W poniedziałek 15 stycznia br. miało miejsce podsumowanie konsultacji społecznych pakietu zmian legislacyjnych, wdrażających przepisy Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych (RODO). Przedstawiciele Ministerstwa Cyfryzacji, będącego organizatorem wydarzenia, przedstawili stanowisko resortu na podstawie setek uwag zgłoszonych do projektu nowej ustawy o ochronie danych osobowych oraz odnieśli się do najczęściej pojawiających się zastrzeżeń i propozycji ze strony m.in. przedstawicieli organizacji pracodawców, stowarzyszeń branżowych, związków zawodowych, środowisk naukowych i eksperckich oraz organizacji pozarządowych. Poniżej publikujemy najważniejsze ustalenia wczorajszej dyskusji.
Nie uwzględniono uwag dotyczących podwyższenia kary administracyjnej, która może być nałożona na podmioty sektora publicznego. Utrzymano jej wysokości na poziomie 100 tys. zł, oraz wskazano na jednoczesne nałożenie na organy publiczne odpowiedniego obowiązku sprawozdawczego. Brak zmiany stawek kar uzasadniano modelem finansowania jednostek z pieniędzy publicznych oraz tym, że m.in. z kar będą one finansowane wobec zaliczenia ich do środków budżetowych.
Nie uwzględniono uwag dotyczących możliwości wnioskowania o powołanie Prezesa Urzędu przez odpowiednią grupę posłów. Utrzymano rozwiązanie, które wskazuje, że Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu na wniosek Prezesa Rady Ministrów.
Pozostawiono w niezmienionym kształcie uregulowania dotyczące immunitetu formalnego, treści ślubowania oraz zasady nieodwołalności Prezesa Urzędu.
W projekcie ustawy nie znajdzie się także przesłanka rażącego naruszenia prawa jako podstawy do odwołania Prezesa, ze względu na problemu interpretacyjne oraz nieostry zakres katalogu czynów mogących zostać uznanymi za rażące naruszenie prawa.
Postanowiono o zmianie sposobu powołania zastępców Prezesa (co stanowi pewien kompromis w odniesieniu do treści projektu oraz uwag dot. braku niezależności organu) poprzez przekazanie tej kompetencji do swobodnej decyzji Prezesa Urzędu, ale w dalszym ciągu na wniosek wskazanych ministrów. Tym samym jeżeli Prezes Urzędu nie powoła wskazanego kandydata na swojego zastępcę to dane stanowisko może pozostać nieobsadzone. Dodatkowo to Prezes samodzielnie będzie ustalał zakres obowiązków swoich zastępców.
Nie uwzględniono uwagi dotyczącej potrzeby podkreślenia większej niezależności inspektora ochrony danych, ze względu na zapewnienie wystarczającego umocowania bezpośrednio w przepisach RODO.
Nie zdecydowano się także na wprowadzenie instytucji zastępcy inspektora ochrony danych, ponieważ RODO w ogóle nie przewiduje podobnej instytucji.
Podkreślono jednocześnie możliwość upoważnienia na zasadach ogólnych odpowiednich osób w danym przedsiębiorstwie, do dokonywania określonych działań i czynności w zastępstwie i w imieniu inspektora ochrony danych.
Uwzględniono uwagę dotyczącą, propozycji dodania w zawiadomieniu o wyznaczeniu inspektora ochrony danych, obok miejsca zamieszkania również miejsca siedziby przedsiębiorcy lub prowadzenia działalności gospodarczej.
Nie uwzględniono uwag dotyczących formy zgłoszenia IOD do organu nadzoru tj. formy tradycyjnej. Obowiązywać będzie forma elektroniczna z wykorzystaniem elektronicznej skrzynki podawczej organu.
Podkreślono istnienie pewnej rozbieżności terminologicznej w ramach pojęcia postaci elektronicznej, która na gruncie UODO powinna być rozumiana jako sposób utrwalenia woli, a nie jako forma elektroniczna w myśl przepisów Kodeksu Postępowania Administracyjnego.
Podkreślono zamierzoną rozbieżność terminologiczną w przedmiocie pojęć wypowiedzi literackiej, artystycznej i akademickiej występujących w RODO. Projektodawcy uznali, że działalność literacka i artystyczna zawiera również w swojej treści pojęcie wypowiedzi, dlatego posługują się terminem działalność. Inaczej odniesiono się do zagadnienia aktywności akademickiej wskazując, że wypowiedz akademicka przewidziana w RODO jest treściowo węższa niż działalność akademicka. W związku z tym autorzy projektu użyli w tym wypadku zwrotu wypowiedź.
