Projekt ustawy o ochronie danych osobowych

Informacje o przyczynach i potrzebie wprowadzenia rozwiązań planowanych w projekcie

1. W dniu 25 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „rozporządzeniem 2016/679”. Rozporządzenie 2016/679 zacznie być aktem bezpośrednio stosowanym od dnia 25 maja 2018 r. i do tego czasu każde z państw członkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcia właściwych przepisów wewnętrznych. Tym samym, począwszy od tej daty,  polskie przepisy muszą zapewniać skuteczne stosowanie przepisów Rozporządzenia, nie powielając rozwiązań Rozporządzenia ani nie będąc z nim sprzecznymi.

2. Przepisy obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r, poz. 922), zwanej dalej „Ustawą”, z jednej strony zawierają regulacje analogiczne do regulacji  Rozporządzenia, np. w zakresie definicji danych osobowych, z drugiej zaś zawierają regulacje odmienne niż te, które przewiduje Rozporządzenie, choćby w zakresie definicji zgody osoby, której dane dotyczą. Wreszcie zawierają też regulacje, których nie przewiduje Rozporządzenie, np. w zakresie rejestracji zbiorów danych, ale także brak w obowiązującej ustawie przepisów dotyczących choćby akredytacji, czy certyfikacji. W świetle powyższego konieczne stało się opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE.

3. Ministerstwo Cyfryzacji jako resort odpowiedzialny za zapewnienie skutecznego stosowania rozporządzenia w polskiej przestrzeni prawnej, podjęło pracę nad zapewnieniem stosowania rozporządzenia 2016/679 poprzez  opracowanie nowej ustawy o ochronie danych osobowych  zastępującej obowiązującą obecnie ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 poz. 922) oraz zmianę ponad 100 przepisów zawartych w ustawach znajdujących się we właściwości prawie wszystkich resortów i zawartych w projekcie ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych.

4. Podjęte działania legislacyjne zgodnie z zasadami prawa Unii Europejskiej opierały się na założeniu, że nowa ustawa o ochronie danych osobowych będzie zawierała wyłącznie przepisy, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym oraz takich, w których rozporządzenie 2016/679 pozostawiło pewną swobodę regulacyjną poszczególnym państwom członkowskim. W szczególności  przedmiotem nowej ustawy o ochronie danych osobowych są więc kwestie dotyczące krajowego organu nadzorczego, postępowania przed tym organem, postępowania kontrolnego, wieku dziecka wymaganego do samodzielnego wyrażania zgody na przetwarzanie danych osobowych w odniesieniu do usług społeczeństwa informacyjnego, podmiotu właściwego do akredytacji podmiotów certyfikujących, sądowej ochrony praw przysługujących.

Istota rozwiązań ujętych w projekcie

1. W projekcie ustawy o ochronie danych osobowych określono zakres podmiotowy, przedmiotowy i terytorialny projektowanej ustawy. Ustawą będzie miała zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Wobec powyższego przepisy ustawy nie znajdą zastosowania do ochrony innych podmiotów w związku z przetwarzaniem ich danych osobowych. W projekcie ustawy przyjęto, że przedmiotowy zakres jej zastosowania będzie odpowiadał zakresowi zastosowania Rozporządzenia.  Stosowanie ustawy będzie wyłączone w odniesieniu do przetwarzania danych osobowych:

1)  w ramach działalności nieobjętej zakresem prawa Unii;

2)  przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 Traktatu o funkcjonowaniu Unii Europejskiej;

3)  przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

4)  przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

2. Projektu ustawy w celu zapewnienia stosowania art. 8 ust. 1 rozporządzenia 2016/679 obniża granicę wieku dziecka wskazaną w tym przepisie na oferowanie usług społeczeństwa informacyjnego. Zgodnie z projektem samodzielnie zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. zgodę na przetwarzanie danych osobowych w celu marketingu bezpośredniego administratora danych) będzie mogła samodzielnie wyrazić osoba, która ukończyła lat 13.

3. Uregulowano tryb notyfikacji inspektorów ochrony danych osobowych oraz podmioty obowiązane w polskim porządku prawnym do wyznaczenia inspektora ochrony danych osobowych.

4. Uregulowano zasady akredytacji i certyfikacji oraz tryb postępowania w tych sprawach. W projekcie ustawy zaproponowano by w polskim systemie prawnym certyfikacji udzielał organ nadzorczy, a więc Prezes Urzędu Ochrony Danych Osobowych wg kryteriów określonych przez Prezesa Urzędu, z uwzględnieniem art. 43 ust. 2 Rozporządzenia, i opublikowanych w Biuletynie Informacji Publicznej. Zaproponowano również by certyfikacji nie  dokonywał organ nadzorczy (taką możliwość daje art. 42 ust. 5 Rozporządzenia) a podmioty certyfikujące, które dysponują odpowiednim poziomem wiedzy fachowej w dziedzinie ochrony danych osobowych i uzyskały akredytację Prezesa Urzędu. Rozważając, jaki podmiot byłby najwłaściwszy do dokonywania certyfikacji uznano, że nałożenie tego zadania na Prezesa Urzędu obciąży go dodatkowo, przy i tak znacznie większym zakresie zadań niż ma choćby dzisiaj Generalny Inspektor Ochrony Danych Osobowych, a poza tym przekazanie uprawnienia do certyfikacji podmiotom spoza administracji przyczyni się do zwiększenia liczby miejsc w których będzie można dokonać certyfikacji, swoistej konkurencji pomiędzy podmiotami certyfikującymi i wreszcie sprawi, że podmioty, które będą ubiegały się o status podmiotu certyfikującego same również będą musiały spełniać kryteria certyfikacji niejako dając dobry przykład podmiotom ubiegającym się o certyfikację.

5. Projekt ustawy ustanawia nowy organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych. Nowy organ ochrony danych osobowych będzie miał znacznie szerszy zakres uprawnień niż dzisiejszy GIODO. Będzie on nie tylko organem nadzorczym w rozumieniu Rozporządzenia ze znacznie szerszym zakresem uprawnień i obowiązków niż dzisiejszy GIODO, ale będzie również organem nadzorczym w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.

6. W projekcie ustawy uregulowano tryb postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Warto wskazać, że według informacji uzyskanych przez Ministra Cyfryzacji w związku a analizą wyroków wydawanych przez Naczelny Sąd Administracyjny w 2015 r. spośród spraw które trafiły do sądów, średni czas trwania postępowania w sprawach dotyczących zasad naruszenia ochrony danych osobowych wynosi w Polsce 295 dni do czasu wydania przez Generalnego Inspektora Ochrony Danych Osobowych decyzji w I instancji, a do decyzji w II instancji – 437 dni. Założeniem przyświecającym Ministrowi Cyfryzacji jest więc przyśpieszenie trwających postępowań poprzez utrzymanie terminów wynikających z ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, zasadą jest więc wydanie rozstrzygnięcia niezwłocznie. Celem przyśpieszenia postępowania projekt znosi dwuinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Zniesienie dwuinstancyjności ma zapewnić obywatelom możliwość szybszego uzyskania sądowej ochrony swoich praw. Organowi przyznane zostanie jednak uprawnienie do autokontroli wydanej decyzji. Celem przyśpieszenia postępowań prowadzonych w związku z naruszeniami przepisów o ochronie danych osobowych projekt przewiduje również wprowadzenie do przepisów ustawy przepisu, w świetle którego postępowanie kontrolne w sprawach naruszenia ochrony danych nie może trwać dłużej niż miesiąc.

7. Projekt ustawy reguluje również kwestie odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych. Art. 79 ust. 1 rozporządzenia 2016/679 wymaga od państw członkowskich, aby w ich systemach prawnych istniały skuteczne środki ochrony prawnej przed sądem w przypadku gdy podmiot danych uzna, że prawa przysługujące mu na mocy Rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem rozporządzenia.

8. W projekcie ustawy uregulowano również kwestie dotyczące administracyjnych kar pieniężnych. Należy wskazać, iż przesłanki nakładania kar jak również ich maksymalne wysokości wynikają wprost z Rozporządzenia (art. 83 ust. 1 – 6). Prawodawca unijny wprowadził jednak możliwość szczególnego uregulowania przez państwa członkowskie kwestii nakładania kar na organy i podmioty publiczne, każde państwo członkowskie może bowiem określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim. Polski prawodawca skorzystał z możliwości jaką daje art. 83 ust. 7 Rozporządzenia i w przepisie art. 75 postanowił, że kary mogą być nakładane jedynie na podmioty wymienione w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych i wysokość kar nie może przekroczyć 100 000 zł.