Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

ZPP negatywnie o projekcie nowej ustawy o ochronie danych osobowych

Marta Chołuj 19-10-2017, 10:58

Niestety, pomimo przekazywanych przez przedsiębiorców głosów w ramach prekonsultacji częściowego projektu ustawy pokazanego przez Ministerstwo w marcu br., opublikowany 14 września br. projekt nowej ustawy o ochronie danych osobowych powiela negatywnie oceniane przez przedsiębiorców zapisy

Celem przedstawionych uwag ZPP nie jest oczywiście stwarzanie pola dla dokonywania naruszeń danych osobowych, a podkreślenie, że w oparciu o przedstawione w projekcie przepisy przedsiębiorcy nie będą w pełni mieli możliwości realizowania prawa do obrony przed zarzutami odnoszącymi się do naruszeń. Wątpliwości dotyczą kilku podstawowych elementów przedstawionego aktu i zostaną omówione poniżej.

Wątpliwości ZPP wzbudza nowa procedura powołania Prezesa Urzędu, który miałby być powoływany na wniosek Prezesa Rady Ministrów – oczywistym jest, że taki sposób powołania wyłącznie kandydatów przedstawionych przez Prezesa Rady Ministrów nie spełnia przesłanki niezależności organu, stąd niezrozumiałe jest czemu projektodawca proponuje odejście od obecnych przepisów dot. trybu wyboru.

Zastanawiający jest również katalog warunków jakie musi spełniać kandydat na Prezesa Urzędu, jednym z bardziej kontrowersyjnych punktów wydaje się być posiadanie przez niego tytułu naukowego doktora. Co to tego zakresu w uzasadnieniu wskazano, że wykształcił się już taki zwyczaj, jednak taka argumentacja nie ma żadnej realnej wartości - tytuły naukowe wśród wymagań powinny znajdować się w odniesieniu do jednostek naukowych, a nie w zakresie stanowiska zarządczego, jakim de facto będzie stanowisko Prezesa Urzędu. Z tego względu, wydaje się że bardziej zasadne byłoby, patrząc na wymogi dot. chociażby Prezesa UOKIK, UKE czy URE, posiadanie przez kandydata kompetencji kierowniczych jak i odpowiedniego stażu pracy na stanowisku kierowniczym.

Propozycja odnosząca się do posiadania tytułu naukowego doktora, w połączeniu z dokonywaniem wskazania kandydata przez Prezesa Rady Ministrów niestety przywodzi na myśl próby limitowania możliwości objęcia funkcji do konkretnie oznaczonych osób.

Zaprezentowane propozycje prawne odnoszące się do postępowania przed organem mogą negatywnie wpłynąć na prowadzenie działalności gospodarczej, a równocześnie nie stanowią żadnych dodatkowych obostrzeń w zakresie podwyższania ochrony dla konsumentów.

Zgodnie z art. 59 każda decyzja Prezesa UODO będzie podlegała natychmiastowemu wykonaniu. Wniesienie skargi na decyzję do sądu administracyjnego będzie wstrzymywało wykonanie decyzji wyłączenie w zakresie kary pieniężnej. Wydaje się, że projektodawca zapomniał o tym, iż Prezes UODO będzie mógł w decyzji poza karą nałożyć również liczne obowiązki, których natychmiastowe wykonanie może mieć nieodwracalne skutki dla działalności adresata decyzji. Przedsiębiorca po fakcie będzie mógł co najwyżej dochodzić odszkodowania od Skarbu Państwa, jednak z pewnością taki rodzaj ewentualnej rekompensaty wywalczonej po latach procesów sądowych nie będzie wystarczający. Natychmiastowa wykonalność decyzji PUODO, może doprowadzić wręcz do upadłości przedsiębiorcy, a co za tym idzie pozbawić pracy duże grupy osób. Kwestia ta jest szczególnie istotna, biorąc pod uwagę jednoinstancyjność postępowania przez organem oraz nieefektywną propozycję odnoszącą się do postepowania odwoławczego.

Biorąc pod uwagę przedstawiane przez Ministerstwo argumenty można się zgodzić, że PUODO powinien mieć możliwość nadania decyzji rygoru natychmiastowej wykonalności jednak w ramach wyjątku od zasady, który obwarowany by był prawnymi przesłankami do takiego działania. Naszym zdaniem rygor natychmiastowej wykonalności powinien być wyjątkiem, a nie regułą i być stosowany jedynie w przypadkach w których istnieje realne niebezpieczeństwo powstania nieodwracalnych szkód po stronie podmiotów danych. Można sobie wyobrazić regulację, w ramach której nadawanie rygoru natychmiastowej wykonalności możliwe byłoby wówczas, gdy byłoby to niezbędne ze względu na ochronę zdrowia lub życia ludzkiego albo ze względu na inny interes społeczny lub wyjątkowo ważny interes strony, przy czym te ostatnie przesłanki należałoby w jakiś sposób doprecyzować. Będzie to miało szczególne znacznie dla małych i średnich przedsiębiorstw, których działalność może zostać sparaliżowana przez nałożenie kar z rygorem natychmiastowej wykonalności.

