Prezydencki projekt nowelizacji ochrony danych osobowych

Jak słusznie zauważył Daniel w swoim komentarzu (za który serdecznie dziękuję: warto czytać komentarze czytelników ;) - dostępny jest już projekt nowelizacji ustawy o ochronie danych osobowych, o którym od pewnego czasu mówiło się nieoficjalnie (i oficjalnie, ale bez podawania do publicznej wiadomości jego treści). Prezydent RP skierował projekt do rozpatrzenia przez Sejm Rzeczypospolitej Polskiej i z tej okazji znamy jego treść.

Zarówno treść projektu (RTF) (również PDF) jak i treść uzasadnienia (RTF) (również PDF).

Z godnych uwagi ciekawostek można wymienić dodanie Rozdziału 7a pt. "Kary pieniężne", a tam m.in., że Generalny Inspektor może nałożyć (to projekt, proszę pamiętać), w drodze decyzji administracyjnej, karę pieniężną w wysokości stanowiącej równowartość od 1000 do 100 000 euro na podmiot, który nie wykonuje decyzji Generalnego Inspektora wydanej na podstawie art. 18 ust. 1 lub art. 44 ust. 2 i od której nie przysługują środki zaskarżenia oraz skarga do sądu administracyjnego. Niezależnie od tego może nałożyć karę pieniężną w wysokości 300% miesięcznego wynagrodzenia na kierownika kontrolowanej jednostki organizacyjnej albo osobę działającą z jego upoważnienia, którzy uniemożliwiają lub utrudniają przeprowadzenie czynności kontrolnych.

W art. 53 dodano ustęp drugi, zgodnie z którym "Kto przetwarza dane, o których mowa w art. 27 ust. 1, przed zarejestrowaniem zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2". A "kto będąc do tego obowiązany nie zgłasza Generalnemu Inspektorowi zmiany informacji zawartych w zgłoszeniu zbioru danych do rejestracji, w terminie 30 dni od dnia dokonania zmiany w zbiorze, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku" - to brzmienie proponowanego, nowego art. 53a ustawy. Dla przypomnienia podlinkuję wczorajsze doniesienie Dyskusja po brytyjskich wyciekach danych, a w nim o dyskusji na temat brytyjskiej nowelizacji the Data Protection Act.

Z Uzasadnienia:

Ponad dziewięcioletni okres obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej „ustawą”) wskazuje na potrzebę wprowadzenia kolejnych zmian mających na celu zagwarantowanie skuteczniejszej niż dotychczas ochrony danych osobowych. Podstawowym celem przedkładanego projektu jest zmiana – jak wskazuje doświadczenie mało efektywnych – rozwiązań przyjętych w zakresie stosowania sankcji karnych wobec podmiotów naruszających przepisy ustawy. Konieczność wprowadzenia skutecznego rozwiązania w kwestii egzekwowania prawa o ochronie danych osobowych wynika z postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych (zwanej dalej „Dyrektywą 95/46/WE”), na której polska ustawa – w momencie jej tworzenia – była wzorowana. Art. 24 Dyrektywy 95/46/WE obliguje państwa członkowskie do podjęcia działań zmierzających do zapewnienia pełnej realizacji praw i obowiązków, które zostały w niej określone, wiążąc jedynie co do celu jaki należy osiągnąć, a pozostawiając swobodę w wyborze drogi do jego osiągnięcia. W 1997 r. wydawało się, że przyjęte wówczas przepisy o odpowiedzialności karnej za naruszenie zasad określonych w ustawie o ochronie danych osobowych okażą się wystarczające w egzekwowaniu prawa, w związku z czym uznano, iż wprowadzenie innych sankcji nie jest konieczne. Stosowanie ustawy w praktyce oraz zdobyte doświadczenie wskazują jednak na niską skuteczność rozwiązań prawnokarnej ochrony danych osobowych. Przepisy ustawy w obowiązującym brzmieniu nie przyznają Generalnemu Inspektorowi Ochrony Danych Osobowych żadnych skutecznych instrumentów, które – po pierwsze – służyłyby egzekwowaniu prawa, po drugie zaś, byłyby gwarantem tego, że administratorzy danych, którzy uporczywie naruszają przepisy ustawy, nie respektując przy tym praw osób, których dane dotyczą, poniosą konsekwencje działań niezgodnych z ustawą.

Jednocześnie projekt nowelizacji ustawy o ochronie danych osobowych ma na celu wprowadzenie także innych zmian, podyktowanych doświadczeniami wynikającymi ze stosowania jej przepisów.

