Zasadniczą zmianą, z którą już niedługo zetkną się w praktyce administratorzy danych osobowych, jest zaliczenie do obowiązków, które podlegają przymusowemu wykonaniu w drodze egzekucji administracyjnej, również obowiązków nakładanych w drodze decyzji Generalnego Inspektora Ochrony Danych Osobowych. Jednocześnie GIODO został uznany za organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym. Zmiany te zastąpiły początkowo proponowane w projekcie kary pieniężne nakładane przez GIODO.
Co oznaczają te hermetyczne sformułowania języka prawniczego? Otóż po wejściu w życie ustawy nowelizującej, tak jak dotychczas Generalny Inspektor będzie wydawał decyzje administracyjne, w których będzie nakazywał podjęcie pewnych działań, czy zakazywał podejmowania innych; nakaz może dotyczyć np. zastosowania dodatkowych środków zabezpieczenia danych osobowych, a zakaz – np. przekazywania danych osobowych do państwa trzeciego. Jeżeli decyzja stanie się wykonalna, jej adresat jest i nadal będzie zobowiązany do jej wykonania. Ale jeżeli z różnych powodów jej nie wykona, nowelizacja daje GIODO uprawnienia do przymuszenia podmiotu zobowiązanego decyzją do wykonania decyzji. GIODO, będąc organem egzekucyjnym w zakresie obowiązków o charakterze niepieniężnym wynikających z decyzji administracyjnych wydanych w sprawach wykonania przepisów o ochronie danych osobowych, będzie bowiem uprawniony do nałożenia na adresata decyzji grzywny w celu przymuszenia do jej wykonania. Wysokość takiej grzywny różni się w zależności od tego, czy ma być nałożona na osoby fizyczne, osoby prawne oraz w zależności od tego, czy grzywna jest nakładana jednokrotnie, czy wielokrotnie. Wystarczy jednak powiedzieć, że osoby prawne uchylające się od wykonania decyzji Generalnego Inspektora muszą liczyć się z maksymalną grzywną w wysokości 200.000 zł. GIODO otrzymał więc bardzo istotny instrument w zapewnianiu przestrzegania przepisów o ochronie danych osobowych, a administratorzy danych staną niedługo przed perspektywą wyboru: albo wykonanie decyzji, albo widmo wysokiej grzywny.
Kolejna grupa zmian w ustawie o ochronie danych osobowych wiąże się z funkcjonowaniem Generalnego Inspektora i z postępowaniami kontrolnymi. Z jednej strony bowiem wprowadzono możliwość tworzenia przez GIODO tzw. jednostek zamiejscowych, co niewątpliwie przyczyni się do zwiększenia ilości kontroli prowadzonych przez inspektorów. Z drugiej strony natomiast wprowadzono odpowiedzialność karną za udaremnianie lub utrudnianie wykonania czynności kontrolnej przez inspektora (nowy przepis karny w ustawie o ochronie danych osobowych, art. 54a ustawy). Jednocześnie GIODO został wyposażony w nowe uprawnienie, jakim jest możliwość kierowania do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, jak również innych jednostek organizacyjnych, a także osób fizycznych i prawnych, wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych. Ustawa jednak milczy na temat charakteru prawnego takich wystąpień oraz sytuacji podmiotu, do którego wystąpienie skierowano, stąd może się pojawić wiele potencjalnych wątpliwości w tym zakresie.
Kolejne zmiany w ustawie dotyczą instytucji już znanych w praktyce. I tak, przesądzono jednoznacznie, że zgoda na przetwarzanie danych osobowych może być odwołana w każdym czasie. Choć ani w nauce prawa, ani w praktyce stosowania ustawy nie budziło to wątpliwości, ustawodawca zdecydował się jednak postawić „kropkę nad i”. Dalej, wprowadzono pewne kosmetyczne zmiany w przepisach o rejestracji zbiorów danych osobowych oraz o prawie do informacji osoby, której dane dotyczą. I last but not least, usunięto art. 29 i 30 ustawy regulujące udostępnianie przez administratora danych przetwarzanych przez niego danych osobowych w celach innych, niż włączenie do zbioru. Z jednej strony, przepisy te były krytykowane w nauce prawa i sprawiały wiele kłopotów administratorom danych, którzy zmuszeni byli do ich stosowania. Z drugiej strony jednak nie sposób dzisiaj przewidzieć, jakie ta zmiana wywrze skutki w praktyce udostępniania danych osobowych.
Zmiany w ustawie o ochronie danych osobowych wejdą w życie w terminie trzech miesięcy od dnia ogłoszenia ustawy nowelizującej w Dzienniku Ustaw. Jest więc wystarczająco dużo czasu, by do tych zmian się przygotować. Nie wolno jednocześnie zapominać, że i w Komisji Europejskiej, i samym GIODO trwają prace nad kompleksową nowelizacją przepisów o ochronie danych osobowych, mającą na celu dostosowanie ich do zmieniających się warunków technicznych i społecznych. Najistotniejsze zmiany dopiero więc przed nami.
Autor: dr Paweł Litwiński, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp. p.
Zapraszamy na warsztaty „Nowelizacja ustawy o ochronie danych osobowych. Regulacje prawne, case studies, ćwiczenia”, pod patronatem medialnym Wolters Kluwer Polska.
Więcej na:
http://www.bmspolska.pl/2010110290/Konferencje/nowelizacjaustawyoochroniedanychosobowych.html