Z przetwarzaniem danych związane są zatem nie tylko korzyści, ale i szczególne obowiązki, które określone są w ustawie o ochronie danych osobowych i rozporządzeniach wykonawczych do niej. Polska ustawa stanowi implementację dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Administrator czy procesor
Szczególną odpowiedzialność za dane osobowe ponoszą przede wszystkim administratorzy danych oraz tzw. procesorzy. Zgodnie z ustawą, administratorami danych są podmioty decydujące o celach i środkach przetwarzania danych osobowych. Procesorzy to podmioty przetwarzające dane na zlecenie innego podmiotu i w określonym przez zlecającego celu. Do podstawowych obowiązków administratorów danych należy w szczególności wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanym danym, zgłoszenie zbiorów danych do rejestracji, wypełnianie obowiązków informacyjnych wobec podmiotów danych. Procesorzy odpowiadają w węższym zakresie, obejmującym zwłaszcza zabezpieczenie techniczne i organizacyjne przetwarzanych przez siebie danych.
Zmiany w prawie
Doświadczenia wynikające ze stosowania ustawy o ochronie danych osobowych już od ponad 10 lat wywołały potrzebę zmiany wybranych przepisów. W dniu 7 marca 2011 roku weszły w życie zmiany, których zasadniczym celem jest zagwarantowanie lepszej ochrony danych osobowych przez zapewnienie większej skuteczności decyzji wydawanych przez centralny urząd odpowiedzialny za nadzorowanie przestrzegania ochrony danych osobowych – Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Wprowadzone zmiany zwiększają możliwość dyscyplinowania podmiotów przetwarzających dane osobowe i w przypadku naruszeń ¬– zwiększają szanse na przywrócenie stanu zgodnego z prawem.
Rozszerzenie uprawnień GIODO
GIODO, jak dotychczas, będzie wydawał decyzje administracyjne, w których będzie nakazywał podmiotom przetwarzającym dane osobowe podjęcie pewnych działań bądź zakazywał innych działań. GIODO może np. zobowiązać podmiot przetwarzający dane do zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe, bądź zakazać przetwarzania danych z naruszeniem przepisów prawa i nakazać ich usunięcie, czy zakazać przekazywania danych osobowych do państwa trzeciego. Jeżeli z określonych powodów zobowiązany podmiot nie wykona takiej decyzji, GIODO będzie uprawniony do zastosowania wobec niego prawnych środków w celu przymuszenia do wykonania decyzji. Ocenia się, że spośród dostępnych w egzekucji administracyjnej środków największą rolę pełnić będzie grzywna w celu przymuszenia. Ze względu na specyfikę spraw z zakresu ochrony danych osobowych, zastosowanie innych dostępnych środków (wykonanie zastępcze, odebranie rzeczy ruchomej, przymus bezpośredni) wydaje się mało prawdopodobne.
Grzywna w celu przymuszenia
W przypadku niewykonania decyzji GIODO przez zobowiązanego, od 7 marca 2011 r. GIODO jest uprawniony do nałożenia na adresata decyzji grzywny w celu przymuszenia do wykonania decyzji. Wysokość grzywny różni się w zależności od tego, czy jest nakładana na osobę fizyczną, czy na osobę prawną. W przypadku osoby prawnej maksymalna wysokość grzywny to 50.000 zł. Należy pamiętać, że w jednym postępowaniu grzywna może zostać nakładana kilkukrotnie – łącznie nie może jednak przekroczyć 200.000 zł.
Kary za utrudnianie kontroli
Nowe rozwiązania wprowadzone do ustawy o ochronie danych osobowych to również kary za utrudnianie lub udaremnianie inspektorom GIODO wykonania czynności kontrolnych. Czyn taki podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Podkreśla się, że opis znamion tego przestępstwa może wywoływać w przyszłości duże kontrowersje ze względu na jego nieprecyzyjne brzmienie.
Obowiązek udzielenia odpowiedzi na wystąpienia i wnioski GIODO
Nowe przepisy przyznają GIODO także możliwość kierowania do osób fizycznych i prawnych wystąpień dotyczących ochrony danych osobowych. Podmioty, do których zostało skierowane przez GIODO wystąpienie lub wniosek, będą zobowiązane ustosunkować się do nich w terminie 30 dni od daty jego otrzymania.