Uporczywe trzymanie się przez projektodawcę pomysłu postępowania odwoławczego w ramach procedury administracyjnej niestety świadczyć może o braku wiedzy na temat praktycznych aspektów odwołania od decyzji tak istotnego, z perspektywy konsumenta, jak i przedsiębiorcy, organu jakim stanie się PUODO.

Już dziś w polskim porządku prawnym mamy przykłady postępowań przed kluczowymi dla przedsiębiorców organami administracyjnymi, takimi jak UOKIK czy UKE, które w ramach właściwych specyficznych i trudnych przepisów oraz prowadzonych w oparciu o nie postępowań mają możliwość nakładania wysokich kar na przedsiębiorców. Z tego też powodu zdecydowano się na wprowadzenie wobec nich odmiennej ścieżki odwoławczej – do Sądu Ochrony Konkurencji i Konsumentów.

Przypomnieć należy, że na podstawie ustawy - Prawo o postępowaniu przed sądami administracyjnymi sąd podczas rozpatrywania skargi bada to czy organ, który wydał decyzję w sprawie nie naruszył przepisów prawa procesowego – sąd taki nie dokonuje co do zasady oceny sytuacji faktycznej, a więc tego czy organ wydając decyzję prawidłowo ocenił stan faktyczny sprawy. Taka procedura nie pozwoli niestety przedsiębiorcom na realną obronę swoich praw w postępowaniu. Niezrozumiałe jest więc, czemu w obliczu tak dużej reformy odnoszącej się do ochrony danych osobowych Projektodawca nie korzysta z doświadczeń i instytucji prawnych przewidzianych w ramach UOKIK czy UKE. Jak samo Ministerstwo Cyfryzacji podkreśla, wprowadzane przepisy są rewolucyjne nie tylko w aspekcie wysokich kar, ale również w zakresie przewidywanych obowiązków oraz specyfiki ochrony danych osobowych w dobie nowych technologii – czemu więc w Rządzie nie widać zrozumienia dla złożoności przyszłych postępowań sądowych i konieczności dokonania specjalizacji w zakresie ich rozstrzygania. Pomimo doświadczenia w zakresie orzekania na gruncie obecnych przepisów nie wydaje się, aby taką specjalizację miały obecne sądy administracyjne – RODO wprowadza przecież absolutną zmianę prawa w tym zakresie, wobec czego czerpanie z dotychczasowego orzecznictwa nie wydaje się być najlepszy rozwiązaniem.

Na podstawie art. 73 projektu ustawy w zakresie kontroli przeprowadzanej przez Prezesa UODO wyłączone ma zostać działanie art. 79, 82 oraz 83 ustawy o swobodzie działalności gospodarczej, a co za tym idzie kontrole nie będą musiały być zapowiadane przez organ, w tym samym czasie u przedsiębiorcy będzie mogła być przeprowadzana więcej niż jedna kontrola oraz kontrola PUODO nie będzie się wliczała do maksymalnego czasu trwania kontroli u przedsiębiorcy.

Kolejny już raz Ministerstwo Cyfryzacji przedstawia projekt w ramach, którego chce dokonać wyłączenia zastosowania przepisów ustawy o swobodzie działalności gospodarczej w odniesieniu do przeprowadzanych kontroli (lipcowy projekt nowelizacji Prawa telekomunikacyjnego).

Oczywiście ochrona danych osobowych jest w dzisiejszym świecie bardzo istotną wartością, dotyka każdego z nas, niezależnie od tego czy w ramach swojej profesji reprezentujemy przedsiębiorcę, organizację pozarządową czy administrację publiczną, jednak nie można się zgodzić z tym iż stanowi ona absolutną przesłankę dla organu by „pozbyć się” w jej ramach innych norm prawnych. Wydaje się że również projektodawcy unijni starali się zrozumieć to poprzez wskazanie w 4 motywie Rozporządzenia, że przyjmowane przepisy nie naruszają praw podstawowych, wolności i zasad, w tym wolności prowadzenia działalności gospodarczej.

