Stanowisko ws. ustawy o ochronie danych osobowych (wersja z 28.03.2017 r., dalej: puodo)
2017-04-12
Uwagi szczegółowe:
I. Przetwarzanie danych osób, które nie ukończyły 13 lat - art. 1
Postulujemy następującą zmianę brzmienia art. 1:
Art. 1. W przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio dziecku , gdy podstawą przetwarzania danych osobowych jest zgoda, osoba, która ukończyła lat 13, może samodzielnie dokonywać czynności związanych z przetwarzaniem jej danych osobowych, w tym wyrazić zgodę na ich przetwarzanie, bez konieczności potwierdzania tej zgody przez przedstawiciela ustawowego. Jeżeli osoba nie ukończyła 13 lat takie przetwarzanie danych osobowych możliwe jest wyłącznie po potwierdzeniu zgody przez jej rodziców bądź opiekunów prawnych albo po uzyskaniu uprzedniej zgody jej rodziców bądź opiekunów prawnych.
W pierwszej kolejności należy wyrazić pełne poparcie dla projektodawcy, który rozumiejąc charakterystykę i potrzeby osób korzystających z usług społeczeństwa informacyjnego, proponuje skorzystanie z przewidzianej przez RODO możliwości obniżenia progu wiekowego - poniżej którego konieczny jest nadzór rodzicielski podczas dysponowania danymi osobowymi - do lat 13. Jednocześnie w ocenie Konfederacji Lewiatan proponowane brzmienie art. 1 może powodować liczne wątpliwości interpretacyjne, gdyż nie reguluje wprost sytuacji prawnej osób, które ukończyły lat 13. Przedstawiona powyżej propozycja zmiany brzmienia art. 1 projektu ustawy ma dokładnie ten sam cel, co przepis zaproponowany przez projektodawcę, a jednocześnie pozwala uniknąć ewentualnych przyszłych wątpliwości związanych z sytuacją osób, które ukończyły 13 lat.
Ponadto, zgodnie z art. 8 RODO przetwarzanie danych osobowych w przypadku dzieci, które nie ukończyły 16 lat (państwa członkowskie mogą obniżyć ten wiek do lat 13), jest dopuszczalne jeśli:
a. zgodę na przetwarzanie danych osobowych dziecka wyraziła osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem albo
b. zgodę wyraziło dziecko, a osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem zaaprobowała zgodę;
Zatem RODO dopuszcza w takich przypadkach stosowanie w prawie krajowym dwóch mechanizmów: i) wyrażenie zgody przez rodzica albo opiekuna, w zastępstwie za dziecko albo ii) wyrażenie zgody przez samo dziecko i potwierdzenie tej zgody przez rodzica albo opiekuna.
Biorąc pod uwagę, iż w analizowanym art. 1 ustawy chodzi o przetwarzanie danych osobowych na potrzeby świadczenia usług społeczeństwa informacyjnego (polski porządek prawny posługuje się w tym zakresie pojęciem usług świadczonych drogą elektroniczną), przybierających bardzo zróżnicowane postaci i formy, należy przyjąć takie przepisy, które pozwolą na stosowanie w praktyce obu mechanizmów dopuszczalnych z punktu widzenia RODO. Różnorodność usług społeczeństwa informacyjnego powoduje, iż dla pewnej części usług efektywniejsze i wygodniejsze będzie - tak z perspektywy użytkownika jak i dostawcy usług - stosowanie mechanizmu zastępczej zgody wyrażanej przez rodziców, a dla innych usług efektywniejsze będzie wykorzystanie mechanizmu potwierdzania zgody przez rodzica albo opiekuna. Przy czym podkreślić należy, że oba mechanizmy w równym i wystarczającym z perspektywy RODO stopniu zabezpieczają prawa osób, która nie ukończyły lat 13 oraz ich rodziców albo opiekunów.
Ponadto, poddajemy pod rozwagę zastąpienie w art. 1 pojęcia „usług społeczeństwa informacyjnego" odpowiednikiem w postaci „świadczenia usług drogą elektroniczną", stosowanym w krajowym porządku prawnym.
RODO w art. 4 pkt 25) definiuje pojęcie usług społeczeństwa informacyjnego stanowiąc, iż jest to usługa w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535. W tym miejscu należy zauważyć, iż również dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) korzysta z definicji usług społeczeństwa informacyjnego zawartej w dyrektywie 2015/1535 (art. 2 lit. a dyrektywy o handlu elektronicznym odsyła do definicji zawartej w dyrektywie 98/48/WE, która została zastąpiona dyrektywą 2015/1535 - patrz art. 10 i tabela korelacji do dyrektywy 2015/1535). Jest to o tyle istotne, że przepisy dyrektywy o handlu elektronicznym zostały implementowane do krajowego porządku prawnego przepisami ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, która to ustawa - na potrzeby krajowego porządku prawnego - definiuje „świadczenie usług drogą elektroniczną" (krajowy odpowiednik unijnych „usług społeczeństwa informacyjnego").
W efekcie to, co na poziomie przepisów UE jest określane jako „usługi społeczeństwa informacyjnego", na poziomie krajowych przepisów określane i definiowane jest jako „usługi świadczone drogą elektroniczną". Analizowany projekt ustawy o ochronie danych osobowych jest krajowym aktem prawnym, więc wydaje się, że powinien posługiwać się terminologią spójną z krajowym porządkiem prawnym. Wskazujemy jednocześnie na potrzebę dalszej analizy problemu, w szczególności biorąc pod uwagę fakt, iż w tym przypadku - inaczej niż w przypadku dyrektywy o handlu elektronicznym - definicja „usług społeczeństwa informacyjnego" została zawarta w RODO, a więc rozporządzeniu, które z jednej strony ma bezpośrednie zastosowanie w krajowym porządku prawnym, a z drugiej definiuje analizowane usługi poprzez odesłanie do dyrektywy 2015/1535, z której „korzysta" również dyrektywa o handlu elektronicznym.
II. Dobre praktyki - art. 2
Postulujemy następującą zmianę brzmienia art. 2 ust. 1:
Art. 2. 1. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej "Prezesem Urzędu", opracowuje i udostępnia na swojej stronie internetowej dobre praktyki przetwarzania danych osobowych, zwane dalej „dobrymi praktykami", zawierające niewiążące, rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
We Wprowadzeniu do projektu części przepisów ustawy o ochronie danych osobowych („Wprowadzenie") wielokrotnie podkreślone zostało, iż dobre praktyki Prezesa Urzędu Ochrony Danych Osobowych („PUODO") nie mogą mieć charakteru wiążącego, z czym należy się zgodzić. Nie ma przeszkód, aby niewiążący charakter tego typu dokumentów wpisać wprost do przepisów ustawy.