W art. 7 pkt 5 doprecyzowano definicję „zgody osoby, której dane dotyczą” na ich przetwarzanie, dodając, iż zgoda ta może być w każdym czasie odwołana. Dotychczas kwestia możliwości odwołania (cofnięcia) zgody była dyskusyjna. W literaturze przedmiotu, na gruncie obecnego brzmienia definicji „zgody”, spotkać można argumenty zarówno dopuszczające jej odwołalność, jak i przemawiające przeciwko takiemu rozwiązaniu. Proponowana zmiana rozstrzyga tę kwestię w sposób nie budzący wątpliwości, to jest dopuszcza odwołanie zgody. Rozwiązanie dopuszczające odwołalność raz udzielonej zgody funkcjonuje już w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

Z uwagi na zwiększenie zakresu zadań Generalnego Inspektora Ochrony Danych Osobowych, wynikającego z niniejszej nowelizacji (np. prawo nakładania kar pieniężnych, występowania z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych), ale przede wszystkim ze względu na ich wagę, konieczne jest, aby osoba powoływana na stanowisko Zastępcy Generalnego Inspektora posiadała wyższe wykształcenie prawnicze. Stąd też proponowana zmiana w art. 12a ust. 3 ustawy o ochronie danych osobowych.

W art. 13 przewidziano możliwość tworzenia w uzasadnionych przypadkach jednostek zamiejscowych Biura Generalnego Inspektora. Celem proponowanej zmiany jest zapewnienie obywatelom łatwiejszego dostępu do organu stojącego na straży zgodnego z prawem posługiwania się dotyczącymi ich informacjami. Proponowane rozwiązanie umożliwi Generalnemu Inspektorowi pełniejszą realizację jego ustawowych zadań w zakresie kontroli zgodności przetwarzania danych osobowych z przepisami statuującymi ich ochronę. Analogicznym uprawnieniem na gruncie obowiązujących aktów prawnych dysponuje np. Rzecznik Praw Obywatelskich (art. 22 ustawy z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich). Tworzenie terenowych delegatur przewidują również przepisy ustawy z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli oraz ustawy z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów.

Kolejna zmiana polegająca na dodaniu art. 19a ma na celu wyposażenie Generalnego Inspektora Ochrony Danych Osobowych w prawo:

  • kierowania do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych,
  • występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych, oraz zobligowanie adresatów takich wystąpień i wniosków do zajęcia stanowiska w sprawie w ściśle określonym terminie. Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu nie przyznawała Generalnemu Inspektorowi takich uprawnień, pomimo tego że analogicznymi uprawnieniami dysponuje – w sprawach objętych zakresem ich działania – szereg podmiotów, np. Rzecznik Praw Obywatelskich (art. 16 ustawy o Rzeczniku Praw Obywatelskich), Rzecznik Praw Dziecka (art. 11 ustawy z dnia 6 stycznia 2000 r. o Rzeczniku Praw Dziecka), czy Rzecznik Ubezpieczonych (art. 20 ustawy z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym i emerytalnym oraz Rzeczniku Ubezpieczonych).

W projektowanej nowelizacji proponuje się również uchylenie art. 29 ustawy. Celem zmiany jest dostosowanie przepisów ustawy do przepisów prawa UE. Komisja Europejska odnosząc się do treści art. 29 podkreślała, że zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej. Uchylenie art. 29 ma również charakter porządkujący. Nieuzasadnione było poddanie odrębnemu reżimowi wyłącznie procesu udostępniania danych osobowych w celach innych niż włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady – określone w art. 23 ust. 1 i art. 27 ust. 2 ustawy – regulujące legalność przetwarzania, a zatem również udostępniania danych.

Porządkujący charakter ma również zmiana zaproponowana w odniesieniu do art. 33 ust. 1 ustawy. Polega ona na skreśleniu enumeratywnie wymienionego katalogu informacji dotyczących okoliczności przetwarzania danych, jakie administrator danych obowiązany jest udzielić na wniosek podmiotu, którego dane te dotyczą. Katalog ten pokrywał się bowiem z tym, jaki wymieniony jest w art. 32 ust. 1 pkt 1-5a, do którego odwołuje się art. 33 ust. 1.

