców. Podmiotami obowiązanymi do wyznaczenia inspektora ochrony danych osobowych są (w dużym skrócie) są organy publiczne, a także podmioty, których główna działalność wymaga regularnego systematycznego monitorowania osób na dużą skalę, lub która polega na przetwarzaniu tzw. szczególnych kategorii danych osobowych. Z uwagi na to, że większość „zwykłych” przedsiębiorców nie prowadzi takiej działalności, pozwolę sobie przejść do punktu 2.
Celem omówienia procesu certyfikacji i akredytacji określonych w projekcie ustawy, należy cofnąć się do treści RODO. Wynika z niego, że certyfikacja ma mieć charakter dobrowolny i ma świadczyć o zgodności z tym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające, a sam proces powinien uwzględniać szczególne potrzeby mikroprzedsiębiorstwa oraz małych i średnich przedsiębiorstw. Zdaniem dr Macieja Kaweckiego (Doradcy Ministra Cyfryzacji) certyfikacja jest „mechanizmem konkurencyjnym na rynku, który tworzy przedsiębiorców tych lepszych, którzy uzyskali certyfikat i tych gorszych”[2]. Zgodnie z projektem, certyfikacja będzie dokonywana na wniosek administratora lub podmioty przetwarzającego przez Prezesa Urzędu Ochrony Danych Osobowych, w terminie nie dłuższym niż 3 miesiące. Ponadto, Prezes Urzędu będzie prowadził publicznie dostępny wykaz podmiotów, którym udzielono takiej certyfikacji. Zainteresowany podmiot będzie musiał załączyć do swojego wniosku dokumenty potwierdzające spełnienie kryteriów, co będzie następnie weryfikowane podczas czynności sprawdzających osób upoważnionych przez Prezesa Urzędu. Zakres czynności sprawdzających będzie szeroki, bowiem osoby prowadzące takie czynności będą uprawnione m.in. do wstępu na grunt i do pomieszczeń, wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją, oględzin urządzeń, nośników oraz systemów informatycznych i teleinformatycznych. Postępowanie zmierzające do uzyskania certyfikacji będzie wiązało się z obowiązkiem uiszczenia opłaty w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego. Biorąc pod uwagę przeciętne miesięczne wynagrodzenie w 2016 roku, opłata w 2017 roku wynosiłaby 12.141,63 zł.
Projekt ustawy określa również warunki akredytacji podmiotów, które chciałyby monitorować przestrzeganie kodeksu postępowania. Niestety, taki kodeks jeszcze nie powstał, w związku z czym ta regulacja pozostaje chwilowo bez znaczenia. Dalsza część projektu została poświęcona organowi właściwemu w sprawie ochrony danych osobowych – tj. Prezesowi Urzędu Ochrony Danych Osobowych. Prezes ma być powoływany i odwoływany przez Sejm RP za zgodą Senatu na wniosek Prezesa Rady Ministrów, na 4-letnią kadencję. Co istotne, kandydat musi posiadać tytuł naukowy doktora, wiedzę z zakresu ochrony danych osobowych, a także musi mieć co najmniej 5-letnie doświadczenie w wykonywaniu czynności bezpośrednio związanych z ochroną danych osobowych. Ma to być zatem osoba wykształcona i posiadająca nie tylko wiedzę teoretyczną, lecz także praktyczną. Kolejne przepisy regulują m.in. pozostałe wymogi formalne, immunitety, czy organy pomocnicze działające przy Prezesie Urzędu.
Następny rozdział reguluje postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Treść przepisów umieszczonych w tym rozdziale jest jednak nieco zaskakująca. Tytuł sugeruje bowiem, że w rozdziale tym znajduje się pewna „instrukcja”, co można zrobić, jeżeli dane osobowe będą nieprawidłowo przetwarzane. Treść art. 45 wskazuje jednak, że w przypadku naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych zostały naruszone, organizacja społeczna może występować z żądaniem:
1) wszczęcia postępowania,
2) dopuszczenia jej do udziału w postępowaniu.