W tym miejscu pragniemy zwrócić uwagę na treść Wprowadzenia, które jest o tyle istotne, że jak należy się domyślać posłuży jako przyszłe uzasadnienie towarzyszące projektowi ustawy. W związku z powyższym postulujemy wykreślenie z Wprowadzenia zdania stwierdzającego, że Z faktu działania w zgodzie z rekomendacjami nie powinny też wynikać żadne gwarancje dla administratorów ani podmiotów przetwarzających (str. 3). Zgadzając się, że dobre praktyki nie mogą mieć charakteru wiążącego dla ich adresatów podkreślamy, że przytoczone powyżej stwierdzenie zniechęci do stosowania dobrych praktyk, gdyż jak można wywieść z tego zdania, ich stosowanie w zasadzie jest pozbawione sensu (skoro nie daje żadnych gwarancji). Ponadto, tak niefortunne sformułowanie wprost przeczy celowi, jakiemu ma służyć wydawanie dobrych praktyk, którym jest - zgodnie z Wprowadzeniem - zapewnienie większego poczucia pewności prawnej. Trudno bowiem uznać, że dobre praktyki, których stosowanie nie daje żadnej gwarancji postępowania zgodnie z przepisami, w jakikolwiek sposób zwiększą po stronie adresatów przepisów poczucie pewności prawnej. Jednocześnie takie podejście wydaje się niespójne z konstytucyjną zasadą ochrony zaufania obywatela do państwa i stanowionego przez nie prawa, jak również może wprost naruszać szereg zasad prawnych wyrażonych w projektowanej ustawie Prawo przedsiębiorców[1] (składającej się na pakiet „Konstytucji Biznesu"), w tym zasadę pogłębiania zaufania, proporcjonalności, bezstronności i równego traktowania (art. 13 projektu ustawy), zasadę pewności prawa (art. 15 projektu ustawy) oraz zasadę chroniącą przedsiębiorcę przed sankcjami w przypadku stosowania się do utrwalonej praktyki interpretacyjnej właściwego organu administracji (art. 36 ust. 2 projektu ustawy).
Zatem postulujemy usunięcie z Wprowadzenia stwierdzeń, które wprost wskazują, że stosowanie dobrych praktyk nie daje żadnych gwarancji dla podmiotów stosujących te praktyki. Jednocześnie nie ma potrzeby wprowadzania w to miejsce stwierdzeń o tym, że takie gwarancje istnieją, gdyż to jest już przedmiotem wykładni przepisów Kodeksu postępowania administracyjnego, ustawy o swobodzie działalności gospodarczej (w przyszłości również ustawy Prawo przedsiębiorców) oraz praktyki orzeczniczej tak organów administracji publicznej jak i sądów, które będą rozpatrywały skargi / odwołania od decyzji PUODO.
Dodatkowo, należałoby doprecyzować że dobre praktyki w rozumieniu ustawy to kodeksy postępowania, o których mowa w art. 40 Rozporządzenia 2016/679. Być może taki zapis powinien się znaleźć w brakującym słowniczku do ustawy.
III. Uprawnienia osób przeprowadzających czynności sprawdzające - art. 7
Wątpliwości budzi szeroki zakres uprawnień osób przeprowadzających czynności sprawdzające, m.in. przez podmiot certyfikujący w zakresie wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń. Biorąc pod uwagę specyfikę firm farmaceutycznych zupełnie zbędny jest zapis o możliwości wejścia inspektora do pomieszczeń „czystych" np. laboratoriów czy produkcji, gdzie muszą panować szczególne wymagania sterylności określone prawem, a gdzie dane nie są przetwarzane. Postuluję ponowne przeanalizowanie przepisów dotyczących kontroli i powrót do zapisów zbliżonych do obecnie obowiązujących, gdzie określa się:
a) pomieszczenia, do których wstęp ma inspektor (tam gdzie dane są przetwarzane),
b) możliwości wglądu kontrolujących do zbiorów danych tylko za pośrednictwem przedstawiciela kontrolowanego podmiotu oraz
c) szczegółowo dni i godziny kontroli.
IV. Cofnięcie certyfikacji - art. 13 ust. 1
Brak jest doprecyzowania przesłanek na podstawie których certyfikacja ma być cofnięta. Ustawa nie precyzuje trybu przeprowadzania czynności sprawdzających w trakcie okresu udzielonej certyfikacji.
V. Udział organizacji społecznej w postępowaniu - Art. 16
Ponawiam (w zmienionej wersji) postulat przedstawiony we wcześniejszym piśmie KL (zgłaszającym uwagi do procedury postępowania przed Generalnym Inspektorem Ochrony Danych Osobowych), tj. postulat zmiany brzmienia art. 16 projektu ustawy w następujący sposób:
Gdy prawa osoby przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, organizacja społeczna, działająca w dziedzinie ochrony praw i wolności tychże osób, może występować z żądaniem:
1) wszczęcia postępowania,
2) dopuszczenia jej do udziału w postępowaniu,
jeżeli jest to bezpośrednio uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym ważny interes społeczny
Wspomniany zapis pozwoli zawężyć krąg organizacji społecznych, które są zainteresowane udziałem w postępowaniu. Celem jest ograniczenie liczby organizacji, które mogą traktować art. 16 jako pretekst do wszczęcia postępowania tylko po to by zawrzeć ugodę.
VI. Przedstawienie dowodu - art. 18
Postuluję zmianę art. 18 ust. 2 projektu ustawy, tak aby termin nie mógł być krótszy niż 14 dni. Obecnie przepis przewiduje, że termin ten może wynosić 3 dni, co w wielu przypadkach może być terminem stanowczo zbyt krótkim, aby uczynić zadość żądaniu PUODO. Gdyby termin miał być krótszy niż 14 dni, (przy czym w żadnym wypadku nie powinien być krótszy niż 7 dni), postuluje doprecyzować, że chodzi o dni robocze.
Należy bowiem pamiętać, że zgromadzenie wszystkich informacji i dokumentów żądanych przez PUODO, w szczególności w przypadku gdy żądanie jest obszerne, a adresatem jest rozbudowany organizacyjnie podmiot, może stanowić wyzwanie logistyczne wymagające zgromadzenia wiedzy i informacji będących w posiadaniu wielu różnych komórek danej organizacji. W związku z powyższym, ustawodawca, świadomy wyzwań związanych z kompletowaniem i udostępnianiem informacji, uznał, że organ, który otrzymał wniosek o dostęp do informacji publicznej, powinien udostępnić wnioskowane informacje bez zbędnej zwłoki, nie później jednak niż w terminie 14 dni od dnia złożenia wniosku (art. 13 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej). Skoro zatem w stosunku do obowiązku nałożonego na organ administracji publicznej ustawodawca uznaje, że działanie niezwłoczne może trwać nawet 14 dni, to trudno wymagać, aby adresat żądania PUODO był w stanie zebrać niezbędne informacje w terminie 3 dni.
