Administratorzy danych za naruszenie prawa zapłacą wysokie kary

Sejm 29 października 2010 r. uchwalił nowelizację ustawy o ochronie danych osobowych oraz niektórych innych ustaw (wejdzie ona w życie po upływie trzech miesięcy od dnia ogłoszenia). Jedna z najistotniejszych zmian z punktu widzenia administratorów danych dotyczy ustawy o postępowaniu egzekucyjnym w administracji. Dzięki niej generalny inspektor ochrony danych osobowych (GIODO) jako organ egzekucyjny w sprawach wykonania przepisów o ochronie danych osobowych będzie mógł stosować środek egzekucyjny - grzywnę - w celu przymuszenia.

Przepisy te niewątpliwie zwiększą skuteczność GIODO. Z mojej praktyki wynika, że administratorzy w wielu przypadkach dokonują kalkulacji opłacalności dostosowywania się do wymogów ustawy. W nowej sytuacji prawnej, biorąc pod uwagę, że wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić 10 tys. zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50 tys. zł (przewidziano możliwość wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym z ograniczeniami kwot odpowiednio do 50 tys. zł w odniesieniu do osób fizycznych oraz 200 tys. zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej), kalkulacja taka staje się wątpliwa. Do tego dochodzą zmiany mające na celu z jednej strony doprecyzowanie i ujęcie w przepisach już istniejącej praktyki, czyli uszczegółowienie praktyki kontrolnej, ale także inna bardzo istotna zmiana wpisująca się w tendencję wzmocnienia organu nadzoru nad ustawą o ochronie danych osobowych. Ustawodawca w art. 54a penalizuje zachowanie polegające na udaremnieniu lub utrudnieniu wykonywania czynności kontrolnych przez odpowiednio umocowanych inspektorów GIODO. Zgodnie z tym przepisem kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Na koniec dwie ostatnie z najważniejszych zmian. Pierwsza dotyczy definicji zgody na przetwarzanie danych i możliwości odwołania jej w każdym czasie. Kończy ona etap wieloletniej dyskusji (toczącej się od początku obowiązywania ustawy), czy zgoda może być cofnięta. W literaturze różnie do tego się odnoszono, orzecznictwo raczej przychylało się do stanowiska, że można. W chwili obecnej zgoda będzie mogła być cofnięta. Każe to inaczej patrzeć na nadużywanie zgody przez administratorów, którzy traktują ją często jako uniwersalną podstawę przetwarzania danych. Obecnie trzeba raczej szukać innych alternatywnych podstaw (pamiętając oczywiście o tym, że w niektórych przypadkach zgoda nadal pozostaje jedyną przesłanką przetwarzania), jeśli to możliwe, korzystać z nich odważniej, a z drugiej strony pamiętać, że konsument, klient (podmiot danych) ma prawo zawsze cofnąć zgodę, a administrator ma obowiązek to uszanować. Brak takiej reakcji ze strony administratora jest zagrożony sankcją karną (art. 49 ustawy), o czym trzeba pamiętać, tworząc i korzystając z baz danych.

Ostatnia ze zmian to uchylenie powszechnie stosowanego wniosku o udostępnienie danych, opisanego w art. 29 ustawy. W chwili obecnej podstawą uzyskiwania danych będzie art. 23 ustawy (lub art. 27 w zależności od rodzaju danych). Doświadczenie każe mi przypuszczać, że w praktyce wioski te i tak będą stosowane jako pomocniczy instrument uzyskiwania danych, szczególnie w kontekście dotarcia do numerów IP osób publikujących w sieci.

@RY1@i02/2010/237/i02.2010.237.210.002b.001.jpg@RY2@

Tomasz Osiej, radca prawny, Omni Modo

Tomasz Osiej

radca prawny, Omni Modo