Prezydencki projekt nowelizacji ochrony danych osobowych

Jak słusznie zauważył Daniel w swoim komentarzu (za który serdecznie dziękuję: warto czytać komentarze czytelników ;) - dostępny jest już projekt nowelizacji ustawy o ochronie danych osobowych, o którym od pewnego czasu mówiło się nieoficjalnie (i oficjalnie, ale bez podawania do publicznej wiadomości jego treści). Prezydent RP skierował projekt do rozpatrzenia przez Sejm Rzeczypospolitej Polskiej i z tej okazji znamy jego treść.

Zarówno treść projektu (RTF) (również PDF) jak i treść uzasadnienia (RTF) (również PDF).

Z godnych uwagi ciekawostek można wymienić dodanie Rozdziału 7a pt. "Kary pieniężne", a tam m.in., że Generalny Inspektor może nałożyć (to projekt, proszę pamiętać), w drodze decyzji administracyjnej, karę pieniężną w wysokości stanowiącej równowartość od 1000 do 100 000 euro na podmiot, który nie wykonuje decyzji Generalnego Inspektora wydanej na podstawie art. 18 ust. 1 lub art. 44 ust. 2 i od której nie przysługują środki zaskarżenia oraz skarga do sądu administracyjnego. Niezależnie od tego może nałożyć karę pieniężną w wysokości 300% miesięcznego wynagrodzenia na kierownika kontrolowanej jednostki organizacyjnej albo osobę działającą z jego upoważnienia, którzy uniemożliwiają lub utrudniają przeprowadzenie czynności kontrolnych.

W art. 53 dodano ustęp drugi, zgodnie z którym "Kto przetwarza dane, o których mowa w art. 27 ust. 1, przed zarejestrowaniem zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2". A "kto będąc do tego obowiązany nie zgłasza Generalnemu Inspektorowi zmiany informacji zawartych w zgłoszeniu zbioru danych do rejestracji, w terminie 30 dni od dnia dokonania zmiany w zbiorze, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku" - to brzmienie proponowanego, nowego art. 53a ustawy. Dla przypomnienia podlinkuję wczorajsze doniesienie Dyskusja po brytyjskich wyciekach danych, a w nim o dyskusji na temat brytyjskiej nowelizacji the Data Protection Act.

Z Uzasadnienia:

Ponad dziewięcioletni okres obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej „ustawą”) wskazuje na potrzebę wprowadzenia kolejnych zmian mających na celu zagwarantowanie skuteczniejszej niż dotychczas ochrony danych osobowych. Podstawowym celem przedkładanego projektu jest zmiana – jak wskazuje doświadczenie mało efektywnych – rozwiązań przyjętych w zakresie stosowania sankcji karnych wobec podmiotów naruszających przepisy ustawy. Konieczność wprowadzenia skutecznego rozwiązania w kwestii egzekwowania prawa o ochronie danych osobowych wynika z postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych (zwanej dalej „Dyrektywą 95/46/WE”), na której polska ustawa – w momencie jej tworzenia – była wzorowana. Art. 24 Dyrektywy 95/46/WE obliguje państwa członkowskie do podjęcia działań zmierzających do zapewnienia pełnej realizacji praw i obowiązków, które zostały w niej określone, wiążąc jedynie co do celu jaki należy osiągnąć, a pozostawiając swobodę w wyborze drogi do jego osiągnięcia. W 1997 r. wydawało się, że przyjęte wówczas przepisy o odpowiedzialności karnej za naruszenie zasad określonych w ustawie o ochronie danych osobowych okażą się wystarczające w egzekwowaniu prawa, w związku z czym uznano, iż wprowadzenie innych sankcji nie jest konieczne. Stosowanie ustawy w praktyce oraz zdobyte doświadczenie wskazują jednak na niską skuteczność rozwiązań prawnokarnej ochrony danych osobowych. Przepisy ustawy w obowiązującym brzmieniu nie przyznają Generalnemu Inspektorowi Ochrony Danych Osobowych żadnych skutecznych instrumentów, które – po pierwsze – służyłyby egzekwowaniu prawa, po drugie zaś, byłyby gwarantem tego, że administratorzy danych, którzy uporczywie naruszają przepisy ustawy, nie respektując przy tym praw osób, których dane dotyczą, poniosą konsekwencje działań niezgodnych z ustawą.

