Data: 04 października 2017 | Autor: Konrad Czaplicki

W związku z przesłaniem do Ministerstwa Cyfryzacji naszych uwag i propozycji zmian do przedstawionego projektu ustawy o ochronie danych osobowych (tekst dostępny tutaj), postanowiliśmy zaprezentować część z nich. Zapraszamy zatem do zapoznania się z zagadnieniami, które naszym zdaniem budzą wątpliwości i na które warto zwrócić uwagę.

 

Opinia do regulacji budzących wątpliwości ujętych w projekcie ustawy o ochronie danych osobowych
Treść obecnej regulacji ujętej w projekcie Proponowana treść j regulacji do projektu Uzasadnienie potrzeby dokonania zmiany
Art. 5 ust. 4 Zawiadomienia, o których mowa w ust. 1 i 3, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP

5. Prezes Urzędu prowadzi system teleinformatyczny umożliwiający przesyłanie zawiadomień w postaci elektronicznej.

Art. 5 ust. 4 Zawiadomienia, o których mowa w ust. 1 i 3, mogą być sporządzane również w postaci elektronicznej, wówczas opatruje je się kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP.

5. Prezes Urzędu prowadzi system teleinformatyczny umożliwiający przesyłanie zawiadomień w postaci elektronicznej, o których mowa w ust. 4.

Brak racjonalnego uzasadnienia, powodów dla których administrator danych zobowiązany jest założyć profil zaufany (o ile jest to możliwe dla danej formy organizacyjnej) lub wykupić kwalifikowany podpis elektroniczny, w celu dokonania zgłoszenia wyznaczenia DPO lub zmiany jego lub swoich danych kontaktowych. Proponowana regulacja, wyklucza bowiem możliwość przesłania listownie lub złożenia osobiście w siedzibie organu takiego zawiadomienia, co jest istotnym ograniczeniem dla wyboru preferowanej formy składanych oświadczeń. Warto tutaj zauważyć, że powyższego ograniczenia nie przewidziano dla składania np. wniosków o certyfikację, gdzie wprost dopuszczono obie formy. Powyższe ograniczenia w zakresie formy zawiadamiania o wyznaczeniu i zmianie DPO mogą negatywnie wpłynąć na decyzję o wyznaczeniu DPO, podejmowane zwłaszcza przez administratorów którzy dobrowolnie chcieliby powołać inspektora ochrony danych, albowiem może to powodować dodatkowe koszty. RODO natomiast zachęca administratorów danych do wyznaczania DPO nawet jeśli nie są do tego zobowiązani.

Mając powyższe na względzie proponujemy nowelizację art. 5 ust. 4 i 5 zgodnie z przedstawioną propozycją.

Art. 14 ust. 1 pkt 3 oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

Art. 69 ust. 1 pkt 3 przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

 

 

Art. 14 ust. 1 pkt 3 oględzin urządzeń, nośników oraz systemów teleinformatycznych służących do przetwarzania danych;

Art. 69 ust. 1 pkt 3 przeprowadzania oględzin urządzeń, nośników oraz systemów teleinformatycznych służących do przetwarzania danych;

 

 

 

 

W przywołanych przepisach użyto dwóch pojęć potocznie rozumianych tożsamo „system informatyczny” = „system teleinformatyczny” . Pojęcia te nie zostały zdefiniowane, inaczej niż ma to miejsce w obecnej ustawie ODO, gdzie znajduje się definicja systemu informatycznego (art. 7 UODO). Zwrócić natomiast należy uwagę, że RODO posługuje się wieloma niezdefiniowanymi pojęciami np.: „systemu”; „systemów komputerowych i systemów łączności elektronicznej” ; „systemy informacyjne”. Dla spójności aktu, w którym wielokrotnie używane jest pojęcie „systemu teleinformatycznego”, a które zostało już zdefiniowane w polskim porządku prawnym (np. ustawa o świadczeniu usług drogą elektroniczną) warto ujednolicić nazewnictwo, co przyczyni się do rozwiania wątpliwości co jest systemem informatycznych ,a co jest systemem teleinformatycznym.  Ponadto, należy pamiętać, że obecnie obowiązująca ustawa ODO, w której znajduje się definicja systemu informatycznego, przestanie obowiązywać. Mając powyższe na względzie proponujemy nowelizację art. 14 ust. 1 pkt 3 oraz art. 69 ust. 1 pkt 3 zgodnie z przedstawioną propozycją.
 

Art. 53.1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Przepisu art. 10 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w sprawie.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 53.1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych,  wskazując dopuszczalny zakres tego przetwarzania. Prezes Urzędu nie może w drodze postanowienia,  zobowiązać podmiotu do trwałego usunięcia lub nieodwracalnej modyfikacji, w tym anonimizacji przetwarzanych przez niego danych osobowych. Przepisu art. 10 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w sprawie.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Zgodnie z przedstawionym do projektu opiniowanej ustawy uzasadnieniem (str. 29 i 30), cyt.: „Przepis art. 53 projektu ma na celu zapewnienie Prezesowi Urzędu narzędzia do natychmiastowej interwencji w sytuacji, gdy zostanie uprawdopodobnione, że dalsze przetwarzanie danych osobowych może spowodować poważne i trudne do usunięcia skutki. W takiej sytuacji Prezes Urzędu, w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Nie zdecydowano o wprowadzeniu do przepisów projektu ustawy instytucji zażalenia na to postanowienie. Postanowienie to jest natomiast zaskarżalne w skardze na decyzję kończącą postępowanie w sprawie.”

