Art. 24 Dyrektywy 95/46/WE obliguje państwa członkowskie do podjęcia działań zmierzających do zapewnienia pełnej realizacji praw i obowiązków, które zostały w niej określone, wiążąc jedynie co do celu jaki należy osiągnąć, a pozostawiając swobodę w wyborze drogi do jego osiągnięcia. W 1997 r. wydawało się, że przyjęte wówczas przepisy o odpowiedzialności karnej za naruszenie zasad określonych w ustawie o ochronie danych osobowych okażą się wystarczające w egzekwowaniu prawa, w związku z czym uznano, iż wprowadzenie innych sankcji nie jest konieczne. Stosowanie ustawy w praktyce oraz zdobyte doświadczenie wskazują jednak na niską skuteczność rozwiązań prawnokarnej ochrony danych osobowych. Przepisy ustawy w obowiązującym brzmieniu nie przyznają Generalnemu Inspektorowi Ochrony Danych Osobowych żadnych skutecznych instrumentów, które – po pierwsze – służyłyby egzekwowaniu prawa, po drugie zaś, byłyby gwarantem tego, że administratorzy danych, którzy uporczywie naruszają przepisy ustawy, nie respektując przy tym praw osób, których dane dotyczą, poniosą konsekwencje działań niezgodnych z ustawą.
Jednocześnie nowelizacja ustawy o ochronie danych osobowych ma na celu wprowadzenie także innych zmian, podyktowanych doświadczeniami wynikającymi ze stosowania jej przepisów.
W art. 7 pkt 5 doprecyzowano definicję „zgody osoby, której dane dotyczą” na ich przetwarzanie, dodając, iż zgoda ta może być w każdym czasie odwołana. Dotychczas kwestia możliwości odwołania (cofnięcia) zgody była dyskusyjna. W literaturze przedmiotu, na gruncie obecnego brzmienia definicji „zgody”, spotkać można argumenty zarówno dopuszczające jej odwołalność, jak i przemawiające przeciwko takiemu rozwiązaniu. Proponowana zmiana rozstrzyga tę kwestię w sposób nie budzący wątpliwości, to jest dopuszcza odwołanie zgody. Rozwiązanie dopuszczające odwołalność raz udzielonej zgody funkcjonuje już w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
Z uwagi na zwiększenie zakresu zadań Generalnego Inspektora Ochrony Danych Osobowych, wynikającego z niniejszej nowelizacji (np. prawo nakładania kar pieniężnych, występowania z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych), ale przede wszystkim ze względu na ich wagę, konieczne jest, aby osoba powoływana na stanowisko Zastępcy Generalnego Inspektora posiadała wyższe wykształcenie prawnicze. Stąd też proponowana zmiana w art. 12a ust. 3 ustawy o ochronie danych osobowych.
W art. 13 przewidziano możliwość tworzenia w uzasadnionych przypadkach jednostek zamiejscowych Biura Generalnego Inspektora. Celem proponowanej zmiany jestzapewnienie obywatelom łatwiejszego dostępu do organu stojącego na straży zgodnego z prawem posługiwania się dotyczącymi ich informacjami. Proponowane rozwiązanie umożliwi Generalnemu Inspektorowi pełniejszą realizację jego ustawowych zadań w zakresie kontroli zgodności przetwarzania danych osobowych z przepisami statuującymi ich ochronę. Analogicznym uprawnieniem na gruncie obowiązujących aktów prawnych dysponuje np. Rzecznik Praw Obywatelskich (art. 22 ustawy z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich). Tworzenie terenowych delegatur przewidują również przepisy ustawy z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli oraz ustawy z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów.
