Projektowane regulacje nowej ustawy o ochronie danych osobowych

Przed każdym z państw Unii Europejskiej stoi wyzwanie wdrożenia do krajowego porządku prawnego ogólnego rozporządzenia unijnego o ochronie danych osobowych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.). Ministerstwo Cyfryzacji udostępniło projekt nowej ustawy o ochronie danych osobowych, która ma zapewnić skuteczne stosowanie w polskim porządku prawnym przepisów unijnych. Warto przyjrzeć się zatem niektórym proponowanym rozwiązaniom, aby należcie przygotować się przyszłych regulacji, które powinny zacząć obowiązywać od dnia 25 maja 2018 r.

Zgodnie z projektem Prezes Urzędu Ochrony Danych Osobowych został zobowiązany do wydawania niewiążących dobrych praktyk w zakresie możliwych do zastosowania zabezpieczeń przetwarzania danych. Celem zawartych w dobrych praktykach rekomendacji jest wsparcie administratorów i podmiotów przetwarzających dane w ocenie, jakie środki techniczne i organizacyjne mogą być wdrożone w celu zidentyfikowanego ryzyka przetwarzania danych osobowych i jego zabezpieczenia. Zastosowanie tych rozwiązań nie wyłącza jednak automatycznie odpowiedzialności, jeżeli pomimo ich zastosowania dojdzie do naruszenia.

Postępowanie w sprawach ochrony danych osobowych będzie prowadzone na podstawie przepisów ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2016 r. poz. 23, późn. zm.). Przewidziano jednak szereg modyfikacji w stosunku do ogólnego postępowania administracyjnego. M. in. organizacje społeczne będą posiadały uprawnienie do wystąpienia z żądaniem wszczęcia postępowania bądź udziału w postępowaniu nie tylko w przypadku, gdy przemawia za tym interes społeczny, ale wystarczające będzie, że przemawia za tym indywidualny interes osoby, której prawa zostały naruszone.

Projekt przepisów przewiduje uprawnienie Prezesa Urzędu do wyznaczenia stronie terminu do przedstawienia każdego dowodu będącego w jej posiadaniu. Ponadto zdecydowano się na wprowadzenie do projektowanej ustawy przepisu uprawniającego Prezesa Urzędu do wydania postanowienia zobowiązującego podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych. W świetle proponowanych przepisów ustawy takie postanowienie nie będzie zaskarżalne i będzie obowiązywać do czasu, na jaki ograniczenie zostało nałożone lub zakończenia postępowania głównego.

Decyzje Prezesa Urzędu mają mieć z mocy prawa rygor natychmiastowej wykonalności, za wyjątkiem, tych przewidujących nałożenie kary pieniężnej.

W projekcie odstąpiono od utrzymania dwuinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych, na rzecz postępowania jednoinstancyjnego. Prezesowi Urzędu przyznane zostało jednak uprawnienie do autokontroli wydanej decyzji w terminie 30 dni od dnia wniesienia skargi do sądu administracyjnego na decyzję.

Minister Cyfryzacji przewidział w projektowanej ustawie rozbudowane przepisy regulujące zasady prowadzenia kontroli. Kontrola może być prowadzona w trzech sytuacjach. Pierwszą z nich jest kontrola planowa, zgodnie ze stworzonym uprzednio przez Prezesa Urzędu planem kontroli i bez wszczynania jakiegokolwiek postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. Drugą z możliwych kontroli jest kontrola doraźna, przeprowadzana poza planem kontroli, również bez wszczynania jednak jakiegokolwiek postępowania. Źródłem takiej kontroli mogą być np. doniesienia prasowe. Do trzeciej z rodzajów kontroli należą kontrole przeprowadzane jako jeden ze środków przysługujących Prezesowi Urzędu w toku prowadzonego postępowania administracyjnego.

Prezes Urzędu będzie uprawniony do przeprowadzania kontroli bez uprzedniego zawiadomienia o tym fakcie kontrolowanego. Projekt przepisów przewiduje możliwość żądania przez Prezesa Urzędu w toku postępowania kontrolnego złożenia pisemnych lub ustnych wyjaśnień oraz wezwania i przesłuchania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu oraz sporządzania kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach informatycznych bądź teleinformatycznych służących do przetwarzania danych. Projektodawca przewidział także, że w toku kontroli kontrolujący może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji.

W projekcie ograniczono zasadniczo krąg podmiotów publicznych, wobec których możliwe jest nakładanie administracyjnych kar pieniężnych za naruszenia przepisów o ochronie danych osobowych. W pozostałym zakresie, w jakim projektowane przepisy przewidują możliwość nałożenia kary pieniężnej w sektorze publicznym (m. in. na samodzielne publiczne zakłady opieki zdrowotnej lub uczelnie publiczne), wprowadzone zostało obniżenie maksymalnej do nałożenia kary do 100 000 zł.

Osobie, której dane dotyczą, przysługuje odrębna droga żądania usunięcia skutków naruszeń jego danych osobowych, poprzez skierowanie powództwa bezpośrednio do sądu z pominięciem Prezesa Urzędu Ochrony Danych Osobowych. Roszczenie to będzie przysługiwać bez względu na fakt, czy naruszenie stanowiło jednocześnie naruszenie dóbr osobistych w postaci np. prawa do prywatności.

W projekcie przesądzono, że osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r. Do tego czasu każdy z inspektorów ochrony danych ma czas na podjęcie decyzji o dalszym pełnieniu takiej funkcji (i dokonaniu stosowanego zawiadomienia do Prezesa Urzędu). W razie braku do tego czasu jakiejkolwiek aktywności z ich strony w dniu 1 września 2018 r. z mocy prawa przestaną pełnić funkcję inspektorów ochrony danych.

Niniejsza informacja nie stanowi porady prawnej ani podatkowej. Kancelaria nie ponosi odpowiedzialności za wykorzystanie informacji w nim zawartych bez wcześniejszego zasięgnięcia opinii Kancelarii.