Kara za naruszenie musi być odczuwalna

24-05-2017, 22:00

Postępowania dotyczące przestrzegania ochrony danych osobowych mogą być uciążliwe dla przedsiębiorców, ale najważniejsze są prawa obywateli — mówią twórcy przyszłych przepisów

Dokładnie rok został przedsiębiorcom i administracji państwowej na przygotowanie się do praktycznego wdrożenia reformy ochrony danych osobowych uregulowanej unijnym rozporządzeniem. Od 25 maja 2018 r. ma ona być stosowana we wszystkich krajach Unii Europejskiej (UE). Obecnie trwają prace nad dostosowaniem do niej krajowych przepisów. Niektóre z nich są przyjmowane przez środowisko biznesu z obawą. Ochrona danych osobowych jest jednym z praw podstawowych — słyszymy w Ministerstwie Cyfryzacji (MC), gdzie powstaje projekt nowej ustawy regulujących tę dziedzinę.

Wyświetl galerię [1/2]

KIEDY SANKCJE: Zdaniem dr. Macieja Kaweckiego, doradcy ministra cyfryzacji, karanie za naruszenia w zasadach ochrony danych osobowych powinno należeć do wyjątków. Takie sankcje należy nakładać przede wszystkim za najcięższe przewinienia, np. za ich bezprawne udostępnianie. Marek Wiśniewski

W związku z tym jej twórcy nie kryją, że niektóre z przygotowywanych rozwiązań mogą być oceniane przez przedsiębiorców za zbyt uciążliwe. Po upublicznieniu projektu części przygotowywanego aktu krytycznie oceniają oni rozwiązania umacniające uprawnienia przyszłego organu nadzorczego, który będzie następcą prawnym obecnego Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

— To będzie „superurząd” z uprawnieniami nieproporcjonalnie szerokimi w porównaniu z przysługującymi przedsiębiorcom. Ochronie danych osobowych przyznano walor najwyższego prawa spośród praw podstawowych, zapominając i pozbawiając znaczenia zasad związanych z wolnością prowadzenia działalności gospodarczej czy prawa do dobrej administracji, według którego każdy ma prawo do bycia wysłuchanym, zanim zostaną podjęte indywidualne środki mogące negatywnie wpłynąć na jego sytuację — ocenia adwokat Aleksandra Piotrowska, ekspert ds. ochrony danych w ODO 24.

Kontrowersyjny rygor

Przedsiębiorcy zrzeszeni w Konfederacji Lewiatan mają zastrzeżenia do zapowiedzi wprowadzenia rygoru natychmiastowej wykonalności decyzji przyszłego prezesa Urzędu Ochrony Danych Osobowych (UODO), a także do braku możliwości odwołaniaod postanowień wydawanych w toku postępowania czy kontroli bez uprzedzenia.

— Rygor natychmiastowej wykonalności nadaje się decyzjom, od których służy odwołanie. Poza tym powinien być on wykorzystywany jedynie w sytuacjach wielce szczególnych, gdy w grę wchodzi np. ochrona życia lub zdrowia ludzkiego czy z uwagi na ważny interes społeczny — wyjaśnia Aleksandra Piotrowska. Adwokat zwraca przy tym uwagę, że obecnie decyzje GIODO nie są ustawowo obarczone takim rygorem i że generalny inspektor co do zasady nie korzysta z przysługującego mu prawa do jego nadawania.

— Kodeks postępowania administracyjnego w art. 108 mówi o tym, że natychmiastowa wykonalność może być nałożona na decyzję, od której przysługuje odwołanie. Jeżeli nie przysługuje, są one wykonalne natychmiastowo. W nowej ustawie znosimy dwuinstancyjność postępowania do jednoinstancyjnego. Decyzje będą więc natychmiast realizowane, jednak nie każde i nie w każdym przypadku. Wniesienie skargi do sądu administracyjnego na wymierzoną przez prezesa urzędu karę pieniężną spowoduje jej wstrzymanie. Trzeba będzie poczekać na wyrok. Natomiast każda inna decyzja, poza zaskarżoną, będzie wykonana od razu, jako ostatecznie wydana w pierwszej i jedynej instancji, czyli bez możliwości odwołania się od niej — wyjaśnia dr Maciej Kawecki, doradca w gabinecie ministra cyfryzacji. Jego zdaniem, nakładanie kar powinno należeć do wyjątków w przypadkach najcięższych naruszeń.