Zamysł przyspieszenia wykonalności postanowień Prezesa Urzędu, w sytuacji uprawdopodobnienia, że dalsze przetwarzanie danych może spowodować poważne i trudne do usunięcia skutki,  co do zasady jest słuszny. Jednakże, nie można dostrzec zagrożeń jakie niesie za sobą wykluczenie możliwości złożenia, przez podmiot kontrolowany (administratora danych) zażalenia na to postanowienie Prezesa Urzędu.

W treść opiniowanego art. 53 ust.1 zamieszczono uprawnienie Prezesa do wydania postanowienia zobowiązującego podmiot  „do ograniczenia przetwarzania danych osobowych wskazującego dopuszczalny zakres tego przetwarzania”. Postanowienie to może zatem przybrać nakazanie przeprowadzenia przez podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, działań np. w postaci usunięcia danych lub ich anonimizacji, a więc nieodwracalną utratę danych. Zaskarżenie tegoż postanowienia będzie możliwe dopiero po wydaniu przez Prezesa Urzędu decyzji administracyjnej. Przypomnijmy, że postanowienie o ograniczeniu przetwarzania danych osobowych (np. usunięcia) podlega natychmiastowej wykonalności. Oznacza to, że strona postępowania (np. administrator danych) nie będzie miała zagwarantowanego faktycznego prawa obrony przed niesłusznym (bezprawnym) działaniem organu. Prawo do zaskarżenia postanowienia, w skardze składanej na decyzję wydaną przez Prezesa Urzędu, powoduje nieodwracalność zaistniałego zdarzenia (utratę danych), albowiem nie ma prawnej możliwości wstrzymania wykonania takiego postanowienia. Podmiot kontrolowany, musi zatem usunąć np. setki rekordów danych osobowych i  czekać na wydanie decyzji administracyjnej kończącej postępowanie kontrolne, żeby móc dochodzić swoich praw (tj. przedstawić argumentację, wskazując dlaczego jego zdaniem przetwarzanie danych, które zostały już bezpowrotnie usunięte, było legalne).  Biorąc pod uwagę, że zgodnie z obecną praktyką, decyzję nakazującą usunięcie danych bądź ich anonimizację, można zaskarżyć wstrzymując tym samym jej wykonalność, propozycja ujęta w projekcie zmierza zbyt daleko, godząc w prawa podstawowe administratorów danych. Obecna praktyka wskazuje, że sądy nie zawsze podzielają zdanie GIDOO uchylając tym samym wydane przez organ decyzje. Nawet, jeśli administrator danych zgodnie z projektem ustawy, zaskarży decyzję i sąd przychyli się do stanowiska skarżącego, to pozostanie mu tylko dochodzenie odszkodowania od organu kontrolnego, na zasadach ogólnych, gdyż dane zostały bezpowrotnie usunięte. Do wyobrażenia zatem jest sytuacja w której, organ nakazał usunięcie znacznej części bazy lub całości bazy danych, co często może powodować zagrożenie dla dalszego funkcjonowania gospodarczego administratora danych (strony postępowania).

Warto także zwrócić tutaj uwagę, że w uzasadnieniu do projektu (str. 32), dostrzeżono to zagrożenie wskazując, że: „Prezes Urzędu powinien wskazać również ograniczony zakres przetwarzania danych, nie powinien on jednak rodzić nieodwracalnych skutków jak np. usunięcie przetwarzania danych osobowych.” Skoro tak, to warto w treści projektu do ustawy wskazać ramy uprawnień Prezesa Urzędu, literalnie wykluczając możliwość nakazania w formie postanowienia usunięcia lub anonimizacji danych osobowych. Nigdzie bowiem w treści projektu ustawy nie zdefiniowano, jak należy rozumieć uprawnienie Prezesa Urzędu do wydawania postanowień ograniczających przetwarzanie danych osobowych. Stosując zatem zasady wykładni literalnej, Prezes Urzędu ma prawo wydać zgodnie z obecną treścią art. 53 ust.1 postanowienie nakazujące usunięcie danych (jest to bowiem ograniczenie ich przetwarzania).

Mając powyższe na względzie proponujemy nowelizację art. 53 ust. 1 zgodnie z przedstawioną propozycją. Prawo do nakazania usunięcia danych lub ich anonimizacji w dalszym ciągu będzie przysługiwało Prezesowi Urzędu w formie decyzji administracyjnej zaskarżalnej do sądu.

