Nowelizacja ustawy o ochronie danych osobowych – założenia i skutki
opublikowano: 2014-09-09 przez: Mika Ewelina
Wprowadzenie
Po prawie trzech latach prac legislacyjnych nad zmianami w obowiązującej ustawie o ochronie danych osobowych[1] 29 października 2010 r. została uchwalona dość istotna zmiana jej przepisów[2]. Nowelizacja ta weszła w życie 7 marca br. Nowe przepisy i zaproponowane w nich rozwiązania zmierzają do zwiększenia skuteczności oddziaływania organu powołanego ds. ochrony danych, tj. Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO lub Generalny Inspektor), na stan i poziom przestrzegania ochrony danych osobowych w Polsce.
Kluczowym celem nowelizacji była zmiana rozwiązań dotyczących stosowania sankcji wobec podmiotów naruszających przepisy ustawy o ochronie danych osobowych. Doświadczenie w tym zakresie wskazywało bowiem na znikomą efektywność instrumentów, które były dotychczas dostępne, natomiast obowiązek zapewnienia skutecznych rozwiązań, tj. instrumentów do egzekwowania prawa o ochronie danych osobowych, wynika expressis verbis z postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych, która była wzorcem dla polskich regulacji. Należy zaznaczyć, że ustawodawca europejski zobligował państwa członkowskie do zastosowania odpowiednich środków, które wspomogą przestrzeganie przepisów dotyczących ochrony danych, ale nie określił ich rodzaju, pozostawiając w tym zakresie swobodę poszczególnym państwom. Skoro jednak dotychczasowe narzędzia i stosowane mechanizmy nie przynosiły oczekiwanych efektów, należało podjąć działania zmierzające do wdrożenia innych, bardziej skutecznych. Stąd do ustawy dodano nowe przepisy, które przewidują m.in. możliwość nakładania grzywien za nierealizowanie nakazów i zakazów GIODO zawartych w decyzjach administracyjnych, kary za utrudnianie kontroli oraz obowiązek odpowiedzi na wystąpienia i wnioski GIODO.
Nowelizacja przepisów pod kątem zwiększenia ich efektywności stała się okazją do wprowadzenia innych zmian, dla których inspiracją stały się dotychczasowe doświadczenia ze stosowania przepisów ustawy o ochronie danych osobowych.
Nowe zadania i uprawnienia GIODO
Na mocy wspomnianej wyżej nowelizacji nowego kształtu nabrał zakres zadań GIODO. Zmianie uległa treść art. 12 ustawy o ochronie danych osobowych. Jego pkt 3 statuuje nowe zadanie dla GIODO polegające na zapewnieniu wykonania przez zobowiązanych – tj. podmioty dopuszczające się naruszenia przepisów o ochronie danych osobowych i niewykonujące wcześniejszych decyzji administracyjnych organu ds. ochrony danych – obowiązków o charakterze niepieniężnym wynikających z tych decyzji przez stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji[3]. Brak efektywnego instrumentu w postępowaniu z podmiotami przetwarzającymi dane osobowe powodował lekceważące traktowanie decyzji Generalnego Inspektora i zawartych w nich nakazów i zakazów. Wsparcia w tym zakresie nie stanowi również reakcja ze strony organów ścigania, które niejednokrotnie zbyt łagodnie traktują naruszających przepisy ustawy o ochronie danych osobowych, wskazując przy umarzaniu toczących się postępowań z tego zakresu na znikomą społeczną szkodliwość czynu. Nowelizacja przyznająca GIODO możliwość stosowania środków egzekucyjnych będzie zatem miała prawdopodobnie pozytywny wpływ na wzmocnienie realnej ochrony danych osobowych.
Do środków służących egzekucji obowiązków o charakterze niepieniężnym należą:
Po prawie trzech latach prac legislacyjnych nad zmianami w obowiązującej ustawie o ochronie danych osobowych[1] 29 października 2010 r. została uchwalona dość istotna zmiana jej przepisów[2]. Nowelizacja ta weszła w życie 7 marca br. Nowe przepisy i zaproponowane w nich rozwiązania zmierzają do zwiększenia skuteczności oddziaływania organu powołanego ds. ochrony danych, tj. Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO lub Generalny Inspektor), na stan i poziom przestrzegania ochrony danych osobowych w Polsce.
