Kwestiami budzącymi najwięcej kontrowersji w opublikowanym przez Ministerstwo projekcie ustawy są zapisy dotyczące wyboru Prezesa oraz zastępców Prezesa Urzędu Ochrony Danych Osobowych, certyfikacji oraz szeroko rozumiane uproszczenie postępowania przed Urzędem Ochrony Danych Osobowych (UODO). Oczywiście poza tymi zamianami możemy dostrzec wiele mających charakter czysto kosmetyczny np. zmiana nazwy organu z Generalnego Inspektora Danych Osobowych na Urząd Ochrony Danych Osowych na którego czele ma teraz stanąć Prezes, zmiany ABI na IOD oraz określenie progu wiekowego osób którym świadczone są usługi drogą elektroniczną na ukończenie trzynastego roku życia.
Zagrożenie upolitycznieniem
Istotną zmianą dotyczącą struktury UODO jest sposób wybierania zastępców Prezesa tego urzędu. Mają oni być powoływani przez premiera na wniosek dwóch ministrów – cyfryzacji oraz spraw wewnętrznych i administracji. Bezsprzecznie organ jakim będzie UODO powinien być wysoce niezależny, by spełniać swoje zadania w sposób odpowiedni i zgodny z prawem. Niestety zaproponowana forma wyboru zastępców Prezesa może doprowadzić do sytuacji w których niezależność Urzędu nie zostanie zachowana. Zdaniem GIODO takie rozwiązanie stanowić będzie naruszenie przepisów unijnego rozporządzenia oraz art. 16 o funkcjonowaniu Unii Europejskiej. Możliwe, iż taki sposób powoływania zastępców został zaproponowany przez Ministerstwo w związku z koniecznością współpracy Prezesa z dwoma resortami. Jednak mimo powyższego argumentu, nie trudno uznać, że jednym ze standardów kształtowania apolitycznego organu, jest możliwość wyboru personelu przez osobę pełniącą funkcję organu. Warto również zauważyć, iż wybór samego Prezesa, mimo że zgodny z przepisami rozporządzenia, stanowi swoiste „obniżenie standardów”. W projekcie zaproponowano by był on powoływany przez Sejm na wniosek Premiera. Taka konstrukcja instytucji powoływania Prezesa może budzić poważne wątpliwości dotyczące niezawisłości tego organu. Obecnie Generalny Inspektor Ochrony Danych Osobowych powoływany jest przez Sejm na wniosek marszałka lub grupy 35 posłów. Takie uregulowanie dotyczące nie tylko powoływania Prezesa Urzędu, ale także jego zastępców osłabia jego niezależność.
Ważne
Warto pamiętać, że w przepisach RODO poświęcono oddzielny rozdział opisujący niezależność organu nadzorczego, co miało na celu zapewnienie działania takiego organu w sposób w pełni niezależny.
Certyfikacja w rękach Prezesa Urzędu Ochrony Danych Osobowych
Projekt ustawy o ochronie danych osobowych zakłada, że jedynym podmiotem uprawnionym do certyfikacji, w zakresie zgodności z przepisami RODO, operacji przetwarzania danych osobowych będzie Prezes Urzędu Ochrony Danych Osobowych.
Uwaga
W planach Ministerstwa Cyfryzacji Prezes urzędu będzie opracowywał i udostępniał kryteria certyfikacji.
