Uwaga na dane! Wysokie grzywny
7 marca 2011 r. weszła w życie nowelizacja ustawy o ochronie danych osobowych. Obecnie przepisy umożliwiają generalnemu inspektorowi ochrony danych osobowych m.in. nałożenie grzywny, która ma zmusić osoby prawne lub fizyczne do wykonania jego decyzji. Dlatego szczególnie przedsiębiorstwa powinny zadbać o dostosowanie się do zmienionego prawa.
Nowelizacja ma zwiększyć skuteczność oddziaływania Generalnego
Inspektora Ochrony Danych Osobowych (GIODO) na poziom ochrony danych
w naszym kraju. Dlatego zmiany dotyczą uprawnień generalnego inspektora,
procedury kontrolnej, prawnokarnych sankcji za utrudnianie kontroli, tworzenia
jednostek GIODO na terenie kraju. Specjaliści zwracają uwagę, że do
najważniejszych należy nadanie urzędowi uprawnień egzekucyjnych.
– Dostosowanie przedsiębiorstw do wymogów znowelizowanej
ustawy nabiera obecnie jeszcze większego niż dotąd znaczenia, w związku
z tym, że generalny inspektor ochrony danych osobowych zyskał dodatkowe
uprawnienia, mające zapewnić skuteczność działań organu – mówi Michał
Bochowicz, aplikant adwokacki w Deloitte Legal, Pasternak i Wspólnicy
Kancelaria Prawnicza sp.k. – Między innymi ma on teraz prawo nałożenia
grzywny w celu przymuszenia do wykonania decyzji. Maksymalna wysokość
grzywny w przypadku osób fizycznych wynosi 50 tys. zł,
a w przypadku prawnych – 200 tys. zł.
Przez kilkanaście lat obowiązywania przepisów o ochronie danych
osobowych generalny inspektor nie miał możliwości zmuszenia firmy lub osoby
fizycznej do podporządkowania się jego decyzji.
– Należy też pamiętać – dodaje Michał Bochowicz – że obecnie
utrudnianie GIODO wykonywania czynności kontrolnych może spowodować
odpowiedzialność karną nawet do dwóch lat pozbawienia wolności.
Inne zmiany
Kolejna ważna zdaniem komentatorów zmiana w
ustawie dotyczy udostępniania danych osobowych. Po uchyleniu art. 29 nie jest
już możliwe udostępnianie danych podmiotom, które w sposób wiarygodny uzasadnią
potrzebę ich posiadania. – Regulacja wzbudzała wątpliwości interpretacyjne i
administratorzy danych nie byli pewni, jakie uzasadnienie należy uznać za
wiarygodne – wyjaśnia Michał Bochowicz. – Zmiana ta wydaje się o tyle
korzystna, że uchyla niejednoznaczną podstawę udostępniania danych osobowych,
która niosła ze sobą ryzyko naruszenia przepisów ustawy przez administratorów
tych danych.
Za uchyleniem wspomnianego artykułu
przemawiał również argument, że samo wiarygodne motywowanie potrzeby posiadania
danych nie powinno być podstawą do ich udostępnienia osobie trzeciej. Poza tym,
jak pisano w uzasadnieniu wprowadzanych zmian, istnieją ogólne reguły opisujące
legalne przetwarzanie danych, również ich udostępnianie (art. 23 ustawy w
przypadku danych zwykłych lub art. 27 – w przypadku sensytywnych). Dzięki
nowelizacji dostosowujemy też przepisy ustawy o ochronie danych osobowych do
prawa unijnego. Skreślono również art. 50, mówiący o odpowiedzialności karnej za
przechowywanie danych w zbiorze niezgodnie z celem jego utworzenia. Za
wystarczającą regulację uznano przepis art. 49, mówiący o bezprawnym przetwarzaniu
danych. Według ustawodawcy przechowywanie danych osobowych jest jednym z
elementów ich przetwarzania.
Wprowadzono natomiast przepis, który wyraźnie
mówi, że zgoda na przetwarzanie danych osobowych może być odwołana. Poza tym od
7 marca br. zgłoszenie zbioru do rejestracji powinno zawierać informacje o
podmiotach, którym administrator powierza przetwarzanie danych – ma na to 30
dni. Administrator, który zamierza rozszerzyć zakres przetwarzanych danych o
dane wrażliwe, zobowiązany został do informowania o tym organu jeszcze przed
dokonaniem rozszerzenia.
Kontrole po nowemu
Po wejściu w życie nowelizacji
inspektorzy GIODO przeprowadzający kontrolę muszą okazać imienne upoważnienie
i legitymację służbową – mówi o tym pkt 3 art. 15
ustawy. W pkt 4 tego samego artykułu natomiast wyszczególniono, co
imienne upoważnienie powinno zawierać (patrz ramka: Imienne upoważnienie
kontrolera). Prawodawca rozszerzył także art. 16 ustawy, mówiący
o protokole, który inspektor sporządza po przeprowadzonej kontroli. Do
pkt 1 dodano pkt 1 a, w którym wymieniono, co musi się
w protokole znaleźć.
Nowe przepisy zostały również wzbogacone o rozwiązanie prawne
umożliwiające tworzenie jednostek zamiejscowych biura GIODO w „przypadkach
uzasadnionych charakterem i liczbą spraw (…)”. Obecnie biuro GIODO mieści
się tylko w Warszawie. Komentatorzy zwracają jednak uwagę, że otwieranie
lokalnych placówek nie jest na razie możliwe ze względu na stan finansów
państwa.
Dbać o procedury
Agnieszka Durlik-Khouri, ekspert prawnogospodarczy Krajowej Izby
Gospodarczej, zwraca uwagę, że zmiany w ustawie o ochronie danych
osobowych wymagają od firm dołożenia wszelkich starań, aby będące w ich
posiadaniu informacje były na bieżąco monitorowane. – Najefektywniejszym
sposobem zarządzania danymi osobowymi jest stworzenie odpowiednich regulaminów
lub procedur określających sposób ich wykorzystywania, udostępniania
i przechowywania – twierdzi Agnieszka Durlik-Khouri. – Warto
precyzyjnie przedstawić cel oraz podmiot, któremu dane te są przekazywane.
Odpowiednie skonstruowanie regulaminu i nadzór nad jego przestrzeganiem
powinny uchronić firmy od dotkliwych kar. W mojej ocenie nie dojdzie do
znaczącego wzmożenia kontroli. Jednak wprowadzenie tak wysokich kar do ustawy
może budzić obawy przed ich nadmiernym wykorzystywaniem, szczególnie
w związku z brakiem precyzyjnej definicji pojęcia: utrudnianie
przeprowadzania czynności kontrolnych – dodaje.
Arkadiusz Szulepa, radca prawny, Managing Associate w Deloitte Legal, Pasternak i
Wspólnicy Kancelaria Prawnicza sp.k.
Obie nowelizacje ustawy o ochronie danych osobowych (dalej zwanej uodo) i
niektórych innych ustaw (w tym ustawy o postępowaniu egzekucyjnym w
administracji) – ze stycznia i marca 2011 r. – wprowadziły w życie istotne
zmiany, które mogą wpływać na funkcjonowanie przedsiębiorstw, w tym z sektora
małych i średnich firm. Nowelizacja dla podmiotów biznesowych oznacza bowiem
konieczność przestrzegania nowych obowiązków w zakresie ochrony danych
osobowych. Charakter wprowadzonych zmian świadczy, że ustawodawca dąży do
wzmocnienia ochrony tych danych. Oznacza to, że polscy przedsiębiorcy muszą
znać nałożone na nich w uodo obowiązki i
w pełni je wykonywać, by uniknąć ryzyka związanego z podjęciem przez
GIODO kontroli w ich firmach. Utrudnianie GIODO przeprowadzenia kontroli może
skutkować karą nawet dwóch lat pozbawienia wolności. Poza tym główny inspektor
ma teraz prawo do nałożenia grzywny w celu przymuszenia do wykonania decyzji.
W nowelizacji sprecyzowano też, że zgoda na przetwarzanie danych osobowych
może być w każdym momencie odwołana (art. 7 punkt 5 uodo). Przypomnijmy, że
jest ona jednym z czynników warunkujących legalność przetwarzania danych
osobowych.
Administratorzy danych powinni również zwrócić uwagę na zmiany dotyczące
rejestracji ich zbiorów. O wprowadzonym wymogu wskazania w zgłoszeniu
podmiotów, którym przetwarzanie danych zostało powierzone na podstawie art. 31
uodo, pamiętać powinni szczególnie przedsiębiorcy, którzy zlecają na zewnątrz
czynności związane z przetwarzaniem danych, np. w ramach outsourcingu usług
informatycznych.
Imienne upoważnienie kontrolera
Przeprowadzający kontrolę
powinien okazać imienne upoważnienie, podpisane przez generalnego inspektora,
oraz legitymację służbową. Upoważnienie musi zawierać:
– wskazanie podstawy
prawnej przeprowadzenia kontroli
– oznaczenie organu
kontroli
– imię i nazwisko,
stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer
jej legitymacji służbowej
– określenie zakresu
przedmiotowego kontroli
– oznaczenie przedmiotu
objętego kontrolą lub zbioru danych, lub miejsca poddawanego kontroli
– wskazanie daty
rozpoczęcia i przewidywanego terminu zakończenia kontroli
– pouczenie
kontrolowanego podmiotu o jego prawach i obowiązkach
– datę i miejsce wystawienia
imiennego upoważnienia
Podobne artykuły
Apel Rady Przedsiębiorczości: e-inwigilacja zamiast e-administracji
Poniżej publikujemy apel Rady Przedsiębiorczości, skupiającej największe polskie organizacje biznesowe, w sprawie wycofania się z rozwiązań zawartych w projekcie ustawy o zmianie niektórych ustaw w związku z rozwojem e-administracji.
Cisza przed burzą?
Firmy sprawdzają teraz, jak w praktyce funkcjonują rozwiązania wdrożone z myślą o ubiegłorocznym rozporządzeniu. Czekają też na ich ocenę przez UODO. Sygnałem do dalszych działań mogą być pierwsze kary, które już zostały zapowiedziane przez prezesa urzędu.
Przedsiębiorcy a RODO: jest pole do manewru
Elastyczne podejście RODO pozwala dopasować rozwiązania do ochrony danych osobowych do sytuacji konkretnej firmy. To oznacza nowe możliwości działania dla integratorów i resellerów. Mają szanse oferować klientom z sektora MŚP produkty zaspokajające ich specyficzne potrzeby.