Kluczowym celem nowelizacji była zmiana rozwiązań dotyczących stosowania sankcji wobec podmiotów naruszających przepisy ustawy o ochronie danych osobowych. Doświadczenie w tym zakresie wskazywało bowiem na znikomą efektywność instrumentów, które były dotychczas dostępne, natomiast obowiązek zapewnienia skutecznych rozwiązań, tj. instrumentów do egzekwowania prawa o ochronie danych osobowych, wynika expressis verbis z postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych, która była wzorcem dla polskich regulacji. Należy zaznaczyć, że ustawodawca europejski zobligował państwa członkowskie do zastosowania odpowiednich środków, które wspomogą przestrzeganie przepisów dotyczących ochrony danych, ale nie określił ich rodzaju, pozostawiając w tym zakresie swobodę poszczególnym państwom. Skoro jednak dotychczasowe narzędzia i stosowane mechanizmy nie przynosiły oczekiwanych efektów, należało podjąć działania zmierzające do wdrożenia innych, bardziej skutecznych. Stąd do ustawy dodano nowe przepisy, które przewidują m.in. możliwość nakładania grzywien za nierealizowanie nakazów i zakazów GIODO zawartych w decyzjach administracyjnych, kary za utrudnianie kontroli oraz obowiązek odpowiedzi na wystąpienia i wnioski GIODO.
Nowelizacja przepisów pod kątem zwiększenia ich efektywności stała się okazją do wprowadzenia innych zmian, dla których inspiracją stały się dotychczasowe doświadczenia ze stosowania przepisów ustawy o ochronie danych osobowych.
Nowe zadania i uprawnienia GIODO
Na mocy wspomnianej wyżej nowelizacji nowego kształtu nabrał zakres zadań GIODO. Zmianie uległa treść art. 12 ustawy o ochronie danych osobowych. Jego pkt 3 statuuje nowe zadanie dla GIODO polegające na zapewnieniu wykonania przez zobowiązanych – tj. podmioty dopuszczające się naruszenia przepisów o ochronie danych osobowych i niewykonujące wcześniejszych decyzji administracyjnych organu ds. ochrony danych – obowiązków o charakterze niepieniężnym wynikających z tych decyzji przez stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji[3]. Brak efektywnego instrumentu w postępowaniu z podmiotami przetwarzającymi dane osobowe powodował lekceważące traktowanie decyzji Generalnego Inspektora i zawartych w nich nakazów i zakazów. Wsparcia w tym zakresie nie stanowi również reakcja ze strony organów ścigania, które niejednokrotnie zbyt łagodnie traktują naruszających przepisy ustawy o ochronie danych osobowych, wskazując przy umarzaniu toczących się postępowań z tego zakresu na znikomą społeczną szkodliwość czynu. Nowelizacja przyznająca GIODO możliwość stosowania środków egzekucyjnych będzie zatem miała prawdopodobnie pozytywny wpływ na wzmocnienie realnej ochrony danych osobowych.
Do środków służących egzekucji obowiązków o charakterze niepieniężnym należą:
- grzywna w celu przymuszenia,
- wykonanie zastępcze,
- odebranie rzeczy ruchomej,
- odebranie nieruchomości lub opróżnienie lokalu i innych pomieszczeń,
- przymus bezpośredni.
Biorąc pod uwagę przesłanki zastosowania wymienionych środków, wydaje się, że ewentualna realizacja tego zadania będzie co do zasady ograniczona do nakładania przez GIODO grzywny w celu przymuszenia podmiotu, który zignorował decyzję organu ds. ochrony danych osobowych, do jej wykonania. Grzywnę w celu przymuszenia nakłada się:
- gdy egzekucja dotyczy spełnienia przez zobowiązanego obowiązku znoszenia lub zaniechania albo obowiązku wykonania czynności, a w szczególności czynności, której z powodu jej charakteru nie może spełnić inna osoba za zobowiązanego;
- jeżeli nie jest celowe zastosowanie innego środka egzekucji obowiązków o charakterze niepieniężnym.
Grzywna w celu przymuszenia może być nakładana zarówno na osoby fizyczne, jak i osoby prawne, a także na jednostki organizacyjne niemające osobowości prawnej. W sytuacji gdy zobowiązanym jest osoba fizyczna działająca przez ustawowego przedstawiciela, przedsiębiorstwo państwowe lub inna państwowa jednostka organizacyjna, organizacja spółdzielcza, samorządowa, zawodowa lub inna społeczna osoba prawna lub jednostka organizacyjna niemająca osobowości prawnej, grzywnę nakłada się na ustawowego przedstawiciela zobowiązanego lub na osobę, do której należy bezpośrednie czuwanie nad wykonywaniem przez zobowiązanego obowiązków tego rodzaju. Niemniej jednak, jeżeli jest to niezbędne dla przymuszenia wykonania obowiązku, grzywna może być również nałożona na zobowiązaną osobę prawną lub jednostkę organizacyjną. Grzywna w celu przymuszenia może być nakładana kilkakrotnie w tej samej lub wyższej kwocie[4].