Zaznaczono, że wspólnie z Ministerstwem Kultury, projektodawcy zaproponują zmianę prawa prasowego poprzez wskazanie, że dziennikarzem jest również osoba, która zajmuje się zbieraniem informacji do materiału prasowego.
Wyraźnie wskazano, że obowiązek przyszłego Prezesa Urzędu Ochrony Danych Osobowych opracowania i udostępniania w Biuletynie Informacji Publicznej podmiotowej rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych, będą instrumentem niewiążącym, zarówno sam organ jak i wszystkich pozostałych uczestników obrotu gospodarczego.
Podkreślono także różnice między rekomendacjami Prezesa urzędu a kodeksami dobrych praktyk, które mają być tworzone przez poszczególne izby gospodarcze i mają mieć zdecydowanie szerszy zakres niż rekomendacje będące jedynie określeniem środków technicznych i organizacyjnych w danym sektorze gospodarki.
Zdecydowano się na ustalenie granicy wiekowej dziecka, do której wymagana jest zgoda przedstawiciela ustawowego w przypadku gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, na trzynaście lat. Decyzja ta została uzasadniona tym, że zdecydowana większość państw członkowskich przyjęła analogiczne rozwiązanie oraz, że takie ustalenie granicy wiekowej jest kompatybilne z przepisami Kodeksu Cywilnego oraz z domniemanym rozwojem osoby trzynastoletniej i jej świadomości w zakresie podejmowania decyzji o zgodzie na przetwarzanie.
Zauważono także konieczność precyzyjnego wskazania w ustawie, że obniżenie granicy wieku do 13 lat dotyczy tylko danych zwykłych, dane wrażliwe w dalszym ciągu powinny być ograniczone granicą wieku 16 lat.
Podkreślono jednocześnie, że powyższa zgoda osoby poniżej 13 roku życia wynikająca bezpośrednio z przepisów RODO nie jest tożsama ze zgodą stosowaną na gruncie przepisów Kodeksu Cywilnego, co może skutkować koniecznością odbierania dwóch zgód, zarówno w obszarze ochrony danych osobowych jak i stosunków cywilnoprawnych.
Wskazano także, że projekt został zaakceptowany przez ZNP, który nie wniósł uwag do regulacji.
Zaznaczono także, że przedsiębiorcy powinni wskazywać wprost komu są dedykowanie określone usługi, zwłaszcza do jakiej grupy wiekowej i zwrócić szczególną uwagę na jasny i przejrzysty język komunikacji w aspekcie tej grupy.
Podkreślono, że podmiotem certyfikującym pozostanie Prezes Urzędu, a podmiotem akredytującym będzie jedynie Polskie Centrum Akredytacji.
Nie uwzględniono propozycji zmniejszenia opłaty certyfikacyjnej przez PUODO, i wskazano, że stosunkowa duża jej cena (około 12. tys. zł), ma stanowić dodatkowy bufor bezpieczeństwa i profesjonalizmu podmiotów posiadających odpowiedni certyfikat.
Projektodawcy wyraźnie zaznaczyli, że certyfikacja skierowana jest przede wszystkim do sektora prywatnego. Certyfikacja mogła będzie być wdrażana w sektorze publicznym, ale tylko w ramach wyjątku.
Zaznaczono, że posiadanie certyfikatu może być jedynie kryterium promującym, a nie decydującym o możliwości przystąpienia do przetargu, ze względu na nieobowiązkowość posiadania certyfikatu – jednak nie wykluczono, że posiadanie certyfikatu mogłoby być jednym z kryteriów możliwości przystąpienia do zamówienia.
Projektodawcy podkreślili także, że planują zawrzeć w ostatecznym kształcie projektu ustawy możliwość, aby certyfikacje mógł otrzymywać nie tylko administrator i podmiot przetwarzający ale też, np. producent oprogramowania, które będzie wykorzystywane do przetwarzania danych.
Autorzy projektu, przyjęli także do wiadomości zasadność konieczności uwzględnienia mechanizmów ograniczających możliwy konflikt interesów, w zakresie certyfikacji przez podmioty prywatne (przykład: firma consultingowa albo kancelaria prawna nie powinna być przedmiotem certyfikującym, jeżeli klientem kancelarii jest firma wcześniej certyfikowana).