Kolejna zmiana o charakterze porządkowym dotyczy art. 41 ust. 1 pkt 2 ustawy i ma na celu skonkretyzowanie podmiotu zobowiązanego do zgłoszenia zbioru danych do rejestracji oraz doprecyzowanie i usystematyzowanie wymaganych informacji objętych zgłoszeniem zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obecna treść powyższego przepisu, w którym występuje pojęcie „podmiot prowadzący zbiór”, oznaczające w istocie administratora danych, w praktyce budzić może wątpliwości. Ponadto, w całej ustawie pojęcie to występuje wyłącznie w zmienianym przepisie. Niezbędne jest zatem ujednolicenie nazewnictwa. Jest to tym bardziej uzasadnione, że ustawa w tym samym przepisie (art. 41 ust. 2), dla określenia tego samego podmiotu, posługuje się pojęciem „administrator danych”.

Zmiana polegająca na dodaniu w art. 41 ust. 1 pkt 2 ustawy obowiązku zamieszczenia w formularzu zgłoszenia informacji dotyczących podmiotu, któremu administrator, w drodze umowy określonej w art. 31 ustawy, powierzył przetwarzanie danych, ma na celu ujednolicenie przepisów ustawy oraz formularza zgłoszenia do rejestracji zbioru danych osobowych. W obecnym stanie prawnym, administrator danych w pkt 3 części B formularza zgłoszenia, stanowiącego załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, zobowiązany jest do podania powyższych informacji. W art. 41 ust. 1 ustawy, określającym katalog informacji, które administrator danych zobowiązany jest wskazać zgłaszając zbiór danych do rejestracji, brak jest powyższego elementu formularza zgłoszenia.

Dodanie w art. 41 ustawy ust. 3 i 4 ma na celu podkreślenie, że w przypadku danych szczególnie chronionych, o których mowa w jej art. 27 ust. 1, administrator danych ma obowiązek zgłosić zmianę w zbiorze przed dokonaniem tej zmiany. Konsekwencję dodania ww. przepisów stanowi zmiana brzmienia art. 41 ust. 2 ustawy.

Projektowana nowelizacja zawiera istotne zmiany w zakresie sankcji za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Po rozdziale 7 dodano nowy rozdział 7a zatytułowany „Kary pieniężne”. Dotychczasowe doświadczenia organu ds. ochrony danych osobowych, zdobyte w trakcie kilkuletniego obowiązywania ustawy o ochronie danych osobowych wskazują na niską skuteczność norm przewidujących odpowiedzialność za działania podejmowane wbrew zasadom przewidzianym w jej przepisach. Brak efektywnego instrumentu w walce z nierzetelnymi administratorami danych oraz innymi podmiotami przetwarzającymi dane osobowe powoduje, iż niejednokrotnie nie stosują się one do – formułowanych przez Generalnego Inspektora w decyzjach administracyjnych – nakazów i zakazów, bądź uniemożliwiają podejmowanie działań, do których upoważnia go ustawa, dopuszczając się tym samym świadomego naruszenia przepisów prawa.

W wielu przypadkach przyczyną powyższego jest także brak właściwej reakcji ze strony organów stosujących przepisy karne. Działania organów ścigania w sprawach o popełnienie przestępstw określonych w ustawie o ochronie danych osobowych nie tylko nie służą wzmocnieniu ochrony danych osobowych, ale niejednokrotnie są przyczyną jej osłabienia wskutek powierzchownego i zbyt łagodnego traktowania podmiotów odpowiedzialnych za naruszanie tych przepisów. Analiza dotychczasowej działalności Generalnego Inspektora przeprowadzona pod kątem skierowanych do organów ścigania zawiadomień o popełnieniu przestępstwa wskazuje, iż na 462 takich zawiadomień jedynie w 58 przypadkach skierowane zostały do sądów akty oskarżenia . Nawet w sytuacjach ewidentnych naruszeń przepisów ustawy organy ścigania umarzają prowadzone postępowania wskazując jako podstawę wydawanych w tym zakresie postanowień znikomą społeczną szkodliwość czynu, tj. art. 17 § 1 pkt 3 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego. Takie działania wzmacniają w podmiotach, wobec których kierowane są zarzuty popełnienia przestępstwa poczucie bezkarności, wskutek czego obowiązki płynące z ustawy są przez nie lekceważone, a w osobach, których – statuowane przez ustawę w art. 1 – prawo do ochrony ich danych zostało naruszone, rodzi poczucie zagrożenia i bezsilności w związku z brakiem realnej możliwości jego ochrony w postępowaniu karnym.