Kolejna zmiana polegająca na dodaniu art. 19a ma na celu wyposażenie Generalnego Inspektora Ochrony Danych Osobowych w prawo:
- kierowania do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych,
- występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych,
oraz zobligowanie adresatów takich wystąpień i wniosków do zajęcia stanowiska w sprawie w ściśle określonym terminie. Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu nie przyznawała Generalnemu Inspektorowi takich uprawnień, pomimo tego że analogicznymi uprawnieniami dysponuje – w sprawach objętych zakresem ich działania – szereg podmiotów, np. Rzecznik Praw Obywatelskich (art. 16 ustawy o Rzeczniku Praw Obywatelskich), Rzecznik Praw Dziecka (art. 11 ustawy z dnia 6 stycznia 2000 r. o Rzeczniku Praw Dziecka), czy Rzecznik Ubezpieczonych (art. 20 ustawy z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym i emerytalnym oraz Rzeczniku Ubezpieczonych).
W nowelizacji uchylono art. 29 ustawy. Celem zmiany jest dostosowanie przepisów ustawy do przepisów prawa UE. Komisja Europejska odnosząc się do treści art. 29 podkreślała, że zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej. Uchylenie art. 29 ma równieżcharakter porządkujący. Nieuzasadnione było poddanie odrębnemu reżimowi wyłącznie procesu udostępniania danych osobowych w celach innych niż włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady – określone w art. 23 ust. 1 i art. 27 ust. 2 ustawy – regulujące legalność przetwarzania, a zatem również udostępniania danych.
Porządkujący charakter ma również zmiana w odniesieniu do art. 33 ust. 1 ustawy. Polega ona na skreśleniu enumeratywnie wymienionego katalogu informacji dotyczących okoliczności przetwarzania danych, jakie administrator danych obowiązany jest udzielić na wniosek podmiotu, którego dane te dotyczą. Katalog ten pokrywał się bowiem z tym, jaki wymieniony jest w art. 32 ust. 1 pkt. 1-5a, do którego odwołuje się art. 33 ust. 1.
Kolejna zmiana o charakterze porządkowym dotyczy art. 41 ust. 1 pkt. 2 ustawy i ma na celu skonkretyzowanie podmiotu zobowiązanego do zgłoszenia zbioru danych do rejestracji oraz doprecyzowanie i usystematyzowanie wymaganych informacji objętych zgłoszeniem zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obecna treść powyższego przepisu, w którym występuje pojęcie „podmiot prowadzący zbiór”, oznaczające w istocie administratora danych, w praktyce budzić może wątpliwości. Ponadto, w całej ustawie pojęcie to występuje wyłącznie w zmienianym przepisie. Niezbędne było zatem ujednolicenie nazewnictwa. Jest to tym bardziej uzasadnione, że ustawa w tym samym przepisie (art. 41 ust. 2), dla określenia tego samego podmiotu, posługuje się pojęciem „administrator danych”.
Zmiana polegająca na dodaniu w art. 41 ust. 1 pkt. 2 ustawy obowiązku zamieszczenia w formularzu zgłoszenia informacji dotyczących podmiotu, któremu administrator, w drodze umowy określonej w art. 31 ustawy, powierzył przetwarzanie danych, ma na celu ujednolicenie przepisów ustawy oraz formularza zgłoszenia do rejestracji zbioru danych osobowych. W dotychczasowym stanie prawnym, administrator danych w pkt. 3 części B formularza zgłoszenia, stanowiącego załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, zobowiązany jest do podania powyższych informacji. W art. 41 ust. 1 ustawy, określającym katalog informacji, które administrator danych zobowiązany jest wskazać zgłaszając zbiór danych do rejestracji, brak jest powyższego elementu formularza zgłoszenia.
Dodanie w art. 41 ustawy ust. 3 i 4 ma na celu podkreślenie, że w przypadku danych szczególnie chronionych, o których mowa w jej art. 27 ust. 1, administrator danych ma obowiązek zgłosić zmianę w zbiorze przed dokonaniem tej zmiany. Konsekwencję dodania ww. przepisów stanowi zmiana brzmienia art. 41 ust. 2 ustawy.
