Ostatnia nowelizacja ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych została wprowadzona ustawą z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych ustaw. W dniu 2 listopada 2010 r. ustawę przekazano Prezydentowi do podpisu. W dniu 18 listopada 2010 r. Prezydent podpisał ustawę, która ogłoszona została w dniu 6 grudnia 2010 r. Ustawa nowelizująca wejdzie w życie w dniu 7 marca 2011 r.
Poniżej omawiam zmiany do ustawy o ochronie danych osobowych wprowadzonych ustawą nowelizacyjną.
1. Zmiana w zakresie zgody na przetwarzanie danych osobowych
Dotychczas definicja zgody osoby, której dane dotyczą obejmowała oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Ustawa przewiduje również, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W wyniku nowelizacji do definicji tej dodano, że zgoda może być odwołana w każdym czasie. Literalnie określono możliwość odwołania zgody również w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, zaś w ustawie z dnia 16 lipca 2004 r. przewiduje się, że zgoda może być wycofana w każdym czasie, w sposób prosty i wolny od opłat. Warto w tym miejscu zaznaczyć, że odwołanie zgody może odnieść skutek ex nunc. W przeciwnym razie naruszałoby to zasadę bezpieczeństwa obrotu.
2. Zmiana w zakresie uprawnień Generalnego Inspektora Ochrony Danych Osobowych
Określone w art. 12 ustawy o ochronie danych osobowych zadania zostały rozszerzone o zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji w sprawach wykonania przepisów o ochronie danych osobowych, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji. Dopisano, zatem do obowiązków, które podlegają egzekucji administracyjnej, obowiązki z zakresu ochrony danych osobowych, nakładane w drodze decyzji wydawanych przez GIODO.
Ponadto w przepisach odrębnych uregulowano, że w przypadkach określonych szczególnymi przepisami jako organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym działa każdy organ Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu lub Straży Granicznej, Generalny Inspektor Ochrony Danych Osobowych, organ Państwowej Inspekcji Pracy wydający decyzję w pierwszej instancji, organ straży pożarnej kierujący akcją ratowniczą, a także inne organy powołane do ochrony spokoju, bezpieczeństwa, porządku, zdrowia publicznego lub mienia społecznego.
Na podstawie nowelizacji uregulowano w przepisach odrębnych, że GIODO – jako organ egzekucyjny w zakresie obowiązków o charakterze niepieniężnym wynikających z decyzji administracyjnych wydanych w sprawach wykonania przepisów o ochronie danych osobowych – będzie mógł, w przypadku niewykonania decyzji administracyjnej przez zobowiązanego, stosować środek egzekucyjny grzywnę w celu przymuszenia. Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10000 zł (około 347 USD), zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50000 zł (około 1736 USD), zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50000 zł w odniesieniu do osób fizycznych oraz 200000 zł (około 69,444 USD) w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.
Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Na podstawie nowych uprawnień wprowadzonych nowelizacją Generalny Inspektor Ochrony Danych Osobowych będzie mógł również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Podmiot, do którego zostało skierowane wystąpienie, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania.
3. Doprecyzowanie przepisów dotyczących postępowania kontrolnego
W ramach ostatniej nowelizacji uregulowano, że kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Określono też, co powinno zawierać imienne upoważnienie. Imienne upoważnienie powinno zawierać: wskazanie podstawy prawnej przeprowadzenia kontroli, oznaczenie organu kontroli, imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, określenie zakresu przedmiotowego kontroli, oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli, wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli, podpis Generalnego Inspektora, pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach, datę i miejsce wystawienia imiennego upoważnienia.
Określono również elementy protokołu kontroli, który powinien zawierać: nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres, imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora, imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot, datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli, określenie przedmiotu i zakresu kontroli, opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wyszczególnienie załączników stanowiących składową część protokołu, omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień, parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu, wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany, wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu, datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.
4. Obowiązki administratora danych
W świetle nowelizacji administrator danych administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a. Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, jeżeli spowodowałoby to:
1) ujawnienie wiadomości zawierających informacje niejawne,
2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
5. Rejestracja zbiorów danych
W wyniku nowelizacji zgłoszenie zbioru danych do rejestracji powinno zawierać następujące elementy:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
3) cel przetwarzania danych,
4) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
5) sposób zbierania oraz udostępniania danych,
6) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
7) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Administrator danych zobowiązany został do zgłaszania Generalnemu Inspektorowi Ochrony Danych Osobowych każdej zmiany informacji w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Jeżeli zmiana informacji dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze.
6. Kary
W zakresie kar dodano art. 54a ustawy o ochronie danych osobowych, zgodnie, z którym kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Dla porównania wskazać można, że przepis art. 106 ust. 2 pkt 3) ustawy z 16 lutego 2007 r. o ochronie konkurencji i konsumentów -Prezes Urzędu może nałożyć na przedsiębiorcę, w drodze decyzji, karę pieniężną w wysokości stanowiącej równowartość do 50.000.000 euro, jeżeli przedsiębiorca ten choćby nieumyślnie nie współdziała w toku kontroli prowadzonej w ramach postępowania na podstawie art. 105a, z zastrzeżeniem art. 105d ust. 2.
Autor artykułu prowadzi także szkolenia na ten temat. Najbliższe: Jak chronić dane osobowe w sektorze medycznym?, 31 marca 2011 r., i Ochrona danych osobowych w miejscu pracy – kazusy, 19 kwietnia 2011 r.