W celu zapewnienia realnej ochrony danych osobowych w projekcie ustawy zaproponowano wyposażenie Generalnego Inspektora w takie instrumenty egzekwowania prawa od podmiotów naruszających przepisy ustawy o ochronie danych osobowych, które okażą się bardziej skuteczne od dotychczasowych. Podkreślić przy tym należy, iż wymaga tego również prawo unijne, nie narzucając przy tym środków, przy pomocy których efekt ten zostanie osiągnięty. Istotne jest bowiem jedynie, aby wskutek zastosowanego rozwiązania osiągnięty został zamierzony cel – a więc skuteczność w egzekwowaniu przestrzegania prawa. Doświadczenia wielu państw europejskich wskazują, że rozwiązaniem przynoszącym realny skutek w postaci podniesienia poziomu ochrony danych osobowych także wśród podmiotów, które wcześniej uporczywie działały niezgodnie z obowiązującymi przepisami, jest przyznanie organowi ds. ochrony danych osobowych możliwości nakładania kar pieniężnych. Takim uprawnieniem dysponują organy ochrony danych osobowych m.in. w Austrii, Czechach, Grecji, Hiszpanii, Portugalii, Niemczech, Słowacji, Estonii, Słowenii, Cyprze, Łotwie oraz we Francji.

W związku z powyższym, aby stworzyć w polskim systemie prawa efektywną ochronę danych osobowych i zapewnić Generalnemu Inspektorowi Ochrony Danych Osobowych instrument umożliwiający skuteczną egzekucję obowiązków wynikających z ustawy o ochronie danych osobowych konieczne jest rozszerzenie jego uprawnień i wyposażenie go w prawo nakładania w drodze decyzji administracyjnych kar pieniężnych. Ich wysokość określono jako równowartość od 1000 do 100 000 euro (art. 48a ust. 1). Wskazać w tym miejscu należy, iż górna granica kar pieniężnych nakładanych przez niektóre europejskie organy ds. ochrony danych osobowych wynosi: w Czechach ok. 618 000 euro, w Grecji ok. 146 735 euro, w Hiszpanii ok. 601 012 euro, w Niemczech ok. 250 000 euro, w Słowacji ok. 243 297 euro. Generalny Inspektor będzie mógł nałożyć karę pieniężną na podmiot, który nie wykonuje decyzji wydanej na podstawie art. 18 ust. 1 (nakazanie przywrócenia stanu zgodnego z prawem) lub art. 44 ust. 2 (odmowa rejestracji zbioru wraz z nakazem zastosowania środków określonych w ustawie).

Decyzja Generalnego Inspektora, której niewykonanie stanowić ma przesłankę nałożenia kary pieniężnej, powinna mieć charakter bezwzględnie obowiązujący, co oznacza pozostawanie decyzji w obiegu prawnym po ewentualnej i zainicjowanej przez stronę kontroli instancyjnej lub sądowej.

Powyższa regulacja ma zapobiec możliwości dwutorowego badania przez sąd w zasadzie tożsamej sprawy (decyzji nakazującej oraz decyzji o nałożeniu kary pieniężnej za niewykonywanie decyzji nakazującej). Potrzeba zapewnienia pewności sytuacji prawnej adresatów decyzji uzasadnia odstępstwo od generalnej zasady procedury administracyjnej, czyli rezygnację z możliwości nałożenia kary pieniężnej za niewykonywanie decyzji, która choć ostateczna i podlegająca wykonaniu może zostać wzruszona w wyniku kontroli sądowej.

Możliwość nakładania kar pieniężnych w drodze decyzji administracyjnych poddanych kognicji sądów administracyjnych nie jest instytucją nową i stanowi nawiązanie do istniejących regulacji w prawie polskim.

Zgodnie z art. 204 ust. 8 i 9 ustawy z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych w razie nieusunięcia nieprawidłowości w wyznaczonym terminie, organ nadzoru (Komisja Nadzoru Finansowego) może nałożyć na towarzystwo, depozytariusza lub osobę trzecią, której fundusz lub towarzystwo powierzyło wykonywanie niektórych czynności, karę pieniężną w wysokości do 500.000 zł. Natomiast w przypadku stwierdzenia na podstawie uzyskanych informacji, wyjaśnień lub dokumentów, rażącego naruszenia prawa lub rażącego naruszenia interesu członków funduszy, organ nadzoru może nałożyć na towarzystwo, depozytariusza lub osobę trzecią, której fundusz lub towarzystwo powierzyły wykonywanie niektórych czynności, karę pieniężną w wysokości do 500.000 zł, bezpośrednio po stwierdzeniu tych naruszeń.