 

 

 

 

 

Art. 90. 1. Kto bez podstawy prawnej przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

2. Orzekanie w sprawach o czyny, o których mowa w ust.1, następuje w trybie przepisów ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. z 2016 r. poz. 1749 z późn. zm.6)).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 90. 1. Kto przetwarza dane osobowe, o których mowa w art. 9 rozporządzenia 2016/679, choć ich przetwarzanie nie jest dopuszczalne na podstawie rozporządzenia 2016/679 lub innych przepisów szczególnych lub do których przetwarzania nie jest uprawniony przez administratora tych danych bądź podmiot przetwarzający te dane w imieniu administratora danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

2. Orzekanie w sprawach o czyny, o których mowa w ust.1, następuje w trybie przepisów ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. z 2016 r. poz. 1749 z późn. zm.6)).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Proponowana treść art. 90 ust. 1 projektu ustawy może rodzić problemy interpretacyjne, a w konsekwencji utrudniać, lub uniemożliwiać stosowanie w praktyce tegoż przepisu. Nie wiadomo bowiem, kto miałby ponieść odpowiedzialność karną przewidzianą art. 90 ust. 1? Za zapewnienie legalności przetwarzania danych osobowych zgodnie z RODO i obecną ustawą ODO, odpowiada administrator danych osobowych, którym np. jest spółka. Natomiast karnie nie jest możliwe ukaranie podmiotu nie będącego osobą fizyczną. Trudno także przypisać zwykłemu pracownikowi winę za brak zadbania o legalność przetwarzania przez administratora danych (chyba, że pracownik samowolnie dopuścił się naruszeń, w stosunku do przyjętych u administratora danych zasad lub kierował tym administratorem danych). Dyspozycja art. 90 ust. 1 posługuje się sformułowaniem, „kto bez podstawy prawnej przetwarza dane”, a więc każdy kto przetwarza dane bez podstawy prawnej może zostać pociągnięty do odpowiedzialności. Tymczasem zwykły pracownik może nawet nie mieć możliwości zweryfikowania , czy dane przetwarzane w organizacji i jemu dostarczone przez innych pracowników, znajdują umocowanie we właściwej przesłance uprawniającej do ich przetwarzania, a także czy dalsze ich przetwarzanie w obecnym zakresie nie narusza RODO. Ponadto, użycie sformułowania „podstawy prawnej” literalnie sugeruje odniesienie się wyłącznie do przetwarzania danych wynikającego ze szczególnego przepisu prawnego. Podstawa prawna przetwarzania danych osobowych, a więc określonego działania,  powinna bowiem wynikać z konkretnego przepisu prawnego.  W art. 9 ust. 2 RODO oraz w innych przepisach RODO, prawodawca posługuje się często pojęciem „na podstawie prawa Unii lub prawa państwa członkowskiego”,  a więc odsyła do szczególnego przepisu prawnego, wskazując w jakich okolicznościach przetwarzanie danych wrażliwych jest dopuszczalne. Jedną z przesłanek ujętych w art. 9 ust. 2 dopuszczającą legalne przetwarzanie danych jest np. zgoda osoby której dane dotyczą. Powstaje zatem pytanie co jest podstawą prawną przetwarzania danych osobowych przez administratora danych, który opiera swoje działanie  np. na dobrowolnie wyrażonej zgodzie osoby której dane dotyczą?   Czy zamysłem projektodawcy było ograniczenie zakresu stosowania art. 90 ust. 1 jedynie do podmiotów, które przetwarzając dane powinny działać jedynie w granicach i zakresie dopuszczonym przez przepisy prawa , a przetwarzanie przez nich danych znajduje odzwierciedlenie w przepisach szczególnych np. organach państwowych? Tutaj warto zauważyć, że w myśl art. 24 ust. 1 pkt 4 obowiązującej Ustawy ODO, administrator danych ma obowiązek m.in. poinformować osobę której dane dotyczą o „dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej”.

Obecne zatem rozumienie pojęcia „podstawy prawnej” w obowiązującej Ustawie ODO nieodzownie związane było z koniecznością wskazania na każdym etapie przetwarzania danych, jaki przepis prawa dopuszczał lub nakazywał przetwarzanie tych danych, jeśli administrator danych wywodził swoje prawo do ich przetwarzania z konkretnego aktu prawnego. Posługiwanie się zatem pojęciem podstawy prawnej w projektowanej treści art. 90 ust. 1 może w przyszłości napotykać trudności interpretacyjne, a co za tym idzie nie wypełniać zamysłu wprowadzenia niniejszej regulacji.  Zgodnie bowiem z uzasadnieniem do projektu ustawy, celem nadrzędnym zastąpienia obecnych przepisów karnych ujętych w obowiązującej ustawie ODO, było ułatwienie stosowania organom ścigania oraz rozwianie problemów interpretacyjnych jakie organy te napotykały podczas ich stosowania.

Mając powyższe na względzie proponujemy nowelizację art. 90 ust. 1 zgodnie z przedstawioną propozycją.