Jednostki zamiejscowe
Wprowadzono możliwość tworzenia jednostek zamiejscowych Biura GIODO, co w sytuacji skorzystania z tej możliwości przez GIODO, może przyczynić się do zwiększenia liczby kontroli przeprowadzanych u podmiotów przetwarzających dane osobowe w całym kraju.
Inne istotne zmiany
Pozostałe zmiany to m.in. wprowadzenie wyraźnego przepisu prawa stwierdzającego, że zgoda osoby, której dane dotyczą, na przetwarzanie jej danych, może być w każdym czasie odwołana. Ujednolicono przepisy ustawy oraz formularz zgłoszenia do rejestracji zbioru danych osobowych przez dodanie w ustawie obowiązku zamieszczenia w zgłoszeniu zbioru informacji dotyczących procesorów. Od 7 marca 2011 r. administrator danych jest obowiązany do zgłoszenia zmiany informacji o zarejestrowanym zbiorze, dotyczącej rozszerzenia zakresu przetwarzanych danych o tzw. dane wrażliwe, przed dokonaniem takiej zmiany w zbiorze. Istotną zmianą, pozytywnie ocenianą przez praktykę jest uchylenie art. 29 i 30 ustawy dotyczących szczególnego trybu udostępniania danych osobowych. Przyjęto, że dotychczasowe rozwiązanie, zgodnie z którym wiarygodne przedstawienie potrzeby posiadania danych osobowych mogło stanowić samoistną przesłankę ich udostępnienia, jest niezasadne. Słusznie przyjęto, że i w takim przypadku powinny mieć zastosowanie ogólne zasady regulujące legalność przetwarzania danych osobowych.
***
Nie ulega wątpliwości, że zmieniające się warunki techniczne i przemiany społeczne wywołują potrzebę dalszego dostosowywania obowiązujących regulacji dotyczących ochrony danych osobowych do dzisiejszych realiów. Takie prace trwają zarówno w Polsce, jak i na poziomie europejskim. Dlatego też, zapewne w nieodległej przyszłości, należy się spodziewać dalszych, bardziej rewolucyjnych zmian.
Agnieszka Kocon, radca prawny, Łaszczuk i Wspólnicy
Administrator czy procesor
Szczególną odpowiedzialność za dane osobowe ponoszą przede wszystkim administratorzy danych oraz tzw. procesorzy. Zgodnie z ustawą, administratorami danych są podmioty decydujące o celach i środkach przetwarzania danych osobowych. Procesorzy to podmioty przetwarzające dane na zlecenie innego podmiotu i w określonym przez zlecającego celu. Do podstawowych obowiązków administratorów danych należy w szczególności wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanym danym, zgłoszenie zbiorów danych do rejestracji, wypełnianie obowiązków informacyjnych wobec podmiotów danych. Procesorzy odpowiadają w węższym zakresie, obejmującym zwłaszcza zabezpieczenie techniczne i organizacyjne przetwarzanych przez siebie danych.
Zmiany w prawie
Doświadczenia wynikające ze stosowania ustawy o ochronie danych osobowych już od ponad 10 lat wywołały potrzebę zmiany wybranych przepisów. W dniu 7 marca 2011 roku weszły w życie zmiany, których zasadniczym celem jest zagwarantowanie lepszej ochrony danych osobowych przez zapewnienie większej skuteczności decyzji wydawanych przez centralny urząd odpowiedzialny za nadzorowanie przestrzegania ochrony danych osobowych – Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Wprowadzone zmiany zwiększają możliwość dyscyplinowania podmiotów przetwarzających dane osobowe i w przypadku naruszeń ¬– zwiększają szanse na przywrócenie stanu zgodnego z prawem.