Zgodnie z art. 165 ust. 1 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi w przypadku gdy spółka prowadząca giełdę narusza przepisy prawa, nie przestrzega zasad uczciwego obrotu lub narusza interesy uczestników obrotu, Komisja Nadzoru Finansowego może nałożyć karę pieniężną do wysokości 1.000.000 zł.
Zgodnie z art. 66 ust. 2 ustawy z dnia 28 marca 2003 r. o transporcie kolejowym Prezes Urzędu Transportu Kolejowego za naruszenie przez przedsiębiorcę określonego przepisu nakłada, w drodze decyzji, karę pieniężną w wysokości do 2% rocznego przychodu przedsiębiorcy, osiągniętego w poprzednim roku kalendarzowym. Niezależnie od kary pieniężnej Prezes UTK może nałożyć karę pieniężną na kierownika zarządcy i przewoźnika kolejowego, z tym że kara ta może być wymierzona w kwocie nie większej niż 300 % jego wynagrodzenia miesięcznego.

Generalny Inspektor ustalając wysokość kary pieniężnej będzie obowiązany uwzględniać zakres naruszenia, dotychczasową działalność podmiotu w zakresie przestrzegania przepisów o ochronie danych osobowych oraz jego możliwości finansowe. Wprowadzony został również przepis, który przewiduje, iż nie nakłada się kary pieniężnej, jeżeli od dnia popełnienia czynów zagrożonych karą upłynęły 2 lata (art. 48a ust. 6).

Uzasadniając wyposażenie Generalnego Inspektora w możliwość nakładania kar pieniężnych w wysokości do 300% miesięcznego wynagrodzenia na osobę, która uniemożliwia lub utrudnia przeprowadzenie czynności kontrolnych wskazać należy, że proponowane rozwiązanie (art. 48a ust. 4) jest konsekwencją praktycznych problemów, z którymi Generalny Inspektor spotkał się w swojej dotychczasowej działalności. Zdarzały się bowiem przypadki, gdy kontrolowane podmioty utrudniały bądź wręcz uniemożliwiały przeprowadzanie kontroli, do których inspektorzy są upoważnieni z mocy prawa.

Nakładanie przez Generalnego Inspektora kar pieniężnych w drodze decyzji administracyjnej poddane będzie na zasadach ogólnych kontroli sądowej (art. 48b). Za poddaniem nadzorowi sądu administracyjnego decyzji o nałożeniu kary pieniężnej przemawia doskonała znajomość problematyki ochrony danych osobowych w związku z tym, iż rozpatruje on również skargi na inne decyzje administracyjne wydawane przez organ ds. ochrony danych osobowych. Zarówno doświadczenie sądu w tym zakresie, jak też znajomość tematyki ochrony danych osobowych niewątpliwie sprawi, iż decyzje Generalnego Inspektora będą weryfikowane przez sąd, który – ze względu na merytoryczne przygotowanie – będzie mógł realnie ocenić zasadność nałożonej kary oraz jej adekwatność do spowodowanego czynu.

W art. 48c ust. 1 i 2 sprecyzowane zostały – w sposób nie budzący wątpliwości – terminy uiszczania kar pieniężnych oraz sposób ich ściągania. Skorelowany jest on z art. 2 § 1 pkt 2 ustawy z dnia 17 czerwca 1966 r.
o postępowaniu egzekucyjnym w administracji (tekst jednolity: Dz. U. z 2005 r. Nr 229, poz. 1954, ze zm.), zgodnie z którym egzekucji administracyjnej podlegają grzywny i kary pieniężne wymierzane przez organy administracji publicznej. Środki pochodzące z kar pieniężnych stanowić będą dochód budżetu państwa (art. 48c ust. 3).

W rozdziale 8, w art. 53 ust. 2 oraz w art. 53a, stypizowane zostały dwa nowe przestępstwa. Pierwsze z nich odnosi się do przetwarzania – wymienionych w art. 27 ust. 1 ustawy – danych poddanych przez ustawodawcę szczególnej ochronie, przed zarejestrowaniem zbioru danych. Przepis ten skorelowany jest z obowiązkiem wynikającym z art. 46 ust. 2 ustawy, który uzależnia legalność przetwarzania tej kategorii danych od uprzedniego zarejestrowania zbioru danych, w którym są one przetwarzane. Drugi z dodanych przepisów przewiduje sankcje za niedopełnienie obowiązku, o którym mowa w art. 41 ust. 2, tj. obowiązku poinformowania Generalnego Inspektora o zmianach informacji wskazanych w zgłoszeniu zbioru danych do rejestracji w terminie 30 dni od dnia dokonania zmian. Konieczność dodania powyższych przepisów podyktowana była brakiem – w obecnym stanie prawnym – jakichkolwiek konsekwencji za niedopełnienie w/w obowiązków, które mają kluczowe znaczenie z punktu widzenia ustawy – umożliwiają bowiem kontrolę, kto, w jakim zakresie i w jakich okolicznościach przetwarza dane, zwłaszcza te poddane przez ustawodawcę szczególnej ochronie.