Wysokość takiej grzywny w stosunku do osoby fizycznej nie może przekraczać kwoty 10 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych niemających osobowości prawnej – kwoty 50 tys. zł. W przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać 50 tys. zł w odniesieniu do osób fizycznych oraz 200 tys. zł w odniesieniu do osób prawnych i jednostek organizacyjnych niemających osobowości prawnej. Obowiązek uiszczenia grzywny nie przechodzi na spadkobierców lub „nabywców” zobowiązanego. W razie wykonania obowiązku określonego w tytule wykonawczym nałożone a nieuiszczone lub nieściągnięte grzywny w celu przymuszenia podlegają umorzeniu.
Generalnemu Inspektorowi przyznano uprawnienia organu egzekucyjnego. Przystępując do czynności egzekucyjnych doręcza on zobowiązanemu odpis tytułu wykonawczego, jeśli nie został on doręczony wcześniej, oraz postanowienie o nałożeniu grzywny. Takie postanowienie powinno zawierać:
Wysokość takiej grzywny w stosunku do osoby fizycznej nie może przekraczać kwoty 10 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych niemających osobowości prawnej – kwoty 50 tys. zł. W przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać 50 tys. zł w odniesieniu do osób fizycznych oraz 200 tys. zł w odniesieniu do osób prawnych i jednostek organizacyjnych niemających osobowości prawnej. Obowiązek uiszczenia grzywny nie przechodzi na spadkobierców lub „nabywców” zobowiązanego. W razie wykonania obowiązku określonego w tytule wykonawczym nałożone a nieuiszczone lub nieściągnięte grzywny w celu przymuszenia podlegają umorzeniu.
Generalnemu Inspektorowi przyznano uprawnienia organu egzekucyjnego. Przystępując do czynności egzekucyjnych doręcza on zobowiązanemu odpis tytułu wykonawczego, jeśli nie został on doręczony wcześniej, oraz postanowienie o nałożeniu grzywny. Takie postanowienie powinno zawierać:
- wezwanie do uiszczenia nałożonej grzywny w oznaczonym terminie z pouczeniem, że w przypadku nieuiszczenia grzywny w terminie zostanie ona ściągnięta w trybie egzekucji administracyjnej należności pieniężnych;
- wezwanie do wykonania obowiązku określonego w tytule wykonawczym w terminie wskazanym w postanowieniu z zagrożeniem, że w razie niewykonania obowiązku w terminie będą nakładane dalsze grzywny w tej samej lub wyższej kwocie.
Podmiotowi, na który GIODO nałożył taką grzywnę, służy prawo zgłoszenia zarzutów i wniesienia zażalenia w sprawie prowadzenia postępowania egzekucyjnego oraz prawo wniesienia zażalenia na postanowienie o nałożeniu grzywny.
Do innych istotnych zmian skorelowanych z realizowanymi zadaniami GIODO należy nowelizacja art. 13 ustawy o ochronie danych osobowych. Dodany do wspomnianego art. 13 ust. 1a wprowadza możliwość tworzenia w uzasadnionych przypadkach jednostek zamiejscowych Biura[5]. Uzasadnieniem dla ich ewentualnego utworzenia jest w tym przypadku charakter i liczba spraw. Głównym celem proponowanej zmiany jest zapewnienie łatwiejszego dostępu do GIODO. Z drugiej zaś strony, takie rozwiązanie umożliwi Generalnemu Inspektorowi pełniejszą realizację jego ustawowych zadań w zakresie kontroli zgodności przetwarzania danych osobowych z przepisami statuującymi ich ochronę. Należy też zaznaczyć, że GIODO nie jest jedynym organem mającym możliwość działania w terenie. W obowiązującym porządku prawnym takim uprawnieniem dysponuje m.in. Rzecznik Praw Obywatelskich. Możliwość tworzenia terenowych delegatur ma również Najwyższa Izba Kontroli oraz Urząd Ochrony Konkurencji i Konsumentów.