Postępowanie takie będzie mogło rozpocząć się wnioskiem administratora danych, a także podmiotu przetwarzającego dane osobowe. Termin w jakim Urząd rozpatruje wnioski został określony na 3 miesiące od dnia ich złożenia. Postępowanie będzie możliwe do przeprowadzenia w formie elektronicznej. Po pozytywnym rozpatrzeniu wniosku ma zostać określony okres na jaki została udzielona certyfikacja. Kolejna nowością poza samą certyfikacją będzie możliwość przeprowadzenia czynności sprawdzających u administratora lub podmiotu przetwarzającego w okresie obowiązywania certyfikacji, przez UODO. Czynności sprawdzające będą mogły dotyczyć oceny spełniania przez certyfikowany podmiot kryteriów certyfikacji. Warto zauważyć, iż w wypadku gdy podczas czynności sprawdzających pojawią się nieprawidłowości Urząd będzie mógł wydać decyzję o cofnięciu certyfikacji. Należy takie rozwiązanie uznać za wzmacniające realną wartość takiej certyfikacji, albowiem podmiot uzyskujący certyfikację będzie świadomy możliwości skontrolowania jego działalności w zakresie przetwarzania danych osobowych. Pomimo, iż certyfikacja wzmocni pozycję administratorów oraz podmiotów przetwarzających dane osobowe na rynku, to warto zauważyć, iż uzyskanie certyfikatu nie będzie darmowe. Za przeprowadzenie powyższych czynności podmiot wnioskujący będzie uiszczał opłatę w wysokości około 12 tysięcy złotych, co stanowi odpowiednik trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę. W naszej opinii oddanie państwowemu podmiotowi procesu certyfikacji zgodności operacji przetwarzania danych z przepisami RODO jest rozwiązaniem zasługującym na pełna aprobatę. Takie rozwiązanie powinno zapewnić wysoki poziom rozpoznawania wniosków o certyfikację i zdaje się być ono dużo lepszym rozwiązaniem niż outsourcowanie tego procesu.
Uproszczenie postępowania, czy warto za wszelką cenę?
Zamysłem Ustawodawcy w projekcie ustawy o ochronie danych osobowych jest bezsprzecznie przyspieszenie i uproszczenie postępowania przed UODO. Warto zauważyć, iż postępowanie dotyczące ochrony danych osobowych pozostało dalej we właściwości Sądów Administracyjnych, tym samym dalej odbywa się ono na gruncie przepisów Kodeksu Postępowania Administracyjnego (KPA) oraz Kodeksu Postępowania Przed Sądami Administracyjnymi (PPSA). Rozwiązanie to wydaje się być trafne. Sądy Administracyjne posiadają bogate orzecznictwo oraz doświadczenie w rozpatrywaniu spraw dotyczących ochrony danych osobowych. Kolejnym istotnym czynnikiem przemawiającym, by postępowanie dotyczące ochrony danych, powiązane było w dalszym ciągu z gałęzią prawa administracyjnego jest fakt, iż Sądy Administracyjne rozstrzygają sprawy szybciej niż Sądy Powszechne. Oczywiście kwestia szybkości postępowania sądowego w Polsce jest sprawą polemiczną.
Ważne
Istotną zmianą natomiast ma być zrezygnowanie z dwuinstancyjności postępowania przed Urzędem Ochrony Danych Osobowych.