Jednocześnie z przepisów karnych uchylono art. 50 penalizujący czyn polegający na przechowywaniu w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru. Popełnienie takiego czynu w istocie wypełnia bowiem również dyspozycję art. 49 ustawy. Funkcjonowanie w obrocie prawnym dwóch przepisów penalizujących taki sam czyn uznano za zbędne.

Odnosząc się do terminów wejścia w życie przepisów ustawy o zmianie ustawy o ochronie danych osobowych, z uwagi na ich charakter i rodzące skutki, proponuje się ich wejście w życie po upływie trzech miesięcy od dnia ogłoszenia ustawy.

(...)

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Projekt jest dostępny na

Projekt jest dostępny na stronach Kancelarii Prezydenta od pewnego czasu i muszę powiedzieć, że jego lektura mnie rozczarowała. Wprowadzeniu systemu kar pieniężnych nie towarzyszy usunięcie, a wręcz rozbudowanie systemu sankcji karnych. Jednocześnie kary pieniężne to nie kary "za naruszenie", ale za niewykonywanie decyzji GIODO. Pytanie tylko, dlaczego dotychczas GIODO nie korzystał z przepisów o postępowaniu egzekucyjnym w administracji, które umożliwiają nakładanie grzywien?
Pozostałe zmiany to zmiany kosmetyczne raczej, niewiele wnoszące do całości ustawy.
A poza wszystkim, to przeraża niski merytorycznie poziom projektu i uzasadnienia. Bo jak inaczej ocenić uchylenie art. 29, a pozostawienie art. 30, który jest rozwinięciem art. ... 29? Albo co to znaczy "bezwzględnie obowiązujący" charakter decyzji administracyjnej?

Nowelizacja moim zdaniem

Nowelizacja moim zdaniem spowoduje zmianę trybu postępowania przez GIODO. Do tej pory, po wydaniu odpowiednich decyzji, tylko w nielicznych przypadkach szły ponowne inspekcje sprawdzające wykonanie decyzji. Urząd zadowalał się często pisemnym oświadczeniem. Po zmianach inspekcje będą normalnością a ponowne stwierdzenie uchybień będzie tragiczne w skutkach dla kontrolowanych podmiotów.

A co do grzywien z postępowania egzekucyjnego... O ile mi wiadomo p. Kulesza wątpiła w skuteczność tego rozwiązania. Do lipca 2007 r. grzywna nie mogła przekroczyć 25.000 zł - może więc dlatego? Jakie jest stanowisko nowego GI, nie wiem...

Pytania do GIODO

VaGla's picture

Jakiś czas temu obiecano mi możliwość przeprowadzenia wywiadu z ministrem Serzyckim, GIODO. Działo się bardzo wiele spraw i do spotkania nie doszło. Sprawdzę, czy sprawa jest jeszcze aktualna. Jeśli do takiego spotkania mogłoby dojść, to chętnie zadam ministrowi pytania dotyczące nowelizacji (poza innymi, które mam w zanadrzu). Być może czytelnicy chcieliby znać odpowiedź na jakieś własne pytanie? Można by spróbować zebrać taką "paczkę" :)
--
[VaGla] Vigilant Android Generated for Logical Assassination

Wszystkie kancelarie urzędów do zgłoszenia do GIODO

kschmidt's picture

Wreszcie znalazłem chwilę na przedarcie się przez propozycję nowelizacji ustawy odo.
Chciałbym zwrócić uwagę na dwie sprawy. Jedną strategiczną o której tylko wspomnę (bo nie mieści się ona w tym wątku, choć mieści się w temacie odo), a drugą konkretną.
Zacznę od konkretnej:
Art. 40 wymaga zgłoszenia zbioru danych osobowych do GIODO, a wyłączenia z tego obowiązku znajdują się w art. 43.1.
Przypomnę więc czego można nie zgłaszać:

1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
3) dotyczących członków kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
4) dotyczących osób u nich zatrudnionych, zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie ordynacji wyborczych do Sejmu, Senatu, rad gmin, rad powiatów i sejmików województw, ustawy o wyborze Prezydenta Rzeczypospolitej Polskiej oraz ustaw o referendum i ustawy o referendum gminnym,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Z tego wynika, że praktycznie rzecz biorąc każdy podmiot publiczny prowadzący kancelarię elektroniczną (a może nie tylko elektroniczną) powinien zgłosić taki zbiór do rejestracji. Nie wątpię, że zaliczają się doń także kancelarie Sejmu, Prezydenta i Premiera. Nie znajduję bowiem na liście wyłączeń danych przetwarzanych w typowej kancelarii znajdującej się w każdym podmiocie publicznym w którym obowiązuje instrukcja kancelaryjna. Dziś praktycznie każdy urząd administracji publicznej, prokuratura, sąd itp. rejestruje, albo zamierza rejestrować przychodząca korespondencję elektronicznie. Znany jest nawet przypadek, że GIODO nakazał zgłoszenie - cytuję (wszystkie cytaty za wydawnictwem LEX: "wyrok wsa II SA/Wa 734/05: LEX nr 217395"). Uwaga - to tylko fragment zarzutów GIODO.

Dopełnienie obowiązku zgłoszenia do rejestracji zbioru danych, w którym są przetwarzane dane osób składających skargi i wnioski dotyczące działalności Prokuratury Okręgowej w Olsztynie oraz Prokuratur Rejonowych Okręgu Olsztyńskiego

.
Prokuratura się odwołała do sądu uzasadniając to tym że:

Zdaniem skarżącego, Generalny Inspektor nietrafnie doszukuje się zbioru danych w prowadzonym ręcznie rejestrze w Olsztynie. Rejestr ten nie jest bowiem zbiorem danych osobowych, gdyż nie wyczerpuje znamion zorganizowania tych danych w zbiór danych w rozumieniu ustawy o ochronie danych osobowych, a jedynie zawiera zestaw danych osób składających skargi.

Na to sąd - i tu znów cytat (podkreślenie moje):

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje (...)
Rozpoznając skargę w świetle powołanych powyżej przepisów należy stwierdzić, że nie zasługuje ona na uwzględnienie.
W myśl art. 7 ust. 1 ustawy o ochronie danych osobowych przez zbiór danych osobowych należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Pojęcie zbioru danych obejmuje swoim zakresem zarówno zbiory zautomatyzowane, jak i niezautomatyzowane (normalne, tradycyjne).
Jak się zaznacza w komentarzach do Dyrektywy 95/46/EC, która zawiera podobną jak polska ustawa definicję zbioru danych, zbiorami takimi mogą być również ręczne zbiory ewidencyjne, zgromadzone akta (teczki, kartoteki) osobowe, zgromadzone materiały, na przykład formularze, kwestionariusze uporządkowane i ułożone w odpowiedni sposób (por. J. Barta, P. Fajgielski, R. Markiewicz, "Ochrona danych osobowych - komentarz", Wyd. III, Zakamycze 2004, s. 390, teza 2).

Podsumowując wnioski z tej historii podkreślam, że nie chcę tu wracać do dyskusji co jest, a co nie jest zbiorem danych osobowych. Chodzi mi tylko o to aby zgłoszenia nie wymagały takie zbiory co do których oczywiste jest, że aby pracować zgodnie z prawem, podmioty MUSZĄ je posiadać. A skoro MUSZĄ to PO CO mają je zgłaszać do GIODO? To bezsensowny koszt, zgłaszania, rejestracji i przetwarzania danych o zbiorach. Po co w GIODO wykaz wszystkich podmiotów publicznych w Polsce? I to trzeba koniecznie naprawić w nowelizacji ustawy o GIODO dopisując w art.43 pkt 12 w brzmieniu:
"przetwarzanych w celu porządkowania, gromadzenia oraz przechowywania dokumentacji wynikającej załatwianych przez podmioty publiczne spraw w zakresie ich właściwości".