Ogólne wyłączenie wskazanych przepisów w odniesieniu do każdego postępowania kontrolnego prowadzonego przez Prezesa Urzędu, nie znajduje uzasadnienia w celach Ustawy, również biorąc pod uwagę istotną potrzebę zapewnienia prawidłowości przetwarzania danych osobowych. Uzasadnienie Ustawy (por. s. 35 uzasadnienia) odwołuje się przy tym do konieczności rzetelnego i terminowego przeprowadzenia kontroli, w tym kontroli doraźnej. Wydaje się, że w tym zakresie w zupełności wystarczającym środkiem byłaby możliwość wyłączenia omawianych przepisów ustawy o swobodzie działalności gospodarczej w konkretnym przypadku, w sytuacji uprawdopodobnienia istnienia istotnych naruszeń w zakresie przetwarzania danych osobowych. Należy przy tym zaznaczyć, że już same (wyłączane Ustawą) przepisy ustawy o swobodzie działalności gospodarczej przewidują możliwość odejścia od omawianych ograniczeń np. w przypadku, gdy prowadzenie kontroli jest niezbędne dla przeciwdziałania popełnieniu przestępstwa lub wykroczenia. Tym bardziej wprowadzenie ogólnego wyłączenia, w odniesieniu do wszystkich prowadzonych postępowań, jest środkiem nieproporcjonalnym.

W przypadku kontroli odnoszącej się do ochrony danych osobowych przedsiębiorca powinien zostać o takowej kontroli uprzednio poinformowany, aby właściwie przygotować się – a więc aby odpowiednie osoby obecne były w czasie kontroli, a także aby zapewnić w czasie kontroli nie tylko pełne przeprowadzenie czynności kontrolnych przez organ, ale również by fakt kontroli, nie oddziaływał negatywnie na prowadzoną przez przedsiębiorcę działalność.

Zatrważające jest potraktowanie przez projektodawcę tematu kar finansowych w odniesieniu do administracji publicznej. Oczywiście unijny prawodawca zdecydował się w art. 83 ust. 7 RODO na pozostawienie państwom członkowskim decyzji , czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne – jaki więc projektodawca krajowy zdecydowałby się na utrzymanie kar na takim samym poziomie jak kary wobec przedsiębiorców mając świadomość, że administracja publiczna nie będzie w stanie dokonać pełnego wdrożenia nowych zasad?

Zgodnie z art. 83 ust. 1 Projektu, maksymalna wysokość takiej kary pieniężnej to 100 tys. zł – jest to wyraźna wiadomość dla pomiotów publicznych, że właściwie nie muszą „bawić się” w dostosowanie do przepisów RODO, ponieważ ew. kara i tak będzie relatywnie niewielka. Oczywiście to rozwiązanie bardzo praktyczne z perspektywy Skarbu Państwa, gdyż wszystkie ew. kary nakładane na podmioty publiczne wychodziłby z budżetu państwa, jednak to bardzo istotny sygnał nie tylko dla przedsiębiorców, od których organ nadzorczy będzie wymagał pełnego dostosowania i zrozumienia skomplikowanych, a wręcz niekiedy niejasnych reguł Rozporządzenia unijnego już od końca maja 2018 r. i nie będzie zapewne wahał się przed nakładaniem kar (w końcu to będzie wpływ do budżetu, a i dzięki projektowanemu art. 86 ustawy 1% kary będzie stanowiło wpływ do Funduszu Ochrony Danych Osobowych z którego wydatkowana będzie działalność organu w zakresie edukacji o ochronie danych – a wiec już nie w ramach budżetu samej jednostki), jednak przede wszystkim jest to sygnał dla nas wszystkich, a więc obywateli których dane osobowe są i będą przetwarzane przez jednostki administracji publicznej, że w sferze publicznej realna ochrona naszych danych nie ma znaczenia.

Pamiętajmy, że dane przekazywane podmiotom obrotu gospodarczego przekazywane są przez osoby fizyczne z własnej woli, w celu zamówienia usługi, dokonania zakupu itp. Konsument sam w takim przypadku decyduje się z jakim przedsiębiorcom A, B czy C zawrze umowę, a co za tym idzie, jaki przedsiębiorca będzie miał możliwość przetwarzania jego danych osobowych. Odmienna sytuacja ma miejsce w odniesieniu do podmiotów administracji publicznej – osoby fizyczne nie mają właściwie wyboru co do tego czy dany urząd będzie przetwarzał ich dane osobowe.