Zgodnie z przepisami obecnie obowiązującymi postępowanie przed GIODO, jest postępowaniem dwu instancyjnym. Oczywistym, jest że zrezygnowanie z dwu instancyjnego postępowania przed organem znacząco przyspieszy postępowanie. Mimo wielu głosów sprzeciwu jest to rozwiązanie zgodne z art. 15 KPA, który stanowi, iż „Postępowanie administracyjne jest dwuinstancyjne, chyba że przepis szczególny stanowi inaczej”. Powyższy postulat spotkał się z aprobatą GIODO, jednak już na tym etapie, sygnalizuje ono, iż niemożliwe będzie aby każde postępowanie kończyło się w ciągu miesiąca, gdyż decyzje wydawane przez organ nie opierają się na prostym sprawdzeniu przesłanek formalnych. Jedyną formą odwołania się, od decyzji UODO, na gruncie projektu ustawy będzie więc droga Sądowo-Administracyjna. Takie rozwiązanie może znacznie przyspieszyć postępowanie jednak, warto zauważyć iż może doprowadzić ono do naruszenia jednej z naczelnych zasad KPA zawartej w art. 24 – tj. zasady wysłuchania stron. W kwestii przyspieszenia postępowania nie logiczne wydaje się odrzucenie możliwości zawarcia ugody. Bez wątpienia instytucja ugody administracyjnej została wprowadzona na gruncie przepisów KPA w celu przyspieszenia postępowania administracyjnego, warto zauważyć, iż w wielu krajach europejskich większość spraw kończy się ugodą, co znacząco przyspiesza postępowanie. Ministerstwo argumentuje wyłączenie ugody z postępowania dotyczącego ochrony danych osobowych faktem, iż może prowadzić do nadużyć i podejmowania prób obejścia prawa. Z drugiej jednak strony warto zauważyć, iż ugoda w KPA istnieje od 1980r. zaś jej instytucja w postępowaniu administracyjnym praktycznie nie występuje. Często jest ona porównywana do jednorożca – każdy wie jak ona wygląda ale nigdy nikt jej nie widział. Kwestia dotycząca ugody może więc spotkać się zarówno z aprobatą jak i sprzeciwem. Z jednej strony instytucja ta w zamyśle ma przyspieszać postępowanie, jednak doświadczenie wskazuje, iż nie jest ona stosowana. Kolejną kwestią budzącą wątpliwości jest, zaproponowany w projekcie, wymóg nadawania rygoru natychmiastowej wykonalności decyzją UODO. Ustawodawca tłumaczy, iż takie rozwiązanie ponownie ma przyczynić się do zwiększenia szybkość postępowania oraz uchroni organ od konieczności każdorazowego, odrębnego nadawania tego rygoru wszystkim decyzjom. Uzasadnieniem do stosowania rygoru natychmiastowej wykonalności ma być wskazanie prawa do ochrony danych osobowych jako dobra chronionego. Dodatkowo argumentem ma być, wspomniana powyżej, jednoinstancyjność postępowania. Skoro nie będzie możliwości ponownego rozpatrzenia sprawy przez UODO w trybie odwoławczym, to nie zaistnieje też instytucja odwołania, która wstrzymuje rygor natychmiastowej wykonalności, co wydaje się jeszcze bardziej nie jasnym uzasadnieniem, gdyż rygor ten można nadawać jedynie decyzjom od których służy odwołanie. Powyższe rozwiązanie zdaje się być jednak niezgodne z zamysłem ogólnym instytucji rygoru natychmiastowej wykonalności, który jest stosowany wg. KPA jedynie w przypadkach szczególnie uzasadnionych.
Uwaga
Zgodnie z art. 108 KPA rygor natychmiastowej wykonalności można stosować gdy jest to „niezbędne ze względu na ochronę zdrowia lub życia ludzkiego albo dla zabezpieczenia gospodarstwa narodowego przed ciężkimi stratami bądź też ze względu na inny interes społeczny lub wyjątkowo ważny interes strony. Wątpliwym natomiast staje się stwierdzenie, iż każda sprawa związana z ochroną danych osobowych ma tak podniosły charakter.
Nie jest to jednak ostatnia ze zmian dotycząca procedury. Problematyczna staje się kwestia zaskarżalności postanowień w ramach postępowania. Przedstawiciele Ministerstwa Cyfryzacji wyjaśniają, iż zabieg ten został zastosowany, aby osiągnąć cel jakim jest szybkie rozstrzyganie spraw, a możliwość skarżenia postanowień i tak będzie zachowana, bowiem kontrola zasadności wydania postanowienia prowadzona byłaby podczas rozpatrywania skargi przez sąd. Mimo, iż takie rozwiązanie przyspieszy postępowanie to jednak w praktyce pozbawia ono praktycznie w całości możliwości przedstawiania swoich racji przez strony postępowania. Stanowi to kolejny przejaw złamania zasady KPA - wysłuchania stron.