— Musimy patrzeć na nie z punktu widzenia obywatela. Do jednych z najczęściej podawanych przykładów takich naruszeń jest bezprawne udostępnienie danych osobowych, bo skutki tego są bardzo często nieodwracalne — podkreśla doradca.

Od upomnienia do 20 mln EUR

4 proc. rocznego obrotu światowego albo 20 mln EUR, czyli ok. 90 mln zł zależnie od kursu unijnej waluty — tyle ma wynosić najwyższa administracyjna kara za naruszenie ochrony danych osobowych po wdrożeniu reformy. Przedstawiciel MC zastrzega, że kary będą zróżnicowane zależnie od przewinienia, ale na pewno będą odczuwalne.

— Jeżeli sankcja miałaby dotyczyć np. spółki działającej w kilku państwach i osiągającej wysokie obroty, to zasadna wydaje się wyższa kara. Założeniem resortu cyfryzacji jest jednak położenie ogromnego nacisku nie tylko na karanie, ale również, a nawet przede wszystkim, na działalność konsultacyjną nowego organu ochrony danych osobowych. Ma być to organ aktywny, otwarty. Każdy przedsiębiorca powinien mieć prawo uzyskać informację od prezesa urzędu, a po uzyskaniu wsparcia ze strony administracji publicznej podjąć świadomą decyzję, czy postąpi zgodnie z nowymi zasadami, czy nie. W drugim przypadku, narażając się na karę — zwraca uwagę dr Maciej Kawecki.

Według jego informacji Komisja Europejska pracuje nad wytycznymi dotyczącymi kryteriów wymierzania kary finansowej, które powinny być jednolicie stosowane we wszystkich państwach członkowskich UE. Jednocześnie podkreśla, że uczynienie przez komisję bardziej restrykcyjnej ochrony danych osobowych ma swoje istotne powody. W ankietach na ten temat wielu ludzi ocenia, że jej zasady nie są przestrzegane w wystarczającym stopniu. Przedstawiciel resortu cyfryzacji zastrzega

Czasowe zabezpieczenia

— Ochrona danych osobowych jako prawa podstawowego może wymagać przeprowadzenia kontroli niezapowiedzianych. Nie oznacza to, że organ nie może o niej uprzedzić. Jednak w wielu takich przypadkach przedsiębiorcy, przygotowując się do wizyty inspektora, utrudniają rzeczywistą ocenę naruszeń. Dlatego zdecydowaliśmy się na niezapowiadanie kontroli, które do tej pory też już były prowadzone przez GIODO. Wyłączamy też ze stosowania inne ograniczenia ze wspomnianej ustawy, np. dotyczące łączenia kontroli. Nie może być tak, że gdy tego samego dnia wizytuje firmę inspekcja pracy czy organ podatkowy, to nie wolno zweryfikować jednocześnie przestrzegania prawa podstawowego. To jest inny charakter kontroli — wyjaśnia doradca ministra.

Przedstawiciel MC zapowiada przy tym, że postępowanie kontrolne ma trwać maksymalnie 30 dni. Wyjaśnia też, dlaczego w projekcie pojawiło się uprawnienie dla prezesa przyszłego urzędu do wydawania postanowień nakazujących czasowe ograniczanie przetwarzania danych osobowych, np. poprzez usunięcie ich ze strony internetowej, gdy ktoś wystąpi ze skargą do tego organu.

— Organ musi zebrać materiał dowodowy i nie można oczekiwać, że decyzja zapadnie w ciągu jednej doby czy nawet trzech dni. Interes obywatela wymaga, aby jego dane zniknęły ze strony internetowej, bo każda dalsza minuta np. ich nieuprawnionego udostępnienia jest naruszeniem jego danych, prywatności i dóbr osobistych. Rozporządzenie unijne posługuje się pojęciem środka tymczasowego, przyznając wprost organom nadzorczym prawo do jego zastosowania. Wdrażamy je do naszego porządku prawnego, wprowadzając postanowienie prezesaprzy tym, że nie każda nieprawidłowość zakończy się karą.