Jednocześnie obowiązek przedłożenia dowodu powinien zostać zastąpiony powszechnie znanym i wykorzystywanym w postępowaniu administracyjnym (np. postępowania prowadzone przez Prezesa UOKiK czy Prezesa UKE) mechanizmem uprawniającym PUODO do żądania przedłożenia informacji, wyjaśnień i dokumentów w danym postępowaniu administracyjnym.
Należałoby się zastanowić również nad brzmieniem ust. 3 art. 18, wymagającym dokonania przez stronę, na własny koszt, tłumaczenia na język polski sporządzonej w języku obcym dokumentacji. Może to powodować nadmierne utrudnienia i stanowić przesłankę do tego, by od dostawców np. systemów informatycznych, już na etapie zakupu systemu, żądać całości dokumentacji w języku polskim.
VII. Uchylenie tajemnicy przedsiębiorstwa - Art. 20 ust. 2
Uprawnienie Prezesa Urzędu do uchylenia tajemnicy przedsiębiorstwa jest sformułowane w taki sposób, że stwarza duże pole do uznaniowości. Należałoby się zastanowić nad określeniem przesłanek wydawania przez Prezesa Urzędu tego typu decyzji. Przepis nie mówi także nic o możliwości zaskarżenia decyzji oraz biegu terminów w przypadku zaskarżenia.
VIII. Wniosek o ograniczenie prawa wglądu do materiału dowodowego - Art. 21 ust. 2 i 3 -
PUODO wymaga by wniosek o ograniczenie prawa wglądu do materiału dowodowego składany był do Prezesa Urzędu wraz z uzasadnieniem oraz wersją dokumentu niezawierającą informacji objętych ograniczeniem, pod rygorem pozostawienia wniosku o ograniczenie wglądu bez rozpoznania. Obecna wersja artykułu nie bierze pod uwagę sytuacji, gdy cały dokument jest poufny (np. wyniki badań).
IX. Postanowienie ograniczające przetwarzanie danych osobowych - art. 24 w zw. z art. 30
Istnieje konieczność prowadzenia następujących zmian w art. 24 ust. 1:
Art. 24.1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Na postanowienie stronie służy zażalenie.
Na wstępie należy zauważyć, że regulacja przewiduje procedurę na kształt postępowania zabezpieczającego. Zgodnie z art. 30 postanowienia PUODO strona może zaskarżyć dopiero w skardze na decyzję PUODO, co samo w sobie nie wstrzymuje wykonania postanowienia (tak samo jak nie wstrzymuje wykonania samej decyzji).
W pierwszej kolejności nie jest zrozumiałe, z jakich powodów art. 24 ust. 1 projektu ustawy wyłącza stosowanie art. 10 KPA, który to przepis zapewnia stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwia stronom wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. Nie widzimy powodu, aby w postępowaniu prowadzonym przez PUODO nie stosować zasady czynnego udziału strony w postępowaniu, tj. jednej z podstawowych zasad polskiego postępowania administracyjnego.
Ponadto, niezbędne jest uzupełnienie analizowanego przepisu tak, aby na postanowienie PUODO w sprawie ograniczenia przetwarzania danych osobowych służyło stronie zażalenie. W obecnym kształcie przepis nie przewiduje możliwości złożenia zażalenia na takie postanowienie (co jak wskazano we Wprowadzeniu jest działaniem celowym projektodawcy), co jest poważnym brakiem projektu ustawy i może w praktyce rodzić bardzo poważne konsekwencje gospodarcze. Zgodnie z art. 24 ust. 2 środek tymczasowy, w postaci postanowienia, może obowiązywać aż do wydania przez PUODO decyzji kończącej postępowanie administracyjne, przy czym pamiętać należy, że decyzją PUODO może nałożyć obowiązki tożsame z zawartymi w postanowieniu, w efekcie ograniczenia w przetwarzaniu danych osobowych wprowadzone na mocy postanowienia mogą obowiązywać aż do rozpatrzenia skargi na decyzję PUODO przez sąd administracyjny. Jak wskazano we Wprowadzeniu (str. 5) średni czas oczekiwania na decyzję Generalnego Inspektora Ochrony Danych Osobowych w pierwszej instancji wynosi 295,75 dni, a na decyzję w drugiej instancji 142,30 dni. W przypadku postępowań wymagających współpracy organów nadzorczych z różnych państw członkowskich UE postępowania bez wątpienia będą trwały znacznie dłużej. Jednocześnie, niezaskarżalny brak możliwości przetwarzania danych osobowych - wynikający z postanowienia PUODO - może oznaczać, że wielu przedsiębiorców nie będzie mogło świadczyć usług czy sprzedawać towarów na rzecz swoich kontrahentów (konsumentów), przez cały okres trwania postępowania administracyjnego, co biorąc pod uwagę powszechną przewlekłość polskich procedur administracyjnych może być mechanizmem skutkującym likwidacją i zniknięciem z rynku wielu przedsiębiorców. Niewielu bowiem przedsiębiorców będzie mogło sobie pozwolić na utrzymywanie zatrudnienia i przedsiębiorstwa wobec rocznego albo dłuższego braku możliwości zarabiania. We Wprowadzeniu wyjaśniono co prawda, że jeśli w postępowaniu odwoławczym sąd administracyjny uzna, że postanowienie PUODO było bezzasadne, to adresat takiego postanowienia będzie mógł wystąpić z roszczeniami odszkodowawczymi wobec PUODO, niemniej jednak jest to rozwiązanie całkowicie niewystarczające dla poszkodowanych przedsiębiorców, którzy w tym momencie mogą już nie istnieć na rynku, a odbudowanie zaufania konsumentów (którym przedsiębiorca musiał wstrzymać usługę / dostawę towaru w związku z postanowieniem PUODO) i powrót na rynek będą niemożliwe. Pojawia się również pytanie o to, do kogo z roszczeniami odszkodowawczymi mają zwrócić konsumenci, którym adresat postanowienia PUODO musiał wstrzymać usługi lub dostawę towarów (naruszając tym samym swoje zobowiązania wynikające z zawartych umów). Wydaje się, że jeśli sąd stwierdzi brak zasadności postanowienia PUODO przedsiębiorca powinien móc owe roszczenia wliczyć w szkodę i odszkodowanie, którego będzie dochodził od PUODO (roszczenia regresowe).