Czy to oznacza, że samej osobie bezpośrednio zainteresowanej takie żądania już nie przysługują? Odpowiedzi należy poszukać w RODO, z treści którego wynika, że sama strona również jest uprawniona do żądania wszczęcia postępowania. Nie jest jednak jasnym, czy ma to uczynić w formie „żądania wszczęcia postępowania”, czy może jednak „skargi”, o której z kolei mowa w RODO. Co dość zaskakujące – w projekcie znajduje się kilka przepisów dotyczących m.in. możliwości ochrony w tym postępowaniu tajemnicy przedsiębiorstwa. Z treści projektu ustawy Strona nie dowie zatem, jakie ma uprawnienia w zakresie wszczęcia postępowania, wie jednak, jak chronić tajemnicę przedsiębiorstwa. Wydaje mi się, że – choć ochrona tajemnicy przedsiębiorstwa jest oczywiście bardzo ważnym aspektem dla przedsiębiorców – to jednak osoby pracujące nad tym projektem skupiły się nie na tej materii, na której w pierwszej kolejności powinny. W kolejnych przepisach można wyczytać, że decyzje Prezesa Urzędu podlegają natychmiastowemu wykonaniu, choć skarga do sądu administracyjnego powoduje wstrzymanie wykonania decyzji (jednak tylko w zakresie dotyczącym administracyjnej kary pieniężnej), a także, iż postanowienia Prezesa Urzędu strona może zaskarżyć w skardze na decyzję Prezesa Urzędu. Na tej podstawie ponownie można wnioskować, że o ile postępowanie przed Prezesem Urzędu jest jednoinstancyjne, to stronie przysługuje jeszcze prawo do wniesienia skargi do sądu administracyjnego. Konieczność „wnioskowania”, świadczy w mojej ocenie o tym, jak niepraktycznym i nieprecyzyjnym jest ten rozdział. Oczywistym jest, że w pewnych przypadkach odesłania są nieuniknione, nie można bowiem wciąż powielać tym samych przepisów, jednak w tym przypadku pozostawiono zbyt dużo domysłów. Moim zdaniem w pierwszej kolejności powinny być wskazane uprawnienia przysługujące stronie (nawet w wersji „skrótowej” i odsyłającej do RODO czy innych aktów prawnych), a dopiero w drugiej – obecne regulacje.
Niejako konkurencyjnym do powyższego postępowania pozostaje postępowanie uregulowane w rozdziale 8 projektu – Odpowiedzialność cywilna. Z tego rozdziału wynika, że osoba, której prawa zostały naruszone, może żądać:
1) zaniechania tego działania,
2) dopełnienia czynności potrzebnych do usunięcia skutków naruszenia,
3) odszkodowania za poniesioną szkodę (w tym zakresie projekt odsyła jednak do RODO).
Z przepisów tych (ponownie „chaotycznych”) można wywnioskować, że odpowiednim pismem procesowym jest pozew, a sądem właściwym – sąd okręgowy (bez względu na wartość przedmiotu sporu). Celem uniknięcia prowadzenia obu ww. postępowań jednocześnie, wprowadzono obowiązek sądu polegający na zawiadomieniu Prezesa Urzędu o wytoczonym powództwie. Jeżeli sprawa ta trafiła już do Prezesa Urzędu (lub też sądu administracyjnego), sąd okręgowy będzie mógł zawiesić toczące się przed nim postępowanie do czasu zakończenia postępowania przed Prezesem Urzędu.
Mając na uwadze ww. niejasności, pozostaje mieć tylko nadzieję, że pierwszy projekt nowej ustawy o ochronie danych osobowych nie stanie się wersją ostateczną.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] Rewolucja w prawie ochrony danych osobowych – http://www.rp.pl/RZECZoPRAWIE/170919512-Maciej-Kawecki—Rewolucja-w-prawie-ochrony-danych-osobowych.html#ap-1