Wdrożenie ustawy przez przedsiębiorców będzie bardzo dużym wyzwaniem również ze względu na bardzo krótkie terminy wyznaczone przez projekt. Przykładowo dotyczy to następujących przepisów:

  • Termin przeprowadzenia czynności sprawdzających (art. 13 ust. 2 “nie wcześniej niż… 7 dni”)
  • przedstawienie dowodów (art. 47 ust. 2 “nie krótszy niż 7 dni”),
  • termin na złożenie wniosku przez ukaranego o usprawiedliwienie nieobecności lub odmowę zeznania (art. 51 ust. 2 “7 dni od daty doręczenia”),
  • termin na złożenie uwag do raportu pokontrolnego (art. 72 ust. 4 “7 dni”), Z
  • termin na uiszczenie kar administracyjnych (art. 85 ust. 2 “14 dni od dnia upływu terminu na wniesienie skargi, albood dnia uprawomocnienia się orzeczenia sądu administracyjnego”).

Mając na uwadze skomplikowanie tematyki ochrony danych osobowych cześć terminów może być niemożliwa do spełnienia. Uważamy, że ustanowienie tak krótkich terminów w których administrator lub podmiot przetwarzający dane mógł odpowiedzieć na żądanie lub wykonać swoje prawa, narusza w stopniu znaczącym prawo do odpowiedniej ochrony prawnej.

Z perspektywy przedsiębiorców niepokój wzbudza również podejście Projektodawcy do procesu certyfikacji – jest to część projektu ustawy, która diametralnie różni się od tego co przedstawione zostało przez Ministerstwo w roboczym projekcie z marca br.

Certyfikacji miała być dokonywana zewnętrznie, przez akredytowane do tego podmioty, obecnie jednak przedstawiono zapisy dot. certyfikacji nadawanych wyłącznie bezpośrednio przez Prezes UODO. Przepisy Rozporządzenia pozwalają na dopuszczeniedo procesu certyfikacji podmiotu prywatnego, który byłby akredytowany przez organ – taka propozycja zyskała również aprobatę obecnego organu ochrony danych osobowych. GIODO proponuje przyjęcie modelu hybrydowego w tym zakresie, wskazując że krąg podmiotów przyznających certyfikaty powinien być jak najszerszy. Certyfikat wydany przez sam organ, jak i wydany przez podmiot, który został akredytowany do takiego działania przez organ nadzorczy powinny mieć taką samą wartość na rynku.

Zgodnie z obecnym projektem, pozostawiając procedurę certyfikacji samemu organowi, może okazać się, że założenia dot. 3 miesięcznego postępowania w tym zakresie nie będą realne. Można sobie łatwo wyobrazić dużą ilość przedsiębiorców, którzy właściwie w tym samym czasie po wejściu w życie przepisów będą starali się o taką certyfikację .

Z tego powodu pierwotna koncepcja zdawała się być rozsądniejsza, biorąc pod uwagę realia rynkowe oraz kwestie obłożenia pracą Urzędu. Tym bardziej zastanawia w tym miejscu co skłoniło Ministerstwo do tak kategorycznej zmiany podejścia w zakresie certyfikacji i akredytacji. W związku z powyższym, proponujemy, by certyfikat mógłby być wydawany również przez akredytowane jednostki certyfikujące.

W projekcie zawartych jest jeszcze kilka bardziej szczegółowych kwestii, które w naszej ocenie powinny zostać poprawione. Chodzi tu m.in. o przepisy art. 5 ust. 5 oraz art. 41 Ustawy, które przewidują prowadzenie przez Prezesa Urzędu systemów teleinformatycznych umożliwiających odpowiednio przesyłanie w postaci elektronicznej zawiadomień o wyznaczeniu inspektora ochrony danych oraz zgłaszanie naruszenia ochrony danych osobowych, o których mowa w art. 33 Rozporządzenia. Zwracamy uwagę, że w Ustawie oraz przepisach wprowadzających brak jest regulacji intertemporalnej, pozwalającej zagwarantować, że w momencie wejścia w życie Ustawy i ww. przepisów systemy te będą działać, a zatem możliwe będzie dokonywanie przez zainteresowanych odpowiednich zawiadomień i zgłoszeń. W sytuacji, gdyby nastąpiło zatem jakiekolwiek opóźnienie w zakresie uruchomienia tych systemów, podmioty nie miałyby zapewnionej możliwości realizacji obowiązków określonych Ustawą – przykładowo, art. 5 Ustawy nie przewiduje innej niż drogą elektroniczną możliwości przekazywania powiadomień. Sugerowanym rozwiązaniem byłoby umożliwienie podmiotom dokonywania omawianych zawiadomień lub zgłoszeń w formie pisemnej, do czasu uruchomienia odpowiednich systemów informatycznych.

Podsumowując, pragniemy jeszcze raz podkreślić wagę powyższych uwag oraz poprosić o uwzględnienie ich w toku dalszych prac legislacyjnych.

Autor: Marta Chołuj, Związek Przedsiębiorców i Pracodawców


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *