Nowelizacja ma zwiększyć skuteczność oddziaływania Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na poziom ochrony danych w naszym kraju. Dlatego zmiany dotyczą uprawnień generalnego inspektora, procedury kontrolnej, prawnokarnych sankcji za utrudnianie kontroli, tworzenia jednostek GIODO na terenie kraju. Specjaliści zwracają uwagę, że do najważniejszych należy nadanie urzędowi uprawnień egzekucyjnych.

– Dostosowanie przedsiębiorstw do wymogów znowelizowanej ustawy nabiera obecnie jeszcze większego niż dotąd znaczenia, w związku z tym, że generalny inspektor ochrony danych osobowych zyskał dodatkowe uprawnienia, mające zapewnić skuteczność działań organu – mówi Michał Bochowicz, aplikant adwokacki w Deloitte Legal, Pasternak i Wspólnicy Kancelaria Prawnicza sp.k. – Między innymi ma on teraz prawo nałożenia grzywny w celu przymuszenia do wykonania decyzji. Maksymalna wysokość grzywny w przypadku osób fizycznych wynosi 50 tys. zł, a w przypadku prawnych – 200 tys. zł.

Przez kilkanaście lat obowiązywania przepisów o ochronie danych osobowych generalny inspektor nie miał możliwości zmuszenia firmy lub osoby fizycznej do podporządkowania się jego decyzji.
Należy też pamiętać – dodaje Michał Bochowicz – że obecnie utrudnianie GIODO wykonywania czynności kontrolnych może spowodować odpowiedzialność karną nawet do dwóch lat pozbawienia wolności.

Inne zmiany

Kolejna ważna zdaniem komentatorów zmiana w ustawie dotyczy udostępniania danych osobowych. Po uchyleniu art. 29 nie jest już możliwe udostępnianie danych podmiotom, które w sposób wiarygodny uzasadnią potrzebę ich posiadania. – Regulacja wzbudzała wątpliwości interpretacyjne i administratorzy danych nie byli pewni, jakie uzasadnienie należy uznać za wiarygodne – wyjaśnia Michał Bochowicz. – Zmiana ta wydaje się o tyle korzystna, że uchyla niejednoznaczną podstawę udostępniania danych osobowych, która niosła ze sobą ryzyko naruszenia przepisów ustawy przez administratorów tych danych.

Za uchyleniem wspomnianego artykułu przemawiał również argument, że samo wiarygodne motywowanie potrzeby posiadania danych nie powinno być podstawą do ich udostępnienia osobie trzeciej. Poza tym, jak pisano w uzasadnieniu wprowadzanych zmian, istnieją ogólne reguły opisujące legalne przetwarzanie danych, również ich udostępnianie (art. 23 ustawy w przypadku danych zwykłych lub art. 27 – w przypadku sensytywnych). Dzięki nowelizacji dostosowujemy też przepisy ustawy o ochronie danych osobowych do prawa unijnego. Skreślono również art. 50, mówiący o odpowiedzialności karnej za przechowywanie danych w zbiorze niezgodnie z celem jego utworzenia. Za wystarczającą regulację uznano przepis art. 49, mówiący o bezprawnym przetwarzaniu danych. Według ustawodawcy przechowywanie danych osobowych jest jednym z elementów ich przetwarzania.

Wprowadzono natomiast przepis, który wyraźnie mówi, że zgoda na przetwarzanie danych osobowych może być odwołana. Poza tym od 7 marca br. zgłoszenie zbioru do rejestracji powinno zawierać informacje o podmiotach, którym administrator powierza przetwarzanie danych – ma na to 30 dni. Administrator, który zamierza rozszerzyć zakres przetwarzanych danych o dane wrażliwe, zobowiązany został do informowania o tym organu jeszcze przed dokonaniem rozszerzenia.