Jednocześnie projekt nowelizacji ustawy o ochronie danych osobowych ma na celu wprowadzenie także innych zmian, podyktowanych doświadczeniami wynikającymi ze stosowania jej przepisów.

W art. 7 pkt 5 doprecyzowano definicję „zgody osoby, której dane dotyczą” na ich przetwarzanie, dodając, iż zgoda ta może być w każdym czasie odwołana. Dotychczas kwestia możliwości odwołania (cofnięcia) zgody była dyskusyjna. W literaturze przedmiotu, na gruncie obecnego brzmienia definicji „zgody”, spotkać można argumenty zarówno dopuszczające jej odwołalność, jak i przemawiające przeciwko takiemu rozwiązaniu. Proponowana zmiana rozstrzyga tę kwestię w sposób nie budzący wątpliwości, to jest dopuszcza odwołanie zgody. Rozwiązanie dopuszczające odwołalność raz udzielonej zgody funkcjonuje już w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

Z uwagi na zwiększenie zakresu zadań Generalnego Inspektora Ochrony Danych Osobowych, wynikającego z niniejszej nowelizacji (np. prawo nakładania kar pieniężnych, występowania z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych), ale przede wszystkim ze względu na ich wagę, konieczne jest, aby osoba powoływana na stanowisko Zastępcy Generalnego Inspektora posiadała wyższe wykształcenie prawnicze. Stąd też proponowana zmiana w art. 12a ust. 3 ustawy o ochronie danych osobowych.

W art. 13 przewidziano możliwość tworzenia w uzasadnionych przypadkach jednostek zamiejscowych Biura Generalnego Inspektora. Celem proponowanej zmiany jest zapewnienie obywatelom łatwiejszego dostępu do organu stojącego na straży zgodnego z prawem posługiwania się dotyczącymi ich informacjami. Proponowane rozwiązanie umożliwi Generalnemu Inspektorowi pełniejszą realizację jego ustawowych zadań w zakresie kontroli zgodności przetwarzania danych osobowych z przepisami statuującymi ich ochronę. Analogicznym uprawnieniem na gruncie obowiązujących aktów prawnych dysponuje np. Rzecznik Praw Obywatelskich (art. 22 ustawy z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich). Tworzenie terenowych delegatur przewidują również przepisy ustawy z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli oraz ustawy z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów.

Kolejna zmiana polegająca na dodaniu art. 19a ma na celu wyposażenie Generalnego Inspektora Ochrony Danych Osobowych w prawo:

• kierowania do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych,
• występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych, oraz zobligowanie adresatów takich wystąpień i wniosków do zajęcia stanowiska w sprawie w ściśle określonym terminie. Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu nie przyznawała Generalnemu Inspektorowi takich uprawnień, pomimo tego że analogicznymi uprawnieniami dysponuje – w sprawach objętych zakresem ich działania – szereg podmiotów, np. Rzecznik Praw Obywatelskich (art. 16 ustawy o Rzeczniku Praw Obywatelskich), Rzecznik Praw Dziecka (art. 11 ustawy z dnia 6 stycznia 2000 r. o Rzeczniku Praw Dziecka), czy Rzecznik Ubezpieczonych (art. 20 ustawy z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym i emerytalnym oraz Rzeczniku Ubezpieczonych).