Nowelizacja zawiera istotne zmiany w zakresie sankcji za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Po rozdziale 7 dodano nowy rozdział 7a zatytułowany „Kary pieniężne”. Dotychczasowe doświadczenia organu ds. ochrony danych osobowych, zdobyte w trakcie kilkuletniego obowiązywania ustawy o ochronie danych osobowych wskazywały na niską skuteczność norm przewidujących odpowiedzialność za działania podejmowane wbrew zasadom przewidzianym w jej przepisach. Brak efektywnego instrumentu w walce z nierzetelnymi administratorami danych oraz innymi podmiotami przetwarzającymi dane osobowe powoduje, iż niejednokrotnie nie stosują się one do – formułowanych przez Generalnego Inspektora w decyzjach administracyjnych – nakazów i zakazów, bądź uniemożliwiają podejmowanie działań, do których upoważnia go ustawa, dopuszczając się tym samym świadomego naruszenia przepisów prawa.
W wielu przypadkach przyczyną powyższego jest także brak właściwej reakcji ze strony organów stosujących przepisy karne. Działania organów ścigania w sprawach o popełnienie przestępstw określonych w ustawie o ochronie danych osobowych nie tylko nie służą wzmocnieniu ochrony danych osobowych, ale niejednokrotnie są przyczyną jej osłabienia wskutek powierzchownego i zbyt łagodnego traktowania podmiotów odpowiedzialnych za naruszanie tych przepisów. Analiza dotychczasowej działalności Generalnego Inspektora przeprowadzona pod kątem skierowanych do organów ścigania zawiadomień o popełnieniu przestępstwa wskazuje, iż na 462 takich zawiadomień jedynie w 58 przypadkach skierowane zostały do sądów akty oskarżenia[1]. Nawet w sytuacjach ewidentnych naruszeń przepisów ustawy organy ścigania umarzają prowadzone postępowania wskazując jako podstawę wydawanych w tym zakresie postanowień znikomą społeczną szkodliwość czynu, tj. art. 17 § 1 pkt 3 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego. Takie działania wzmacniają w podmiotach, wobec których kierowane są zarzuty popełnienia przestępstwa poczucie bezkarności, wskutek czego obowiązki płynące z ustawy są przez nie lekceważone, a w osobach, których – statuowane przez ustawę w art. 1 – prawo do ochrony ich danych zostało naruszone, rodzi poczucie zagrożenia i bezsilności w związku z brakiem realnej możliwości jego ochrony w postępowaniu karnym.
W celu zapewnienia realnej ochrony danych osobowych w nowelizowanej ustawie wprowadzono instrumenty dla Generalnego Inspektora, które mają umożliwić egzekwowania prawa od podmiotów naruszających przepisy ustawy o ochronie danych osobowych, które okażą się bardziej skuteczne od dotychczasowych. Podkreślić przy tym należy, iż wymaga tego również prawo unijne, nie narzucając przy tym środków, przy pomocy których efekt ten zostanie osiągnięty. Istotne jest bowiem jedynie, aby wskutek zastosowanego rozwiązania osiągnięty został zamierzony cel – a więc skuteczność w egzekwowaniu przestrzegania prawa.
Doświadczenia wielu państw europejskich wskazują, że rozwiązaniem przynoszącym realny skutek w postaci podniesienia poziomu ochrony danych osobowych także wśród podmiotów, które wcześniej uporczywie działały niezgodnie z obowiązującymi przepisami, jest przyznanie organowi ds. ochrony danych osobowych możliwości nakładania kar pieniężnych. Takim uprawnieniem dysponują organy ochrony danych osobowych m.in. w Austrii, Czechach, Grecji, Hiszpanii, Portugalii, Niemczech, Słowacji, Estonii, Słowenii, Cyprze, Łotwie oraz we Francji.