Wyraźnie wskazano, że opłata jest pobierana za samo złożenie wniosku czyli przystąpienie do procedury certyfikacyjnej, a nie za uzyskanie certyfikatu. Należy zaznaczyć, że od braku otrzymania certyfikatu nie będzie procedury odwoławczej.
Projektodawcy zaznaczyli, że kryteria certyfikacji muszą mieć charakter generalny i branżowy, a każdy podmiot certyfikujący będzie upoważniony do przyjęcia własnych kryteriów certyfikacji, oddzielnie dla poszczególnych branży.
Podkreślono także, że kodeksy dobrych praktyk mają charakter absolutnie fakultatywny, niemniej fakt posiadania kodeksu będzie jednym z kryteriów obniżenia wymiaru ewentualnej kary.
Zaznaczono także, że Prezes UODO będzie mógł certyfikować podmiot z każdej branży, oraz że będzie w formie ogłoszenia, publikował kryteria certyfikacji, które powinny być różne w ramach poszczególnych branż.
Projektodawcy uwzględnili zgłoszone uwagi w zakresie warunków, które musi spełnić kandydat na stanowisko Prezesa Urzędu poprzez usunięcie konieczności posiadania tytułu naukowego doktora.
Zastrzeżono jednocześnie, że uwzględniona zostanie konieczność posiadania wykształcenia wyższego i to nie tylko w dyscyplinie nauk prawnych oraz, że dodanie zostanie kryterium moralne czyli posiadanie nieposzlakowanej opinii itp.
Autorzy projektu zaznaczyli, że rozważane jest wprowadzenie ograniczenia, mówiącego że każdy z wymienionych podmiotów dopuszczonych do wskazania kandydatów do Rady, będzie mógł wskazać jedynie jednego z kandydatów.
Podkreślono, że określenie wysokości wynagrodzenia członka Rady za udział w posiedzeniu będzie powiązane ze średnim wynagrodzeniem krajowym, a nie jak dotychczas z minimalnym.
Dodatkowo zapewniono, że katalog podmiotów umocowanych do wskazywania kandydatów na członków Rady zostanie poszerzony o fundacje, których celem statutowym jest działalność na rzecz ochrony danych osobowych.
Nie uwzględniono uwag dotyczących wprowadzenia dwuinstancyjnego postepowania, ze względu na potrzebę zachowania szybkości i ekonomiki postępowania.
Dodatkowo podkreślono statystykę orzecznictwa wojewódzkich sądów administracyjnych i Naczelnego Sądu Administracyjnego, z której wynika że olbrzymia większość orzeczeń wydanych w II instancji podtrzymywały decyzję podjęte w ramach postępowania pierwszo-instancyjnego
Projektodawca w związku z uwagami Ministerstwa Rozwoju zdecydował się na wprowadzenie wyłączenia szeregu obowiązków wynikających z RODO w stosunku do małych i średnich przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości. Owo wyłączenie jest zdaniem projektodawcy niezbędne i proporcjonalne dla ochrony ważnego interesu gospodarczego państwa jakim jest rozwój MŚP (vide art. 23 RODO). Wyłączenie ogranicza obowiązki RODO w zakresie m.in. obowiązku informacyjnego czy konieczności zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
Zaznaczono jednocześnie, że pojęcie zatrudnienia w stosunku do tych 250 osób dotyczy wszystkich osób wykonujących czynności na rzecz danego przedsiębiorcy, nie tylko na podstawie umowy o prace, ale też innych podstaw prawnych.
Podkreślono, że uprawnione organizacje społeczne będą mogły wystąpić z odpowiednim żądaniem, w przypadku naruszeń praw osoby przysługujących na mocy przepisów o ochronie danych osobowych, zarówno gdy leży to w interesie społecznym, jak i w interesie strony.
Zaznaczono również, że projektodawcy biorą pod uwagę wprowadzenie przepisów umożliwiających organizacjom społecznym występowanie w roli pełnomocnika poprzez odniesienie się do instytucji pracowników delegowanych.
Autorzy projektu zaznaczyli, że regulacja dotycząca obowiązku zawiadomienia stron przez Prezesa o każdym przypadku niezałatwienia sprawy w terminie, pozostanie utrzymana, niemniej zmieni się nieco sposób jego sformułowania celem powiązania go wprost z przepisami KPA.
Wskazano na konieczność przeformułowania odpowiednich przepisów celem zapewnienia prawa dostępu strony do akt, z jednoczesnym zachowaniem po stronie przedsiębiorcy obowiązku przekazywania wersji dokumentów niezawierających wskazanych danych chronionych.
Tym samym podkreślono propozycję przeniesienia ciężaru ochrony tajemnicy przedsiębiorcy na samego przedsiębiorcę, poprzez obowiązek dostarczenia odpowiednio zanimizowanego dokumentu przez podmiot powołujący się na wskazaną tajemnicę przedsiębiorstwa.
Uwzględniono zmianę wymiaru kary grzywny za niestawienie się bez uzasadnienia poprzez podwyższenie możliwej do zasądzenia kwoty i ustalenie jej w granicach od 500 do 5000zł.
Wskazano na zmodyfikowanie przepisu poprzez dopuszczenie złożenia skargi na postanowienie dotyczące ograniczenia przetwarzania.
Zdecydowano się na usunięcie z projektu Art. 54. W dotychczasowym brzmieniu-Prezes Urzędu wydaje decyzję o umorzeniu postępowania gdy żądanie wszczęcia postępowania zostało wniesione w sprawie, która jest przedmiotem postępowania toczącego się przed Prezesem Urzędu.
Zdecydowano się na usunięcie z projektu przepisu regulującego natychmiastową wykonalność decyzji wydanych przez Prezesa Urzędu, ze względu na istnienie odpowiedniej podstawy prawnej w KPA, przez co decyzje Prezesa będą i tak podlegały natychmiastowemu wykonaniu.
Poszerzono dopuszczalność utrwalania przebieg kontroli lub poszczególnych czynności w jej toku, przy pomocy urządzeń rejestrujących nie tylko obraz, ale i dźwięk.
Wskazano też na konieczność rozważenia odpowiedniego unormowania aktywnego udziału Policji w trakcie kontroli, która w obliczu obecnych przepisów może stanowić jedynie organ asystujący bez prawa do podejmowania jakichkolwiek czynności.
Zaznaczono dopuszczenie możliwości przeprowadzenia postepowania kontrolnego bez wcześniejszego zawiadomienia o zamiarze jego wszczęcia , ze względu na charakter danych osobowych jako katalogu dóbr podlegających specyficznej ochronie.
Zdecydowano się na usunięcie z projektu Art. 74. W dotychczasowym brzmieniu – Na podstawie ustaleń kontroli Prezes Urzędu może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.
Podkreślono, że przepisy regulujące fundusz ochrony danych osobowych są inicjatywą interesariuszy a nie samych autorów projektu.
Uwzględniono uwagi, według których środki pochodzące z funduszu nie mogą stanowić przychodu osób zatrudnionych w Urzędzie Ochrony Danych Osobowych i powinny być wydatkowane tylko na cele edukacyjne.
Zdecydowano się na penalizację jedynie dwóch czynów, tj. udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli oraz przetwarzanie danych osobowych bez właściwej podstawy prawnej.
Podkreślono wątpliwości związane z depenalizacją czynów, które stanowiły odpowiednią podstawę prawną do wszczęcie obecnie toczących się postepowań.
Warto pochwalić organizatorów Konferencji za sumienne podejście do realizowanej reformy oraz pełną transparentność w procesie tworzenia przepisów prawa, a także skłonność do uwzględnienia bądź wzięcie pod rozważenie uwag środowisk zainteresowanych implementacją RODO w Polsce – mamy tu na myśli głównie organizacje branżowe jak i NGO-sy mające na uwadze poszanowanie prawa do prywatności. Niektóre z zapowiedzianych zmian m.in. w zakresie zwolnienia z niektórych obowiązków przedsiębiorców zgodnie z kryteriami zatrudnienia mogą budzić dalsze wątpliwości w aspekcie ich zgodności z przepisami RODO jednak po Konferencji można stwierdzić, że widać na horyzoncie ostateczny kształt przepisów. Jak podkreślił Pan dr Maciej Kawecki – koordynator reformy Ministerstwo ma nadzieję uchwalenia ustawy w trakcie sesji kwietniowej Parlamentu.
Piotr Gutowski i Marcin Kaleta