— Przewidujemy też upomnienie, rozwiązanie zaczerpnięte z rozporządzenia unijnego — mówi dr Maciej Kawecki.

Niestety, przedsiębiorcy muszą liczyć się z tym, że nie zawsze zostaną uprzedzeni o kontrolach. Projektowany akt wyłącza ze stosowania odpowiednie przepisy ustawy o swobodzie działalności gospodarczej, dotyczące wcześniejszego powiadamiania o planowanych czynnościach kontrolnych. Muszą się tego spodziewać nie tylko przedsiębiorcy gromadzący dane klientów, ale też pracodawcy przetwarzający informacje zarówno o osobach zatrudnionych, jak i kandydujących do pracy. Artur Sibera z ShareHire przypomina, że dane osobowe potencjalnych pracowników muszą być przetwarzane tak jak wszelkie inne, czyli z zachowaniem zasad rzetelności, celowości, adekwatności oraz czasowości.

— Gdy rekrutacja dobiegnie końca, to dane osób polecanych do pracy należy usunąć, o ile nie wyraziły one zgody na ich przetwarzanie w przyszłych naborach. Dotyczy to dokumentów zarówno w formie papierowej, jak i elektronicznej — wyjaśnia Artur Sibera.

Przedsiębiorcy muszą liczyć się z tym, że nie zawsze zostaną uprzedzeni o kontrolach. Projektowany akt wyłącza ze stosowania odpowiednie przepisy ustawy o swobodzie działalności gospodarczej, dotyczące wcześniejszego powiadamiania o planowanych czynnościach kontrolnych.

urzędu o czasowym ograniczeniu przetwarzania danych. Zdajemy sobie sprawę, że to może być uciążliwe dla przedsiębiorcy — mówi dr Maciej Kawecki.

Zabezpieczenie będzie wprowadzane na czas postępowania. Rozporządzenie unijne stanowi, że nie może ono obowiązywać dłużej niż trzy miesiące. Nie będzie można złożyć skargi ze względu na jednoinstancyjność postępowania i aby go nie wydłużać, oczekując na wyrok sądowy. Według resortu firma będzie mogła zaskarżyć postanowienie szefa UODO o zabezpieczeniu w skardze od decyzji kończącej sprawę. Jeżeli sąd uzna, że wydano je bezpodstawnie, będzie to podstawą do kierowania roszczeń odszkodowawczych do sądu powszechnego. Projekt upubliczniony na stronie MC jest na razie dokumentem roboczym i nie zawiera wszystkich przepisów, które muszą pojawić się w przyszłej ustawie. Jest tam natomiast zobowiązanie prezesa UODO do opracowywania i udostępniania dobrych praktyk przetwarzania danych osobowych.

— Rozporządzenie unijne jest neutralne technologicznie. Nie wyjaśnia, w jaki sposób zabezpieczać informacje, lecz tylko że administrator ma zastosować najdalej idące rozwiązania, uznane za stabilne technologicznie. Daje pełną co do tego swobodę, ale organ sprawdzi, czy te kryteria są spełniane, i ewentualnie nałoży karę — podkreśla dr Maciej Kawecki. Dobre praktyki mają zawierać rekomendowane środki techniczne i organizacyjne. Projekt wymaga, aby prezes przyszłego urzędu sporządzał je z uwzględnieniem specyfiki rodzaju działalności i okresowo aktualizował.

 

Etap prac legislacyjnych

MC chce przygotować pełny projekt nowej ustawy o ochronie danych osobowych do lipca tego roku i skierować go do konsultacji społecznych i uzgodnień międzyresortowych. Ministerstwo liczy na to, że ustawa zostanie uchwalona najpóźniej wiosną 2018 r. Rozporządzenie unijne wprowadzające reformę ochrony danych osobowych we wszystkich krajach UE ma zacząć obowiązywać w praktyce od 25 maja 2018 r. Zawiera ono ok. 70 proc. regulacji do bezpośredniego zastosowania w Polsce, pozostałe 30 proc. będą stanowiły przepisy krajowe.

 

 

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Prawo / Kara za naruszenie musi być odczuwalna