Generalny inspektor będzie mógł nałożyć grzywnę

Uchwalone nowe przepisy zmierzają do zwiększenia skuteczności oddziaływania generalnego inspektora ochrony danych osobowych na stan i poziom przestrzegania ochrony danych osobowych w Polsce. Nowelizacja ustawy jest również częścią procesu implementacji unijnej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz.Urz. UE L 281 z 23 listopada 1995, str. 31, z późn. zm.).

Spośród przyjętych zmian zasadnicze znaczenie dla zwiększenia poziomu ochrony danych osobowych w Polsce mają zawarte w art. 2 ustawy o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (nazywanej dalej ustawą nowelizującą), a także modyfikacje art. 2 par. 1 oraz art. 20 par. 2 ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz.U. z 2005 r. nr 229, poz. 1954 z późn. zm.), które zdecydowanie zwiększają skuteczności działań generalnego inspektora ochrony danych osobowych (GIODO).

I tak - dodany przez art. 2 pkt 1 ustawy nowelizującej - pkt 12 w art. 2 par. 1 ustawy o postępowaniu egzekucyjnym w administracji do obowiązków, które podlegają egzekucji administracyjnej, dopisuje obowiązki z zakresu ochrony danych osobowych nakładane w drodze decyzji generalnego inspektora ochrony danych osobowych. Na mocy zaś - zmienionego przez art. 2 pkt 2 ustawy nowelizującej - art. 20 par. 2 ustawy o postępowaniu egzekucyjnym w administracji generalny inspektor ochrony danych osobowych został uznany za organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym.

Tym samym na mocy przepisów tejże ustawy GIODO - jako organ egzekucyjny w zakresie obowiązków o charakterze niepieniężnym wynikających z decyzji administracyjnych wydanych w sprawach wykonania przepisów o ochronie danych osobowych - będzie mógł, w przypadku niewykonania takiej decyzji administracyjnej przez zobowiązanego, stosować środek egzekucyjny - grzywnę w celu przymuszenia (art. 119 i następne ustawy o postępowaniu egzekucyjnym w administracji).

Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10 000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50 000 zł, zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50 000 zł w odniesieniu do osób fizycznych oraz 200 000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.

Zwrócono na to uwagę w informacji zamieszczonej na stronie internetowej generalnego inspektora ochrony danych osobowych (www.giodo.gov.pl).

Wśród innych przepisów zamieszczonych w ustawie nowelizującej na uwagę zasługuje możliwość tworzenia przez GIODO jednostek zamiejscowych (art. 13 ust. 1a ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych - t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm., dodany przez art. 1 pkt 3 lit. a) ustawy nowelizującej), a także wprowadzenie odpowiedzialności karnej za udaremnianie lub utrudnianie wykonania czynności kontrolnej przez inspektora (art. 54a ustawy o ochronie danych osobowych, dodany przez art. 1 pkt 12 ustawy nowelizującej).

Na mocy art. 1 pkt 7 ustawy nowelizującej z ustawy o ochronie danych osobowych wykreślony został art. 29 regulujący udostępnianie przez administratora posiadanych danych osobowych w celach innych niż włączenie do zbioru.

Przepis ten nie był ujęty w Dyrektywie 95/46/WE i stanowił przedmiot uwag organów UE dokonujących kontroli implementacji przepisów Dyrektywy 95/46/WE w prawie polskim.

Kolejnym nowym rozwiązaniem przewidzianym w ustawie nowelizującej jest dodany przez art. 1 pkt 6 tejże ustawy art. 19a ustawy o ochronie danych osobowych.

Zgodnie z tym unormowaniem generalny inspektor ochrony danych osobowych uzyskał uprawnienie do kierowania do: organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, jak również innych jednostek organizacyjnych, a także osób fizycznych i prawnych wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych (art. 19a ust. 1 ustawy o ochronie danych osobowych). W myśl zaś art. 19a ust. 2 ustawy o ochronie danych osobowych generalny inspektor zyskał również prawo do występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

Obecnie w Komisji Europejskiej trwają prace nad zmianą Dyrektywy 95/46/WE, które mają wyjść naprzeciw nowym wyzwaniom, jakie niesie ze sobą rozwój nowych technologii i postęp cywilizacyjny.

GIODO aktywnie uczestniczy w powyższych pracach w ramach Grupy roboczej art. 29. Ewentualne zmiany w Dyrektywie 95/46/WE będą pociągać za sobą obowiązek ich implementacji w prawie polskim. GIODO zapowiedział również możliwość kolejnej nowelizacji ustawy o ochronie danych osobowych, w związku z czym rozpoczęta już została dyskusja w środowiskach związanych z ochroną danych osobowych.

Nowelizacja oczekuje na podpis prezydenta oraz publikację w Dzienniku Ustaw. Wejdzie w życie po upływie 3 miesięcy od dnia ogłoszenia.

Jak podkreślono w informacji GIODO, w Komisji Europejskiej trwają prace nad zmianą Dyrektywy 95/46/WE, które mają wyjść naprzeciw nowym wyzwaniom, jakie niesie ze sobą rozwój nowych technologii i postęp cywilizacyjny. GIODO aktywnie uczestniczy w tych pracach.

Ewentualne zmiany w Dyrektywie 95/46/WE będą pociągać za sobą obowiązek ich implementacji w prawie polskim. Generalny inspektor ochrony danych osobowych zapowiedział również możliwość kolejnej nowelizacji ustawy o ochronie danych osobowych. W związku z tym rozpoczęta już została dyskusja w środowiskach związanych z ochroną danych osobowych.

W znowelizowanych przepisach ustawy o ochronie danych osobowych zostały również dokładnie określone informacje zawarte w upoważnieniu inspektora do przeprowadzenia kontroli, jak również w protokole kontroli

Przewidziane w art. 1 pkt 1 ustawy nowelizującej nowe brzmienie art. 7 pkt 5 ustawy o ochronie danych osobowych po raz pierwszy jednoznacznie przesądziło, sporną w doktrynie, kwestię dopuszczalności odwołania zgody na przetwarzanie danych osobowych. Przyjęta nowa dyspozycja art. 7 pkt 5 ustawy o ochronie danych osobowych przewiduje przy tym, że zgoda na przetwarzanie danych osobowych może być odwołana w każdym czasie.

Krzysztof Tomaszewski

krzysztof.tomaszewski@infor.pl

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz.Urz. UE L 281 z 23 listopada 1995, str. 31, z późn. zm.).

Ustawa z 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw.

Informacja generalnego inspektora ochrony danych osobowych (www.giodo.gov.pl).