Nowe uprawnienie kreuje również dodany do ustawy art. 19a, który przyznaje Generalnemu Inspektorowi prawo:
Do innych istotnych zmian skorelowanych z realizowanymi zadaniami GIODO należy nowelizacja art. 13 ustawy o ochronie danych osobowych. Dodany do wspomnianego art. 13 ust. 1a wprowadza możliwość tworzenia w uzasadnionych przypadkach jednostek zamiejscowych Biura[5]. Uzasadnieniem dla ich ewentualnego utworzenia jest w tym przypadku charakter i liczba spraw. Głównym celem proponowanej zmiany jest zapewnienie łatwiejszego dostępu do GIODO. Z drugiej zaś strony, takie rozwiązanie umożliwi Generalnemu Inspektorowi pełniejszą realizację jego ustawowych zadań w zakresie kontroli zgodności przetwarzania danych osobowych z przepisami statuującymi ich ochronę. Należy też zaznaczyć, że GIODO nie jest jedynym organem mającym możliwość działania w terenie. W obowiązującym porządku prawnym takim uprawnieniem dysponuje m.in. Rzecznik Praw Obywatelskich. Możliwość tworzenia terenowych delegatur ma również Najwyższa Izba Kontroli oraz Urząd Ochrony Konkurencji i Konsumentów.
Nowe uprawnienie kreuje również dodany do ustawy art. 19a, który przyznaje Generalnemu Inspektorowi prawo:
- kierowania do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych,
- występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu nie przyznawała Generalnemu Inspektorowi takich uprawnień – Generalny Inspektor sygnalizował ewentualnie problem. Obecnie natomiast podmiot, do którego takie wystąpienie bądź wniosek do zajęcia stanowiska w sprawie są skierowane, jest zobligowany do ustosunkowania się do tego wystąpienia w terminie 30 dni.
Dopuszczalność odwołania zgody na przetwarzanie danych osobowych
Nowelizacja w art. 7 pkt 5 odnosi się do definicji „zgody osoby, której dane dotyczą” na ich przetwarzanie. Zgodnie z brzmieniem powołanego przepisu przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zmiana polega na dodaniu jasno sformułowanej dopuszczalności odwołania zgody w każdym czasie. Z definicji zgody sprzed nowelizacji nie wynikały szczegółowe zasady, na podstawie których powinna być ona formułowana, i nadal zasady te nie zostały doprecyzowane. Wiele wątpliwości budziła natomiast kwestia możliwości odwołania zgody. Było to dyskusyjne. W literaturze przedmiotu na gruncie brzmienia definicji „zgody” sprzed nowelizacji można spotkać argumenty przemawiające za możliwością jej odwołania, jak i niedopuszczające do jej cofnięcia[6]. Wprowadzona zmiana rozstrzyga w sposób niebudzący wątpliwości o możliwości odwołania, i to w każdym czasie, udzielonej już zgody na przetwarzanie danych osobowych.
Zmiany w zakresie udostępniania danych
Udostępnianie danych w świetle przepisów ustawy o ochronie danych osobowych sprzed nowelizacji było poddane dwóm odrębnym reżimom. Pierwszy wynikał z art. 23 i 27, a drugi – z art. 29 i 30. Udostępnianie danych jest jedną z form ich przetwarzania, a więc generalnie może nastąpić po spełnieniu jednej z przesłanek legalności przetwarzania, a w tym konkretnym przypadku udostępniania danych. Aby było legalne, musi mieć zatem uzasadnienie w jednej z przesłanek wskazanych w art. 23 ust. 1 ustawy o ochronie danych osobowych bądź w jej art. 27 ust. 2, jeżeli przedmiotem przetwarzania są tzw. dane sensytywne, które zostały poddane szczególnej ochronie przez ustawodawcę.
Udostępnienie danych „zwykłych” – a taki charakter mają dane niewymienione przez ustawodawcę w art. 27 ust. 1 ustawy, jak np. imię, nazwisko, adres zamieszkania, nr PESEL, numer telefonu jest dopuszczalne tylko wtedy, gdy:
Dopuszczalność odwołania zgody na przetwarzanie danych osobowych
Nowelizacja w art. 7 pkt 5 odnosi się do definicji „zgody osoby, której dane dotyczą” na ich przetwarzanie. Zgodnie z brzmieniem powołanego przepisu przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zmiana polega na dodaniu jasno sformułowanej dopuszczalności odwołania zgody w każdym czasie. Z definicji zgody sprzed nowelizacji nie wynikały szczegółowe zasady, na podstawie których powinna być ona formułowana, i nadal zasady te nie zostały doprecyzowane. Wiele wątpliwości budziła natomiast kwestia możliwości odwołania zgody. Było to dyskusyjne. W literaturze przedmiotu na gruncie brzmienia definicji „zgody” sprzed nowelizacji można spotkać argumenty przemawiające za możliwością jej odwołania, jak i niedopuszczające do jej cofnięcia[6]. Wprowadzona zmiana rozstrzyga w sposób niebudzący wątpliwości o możliwości odwołania, i to w każdym czasie, udzielonej już zgody na przetwarzanie danych osobowych.
Zmiany w zakresie udostępniania danych
Udostępnianie danych w świetle przepisów ustawy o ochronie danych osobowych sprzed nowelizacji było poddane dwóm odrębnym reżimom. Pierwszy wynikał z art. 23 i 27, a drugi – z art. 29 i 30. Udostępnianie danych jest jedną z form ich przetwarzania, a więc generalnie może nastąpić po spełnieniu jednej z przesłanek legalności przetwarzania, a w tym konkretnym przypadku udostępniania danych. Aby było legalne, musi mieć zatem uzasadnienie w jednej z przesłanek wskazanych w art. 23 ust. 1 ustawy o ochronie danych osobowych bądź w jej art. 27 ust. 2, jeżeli przedmiotem przetwarzania są tzw. dane sensytywne, które zostały poddane szczególnej ochronie przez ustawodawcę.
Udostępnienie danych „zwykłych” – a taki charakter mają dane niewymienione przez ustawodawcę w art. 27 ust. 1 ustawy, jak np. imię, nazwisko, adres zamieszkania, nr PESEL, numer telefonu jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Dane poddane szczególnej ochronie[7] mogą być udostępnione wówczas, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;
- przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby; której dane dotyczą, i stwarza pełne gwarancje ich ochrony;
- przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;
- jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych;
- przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;
- przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
- przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;
- przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
- jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;
- przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Obok wskazanych wyżej i niezmienionych obecną nowelizacją przesłanek legalizujących udostępnienie danych przed nowelizacją funkcjonowała także inna, wskazana w art. 29 ustawy. Przepis ten stanowił podstawę do udostępnienia danych podmiotom, które uprawnienie do ich otrzymania wywodziły z przepisu prawa albo wiarygodnie uzasadniły potrzebę posiadania tych danych, a ich udostępnienie nie naruszało praw i wolności osób, których dane te dotyczyły. Warunkiem sine qua non w przypadku zastosowania tej podstawy był brak możliwości wcielenia tych danych do zbioru danych. Stąd udostępnienie danych w zależności od tego, czy następowało w celu włączenia do zbioru, czy też nie, odbywało się na podstawie generalnych przesłanek z art. 23 ust. 1 lub art. 27 ust. 2 ustawy bądź na podstawie art. 29. W praktyce przepis ten miał marginalne znaczenie, a administratorzy danych niechętnie udostępniali dane zgodnie z jego treścią. Doprecyzowanie okoliczności, w których może nastąpić odmowa udostępnienia danych, miało miejsce w art. 30, choć przecież przepis ten nie był konieczny – odmowa udostępnienia danych mogła mieć miejsce wtedy, gdy był brak przesłanki legalizującej to udostępnienie. Dokonując nowelizacji przepisów, ustawodawca uznał, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej. Nieuzasadnione było poddanie odrębnemu reżimowi wyłącznie procesu udostępniania danych osobowych w celach innych niż włączenie do zbioru, w sytuacji gdy istnieją generalne zasady – określone w art. 23 ust. 1 i art. 27 ust. 2 ustawy – regulujące legalność przetwarzania, a zatem również udostępniania danych[8]. W konsekwencji zarówno art. 29, jak i art. 30 zostały uchylone, a w obecnym stanie prawnym udostępnienie danych odbywa się na podstawie cytowanych celowo wyżej przesłanek z art. 23 ust. 1 lub art. 27 ust. 2 ustawy o ochronie danych osobowych.
Obowiązek informacyjny
Nowelizacja wprowadziła również zmiany w zakresie obowiązku informacyjnego spoczywającego na administratorze danych, doprecyzowując zasady jego spełnienia oraz przyczyny odmowy udzielenia informacji odnośnie do danych dotyczących tej osoby, która się o nie zwraca (art. 33 i 34). Obowiązek informacyjny powinien być spełniony już na etapie gromadzenia danych. Poinformowanie osoby, której dane dotyczą, o zasadach ich wykorzystania jest obowiązkiem administratora. Obowiązek ten powstaje niezależnie od tego, czy osoba, której dane dotyczą, zwróciła się z wnioskiem o taką informację, czy też nie. W zależności od źródła pozyskania danych – bezpośrednio od tej osoby bądź od osoby/podmiotu trzeciej/trzeciego – wynika on z art. 24 bądź 25 ustawy o ochronie danych osobowych. W pierwotnym brzmieniu odmowa udzielenia informacji osobie, której dane te dotyczą, mogła nastąpić w przypadkach wskazanych w uchylonym art. 30. Obecnie jego treść – ze zmianą spowodowaną znowelizowaniem ustawy o ochronie informacji niejawnych[9] – została powtórzona w art. 34. W związku z tym administrator danych ma prawo odmówić udzielenia informacji osobie, której dotyczą dane, jeżeli spowodowałoby to:
Obowiązek informacyjny
Nowelizacja wprowadziła również zmiany w zakresie obowiązku informacyjnego spoczywającego na administratorze danych, doprecyzowując zasady jego spełnienia oraz przyczyny odmowy udzielenia informacji odnośnie do danych dotyczących tej osoby, która się o nie zwraca (art. 33 i 34). Obowiązek informacyjny powinien być spełniony już na etapie gromadzenia danych. Poinformowanie osoby, której dane dotyczą, o zasadach ich wykorzystania jest obowiązkiem administratora. Obowiązek ten powstaje niezależnie od tego, czy osoba, której dane dotyczą, zwróciła się z wnioskiem o taką informację, czy też nie. W zależności od źródła pozyskania danych – bezpośrednio od tej osoby bądź od osoby/podmiotu trzeciej/trzeciego – wynika on z art. 24 bądź 25 ustawy o ochronie danych osobowych. W pierwotnym brzmieniu odmowa udzielenia informacji osobie, której dane te dotyczą, mogła nastąpić w przypadkach wskazanych w uchylonym art. 30. Obecnie jego treść – ze zmianą spowodowaną znowelizowaniem ustawy o ochronie informacji niejawnych[9] – została powtórzona w art. 34. W związku z tym administrator danych ma prawo odmówić udzielenia informacji osobie, której dotyczą dane, jeżeli spowodowałoby to:
- ujawnienie wiadomości zawierających informacje niejawne,
- zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
- zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
- istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
Rejestracja zbiorów danych i obowiązek aktualizacyjny
Zmiany w zakresie rozdziału 6 ustawy traktującego o rejestracji zbiorów danych w rejestrze prowadzonym przez GIODO mają generalnie charakter porządkowy. W art. 41 ust. 1 pkt 2 ustawy zmieniono występujące tylko w tym przepisie pojęcie „podmiot prowadzący zbiór” na „administrator danych”. Zmiana ta ma na celu nie tylko ujednolicenie nazewnictwa, lecz także skonkretyzowanie podmiotu zobowiązanego do zgłoszenia zbioru danych do rejestracji. Obowiązek ten spoczywa bowiem na administratorze danych. Wykładnia literalna art. 46 ust. 1 ustawy o ochronie danych osobowych wskazuje, że zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych – de facto przed zgromadzeniem pierwszych danych w zbiorze. W sytuacji gdy administrator danych osobowych zamierza przetwarzać tzw. dane szczególnie chronione, wskazane w art. 27 ustawy, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, to zbieranie tego typu danych, zgodnie z art. 46 ust. 2 ustawy, może rozpocząć dopiero po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z tego obowiązku.
Dodatkowo nowelizacja stała się okazją do skorelowania z treścią ustawy obowiązku zamieszczenia w formularzu zgłoszenia informacji dotyczących podmiotu, któremu administrator, w drodze umowy określonej w art. 31 ustawy, powierzył przetwarzanie danych. Dotychczas administrator danych w pkt 3 części B formularza zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi[10] był zobowiązany do zamieszczenia takich informacji, a ustawa pomijała ten element.
Doprecyzowaniu uległy również zasady aktualizacji danych zgłaszanych GIODO (art. 41 ust. 2–4). Administrator danych jest zobowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w pierwotnym zgłoszeniu rejestracyjnym w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Jeżeli zmiana informacji dotyczy zakresu danych i spowoduje jego rozszerzenie o wymienione wyżej dane sensytywne poddane przez ustawodawcę szczególnej ochronie, administrator danych jest zobowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze, czyli przed utrwaleniem w nim pierwszych danych o takim charakterze.
Zmiany w zakresie kontroli i odpowiedzialności za naruszenie przepisów
Nowelizacja objęła swym zakresem również kwestie dotyczące prowadzenia kontroli przez inspektorów GIODO. W znowelizowanych przepisach doprecyzowano procedurę. W art. 15 ust. 4 określono informacje, jakie powinno zawierać upoważnienie inspektora do przeprowadzenia kontroli, oraz w art. 16 ust. 1a wskazano elementy protokołu kontroli.
Projektowana nowelizacja zawiera natomiast istotne zmiany w zakresie sankcji za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Dodany art. 54a określa nowy rodzaj przestępstwa, którym będzie uniemożliwianie bądź utrudnianie kontroli GIODO. Udaremnianie lub utrudnianie wykonywania czynności kontrolnych podlega obecnie grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Istotne jest również to, że kara za ten czyn będzie mogła być nałożona nie tylko na administratora danych, lecz także na każdą osobę, która uczestniczy w kontroli i ją uniemożliwia bądź utrudnia.
Nowelizacja objęła swym zakresem również art. 50, penalizujący czyn polegający na przechowywaniu w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru. Popełnienie takiego czynu w rzeczywistości wypełnia dyspozycję art. 49 ustawy. Nie ma uzasadnienia dla funkcjonowania w obrocie prawnym dwóch przepisów penalizujących taki sam czyn. W konsekwencji ustawodawca podjął decyzję o uchyleniu w nowelizacji art. 50.
Podsumowanie
Po ponad 13 latach od czasu uchwalenia ustawy o ochronie danych osobowych akt ten został poddany kolejnej istotnej nowelizacji. Ustawa o ochronie danych osobowych w znowelizowanej postaci obowiązuje od 7 marca br. Zmiana przepisów ma przede wszystkim na celu umożliwienie skuteczniejszego oddziaływania na poziom przestrzegania ochrony danych osobowych w Polsce. Na mocy jej przepisów Generalny Inspektor otrzymał nowe uprawnienia, zwłaszcza zaś możliwość nakładania na podmioty, które nie wykonują jego decyzji administracyjnych, grzywny w celu przymuszenia. Zmiana przepisów mająca na celu wzmocnienie ich skuteczności stała się okazją do wprowadzenia także innych zmian o charakterze porządkującym bądź doprecyzowującym, dla których inspiracją stały się dotychczasowe doświadczenia ze stosowania przepisów ustawy o ochronie danych osobowych. Zestawienie najistotniejszych zmian zostało przedstawione w tabeli.
Tabela: Zestawienie najistotniejszych zmian
Zmiany w zakresie rozdziału 6 ustawy traktującego o rejestracji zbiorów danych w rejestrze prowadzonym przez GIODO mają generalnie charakter porządkowy. W art. 41 ust. 1 pkt 2 ustawy zmieniono występujące tylko w tym przepisie pojęcie „podmiot prowadzący zbiór” na „administrator danych”. Zmiana ta ma na celu nie tylko ujednolicenie nazewnictwa, lecz także skonkretyzowanie podmiotu zobowiązanego do zgłoszenia zbioru danych do rejestracji. Obowiązek ten spoczywa bowiem na administratorze danych. Wykładnia literalna art. 46 ust. 1 ustawy o ochronie danych osobowych wskazuje, że zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych – de facto przed zgromadzeniem pierwszych danych w zbiorze. W sytuacji gdy administrator danych osobowych zamierza przetwarzać tzw. dane szczególnie chronione, wskazane w art. 27 ustawy, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, to zbieranie tego typu danych, zgodnie z art. 46 ust. 2 ustawy, może rozpocząć dopiero po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z tego obowiązku.
Dodatkowo nowelizacja stała się okazją do skorelowania z treścią ustawy obowiązku zamieszczenia w formularzu zgłoszenia informacji dotyczących podmiotu, któremu administrator, w drodze umowy określonej w art. 31 ustawy, powierzył przetwarzanie danych. Dotychczas administrator danych w pkt 3 części B formularza zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi[10] był zobowiązany do zamieszczenia takich informacji, a ustawa pomijała ten element.
Doprecyzowaniu uległy również zasady aktualizacji danych zgłaszanych GIODO (art. 41 ust. 2–4). Administrator danych jest zobowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w pierwotnym zgłoszeniu rejestracyjnym w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Jeżeli zmiana informacji dotyczy zakresu danych i spowoduje jego rozszerzenie o wymienione wyżej dane sensytywne poddane przez ustawodawcę szczególnej ochronie, administrator danych jest zobowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze, czyli przed utrwaleniem w nim pierwszych danych o takim charakterze.
Zmiany w zakresie kontroli i odpowiedzialności za naruszenie przepisów
Nowelizacja objęła swym zakresem również kwestie dotyczące prowadzenia kontroli przez inspektorów GIODO. W znowelizowanych przepisach doprecyzowano procedurę. W art. 15 ust. 4 określono informacje, jakie powinno zawierać upoważnienie inspektora do przeprowadzenia kontroli, oraz w art. 16 ust. 1a wskazano elementy protokołu kontroli.
Projektowana nowelizacja zawiera natomiast istotne zmiany w zakresie sankcji za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Dodany art. 54a określa nowy rodzaj przestępstwa, którym będzie uniemożliwianie bądź utrudnianie kontroli GIODO. Udaremnianie lub utrudnianie wykonywania czynności kontrolnych podlega obecnie grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Istotne jest również to, że kara za ten czyn będzie mogła być nałożona nie tylko na administratora danych, lecz także na każdą osobę, która uczestniczy w kontroli i ją uniemożliwia bądź utrudnia.
