Będzie można skuteczniej chronić dane osobowe

Choć nowelizacja nie rozwiązuje problemów, przed którymi obecnie, w dobie rozwoju nowoczesnych technologii, staje generalny inspektor ochrony danych osobowych (GIODO), to uważam, że jest potrzebna, gdyż nowe przepisy umożliwią skuteczniejsze oddziaływanie GIODO na stan i poziom przestrzegania ochrony danych osobowych w Polsce.

Wśród najistotniejszych zmian wprowadzanych na mocy nowelizacji ustawy jest uznanie GIODO za organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym. Mówiąc inaczej, aby doprowadzić do wykonalności swoich decyzji, GIODO będzie mógł stosować przepisy ustawy o postępowaniu egzekucyjnym w administracji.

Oznacza to, że na podmiot, który nie wykona jego decyzji administracyjnej, GIODO, w celu przymuszenia będzie mógł nałożyć grzywnę.

Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10 tys. zł, w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej - 50 tys. zł, zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł.

Dobrze się stało, że w wyniku dyskusji zrezygnowano z przyznania GIODO możliwości nakładania kar finansowych na podmioty łamiące zasady przetwarzania danych. Uważam, że byłoby to niewłaściwe rozwiązanie, bo GIODO znajduje się poza zakresem władzy sądowej, a także poza strukturą administracji rządowej. Wprawdzie mamy na rynku instytucje, które mogą nakładać kary, takie uprawnienia mają np. Urząd Ochrony Konkurencji i Konsumentów czy Urząd Komunikacji Elektronicznej, jednak te urzędy pozostają w strukturze administracji rządowej.

Warto zwrócić uwagę, że w znowelizowanych przepisach ustawy o ochronie danych osobowych pojawi się nowy rodzaj przestępstwa, jakim będzie uniemożliwianie bądź utrudnianie kontroli GIODO. Przy czym kara za ten czyn będzie mogła być nałożona nie tylko na administratora danych, ale na każdą osobę, która uczestniczy w procesie inspekcyjnym i nie tylko uniemożliwia kontrolę, ale chociażby na jej potrzeby przygotowuje fałszywą, np. antydatowaną, dokumentację.

Istotnym novum jest również pojawienie się rozwiązania, jakimi są wystąpienia GIODO do różnych podmiotów. Takie działania na podstawie bardzo ogólnych dotychczasowych przepisów GIODO już wykonywał, ale praktycznie nie było do tego poważnej podstawy prawnej. Przyznam, że był to jeden z kontestowanych przepisów tej nowelizacji, a ja - nie będąc jeszcze generalnym inspektorem - również byłem mu przeciwny, bo obawiałem się, iż może się on stać dodatkowym przedadministracyjnym postępowaniem poprzedzającym karanie podmiotów, w dodatku uniemożliwiającym odwołanie się od tego, co w tych wystąpieniach się znalazło.

Obejmując funkcję GIODO przyjąłem na siebie zobowiązanie, że nie będę wykorzystywał tego instrumentu w ten sposób. Chciałbym natomiast, aby wystąpienie było swego rodzaju podsumowaniem lub opisaniem problemów dostrzeżonych przez GIODO przy dokonywaniu inspekcji i obserwowaniu, jak działa rynek, z jednoczesnym wskazaniem sposobów radzenia sobie z tymi problemami.

Wystąpienie byłoby więc rodzajem przewodnika dla administratorów danych osobowych, który wyjaśniałby, jakie jest podejście GIODO do danego zestawu problemów. Już dziś mogę zapowiedzieć, że jedno z pierwszych moich wystąpień będzie dotyczyło biometrii.

Istotne jest także to, że podmioty, do których GIODO skieruje wystąpienie zmierzające do zapewnienia skutecznej ochrony danych osobowych lub zawierające wnioski o uchwalenie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych, będą musiały udzielić GIODO pisemnej odpowiedzi w ciągu 30 dni od daty otrzymania wystąpienia.

Wśród innych istotnych zmian wskazać można na doprecyzowanie przepisu dotyczącego zgody na przetwarzanie danych osobowych poprzez zapisanie wprost, że zgoda taka może być odwołana w każdym czasie. Dodano również przepisy, w których dokładnie określono, jakie informacje zawierać ma imienne upoważnienie inspektora do przeprowadzenia kontroli, jak również protokół kontroli.

W krótkim komentarzu nie sposób omówić wszystkich zmian wprowadzonych ustawą z 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw. Dlatego wszystkich zainteresowanych zapraszam do odwiedzenia strony internetowej GIODO (www.giodo.gov.pl), na której można znaleźć szczegółowe informacje na ten temat.

Za jej pośrednictwem warto zapoznać się też z materiałami świadczącymi o tym, że wkrótce czeka nas kolejna, być może nawet rewolucyjna, zmiana przepisów w tym zakresie.

Rozwój nowych technologii przed organami ochrony danych osobowych stawia bowiem nowe wyzwania związane z zapewnieniem prawa do ochrony danych osobowych i prawa do prywatności.

Podmioty, do których GIODO skieruje wystąpienie zmierzające do zapewnienia skutecznej ochrony danych osobowych lub zawierające wnioski o uchwalenie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych, będą musiały udzielić GIODO pisemnej odpowiedzi w ciągu 30 dni od daty otrzymania wystąpienia

Wkrótce czeka nas kolejna, być może nawet rewolucyjna, zmiana przepisów w tym zakresie. Rozwój nowych technologii przed organami ochrony danych osobowych stawia bowiem nowe wyzwania związane z zapewnieniem prawa do ochrony danych osobowych i prawa do prywatności

@RY1@i02/2010/252/i02.2010.252.055.008a.001.jpg@RY2@

dr Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych

Not. Adam Makosz

Ustawa z 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw

7 marca 2011 r.