Utworzenie Funduszu Ochrony Danych Osobowych
W opublikowanym projekcie mowa jest także o utworzenie funduszu celowego, którym ma być Fundusz Ochrony Danych Osobowych. Dysponentem tego funduszu będzie Prezes Urzędu Ochrony Danych Osobowych. Przychody tego funduszu pochodzić mają z kar pieniężnych nakładanych przez urząd i mają stanowić ich 1%. Zgodnie z przepisami RODO urząd ten może nakładać kary pieniężne w wysokości do 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy, który naruszył wskazane w rozporządzeniu przepisy.
Ważne
Warto jednak zauważyć, że kary dla administracji publicznej za złamanie przepisów o ochronie danych osobowych zostały obniżone do 100 tys. złotych, co stanowi znaczącą dysproporcje.
Wydatki celowego funduszu będą przeznaczane na inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania w społeczeństwie wiedzy o potrzebie ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzanie ich danych osobowych, w szczególności uwagę poświęca się działaniom skierowanym do dzieci. Drugim celem wydatków będzie inicjowanie i podejmowanie przedsięwzięć w zakresie upowszechniania wśród administratorów i podmiotów przetwarzających, wiedzy o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych. Wskazaną inicjatywę powołania Funduszu Ochrony Danych Osobowych należy ocenić nad wyraz pozytywnie, albowiem będzie to konkretny zasób środków umożliwiający przeprowadzanie wartościowych akcji informacyjnych i edukacyjnych. Mimo, iż kary pieniężne wnikają wprost z rozporządzenia, to warto zastanowić się, czy w połączeniu z nową procedurą wyboru Prezesa Urzędu wraz z jego zastępcami nie będzie stanowić swoistego nacisku politycznego na „niepokornych” przedsiębiorców.
Umożliwienie ograniczenia przetwarzania danych osobowych
Niebezpiecznymi, z punktu widzenia przedsiębiorcy, mogą się okazać projektowane przepisy dotyczące możliwości wydania przez Prezesa Urzędu Ochrony Danych Osobowych postanowienia zobowiązującego takiego przedsiębiorcę do ograniczenia przetwarzania danych osobowych. Postanowienie takie może zapaść bez umożliwienia stronie wypowiedzenia się co do zebranych przez Urząd dowodów i materiałów, a także zgłoszenia swoich żądań. Reasumując takie postanowienie może doprowadzić w najgorszym przypadku do upadku przedsiębiorstwa.
Regulacje dotyczące odpowiedzialności karnej
Omawiane przepisy regulują także odpowiedzialność karną. W projekcie ustawy pojawiły się zaledwie dwa przepisy karne. Dla kontrastu, warto zaznaczyć, że obecna ustawa posiada tych przepisów sześć. To co dziś jest przestępstwem, a odnosi się do udaremnienia lub utrudnienia inspektorowi GIODO czynności kontrolnej zostanie w nowym systemie prawnym wykroczeniem i będzie podlegać grzywnie. Natomiast z pozostałych pięciu obowiązujących obecnie przestępstw Ustawodawca chce wprowadzić wyłącznie jedno przestępstwo. Jego przedmiotem będzie przetwarzanie, bez podstawy prawnej, danych osobowych kategorii szczególnej (m.in. dane osobowe ujawniające poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia). Będzie to skutkować pozbawieniem wolności do roku. Wydaje się, że takie podejście zostało podyktowane wprowadzonymi przez RODO wysokimi karami finansowymi i skierowaniem ciężaru, gwarantującego legalne przetwarzanie danych, na aspekty finansowe.
Podsumowując, mimo iż przygotowany przez Ministerstwo Cyfryzacji projekt przedstawia kompleksowe rozwiązania dotyczące kwestii nie uregulowanych przez RODO, to warto zauważyć, iż rozwiązania te nie są idealne. Warto także przyjrzeć się propozycji zmian ponad 133 ustaw, które znajdują się w projekcie ustawy wprowadzającej ustawę o ochronie danych osobowych, co będzie tematem drugiej części wpisu.