Jak wykazano powyżej, brak możliwości zażalenia postanowienia PUODO może mieć bardzo poważne, nieodwracalne konsekwencje dla wielu przedsiębiorców, z likwidacją przedsiębiorcy włączenie, a rehabilitacja i ewentualne odszkodowanie post mortem jest rozwiązaniem daleko niesatysfakcjonującym. Jednocześnie brak jest racjonalnych powodów do uznania, że trak drastyczne rozwiązanie jest niezbędne dla ochrony danych osobowych. Bez wątpienia prawo do prywatności i ochrona danych osobowych są wartościami wymagającymi skutecznej ochrony, niemniej jednak nie są to wartości ważniejsze od wartości, na straży których stoją choćby Prezes UOKiK czy Prezes UKE, którzy nie mają możliwości zastosowania w analogicznych sytuacjach niezaskarżalnego postanowienia. We Wprowadzeniu znajduje się co prawda informacja, że podobne rozwiązanie prawne zastosowane zostało przez ustawodawcę przykładowo w ustawie z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz.U. 2017 poz. 229), co każe domyślać się, że projektodawca ma na myśli art. 73a ustawy o ochronie konkurencji i konsumentów, który przewiduje instytucję ostrzeżeń publicznych przybierających postać postanowień Prezesa UOKiK. Niestety we Wprowadzeniu zapewne przez przeoczenie pominięto informację, że na przedmiotowe postanowienie Prezesa UOKiK - odmiennie niż na projektowane postanowieni PUODO - stronie służy zażalenie (art. 73a ust. 2 ustawy o ochronie konkurencji i konsumentów), tym samym podobieństwo obu instytucji jest pozorne i sprowadza się tylko do tego, że obie instytucję przybierają formę postanowienia.
Co więcej, brak możliwości złożenia zażalenia może postawić jej adresata w sytuacji, gdzie bez względu na swoje postępowanie naraża się na sankcje. Należy bowiem pamiętać, że w porządku prawnym funkcjonuje wiele przepisów, które dają przedsiębiorcy nie tyle uprawnienie, co nakładają obowiązek przetwarzania danych (w tym ich udostępnienia) wskazanym organom lub służbom. Tak jest w przypadku Prawa telekomunikacyjnego, które nakazuje przedsiębiorcom telekomunikacyjnym gromadzenie (retencja) i udostępnianie wielu danych, w tym danych osobowym, uprawnionym organom, pod groźbą sankcji. Nietrafione, ale niewzruszalne postanowienie PUODO w tym zakresie mogłoby postawić przedsiębiorcę w sytuacji, w której bez względu na swoje działania może znaleźć się w sytuacji naruszenia przepisów prawa.
Konstrukcja postulowanego rozwiązania już na obecnym etapie jawi się jako sprzeczna z art. 47 Karty praw podstawowych Unii Europejskiej. Bowiem każdy, kogo prawa i wolności zostały naruszone, ma prawo do skorzystania ze skutecznego środka prawnego przed sądem. W ramach kontroli sądowej wydanego postanowienia PUODO, prawo przedsiębiorcy do bycia wysłuchanym umożliwiłoby ponadto przedsiębiorcy podniesienie zarzutów mających charakter faktyczny lub prawny, które nie zostały lub nie mogły być podniesione w toku postępowania poprzedzającego wydanie postanowienia.
Wszystkie powyższe problemy mogą zostać w prosty sposób usunięte, poprzez umożliwienie złożenia zażalenia na postanowienie PUODO ograniczające przetwarzanie danych osobowych. W przypadku oddalenia zażalenia przez sąd administracyjny postanowienie takie będzie skuteczne. A jednocześnie uczciwi i rzetelni przedsiębiorcy uzyskają narzędzie, które pozwoli im na ochronę przed nietrafionymi, błędnymi postanowieniami, które - choćby ze względu na skalę i statystykę - będą się zdarzały.
X. Zakres obowiązków nakładanych w decyzji PUODO - art. 26
Postulujemy następującą zmianę art. 26 ust. 1 pkt 1 :
Art. 26. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu, w drodze decyzji, nakazuje:
1) uwzględnienie żądań zawartych w skardze osoby, której dane dotyczą, wynikających z praw przysługujących jej na mocy rozporządzenia 2016/679;
[...]
W ocenie KL nie treść skargi podmiotu danych, a ustawa powinna określać - bezpośrednio albo odsyłając do rozporządzenia 2016/679 - jaki jest zakres obowiązków (nakazów i zakazów), które PUODO może nałożyć w decyzji na podmiot przetwarzający dane. Przepis w obecnym kształcie może być interpretowany w ten sposób, że PUODO, związany z zakresem żądań i roszczeń podniesionych w skardze, będzie zobligowany ustawowo do uwzględniania wszystkich tych roszczeń i żądań w decyzji kończącej postępowanie, nawet jeśli owe roszczenia i żądania zawarte w skardze nie mają żadnych podstaw prawnych (tj. nie wynikają z przepisów prawa czy postanowień umowy) albo są w sposób oczywisty wygórowane czy nieuzasadnione. Przepis w obecnym brzmieniu prowadzi do otwartego katalogu rozstrzygnięć i braku jakiejkolwiek ochrony podmiotów przetwarzających dane przed źle pojętą kreatywnością obywateli.
XI. Ścieżka odwoławcza od decyzji PUODO.
Projektodawca zdecydował się na utrzymanie sądowo-administracyjnej ścieżki odwoławczej od decyzji GIODO (w przyszłości PUODO). W ocenie KL sądem kontrolującym decyzje PUODO powinien być Sąd Okręgowy w Warszawie - Sąd Ochrony Konkurencji i Konsumentów (SOKiK), na wzór postępowań odwoławczych od decyzji wydawanych przez Prezesa UOKiK oraz Prezesa UKE, co oznacza zastosowanie do pewnego stopnia zmodyfikowanej procedury cywilnej.
Za taką koncepcją przemawia wiele argumentów. Pierwszym, i najważniejszym jest istota sprawy i natura stosunków prawnych podlegających kontroli PUODO a następnie kontroli sądowej. Nie ulega wątpliwości, że dane osobowe są przetwarzane zarówno w ramach administracji publicznej (w związku z wykonywaniem zadań publicznych) jak i w sektorze „prywatnym", w ramach stosunków majątkowych i aktywności przedsiębiorców i konsumentów, w związku z zawieraniem i wykonywaniem umów. Nie próbując w tym miejscu określić dokładnych proporcji można założyć, że większość procesów przetwarzania danych osobowych odbywa się w ramach zawierania i wykonywania umów cywilno-prawnych, a udział tego „sektora" w przetwarzaniu danych osobowych będzie rósł. Co więcej, wyrażone w RODO oraz projekcie ustawy (zgodnie z przyjętymi przez projektodawcę założeniami) zasady i procedury dotyczące ochrony danych osobowych jedynie w ograniczonym zakresie będą stosowały się do przetwarzania danych osobowych przez organy administracji publicznej (instytucje publiczne), co we Wprowadzeniu jest uzasadnione szczególną rolą oraz zadaniami realizowanymi przez administrację publiczną. Można więc bezpiecznie założyć, że kontrolowane przez PUODO procesy przetwarzania danych osobowych będą w zdecydowanej większości dotyczyły przetwarzania związanego z zawieraniem i wykonywaniem umów cywilno-prawnych (a więc analogicznie do Prezesa UOKiK oraz Prezesa UKE).