Druga z sygnalizowanych spraw jest natury ogólnej, a dotyczy kłopotów na styku ustawy o dostępie do informacji publicznej i ustawy o odo. Gdyby tak w Polsce był urząd nie tylko kontrolujący i ścigający za łamanie przepisów odo, ale także decydujący o tym co jest informacją publiczną i wymaga podania w BIP. To byłoby pięknie. Marzy mi się połączenie kontroli odo i dostępu do informacji publicznej w JEDNYM urzędzie (nie: w jednej ustawie). I wtedy takie nowe GIODO (nazwane np Główny Inspektor Ochrony i Dostępu do Danych) z instytucji "ścigającej" stałoby się od razu instytucją bardzo potrzebną i pomocną. Dziś bowiem wahając się czy coś udostępnić w BIP-ie czy nie zawsze zostanie podjęta decyzja, że nie (bo za udostępnienie danych można być dotkliwie ukaranym, a za nieudostępnienie praktycznie nic nie grozi). Niestety proponowana nowelizacja zmierza w tym kierunku.
--
Kazimierz Schmidt

A skoro MUSZĄ to PO CO

A skoro MUSZĄ to PO CO mają je zgłaszać do GIODO?

Nawet jak muszą je mieć, to dobrze byłoby aby były przetwarzane zgodnie z odpowiednimi standardami. Zwłaszcza gdy mowa o instytucjach publicznych.

Pytanie - czy pisać oddzielne przepisy dla każdego typu "kancelerii publicznej" na temat tego jak ma wyglądać przetwarzanie(ochrona, zabezpieczenia, zmiana) danych w nich, czy odwołać się do ustawy o ochronie danych osobowych.

Jeśli zaś do ustawy o ochronie danych osobowych, to kto miałby to kontrolować i do kogo pisać ew. skargi? Chyba nie ma sensu mnożyć bytów - jest GIODO, to niech będzie GIODO.

Sprawa przepływu danych między publicznymi instytucjami (to, że np. US nie może aktualizować danych o nowych dowodach) to sprawa techniczna. Czy każdy powinien się zarejestrować, bo inaczej GIODO nie będzie on miał pojęcia o istnieniu jakiegoś urzędu, czy też GIODO może skądś indziej wziąć bazę danych takich publicznych kancelarii?

czy zgłaszanie się wszystkich urzędów do GIODO coś da?

kschmidt's picture

Nawet jak muszą je mieć, to dobrze byłoby aby były przetwarzane zgodnie z odpowiednimi standardami. Zwłaszcza gdy mowa o instytucjach publicznych

Przecież ja tego nie neguję. Wskazuję tylko na nadmiar niepotrzebnej biurokracji. Po co ma jakiś urzędnik w każdym urzędzie przygotować wniosek, po co ma go ktoś sprawdzać, po co potem w GIODO ma ktoś to rejestrować? Przecież z tego nie powiększy się ani wiedza, ani bezpieczeństwo danych osobowych tylko biurokracja!
Sens widzę w zgłaszaniu do GIODO zbiorów, których istnienia GIODO nie może być pewnym bo nie wynikają one z obowiązku prawnego.

Wystarczy zadać pytanie czy urząd miasta w X ma kancelarię w której rejestruje pisma przychodzące. I odpowiedzieć sobie na nie, że ma. To po co cała ta zabawa z wnioskiem? Za nasze - czyli publiczne pieniądze?
Co innego gdyby urząd w X tworzył jeszcze jakieś inne, osobne zbiory niż te wynikające z załatwianych przez niego spraw (np rejestr hodowców biedronek, albo rejestr posiadaczy telewizorów bez możliwości odbioru sygnału DVB). Jeśli jednak pojawiłoby się rozporządzenie aby takie rejestry gminy przygotowały to także powinny one być zwolnione ze zgłaszania.
--
Kazimierz Schmidt

Nienakładanie grzywin z ustawy egzekucyjnej

Grzywny za niewykonywanie decyzji GIODO nie były nakładane, bo decyzje wydawane przez ten organ nie podlegają wykonaniu w trybie ustawy o postępowaniu egzekucyjnym w administracji. Według tej ustawy wykonaniu w jej trybie podlegają decyzje określające obowiązki niepieniężne wydane przez organy jednostek samorządu terytorialnego i administrację rządową. GIODO jest organem administracji publicznej ale nie rządowej (podlega pod Sejm) w związku z czym nie jest objęty zakresem tej ustawy. W przypadku decyzji nakładających obowiązki pieniężne (kary) już będzie podlegał. Ot taka nowelizacja tylnymi drzwiami.

Brak pliku PDF

Oba pierwsze odnośniki wskazują na treść projektu w formacie RTF.

A to już uwaga do

A to już uwaga do webmastera serwisu naszego prezydenta...

Jakie są aktualnie losy

Jakie są aktualnie losy tego projektu???

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>