Rozszerzenie uprawnień GIODO
GIODO, jak dotychczas, będzie wydawał decyzje administracyjne, w których będzie nakazywał podmiotom przetwarzającym dane osobowe podjęcie pewnych działań bądź zakazywał innych działań. GIODO może np. zobowiązać podmiot przetwarzający dane do zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe, bądź zakazać przetwarzania danych z naruszeniem przepisów prawa i nakazać ich usunięcie, czy zakazać przekazywania danych osobowych do państwa trzeciego. Jeżeli z określonych powodów zobowiązany podmiot nie wykona takiej decyzji, GIODO będzie uprawniony do zastosowania wobec niego prawnych środków w celu przymuszenia do wykonania decyzji. Ocenia się, że spośród dostępnych w egzekucji administracyjnej środków największą rolę pełnić będzie grzywna w celu przymuszenia. Ze względu na specyfikę spraw z zakresu ochrony danych osobowych, zastosowanie innych dostępnych środków (wykonanie zastępcze, odebranie rzeczy ruchomej, przymus bezpośredni) wydaje się mało prawdopodobne.
Grzywna w celu przymuszenia
W przypadku niewykonania decyzji GIODO przez zobowiązanego, od 7 marca 2011 r. GIODO jest uprawniony do nałożenia na adresata decyzji grzywny w celu przymuszenia do wykonania decyzji. Wysokość grzywny różni się w zależności od tego, czy jest nakładana na osobę fizyczną, czy na osobę prawną. W przypadku osoby prawnej maksymalna wysokość grzywny to 50.000 zł. Należy pamiętać, że w jednym postępowaniu grzywna może zostać nakładana kilkukrotnie – łącznie nie może jednak przekroczyć 200.000 zł.
Kary za utrudnianie kontroli
Nowe rozwiązania wprowadzone do ustawy o ochronie danych osobowych to również kary za utrudnianie lub udaremnianie inspektorom GIODO wykonania czynności kontrolnych. Czyn taki podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Podkreśla się, że opis znamion tego przestępstwa może wywoływać w przyszłości duże kontrowersje ze względu na jego nieprecyzyjne brzmienie.
Obowiązek udzielenia odpowiedzi na wystąpienia i wnioski GIODO
Nowe przepisy przyznają GIODO także możliwość kierowania do osób fizycznych i prawnych wystąpień dotyczących ochrony danych osobowych. Podmioty, do których zostało skierowane przez GIODO wystąpienie lub wniosek, będą zobowiązane ustosunkować się do nich w terminie 30 dni od daty jego otrzymania.
Jednostki zamiejscowe
Wprowadzono możliwość tworzenia jednostek zamiejscowych Biura GIODO, co w sytuacji skorzystania z tej możliwości przez GIODO, może przyczynić się do zwiększenia liczby kontroli przeprowadzanych u podmiotów przetwarzających dane osobowe w całym kraju.
Inne istotne zmiany
Pozostałe zmiany to m.in. wprowadzenie wyraźnego przepisu prawa stwierdzającego, że zgoda osoby, której dane dotyczą, na przetwarzanie jej danych, może być w każdym czasie odwołana. Ujednolicono przepisy ustawy oraz formularz zgłoszenia do rejestracji zbioru danych osobowych przez dodanie w ustawie obowiązku zamieszczenia w zgłoszeniu zbioru informacji dotyczących procesorów. Od 7 marca 2011 r. administrator danych jest obowiązany do zgłoszenia zmiany informacji o zarejestrowanym zbiorze, dotyczącej rozszerzenia zakresu przetwarzanych danych o tzw. dane wrażliwe, przed dokonaniem takiej zmiany w zbiorze. Istotną zmianą, pozytywnie ocenianą przez praktykę jest uchylenie art. 29 i 30 ustawy dotyczących szczególnego trybu udostępniania danych osobowych. Przyjęto, że dotychczasowe rozwiązanie, zgodnie z którym wiarygodne przedstawienie potrzeby posiadania danych osobowych mogło stanowić samoistną przesłankę ich udostępnienia, jest niezasadne. Słusznie przyjęto, że i w takim przypadku powinny mieć zastosowanie ogólne zasady regulujące legalność przetwarzania danych osobowych.
***
Nie ulega wątpliwości, że zmieniające się warunki techniczne i przemiany społeczne wywołują potrzebę dalszego dostosowywania obowiązujących regulacji dotyczących ochrony danych osobowych do dzisiejszych realiów. Takie prace trwają zarówno w Polsce, jak i na poziomie europejskim. Dlatego też, zapewne w nieodległej przyszłości, należy się spodziewać dalszych, bardziej rewolucyjnych zmian.
Agnieszka Kocon, radca prawny, Łaszczuk i Wspólnicy