Jak wskazano we Wprowadzeniu za przyjęciem ścieżki sądowo - administracyjnej przemawiało w pierwszej kolejności ogromne doświadczenie polskich sądów administracyjnych w orzekaniu od dwudziestu lat w sprawach ochrony danych osobowych. Nie kwestionując w żaden sposób doświadczenia sądownictwa administracyjnego nie można zapominać, że równie bogatym doświadczeniem dysponuje SOKiK, który o lat kontroluje decyzje Prezesa UOKiK oraz Prezesa UKE, które konstrukcyjnie dotyczą obszaru bardzo zbliżonego do stosunków prawnych będących podstawą do przetwarzania danych osobowych (to jest relacje gospodarcze w stosunkach B2C oraz B2B).
Nie można się również zgodzić z przytoczonym we Wprowadzeniu argumentem, iż art. 79 RODO (wymagający, aby każdy mógł złożyć „skargę" w swojej indywidualnej sprawie z pominięciem organu nadzoru) oznacza, że koniecznym jest poddanie obu możliwych dróg dochodzenia praw różnym pionom sądownictwa (tj. skarga indywidualna - sąd cywilny, skarga na decyzję PUODO - sąd administracyjny). Wystarczy bowiem spojrzeć na zasady i mechanizmy rządzące postępowaniami przed Prezesem UOKiK czy Prezesem UKE, gdzie odwołania od decyzji organów rozpatrywane są przez sąd cywilny (a konkretnie SOKiK), co w żaden sposób nie ogranicza ani nie uniemożliwia konsumentom składania powództw do sądów cywilnych w swoich indywidualnych sprawach.
Należy zauważyć, że w aktualnym stanie prawnym sąd administracyjny orzeka na podstawie akt sprawy. W związku z powyższym podmiotowi, na którego zostanie nałożona kara pieniężna, będzie niezwykle trudno wykazać nieprawidłowości w orzeczeniu kary, chociażby udowodnienie stopnia współpracy z organem.
W związku z powyższym postulujemy przyjęcie zasady, że odwołania od decyzji PUODO są rozpatrywane przez SOKiK (na zasadach analogicznych do odwołań od decyzji Prezesa UOKiK czy Prezesa UKE). Jednocześnie osoby, których dane osobowe są przetwarzane w związku ze stosunkiem cywilnoprawnym powinny móc wystąpić z roszczeniem do sadu cywilnego (jeśli natomiast dane są przetwarzane przez organ administracji publicznej, to wydaje się, że adresatem indywidulanego środka ochrony prawnej - z pominięciem PUODO jak wymaga art. 79 RODO - powinien być jednak sąd administracyjny).
XII. Rygor natychmiastowej wykonalności - art. 29
Nie ma wystarczających podstaw do ustawowego przyznania każdej decyzji PUODO rygoru natychmiastowej wykonalności, i nie zmienia tego faktu, że zgodnie z projektowanym art. 29 ust. 2 wniesienie skargi od decyzji wstrzymuje wykonanie decyzji w zakresie kary pieniężnej. Zgodnie z art. 26 ust. 1 PUODO może w decyzji nałożyć liczne obowiązki (np. wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania; sprostowanie lub usunięcie danych osobowych), których natychmiastowe wykonanie może mieć nieodwracalne skutki dla adresata decyzji, który po fakcie może co najwyżej dochodzić odszkodowania od PUODO, gdyby w postępowaniu odwoławczym sąd uznał argumenty skarżącego i uchylił decyzję.
W pełni podtrzymując uwagę o potrzebie wprowadzania cywilno-prawnej ścieżki odwoławczej od decyzji PUODO, należy stwierdzić, że w przypadku postępowania administracyjnego strona skarżąca powinna mieć co najmniej możliwość wnioskowania do sądu o wstrzymanie wykonania zaskarżonej decyzji. Bez tej możliwości postępowanie odwoławcze i instancyjność postępowania byłyby fikcją, gdyż w każdym przypadku rzeczywistość byłaby kreowana już rozstrzygnięciem zapadłym w I instancji. Oczywiście porządek prawny zna rozstrzygnięcia, którym organ może nadać rygor natychmiastowej wykonalności, niemniej rygor taki jest wyjątkiem od zasady i jako wyjątek powinien być stosowany tylko i wyłącznie w ściśle określonych, szczególnych przypadkach.
Konstrukcja przedstawiona w projekcie ustawy powoduje, iż kontrola sądowo-administracyjna decyzji PUODO ma charakter iluzoryczny, gdyż rola sądu zostaje sprowadzona właściwie tylko do orzeczenia, czy - już po wykonaniu decyzji - decyzja była zasadna w świetle prawa (a tym samym jej adresatowi nie przysługują roszczenia odszkodowawcze wobec PUODO) czy też jednak decyzja została wydana z naruszeniem prawa (a więc jej adresatowi przysługują roszczenia odszkodowawcze). Wdrożenie takiego mechanizmu jest niezgodne z art. 78 ust. 1 RODO, które stanowi, że [...] każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej. Możliwość wniesienia skargi, której nie towarzyszy żadna możliwość wstrzymania wykonania decyzji PUODO, w żaden sposób nie może być uznana za skuteczny środek ochrony prawnej.
Nie można również zgodzić się z projektodawcą, że ochrona danych osobowych jest wartością tak ważną, że uzasadnia ustawowe nadanie rygoru natychmiastowej wykonalności każdej decyzji PUODO. Bez wątpienia ochrona danych osobowych jest bardzo ważna, jednak nie jest ważniejsza od ochrony życia, zdrowia, porządku publicznego, środowiska naturalnego, interesów majątkowych konsumentów i wielu innych wartości, na straży których stoją instytucje państwa, których decyzje podlegają natychmiastowemu wykonaniu tylko w wyjątkowych sytuacjach. Nie można również zgodzić się z projektodawcą, który we Wprowadzeniu wyjaśnia, iż takie rozwiązanie ma na celu odciążenie PUODO od konieczności podejmowania czynności administracyjnych zmierzających do każdorazowego nadawania decyzjom rygoru natychmiastowej wykonalności. Biorąc pod uwagę, iż nadanie rygoru natychmiastowej wykonalności sprowadza się w praktyce do uzupełnienia decyzji administracyjnej o dodatkowy punkt (który na dodatek może mieć standardowe, powielane brzmienie), argumentacja o potrzebie odciążania PUODO wydaje się wybitnie nietrafiona. Trudno zaakceptować wprowadzenie rygorystycznego rozwiązania prawnego celem „odciążenia" organu administracji publicznej, który przecież został po to powołany, aby owe „ciężary" znosić realizując zadania publiczne finansowane ze środków publicznych.