Nowelizacja objęła swym zakresem również art. 50, penalizujący czyn polegający na przechowywaniu w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru. Popełnienie takiego czynu w rzeczywistości wypełnia dyspozycję art. 49 ustawy. Nie ma uzasadnienia dla funkcjonowania w obrocie prawnym dwóch przepisów penalizujących taki sam czyn. W konsekwencji ustawodawca podjął decyzję o uchyleniu w nowelizacji art. 50.
Podsumowanie
Po ponad 13 latach od czasu uchwalenia ustawy o ochronie danych osobowych akt ten został poddany kolejnej istotnej nowelizacji. Ustawa o ochronie danych osobowych w znowelizowanej postaci obowiązuje od 7 marca br. Zmiana przepisów ma przede wszystkim na celu umożliwienie skuteczniejszego oddziaływania na poziom przestrzegania ochrony danych osobowych w Polsce. Na mocy jej przepisów Generalny Inspektor otrzymał nowe uprawnienia, zwłaszcza zaś możliwość nakładania na podmioty, które nie wykonują jego decyzji administracyjnych, grzywny w celu przymuszenia. Zmiana przepisów mająca na celu wzmocnienie ich skuteczności stała się okazją do wprowadzenia także innych zmian o charakterze porządkującym bądź doprecyzowującym, dla których inspiracją stały się dotychczasowe doświadczenia ze stosowania przepisów ustawy o ochronie danych osobowych. Zestawienie najistotniejszych zmian zostało przedstawione w tabeli.
Tabela: Zestawienie najistotniejszych zmian
Lp. | Art. | Zmiana |
1.
|
Art. 7 pkt 5 | Dodano możliwość odwołania w każdym czasie zgody na przetwarzanie danych osobowych. |
2.
|
Art. 12 pkt 3 | GIODO jako organ egzekucyjny w zakresie obowiązków o charakterze niepieniężnym wynikających z wydanych przez siebie decyzji administracyjnych uzyskał uprawnienie – w przypadku niewykonania takiej decyzji przez zobowiązanego – zastosowania środka egzekucyjnego – grzywny w celu przymuszenia. |
3.
|
Art. 13 ust. 1a | Możliwość tworzenia przez GIODO jednostek zamiejscowych. |
4.
|
Art. 15 ust. 3 i 4 | Doprecyzowano procedurę kontroli i określono informacje zawarte w upoważnieniu inspektora do przeprowadzenia kontroli. |
5.
|
Art. 16 ust. 1a | Określono informacje, które powinny być zawarte w protokole kontroli. |
6. | Art. 19a | GIODO uzyskał uprawnienie do kierowania wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych oraz występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. |
7. | Art. 29 | Uchylony. |
8. | Art. 30 | Uchylony. |
9. | Art. 34 | Wskazano przesłanki odmowy udzielenia informacji osobie, której dane dotyczą. |
10. | Art. 41 | Doprecyzowano kwestie elementów, jakie powinno zawierać zgłoszenie zbioru do rejestracji GIODO, i ujednolicono nazewnictwo, zastępując pojęcie „podmiot prowadzący zbiór”, pojęciem „administrator danych”. |
11. | Art. 50 | Uchylony. |
12. | Art. 54a | Wprowadza odpowiedzialność karną za udaremnianie lub utrudnianie wykonania czynności kontrolnej przez inspektora. |
Ewa Łęcka
doktorantka na Wydziale Prawa i Administracji UMCS
Źródło: Temidium 3 (64) 2011
[1] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.).
[2] Ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz.U. Nr 229, poz. 1497).
[3] Zgodnie z art. 2. § 1 pkt 12 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (tekst jednolity Dz.U. z 2005 r. Nr 229, poz. 1954 ze zm.) egzekucji administracyjnej podlegają obowiązki z zakresu ochrony danych osobowych nakładane w drodze decyzji Generalnego Inspektora Ochrony Danych Osobowych.
[4] Wyjątek dotyczy jedynie sytuacji, gdy egzekucja dotyczy spełnienia przez zobowiązanego obowiązku wynikającego z przepisów Prawa budowlanego.
[5] Zasady działania oraz siedziby jednostek zamiejscowych i zakres ich właściwości terytorialnej określa Prezydent RP w nadawanym statucie.
[6] J. Barta, R. Markiewicz, Ochrona danych osobowych – komentarz do art. 23 ustawy o ochronie danych osobowych, Lex Omega.
[7] Ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia.
[8] Uzasadnienie do projektu ustawy o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw, druk sejmowy nr 488.
[9] Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. Nr 182, poz. 1228).
[10] Stanowi ono załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536).