Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Prezes Urzędu Ochrony Danych Osobowych zastąpi GIODO

Dane osobowe 03.05.2017

Ministerstwo Cyfryzacji opublikowało na swojej stronie internetowej projekt nowelizacji ustawy o ochronie danych osobowych. Nowe przepisy mają zapewnić skuteczne stosowanie w polskim porządku prawnym rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - dalej zwane również RODO), które zacznie obowiązywać w Polsce w maju 2018 roku. Mimo, że RODO będzie bezpośrednio stosowane we wszystkich państwach członkowskich i nie wymaga implementacji, konieczne jest dostosowanie krajowych regulacji do rozwiązań przewidzianych w rozporządzeniu. Projekt nowej polskiej ustawy ma na razie charakter roboczy, a zakończenie prac planowane jest na początek 2018 roku.

Jedną z najistotniejszych planowanych zmian jest powołanie w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych nowego organu – zwanego Prezesem Urzędu Ochrony Danych Osobowych. Treść przepisów wyżej wskazanego rozporządzenia RODO, skłoniła projektodawcę do zaproponowania nowej nazwy organu ochrony danych osobowych.

Zgodnie z informacjami zamieszczonymi we wprowadzeniu do projektu ustawy, zmiana jest uzasadniona po pierwsze tym, że RODO wprowadza funkcję „inspektora ochrony danych” jako osoby fizycznej wyznaczanej przez administratora danych osobowych bądź podmiot przetwarzający dane osobowe, wewnątrz ich struktury organizacyjnej w celu monitorowanie przestrzegania przepisów dotyczących ochrony danych osobowych. Jednocześnie brak jest jednak jakiegokolwiek związku ustrojowego pomiędzy takimi osobami a przyszłym organem nadzorczym odpowiadającym za egzekwowanie w Polsce przestrzegania przepisów RODO. Utrzymanie obecnej nazwy organu – Generalny Inspektor Danych Osobowych – mogłoby wprowadzić w tym zakresie w błąd, ponieważ powstałoby wrażenie, że wewnętrzni inspektorzy mu podlegają, choć muszą być całkowicie niezależni, nawet od swojego pracodawcy. Po drugie, powodowałoby to konieczność nazwania pracowników biura, którzy w imieniu organu przeprowadzają postępowanie kontrolne inspektorami. Skoro bowiem organem nadzorczym jest Generalny Inspektor, muszą funkcjonować w jego strukturze organizacyjnej inni inspektorzy względem których, jest on inspektorem generalnym (tak jak ma to miejsce na kanwie obowiązujących przepisów). Doprowadziłoby to do funkcjonowania w systemie ochrony danych osobowych dwóch kategorii inspektorów - pracowników organu nadzorczego oraz osoby powoływane wewnątrz struktury organizacyjnej administratorów i podmiotów przetwarzających, mające zupełnie inny status. Uwzględniając powyższe, w ocenie projektodawcy, najwłaściwszym jest użycie nazwy – Prezes Urzędu Ochrony Danych Osobowych. Odstąpiono również od nazywania pracowników organu nadzorczego przeprowadzających w jego imieniu czynności kontrolne inspektorami, na rzecz nazwania ich kontrolującymi. Projektowane zmiany nie ograniczą się jednak do nazewnictwa. Prezes Urzędu Ochrony Danych Osobowych zyska dużo nowych uprawnień.

Postępowanie kontrolne

Zgodnie z projektem ustawy, zostały wyróżnione trzy rodzaje kontroli, którą może przeprowadzić Prezes Urzędu Ochrony Danych Osobowych. Należą do nich:

  • kontrola planowa, prowadzona zgodnie ze stworzonym uprzednio planem kontroli i wszczynana bez jakiegokolwiek postępowania w sprawie naruszenia przepisów o ochronie danych osobowych;
  • kontrola doraźna, prowadzona poza planem kontroli, zazwyczaj w oparciu o doniesienie np. prasowe; wszczynania również bez postępowania w sprawie naruszenia;
  • kontrola prowadzona w toku postępowania administracyjnego.

Celem przyspieszenia postępowań prowadzonych w związku z naruszeniem przepisów o ochronie danych osobowych, przewidziano, że kontrola prowadzona w ramach tego postępowania, nie może trwać dłużej niż miesiąc.

W sytuacji, gdy postępowanie kontrole prowadzone była poza postępowaniem administracyjnym (kontrola planowa i doraźna), w razie stwierdzenia istnienia naruszenia, Prezes Urzędu powinien niezwłocznie wszcząć postępowanie w tej sprawie. Ponadto już w trakcie postępowania kontrolnego, jeśli organ uzna, że dalsze przetwarzanie danych może spowodować poważne i trudne do usunięcia skutki, będzie mógł wydać postanowienie o ograniczeniu przetwarzania. W toku prowadzonej kontroli, Prezes Urzędu będzie mógł m.in. żądać złożenia pisemnych lub ustnych wyjaśnień oraz uzyska dostęp do wszelkich dokumentów oraz informacji zgormadzonych na nośnikach, w urządzeniach lub systemach informatycznych. W obawie przed naruszeniem interesów kontrolowanych podmiotów, te działania będą ograniczone obowiązkiem zapewnienia ochrony tajemnicy przedsiębiorstwa oraz innych tajemnic prawnie chronionych. 

Postępowanie w sprawie nieprzestrzegania przepisów

Postępowanie w sprawie nieprzestrzegania przepisów o ochronie danych osobowych będzie prowadzone na podstawie przepisów ustawy Kodeks postępowania administracyjnego, z uwzględnieniem pewnych specyficznych odrębności. W celu usprawnienia przebiegu postępowania, zniesiona zostanie ich dwuinstancyjność, a decyzjom wydawanym przez Prezesa Urzędu Ochrony Danych Osobowych nadany zostanie rygor natychmiastowej wykonalności. Rozstrzygnięcia Prezesa Urzędu będą jednak podlegać kontroli sądów administracyjnych. Organ będzie mógł również zmienić wydane decyzje w trybie autokontroli.

Bardzo wysokie kary finansowe

Prezes Urzędu Ochrony Danych Osobowych uzyska – zgodnie z nową ustawą – uprawnienie do nakładania bardzo wysokich kar finansowych za rażące naruszenia przepisów prawa – nawet w kwocie 20 mln euro. Prezes Urzędu będzie miał ponadto możliwość nałożenia kar pieniężnych na administrację rządową i samorządową, przede wszystkim na: Zakład Ubezpieczeń Społecznych oraz Narodowy Fundusz Zdrowia. Granica możliwych do nałożenia kar na sektor publiczny została jednak ograniczona do kwoty 100 tysięcy złotych, by zapewnić możliwość wykonywania przez administrację zadań publicznych.

Karina Wronka
Konsultant prawny w kancelarii BSiW