W związku z powyższym projekt ustawy należy zmienić tak, aby:
a. w miejsce ustawowego rygoru natychmiastowej wykonalności wprowadzić możliwość (ale nie obowiązek) nadawania takiego rygoru przez samego PUODO;
b. przepisy ustawy umożliwiały PUODO nadanie rygoru natychmiastowej wykonalności tylko w wyjątkowych sytuacjach, w których jakakolwiek zwłoka w wykonaniu decyzji powodowałaby nieodwracalne szkody (na zwór art. 90 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów);
c. rygor natychmiastowej wykonalności nie powinien dotyczyć kary pieniężnej nałożonej w decyzji (na wzór art. 210 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne);
d. zapewnić, że w przypadku decyzji PUODO sąd, rozpatrujący odwołanie / skargę, będzie mógł - na wniosek odwołującego się / skarżącego - wydać postanowienie o wstrzymaniu wykonania decyzji (na wzór art. 47930 Kodeksu postępowania administracyjnego albo art. 61 § 3 ustawy z dnia 30 sierpnia 2002 Prawo o postępowaniu przed sądami administracyjnymi).
XIII. Brak możliwości zawarcia ugody - art. 32
Postulujemy ponowne przeanalizowanie zagadnienia i dopuszczenie możliwości zawarcia ugody w toku postępowania prowadzonego przez PUODO:
Art. 32. 1. W sprawach nieuregulowanych w ustawie do postępowania przed Prezesem Urzędu stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego, z wyłączeniem przepisów art. 66a.
Co do zasady sprawa może zostać załatwiona ugodowo, jeśli w sprawie uczestniczą strony o spornych interesach (art. 13 KPA), przemawia za tym charakter sprawy i przyczyni się to do uproszczenia lub przyspieszenia postępowania (art. 114 KPA). Wydaje się, że w większości spraw prowadzonych przez PUODO, a przynajmniej w tych wszczętych na wniosek podmiotu danych, będą występowały strony o spornych interesach, które mogą być zainteresowane załatwieniem sprawy w sposób ugodowy, a zawarcie ugody może uprościć i przyśpieszyć postępowanie. Zgodnie z art. 55 i następnymi projektu ustawy (w ślad za wymaganiami RODO) każda osoba może złożyć powództwo cywilno-prawne do sądu celem ochrony interesów majątkowych związanych z naruszeniem ochrony danych osobowych, co świadczy o tym, że ustawodawca dostrzega w tego typu sprawach roszczenia majątkowe, które jak najbardziej mogą być zaspokojone w drodze ugody. W każdym przypadku „ostatnie słowo" i tak należy do organu prowadzącego postępowanie, który ocenia, czy zostały spełnione wszystkie przesłanki, a w szczególności czy charakter sprawy uzasadnia jej ugodowe załatwienie. Tym samym wydaje się, że nie ma przeszkód do wprowadzenia możliwości zawierania ugód, jako jednej z kilku dróg załatwienia sprawy toczącej się przed PUODO.
XIV. Środki tymczasowe stosowane w ramach europejskiej współpracy administracyjnej - art. 33
Postulujemy zmianę art. 33 celem umożliwienia składania zażaleń na postanowienia PUODO wskazane w tym przepisie:
Art. 33. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art. 24 ust. 1. Na postanowienie stronie służy zażalenie.
Postanowienia PUODO, jako środki tymczasowe stosowane w ramach europejskiej współpracy administracyjnej, mogą mieć nieodwracalne albo kosztowne skutki dla ich adresatów, w związku z czym zasady demokratycznego państwa prawnego wymagają, aby adresat takiego postanowienia miał możliwość zwrócenia się do sądu o weryfikację zasadności takiego postanowienia. Argumentacja i uzasadnienie przedstawione w punkcie dotyczącym składania zażaleń na postanowienia PUODO, o których mowa w art. 24 projektu ustawy, zachowują swoją aktualność.
XV. Utrwalanie czynności kontrolnych przy pomocy urządzeń rejestrujących obraz lub dźwięk - art. 40 ust. 5
Należy dookreślić przypadki w których utrwalanie czynności kontrolnych przy pomocy urządzeń rejestrujących obraz lub dźwięk może zostać uznane za uzasadnione. Obecny zapis jest nieprecyzyjny i pozostawia swobodę organowi co do zdefiniowania zwrotu „uzasadnione przypadki", jest on zatem szczególnie niekorzystny dla administratorów. Gdyby omawiany artykuł utrzymał się w obecnej wersji to należałoby go uszczegółowić o zapisy, które w szczególny sposób zabezpieczały by te nagrania przed udostępnieniem (chodzi o ochronę przed dostępem przez podmioty inne niż organ i kontrolowany).
Zwracam uwagę na to, że postulat ograniczenia utrwalania czynności kontrolnych pozostaje w zgodności z zasadami przetwarzania danych przewidzianymi w RODO, tj. zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO). Postulat uszczegółowienia regulacji o zapisy dotyczące ochrony przed nieuprawnionym dostępem, w kolei, wynika z zasady integralności i poufności danych osobowych (art. 5 ust. 1 lit. f) RODO).
XVI. Odmowa udzielenia informacji podczas kontroli - art. 41
Postulujemy następującą zmianę w art. 41 ust. 3:
3. Osoba, o której mowa w ust. 1, może odmówić udzielenia informacji lub współdziałania w toku kontroli tylko wtedy, gdy:
1) naraziłoby to ją lub jej małżonka, wstępnych, zstępnych, rodzeństwo oraz powinowatych w tej samej linii lub stopniu, jak również osoby pozostające w stosunku przysposobienia, opieki lub kurateli, a także osobę pozostającą we wspólnym pożyciu, na odpowiedzialność karną. Prawo odmowy udzielenia informacji lub współdziałania w toku kontroli trwa po ustaniu małżeństwa lub rozwiązaniu stosunku przysposobienia, opieki lub kurateli;
2) jest objęta nakazem zachowania tajemnicy zawodowej na podstawie przepisów innych ustaw
Obecnie przepis pozwala na odmówienie współpracy czy przekazania informacji tylko w przypadku narażenia pracownika albo jego bliskich na odpowiedzialność karną. Jednocześnie przepis pomija - i w tym zakresie powinien być uzupełniony - przypadki, w których przesłuchiwany pracownik jest zobowiązany na gruncie odrębnych przepisów do zachowania tajemnicy zawodowej, co ma miejsce np. w przypadku radców prawnych czy lekarzy. Zatem przepis powinien zostać uzupełniony tak, aby nie zmuszać osób zobowiązanych prawem do zachowania tajemnicy zawodowej, do złamania tej tajemnicy podczas kontroli prowadzonej przez PUODO.
XVII. Brak ochrony przed nadmierną kontrolą - art. 44
W ocenie KL brak jest podstaw do uznania, że postępowania, w tym kontrole, prowadzona przez POUODO są tak ważne, że uzasadniają brak stosowania przepisów ustawy o swobodzie działalności gospodarczej, w zakresie w jakim ustawa ta ma chronić przedsiębiorców przez nadmiernymi obciążeniami związanymi z licznymi kontrolami prowadzonymi przez bardzo liczne i różne instytucje państwa (w tym obowiązek zawiadomienia o zamiarze wszczęcia kontroli, zakaz prowadzenia więcej niż jednej kontroli jednocześnie, czy maksymalny łączną czas prowadzenia kontroli w danym roku). W związku z powyższym postulujemy następującą zmianę projektowanych przepisów:
Art. 44. Do kontroli działalności gospodarczej przedsiębiorcy, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2016 r. poz. 1829, 1948, 1997 i 2255).