W związku z powyższym, aby stworzyć w polskim systemie prawa efektywną ochronę danych osobowych i zapewnić Generalnemu Inspektorowi Ochrony Danych Osobowych instrument umożliwiający skuteczną egzekucję obowiązków wynikających z ustawy o ochronie danych osobowych konieczne było rozszerzenie jego uprawnień i wyposażenie go w prawo nakładania w drodze decyzji administracyjnych kar pieniężnych.
Decyzja Generalnego Inspektora, której niewykonanie stanowić ma przesłankę nałożenia kary pieniężnej, powinna mieć charakter bezwzględnie obowiązujący, co oznacza pozostawanie decyzji w obiegu prawnym po ewentualnej i zainicjowanej przez stronę kontroli instancyjnej lub sądowej.
Powyższa regulacja ma zapobiec możliwości dwutorowego badania przez sąd w zasadzie tożsamej sprawy (decyzji nakazującej oraz decyzji o nałożeniu kary pieniężnej za niewykonywanie decyzji nakazującej). Potrzeba zapewnienia pewności sytuacji prawnej adresatów decyzji uzasadnia odstępstwo od generalnej zasady procedury administracyjnej, czyli rezygnację z możliwości nałożenia kary pieniężnej za niewykonywanie decyzji, która choć ostateczna i podlegająca wykonaniu może zostać wzruszona w wyniku kontroli sądowej.
Możliwość nakładania kar pieniężnych w drodze decyzji administracyjnych poddanych kognicji sądów administracyjnych nie jest instytucją nową i stanowi nawiązanie do istniejących regulacji w prawie polskim.
Generalny Inspektor ustalając wysokość kary pieniężnej będzie obowiązany uwzględniać zakres naruszenia, dotychczasową działalność podmiotu w zakresie przestrzegania przepisów o ochronie danych osobowych oraz jego możliwości finansowe. Wprowadzony został również przepis, który przewiduje, iż nie nakłada się kary pieniężnej, jeżeli od dnia popełnienia czynów zagrożonych karą upłynęły 2 lata (art. 48a ust. 6).
W rozdziale 8, w art. 53 ust. 2 oraz w art. 53a, stypizowane zostały dwa nowe przestępstwa. Pierwsze z nich odnosi się do przetwarzania – wymienionych w art. 27 ust. 1 ustawy – danych poddanych przez ustawodawcę szczególnej ochronie, przed zarejestrowaniem zbioru danych. Przepis ten skorelowany jest z obowiązkiem wynikającym z art. 46 ust. 2 ustawy, który uzależnia legalność przetwarzania tej kategorii danych od uprzedniego zarejestrowania zbioru danych, w którym są one przetwarzane. Drugi z dodanych przepisów przewiduje sankcje za niedopełnienie obowiązku, o którym mowa w art. 41 ust. 2, tj. obowiązku poinformowania Generalnego Inspektora o zmianach informacji wskazanych w zgłoszeniu zbioru danych do rejestracji w terminie 30 dni od dnia dokonania zmian. Konieczność dodania powyższych przepisów podyktowana była brakiem – w obecnym stanie prawnym – jakichkolwiek konsekwencji za niedopełnienie w/w obowiązków, które mają kluczowe znaczenie z punktu widzenia ustawy – umożliwiają bowiem kontrolę, kto, w jakim zakresie i w jakich okolicznościach przetwarza dane, zwłaszcza te poddane przez ustawodawcę szczególnej ochronie.
Jednocześnie z przepisów karnych uchylono art. 50 penalizujący czyn polegający na przechowywaniu w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru. Popełnienie takiego czynu w istocie wypełnia bowiem również dyspozycję art. 49 ustawy. Funkcjonowanie w obrocie prawnym dwóch przepisów penalizujących taki sam czyn uznano za zbędne.
Odnosząc się do terminów wejścia w życie przepisów ustawy o zmianie ustawy o ochronie danych osobowych, z uwagi na ich charakter i rodzące skutki, zaproponowano ich wejście w życie po upływie trzech miesięcy od dnia ogłoszenia ustawy, tj. ustawa wchodzi w życie z dniem 7.03.2011 roku.