W projektowanej nowelizacji proponuje się również uchylenie art. 29 ustawy. Celem zmiany jest dostosowanie przepisów ustawy do przepisów prawa UE. Komisja Europejska odnosząc się do treści art. 29 podkreślała, że zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej. Uchylenie art. 29 ma również charakter porządkujący. Nieuzasadnione było poddanie odrębnemu reżimowi wyłącznie procesu udostępniania danych osobowych w celach innych niż włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady – określone w art. 23 ust. 1 i art. 27 ust. 2 ustawy – regulujące legalność przetwarzania, a zatem również udostępniania danych.

Porządkujący charakter ma również zmiana zaproponowana w odniesieniu do art. 33 ust. 1 ustawy. Polega ona na skreśleniu enumeratywnie wymienionego katalogu informacji dotyczących okoliczności przetwarzania danych, jakie administrator danych obowiązany jest udzielić na wniosek podmiotu, którego dane te dotyczą. Katalog ten pokrywał się bowiem z tym, jaki wymieniony jest w art. 32 ust. 1 pkt 1-5a, do którego odwołuje się art. 33 ust. 1.

Kolejna zmiana o charakterze porządkowym dotyczy art. 41 ust. 1 pkt 2 ustawy i ma na celu skonkretyzowanie podmiotu zobowiązanego do zgłoszenia zbioru danych do rejestracji oraz doprecyzowanie i usystematyzowanie wymaganych informacji objętych zgłoszeniem zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obecna treść powyższego przepisu, w którym występuje pojęcie „podmiot prowadzący zbiór”, oznaczające w istocie administratora danych, w praktyce budzić może wątpliwości. Ponadto, w całej ustawie pojęcie to występuje wyłącznie w zmienianym przepisie. Niezbędne jest zatem ujednolicenie nazewnictwa. Jest to tym bardziej uzasadnione, że ustawa w tym samym przepisie (art. 41 ust. 2), dla określenia tego samego podmiotu, posługuje się pojęciem „administrator danych”.

Zmiana polegająca na dodaniu w art. 41 ust. 1 pkt 2 ustawy obowiązku zamieszczenia w formularzu zgłoszenia informacji dotyczących podmiotu, któremu administrator, w drodze umowy określonej w art. 31 ustawy, powierzył przetwarzanie danych, ma na celu ujednolicenie przepisów ustawy oraz formularza zgłoszenia do rejestracji zbioru danych osobowych. W obecnym stanie prawnym, administrator danych w pkt 3 części B formularza zgłoszenia, stanowiącego załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, zobowiązany jest do podania powyższych informacji. W art. 41 ust. 1 ustawy, określającym katalog informacji, które administrator danych zobowiązany jest wskazać zgłaszając zbiór danych do rejestracji, brak jest powyższego elementu formularza zgłoszenia.

Dodanie w art. 41 ustawy ust. 3 i 4 ma na celu podkreślenie, że w przypadku danych szczególnie chronionych, o których mowa w jej art. 27 ust. 1, administrator danych ma obowiązek zgłosić zmianę w zbiorze przed dokonaniem tej zmiany. Konsekwencję dodania ww. przepisów stanowi zmiana brzmienia art. 41 ust. 2 ustawy.

Projektowana nowelizacja zawiera istotne zmiany w zakresie sankcji za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Po rozdziale 7 dodano nowy rozdział 7a zatytułowany „Kary pieniężne”. Dotychczasowe doświadczenia organu ds. ochrony danych osobowych, zdobyte w trakcie kilkuletniego obowiązywania ustawy o ochronie danych osobowych wskazują na niską skuteczność norm przewidujących odpowiedzialność za działania podejmowane wbrew zasadom przewidzianym w jej przepisach. Brak efektywnego instrumentu w walce z nierzetelnymi administratorami danych oraz innymi podmiotami przetwarzającymi dane osobowe powoduje, iż niejednokrotnie nie stosują się one do – formułowanych przez Generalnego Inspektora w decyzjach administracyjnych – nakazów i zakazów, bądź uniemożliwiają podejmowanie działań, do których upoważnia go ustawa, dopuszczając się tym samym świadomego naruszenia przepisów prawa.

W wielu przypadkach przyczyną powyższego jest także brak właściwej reakcji ze strony organów stosujących przepisy karne. Działania organów ścigania w sprawach o popełnienie przestępstw określonych w ustawie o ochronie danych osobowych nie tylko nie służą wzmocnieniu ochrony danych osobowych, ale niejednokrotnie są przyczyną jej osłabienia wskutek powierzchownego i zbyt łagodnego traktowania podmiotów odpowiedzialnych za naruszanie tych przepisów. Analiza dotychczasowej działalności Generalnego Inspektora przeprowadzona pod kątem skierowanych do organów ścigania zawiadomień o popełnieniu przestępstwa wskazuje, iż na 462 takich zawiadomień jedynie w 58 przypadkach skierowane zostały do sądów akty oskarżenia . Nawet w sytuacjach ewidentnych naruszeń przepisów ustawy organy ścigania umarzają prowadzone postępowania wskazując jako podstawę wydawanych w tym zakresie postanowień znikomą społeczną szkodliwość czynu, tj. art. 17 § 1 pkt 3 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego. Takie działania wzmacniają w podmiotach, wobec których kierowane są zarzuty popełnienia przestępstwa poczucie bezkarności, wskutek czego obowiązki płynące z ustawy są przez nie lekceważone, a w osobach, których – statuowane przez ustawę w art. 1 – prawo do ochrony ich danych zostało naruszone, rodzi poczucie zagrożenia i bezsilności w związku z brakiem realnej możliwości jego ochrony w postępowaniu karnym.

W celu zapewnienia realnej ochrony danych osobowych w projekcie ustawy zaproponowano wyposażenie Generalnego Inspektora w takie instrumenty egzekwowania prawa od podmiotów naruszających przepisy ustawy o ochronie danych osobowych, które okażą się bardziej skuteczne od dotychczasowych. Podkreślić przy tym należy, iż wymaga tego również prawo unijne, nie narzucając przy tym środków, przy pomocy których efekt ten zostanie osiągnięty. Istotne jest bowiem jedynie, aby wskutek zastosowanego rozwiązania osiągnięty został zamierzony cel – a więc skuteczność w egzekwowaniu przestrzegania prawa. Doświadczenia wielu państw europejskich wskazują, że rozwiązaniem przynoszącym realny skutek w postaci podniesienia poziomu ochrony danych osobowych także wśród podmiotów, które wcześniej uporczywie działały niezgodnie z obowiązującymi przepisami, jest przyznanie organowi ds. ochrony danych osobowych możliwości nakładania kar pieniężnych. Takim uprawnieniem dysponują organy ochrony danych osobowych m.in. w Austrii, Czechach, Grecji, Hiszpanii, Portugalii, Niemczech, Słowacji, Estonii, Słowenii, Cyprze, Łotwie oraz we Francji.

W związku z powyższym, aby stworzyć w polskim systemie prawa efektywną ochronę danych osobowych i zapewnić Generalnemu Inspektorowi Ochrony Danych Osobowych instrument umożliwiający skuteczną egzekucję obowiązków wynikających z ustawy o ochronie danych osobowych konieczne jest rozszerzenie jego uprawnień i wyposażenie go w prawo nakładania w drodze decyzji administracyjnych kar pieniężnych. Ich wysokość określono jako równowartość od 1000 do 100 000 euro (art. 48a ust. 1). Wskazać w tym miejscu należy, iż górna granica kar pieniężnych nakładanych przez niektóre europejskie organy ds. ochrony danych osobowych wynosi: w Czechach ok. 618 000 euro, w Grecji ok. 146 735 euro, w Hiszpanii ok. 601 012 euro, w Niemczech ok. 250 000 euro, w Słowacji ok. 243 297 euro. Generalny Inspektor będzie mógł nałożyć karę pieniężną na podmiot, który nie wykonuje decyzji wydanej na podstawie art. 18 ust. 1 (nakazanie przywrócenia stanu zgodnego z prawem) lub art. 44 ust. 2 (odmowa rejestracji zbioru wraz z nakazem zastosowania środków określonych w ustawie).

Decyzja Generalnego Inspektora, której niewykonanie stanowić ma przesłankę nałożenia kary pieniężnej, powinna mieć charakter bezwzględnie obowiązujący, co oznacza pozostawanie decyzji w obiegu prawnym po ewentualnej i zainicjowanej przez stronę kontroli instancyjnej lub sądowej.

Powyższa regulacja ma zapobiec możliwości dwutorowego badania przez sąd w zasadzie tożsamej sprawy (decyzji nakazującej oraz decyzji o nałożeniu kary pieniężnej za niewykonywanie decyzji nakazującej). Potrzeba zapewnienia pewności sytuacji prawnej adresatów decyzji uzasadnia odstępstwo od generalnej zasady procedury administracyjnej, czyli rezygnację z możliwości nałożenia kary pieniężnej za niewykonywanie decyzji, która choć ostateczna i podlegająca wykonaniu może zostać wzruszona w wyniku kontroli sądowej.

Możliwość nakładania kar pieniężnych w drodze decyzji administracyjnych poddanych kognicji sądów administracyjnych nie jest instytucją nową i stanowi nawiązanie do istniejących regulacji w prawie polskim.

Zgodnie z art. 204 ust. 8 i 9 ustawy z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych w razie nieusunięcia nieprawidłowości w wyznaczonym terminie, organ nadzoru (Komisja Nadzoru Finansowego) może nałożyć na towarzystwo, depozytariusza lub osobę trzecią, której fundusz lub towarzystwo powierzyło wykonywanie niektórych czynności, karę pieniężną w wysokości do 500.000 zł. Natomiast w przypadku stwierdzenia na podstawie uzyskanych informacji, wyjaśnień lub dokumentów, rażącego naruszenia prawa lub rażącego naruszenia interesu członków funduszy, organ nadzoru może nałożyć na towarzystwo, depozytariusza lub osobę trzecią, której fundusz lub towarzystwo powierzyły wykonywanie niektórych czynności, karę pieniężną w wysokości do 500.000 zł, bezpośrednio po stwierdzeniu tych naruszeń.

Zgodnie z art. 165 ust. 1 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi w przypadku gdy spółka prowadząca giełdę narusza przepisy prawa, nie przestrzega zasad uczciwego obrotu lub narusza interesy uczestników obrotu, Komisja Nadzoru Finansowego może nałożyć karę pieniężną do wysokości 1.000.000 zł.
Zgodnie z art. 66 ust. 2 ustawy z dnia 28 marca 2003 r. o transporcie kolejowym Prezes Urzędu Transportu Kolejowego za naruszenie przez przedsiębiorcę określonego przepisu nakłada, w drodze decyzji, karę pieniężną w wysokości do 2% rocznego przychodu przedsiębiorcy, osiągniętego w poprzednim roku kalendarzowym. Niezależnie od kary pieniężnej Prezes UTK może nałożyć karę pieniężną na kierownika zarządcy i przewoźnika kolejowego, z tym że kara ta może być wymierzona w kwocie nie większej niż 300 % jego wynagrodzenia miesięcznego.

Generalny Inspektor ustalając wysokość kary pieniężnej będzie obowiązany uwzględniać zakres naruszenia, dotychczasową działalność podmiotu w zakresie przestrzegania przepisów o ochronie danych osobowych oraz jego możliwości finansowe. Wprowadzony został również przepis, który przewiduje, iż nie nakłada się kary pieniężnej, jeżeli od dnia popełnienia czynów zagrożonych karą upłynęły 2 lata (art. 48a ust. 6).

Uzasadniając wyposażenie Generalnego Inspektora w możliwość nakładania kar pieniężnych w wysokości do 300% miesięcznego wynagrodzenia na osobę, która uniemożliwia lub utrudnia przeprowadzenie czynności kontrolnych wskazać należy, że proponowane rozwiązanie (art. 48a ust. 4) jest konsekwencją praktycznych problemów, z którymi Generalny Inspektor spotkał się w swojej dotychczasowej działalności. Zdarzały się bowiem przypadki, gdy kontrolowane podmioty utrudniały bądź wręcz uniemożliwiały przeprowadzanie kontroli, do których inspektorzy są upoważnieni z mocy prawa.

Nakładanie przez Generalnego Inspektora kar pieniężnych w drodze decyzji administracyjnej poddane będzie na zasadach ogólnych kontroli sądowej (art. 48b). Za poddaniem nadzorowi sądu administracyjnego decyzji o nałożeniu kary pieniężnej przemawia doskonała znajomość problematyki ochrony danych osobowych w związku z tym, iż rozpatruje on również skargi na inne decyzje administracyjne wydawane przez organ ds. ochrony danych osobowych. Zarówno doświadczenie sądu w tym zakresie, jak też znajomość tematyki ochrony danych osobowych niewątpliwie sprawi, iż decyzje Generalnego Inspektora będą weryfikowane przez sąd, który – ze względu na merytoryczne przygotowanie – będzie mógł realnie ocenić zasadność nałożonej kary oraz jej adekwatność do spowodowanego czynu.

W art. 48c ust. 1 i 2 sprecyzowane zostały – w sposób nie budzący wątpliwości – terminy uiszczania kar pieniężnych oraz sposób ich ściągania. Skorelowany jest on z art. 2 § 1 pkt 2 ustawy z dnia 17 czerwca 1966 r.
o postępowaniu egzekucyjnym w administracji (tekst jednolity: Dz. U. z 2005 r. Nr 229, poz. 1954, ze zm.), zgodnie z którym egzekucji administracyjnej podlegają grzywny i kary pieniężne wymierzane przez organy administracji publicznej. Środki pochodzące z kar pieniężnych stanowić będą dochód budżetu państwa (art. 48c ust. 3).

W rozdziale 8, w art. 53 ust. 2 oraz w art. 53a, stypizowane zostały dwa nowe przestępstwa. Pierwsze z nich odnosi się do przetwarzania – wymienionych w art. 27 ust. 1 ustawy – danych poddanych przez ustawodawcę szczególnej ochronie, przed zarejestrowaniem zbioru danych. Przepis ten skorelowany jest z obowiązkiem wynikającym z art. 46 ust. 2 ustawy, który uzależnia legalność przetwarzania tej kategorii danych od uprzedniego zarejestrowania zbioru danych, w którym są one przetwarzane. Drugi z dodanych przepisów przewiduje sankcje za niedopełnienie obowiązku, o którym mowa w art. 41 ust. 2, tj. obowiązku poinformowania Generalnego Inspektora o zmianach informacji wskazanych w zgłoszeniu zbioru danych do rejestracji w terminie 30 dni od dnia dokonania zmian. Konieczność dodania powyższych przepisów podyktowana była brakiem – w obecnym stanie prawnym – jakichkolwiek konsekwencji za niedopełnienie w/w obowiązków, które mają kluczowe znaczenie z punktu widzenia ustawy – umożliwiają bowiem kontrolę, kto, w jakim zakresie i w jakich okolicznościach przetwarza dane, zwłaszcza te poddane przez ustawodawcę szczególnej ochronie.

Jednocześnie z przepisów karnych uchylono art. 50 penalizujący czyn polegający na przechowywaniu w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru. Popełnienie takiego czynu w istocie wypełnia bowiem również dyspozycję art. 49 ustawy. Funkcjonowanie w obrocie prawnym dwóch przepisów penalizujących taki sam czyn uznano za zbędne.

Odnosząc się do terminów wejścia w życie przepisów ustawy o zmianie ustawy o ochronie danych osobowych, z uwagi na ich charakter i rodzące skutki, proponuje się ich wejście w życie po upływie trzech miesięcy od dnia ogłoszenia ustawy.

(...)