We Wprowadzeniu projektodawca wyjaśnia, że ochrona danych osobowych jest tak istotna, że uzasadnia rezygnację z ustawowych gwarancji przewidzianych dla podmiotów prowadzących działalność gospodarczą. Nie kwestionując wagi i znaczenia ochrony danych osobowych należy jednocześnie podkreślić, że ograniczeniom z ustawy o swobodzie działalności gospodarczej podlegają również kontrole organów stojących na straży wartości takich jak życie, zdrowie, bezpieczeństwo publiczne, środowisko naturalne czy interesy konsumentów, które bez wątpienie nie są wartościami o mniejszej wadze niż ochrona danych osobowych. Poniekąd naturalnym jest, że każdy organ administracji postrzega swój obszar działalności i zadania jak najważniejsze z punktu widzenia interesów publicznych, niemniej jednak racjonalny ustawodawca powinien ocenić obiektywnie, w których przypadkach chronione wartości, ryzyko i konsekwencje ich naruszenia uzasadniają odstąpienie od stosowania przepisów, których celem jest z kolei ochrona innej konstytucyjnej wartości, jaką jest wolność działalności gospodarczej (art. 20 i 22 Konstytucji RP). Bezkrytyczne uznawanie, że każde kolejne zadanie każdego kolejnego organu administracji publicznej jest ważniejsze od wolności działalności gospodarczej powoduje, iż gwarancje przewidziane w ustawie o swobodzie działalności gospodarczej (którą ma zastąpić projektowana ustawa Prawo przedsiębiorców, będącej główną ustawą pakietu „Konstytucji Biznesu"), ze względu na ilość wyłączeń i wyjątków od ich stosowania, stają się jedynie pustymi deklaracjami.
Postuluję zatem modyfikację projektowanego art. 44 w sposób przedstawiony powyżej, w celu zapewnienia ograniczenia liczby kontroli, czasu jej trwania oraz zagwarantowania wcześniejszego zawiadomienia o kontroli.
XVIII. Nakładanie kar pieniężnych - art. 49 i 50
KL nie widzi uzasadnienia dla odmiennego traktowania podmiotów administracji publicznej w zakresie nakładania kar pieniężnych przez PUODO. W ocenie KL proponowane rozwiązania stawiają w uprzywilejowanej pozycji podmioty sektora finansów publicznych, dyskryminując przedsiębiorców i inne podmioty przetwarzające dane osobowe, bez dostatecznego uzasadnienia różnicując sytuację prawną podmiotów przetwarzających dane osobowe. Z projektu wynika, że zdecydowana większość organów administracji publicznej pozostanie bezkarna nawet w przypadku rażących naruszeń w zakresie ochrony danych osobowych, a te nieliczne podmioty sektora finansów publicznych, na które kara będzie mogła zostać nałożona, będą zagrożone karą której maksymalna wysokość jest 840 razy (!) mniejsza niż maksymalny wymiar kary grożący przedsiębiorcom.
W związku z powyższym widzimy konieczność wprowadzenia następujących zmian w projektowanych przepisach:
Art. 49. 1. Prezes Urzędu może nałożyć na podmioty nie będące organami publicznymi w rozumieniu w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego albo podmiotami publicznymi w rozumieniu w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.), w drodze decyzji, administracyjne kary pieniężne na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.
2. Prezes Urzędu może nałożyć na podmiot będący organem publicznym w rozumieniu w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego albo podmiotem publicznym w rozumieniu w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.), w drodze decyzji, administracyjne kary pieniężne na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679, z wyłączeniem art. 83 ust. 2 lit. j rozporządzenia 2016/679 .
W pierwszej kolejności należy zauważyć, że art. 83 ust. 7 RODO pozostawia Państwom Członkowskim UE decyzję o tym, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne, tym samym RODO nie narzuca prawu krajowemu żadnych rozwiązań w tym zakresie. Przy czym brzmienie RODO w tym zakresie wynika raczej z odmiennych poglądów Państw Członkowskich podczas negocjacji projektu RODO w Radzie UE i braku porozumienia co do wspólnego podejścia, aniżeli ze szczególnego traktowania przez RODO podmiotów publicznych przetwarzających dane osobowe.
Nie można się zgodzić z kształtem projektu ustawy oraz przedstawionymi we Wprowadzeniu argumentami, które mają uzasadniać szczególne, ulgowe traktowanie podmiotów administracji publicznej w przypadku naruszenia norm w zakresie ochrony danych osobowych, z co najmniej kilku powodów:
a. We Wprowadzeniu projektodawca wyraża troskę o realizację zadań publicznych pisząc: Uwzględniając bardzo wysoki wymiar możliwej do nałożenia i przewidzianej w rozporządzeniu 2016/679 kary, wątpliwym jest, czy ich nakładanie na sektor publiczny nie wpłynęłoby na stopień realizacji przez szeroko rozumianą administrację zadań publicznych. Trudno nie zauważyć, że ekstremalnie wysokie kary przewidziane przez RODO bez wątpienia mogą negatywnie wpłynąć również na funkcjonowanie czy nawet istnienie przedsiębiorstwa, przy czym na tak postawiony problem najczęstsza odpowiedź brzmi: wystarczy nie naruszać przepisów prawa, a nie powstanie ryzyko kary. Tym samym wystarczy, aby organy administracji publicznej przestrzegały przepisów prawa, a nie powstanie ryzyko nałożenia kary, która mogłaby negatywnie wpłynąć na realizację zadań publicznych.
b. Projektodawca pisze również, że Kary nakładane na sektor publiczny nie pełnią również ani roli represyjnej ani prewencyjnej, a ich wpłacanie stanowi często przelewanie środków z tego samego budżetu, z czym również trudno się zgodzić. Powyższa argumentacja byłaby słuszna, gdyby jedyną funkcją kary było generowanie przychodów do budżetu państwa, a tak przecież nie jest i być nie może. Nawet jeśli budżet państwa jest jeden, to każdy z organów jest dysponentem tylko określonej części budżetu, tak więc kara finansowa nałożona na taki organ musiałaby zostać zapłacona z tej właśnie części budżetowej, której dysponentem jest ukarany organ, zmniejszając środki tego organu na inne wydatki. Jest to oczywiście bardzo dotkliwe dla dysponenta obciążonej karą części budżetowej, który wobec uiszczenia kary musi albo zmniejszyć inne wydatki albo zwrócić się do Ministra Finansów o dodatkowe środki budżetowe. Biorąc powyższe pod uwagę oczywistym jest, że kara finansowa może doskonale pełnić funkcję prewencyjną oraz represyjną również wobec organów administracji publicznej.
c. Jednocześnie, wbrew własnemu twierdzeniu o braku prewencyjności i represyjności kary w przypadku organów administracji publicznej, projektodawca stwierdza, że Należy jednak również uznać, że w przypadku części z podmiotów publicznych przetwarzanie przez nie danych osobowych stanowi istotę prowadzonej przez nie działalności i administracyjne kary pieniężne stanowiłyby skuteczny instrument egzekwowania od nich ich ochrony, uznając, że są organy, wobec których kara finansowa może jednak pełnić funkcję prewencyjną i represyjną. Jednocześnie projektodawca, kierując się bliżej nieokreślonym kryterium przetwarzania danych osobowych jako „istoty" działalności podmiotu uznał, że kara finansowa może zostać nałożona tylko na wąską grupę podmiotów sektora finansów publicznych, o których mowa w art. art. 9 pkt 8 - 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, co gorsza wskazując, że w takim przypadku kara nie może wynieść więcej niż 100 000 zł. W efekcie:
i. PUODO nie będzie mógł nałożyć kar pieniężnych na najważniejsze podmioty zaliczane do administracji publicznej, w tym bezkarne w przypadku naruszenia przepisów prawa pozostaną wszystkie organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne, jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej, państwowe fundusze celowe;
ii. PUODO będzie mógł nałożyć kary pieniężne m.in. na ZUS, NFZ, samodzielne publiczne zakłady opieki zdrowotnej, uczelnie publiczne, PAN czy państwowe i samorządowe instytucje kultury, a więc jednostki odległe od ministerstw czy innych naczelnych albo centralnych organów administracji publicznej, przy czym nie sposób ustalić według jakiego klucza wytypowano akurat te podmioty, gdyż wbrew twierdzeniu zawartemu we Wprowadzeniu, przetwarzanie danych osobowych nie jest „istotą" działalności żadnej z tych instytucji. W związku z powyższym postulujemy, aby analogiczne kryterium - tj. ocena, czy przetwarzanie danych osobowych jest „istotą" działalności danego podmiotu - projektodawca zastosował również w odniesieniu do przedsiębiorców i uznał, że kara pieniężna może być stosowana tylko wobec tych przedsiębiorców, dla których przetwarzanie danych osobowych jest istotą działalności;
iii. nawet tam, gdzie PUODO będzie mógł nałożyć karę na jednostkę sektora finansów publicznych, wysokość tej kary (tj. maksymalnie 100 000 zł) jest rażąco niska w porównaniu do kar, które PUODO będzie mógł nałożyć na przedsiębiorców, i których maksymalny pułap zgodnie z RODO wynosi równowartość albo 42.000.000 zł albo 84.000.000 zł (przy kursie 4,20 zł za 1 euro), co oznacza, że kary nakładane na przedsiębiorców będą mogły być 840 (!) razy wyższe, niż kary nakładane za takie same naruszenia na jednostki sektora finansów publicznych. Tak rażącą dysproporcję projektodawca uzasadnia troską o realizację zadań publicznych przez organy władzy publicznej. Zwracamy się z uprzejmą prośbą, aby projektodawca z równą troską pochylił się nad potrzebami przedsiębiorców i rozwojem gospodarczym, zagrożonych karami w wysokości do 84 milionów złotych za każde naruszenie.
Biorąc powyższe pod uwagę, za zupełnie niezrozumiałe i całkowicie nieuzasadnione należy uznać rozwiązania, które w tak rażący sposób różnicują sytuację prawną przedsiębiorców oraz jednostek sektora administracji publicznej. Zarówno przedsiębiorcy jak i administracja publiczna przetwarzają bardzo duże ilości danych osobowych, w tym danych wrażliwych, których nieuprawnione ujawnienie (np. tzw. wyciek danych) może mieć takie same, bardzo poważne negatywne konsekwencje dla osób, których dane zostaną bezprawnie ujawnione. Pomimo to, przedsiębiorcy za takie samo naruszenie grozi kara do 84.000.000 zł, a organ administracji publicznej albo pozostanie bezkarny (np. wyciek danych z ministerstwa przetwarzającego miliony rekordów danych osobowych w ramach rejestrów państwowych) albo grozi mu kara w wysokości maksymalnie 100.000 zł (np. w przypadku publicznego uniwersytetu). Utrzymanie projektu ustawy w zakresie kar pieniężnych w obecnym kształcie będzie wyraźnym sygnałem:
a. dla gospodarki i przedsiębiorców, że stosowane są podwójne standardy, a administracja publiczna jako całość, która powinna dawać w tym zakresie przykład i wyznaczać standardy, nie jest gotowa do ponoszenia odpowiedzialności za przetwarzane dane osobowe;
b. dla administracji publicznej, że ochrona danych osobowych nie jest (wbrew twierdzeniom zawartym we Wprowadzeniu) wartością na tyle istotną, aby jej naruszenie w ramach administracji publicznej uzasadniało stosowanie adekwatnych do naruszenia kar pieniężnych.
Biorąc pod uwagę, że przepisy RODO nie pozwalają na znaczącą zmianę zasad w zakresie nakładania kar pieniężnych na przedsiębiorców, jedynym sposobem na zagwarantowanie, że regulacja prawna będzie w tym zakresie spełniała konstytucyjne standardy demokratycznego państwa prawa, jest przyjęcie takich samych / wspólnych reguł nakładania kar pieniężnych na wszystkie (a nie tylko wybrane według bliżej nieokreślonych kryteriów) organy i jednostki sektora finansów publicznych oraz przedsiębiorców.
Istotną kwestią, w kontekście nakładania administracyjnych kar pieniężnych, pozostaje termin ich przedawnienia. Termin ten nie może być zbyt długi, tak by uniemożliwić karanie podmiotów za naruszenia sprzed lat i jednocześnie zachęcić do zmiany praktyk, a zatem do prewencji a nie karania. W związku z powyższym postuluję dodanie następującego artykułu:
„53 1. Administracyjna kara pieniężna nie może zostać nałożona, jeżeli upłynęły dwa lata od dnia naruszenia prawa albo wystąpienia skutków naruszenia prawa."
XIX. Zawiadomienie Prezesa Urzędu o wyznaczeniu inspektora ochrony danych - art. 59 ust. 1
Zgodnie z art. 37 RODO tylko ADO lub podmiot przetwarzający mają prawo do wyznaczania inspektorów ochrony danych. Tym samym art. 59 projektu stoi w sprzeczności z przepisami RODO. ABI wpisani na listę GIODO nie powinni stać się z mocy prawa inspektorami ochrony danych, niezależnie czy na czas nieokreślony czy określony. Postuluję jednocześnie wydłużenie terminu powiadamiania z 14 do 30 dni.
Omawiany przepis nie precyzuje co się dzieje w przypadku braku zawiadomienia PUODO przez administratora danych albo podmiot przetwarzający o wyznaczeniu inspektora ochrony danych. Potrzebne jest dookreślenie tej kwestii.
Konfederacja Lewiatan, KL/189/52/AM/2017
