• A A A

Opinia KIG: Przepisy wprowadzające ustawę o ochronie danych osobowych oraz projekt ustawy o ochronie danych osobowych

11.10.2017

Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych UE. Fundamentem prawnym stanowiącym podstawową kategorię prawną ochrony praw podstawowych są przepisy zawarte w art. 8 ust. 1 Karty praw podstawowych  („ Karta praw podstawowych” oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej  ( TFUE),  które stanowią,  że każda osoba ma prawo do ochrony danych osobowych. Pierwszym generalnym aktem prawnym była dyrektywa Parlamentu Europejskiego i Rady 95/46/WE, której celem było zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych  w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych  osobowych między państwami członkowskimi. Przepisy tej generalnej dyrektywy zostały implementowane w systemy prawne poszczególnych państw UE. Zostały implementowane w różny sposób i z różnym sposobem zapewnienia  skuteczności  jej realizacji. W Polsce, w uchwalonej 1997 r. ustawie o ochronie danych osobowych, skuteczność realizacji oparto na odpowiedzialności karnej za poszczególne naruszenia przepisów uchwalonej ustawy, stanowiącej implementację zapisów przyjętej przez polskie państwo dyrektywy. Byliśmy jedynym państwem, w którym skuteczność realizacji implementowanych przepisów była zagrożona licznymi zawartymi w ustawie sankcjami karnymi. Był to pierwszy błąd, gdyż w ciągu 20 lat realizacji ustawy tylko w kilkudziesięciu przypadkach zanotowano wszczęcie postępowań karnych, a w kilku przypadkach w ciągu 20 lat zanotowano wydanie orzeczeń skazujących osób, które dopuściły się naruszeń przetwarzania danych.

We wszystkich krajach unijnych podstawą skuteczności wymuszania wykonywania działalności zgodnej z prawem, w zakresie ochrony danych osobowych, były w różnej formie przewidziane kary finansowe.

Wraz z rozwojem globalizacji i postępu technicznego pojawiły się nowe wyzwania w dziedzinie ochrony danych osobowych. Następuje znaczący wzrost skali przetwarzania danych poprzez wzrost zbierania i wymiany danych osobowych. Po dane osobowe sięgają nie tylko podmioty prywatne dla prowadzenia działalności gospodarczej, ale również podmioty i organy publiczne oraz licznie sięga świat przestępczy.

Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych Parlament Europejski i Rada z inicjatywy Komisji Europejskiej w dniu 27 kwietnia, z mocą obowiązującą z dniem 25 maja 2018 r. uchwaliły Rozporządzenie w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. ( 2016/679 )

Wśród rozwiązań ujętych przez prawodawcę, jako samorząd gospodarczy zwracamy szczególną uwagę na przetwarzanie danych osobowych w trakcie prowadzenia działalności gospodarczej, a także na konieczność wypełnienia obowiązków, których naruszenie może powodować niebezpieczeństwo zapłacenia horrendalnych kar pieniężnych. Odnosząc się do zapisów projektu ustawy  o ochronie danych osobowych zwracamy uwagę na zastosowane obniżenie wieku dziecka w przypadku świadczenia mu usług społeczeństwa informacyjnego do granicy 13 lat. Europejski ustawodawca barierę tę określił na granicy 16 lat, dając państwom członkowskim możliwość obniżenia tej granicy do wieku 13 lat. Polski prawodawca w pełni z tej możliwości skorzystał stosując najniższy próg wiekowy – 13 lat.

Zastosowanie tej najniższej bariery wiekowej – 13 lat uzasadniono tym, iż w Kodeksie cywilnym ( art. 15 ) osoba, która ukończyła 13 lat ma ograniczoną zdolność do czynności prawnych, a zatem może zawierać umowy w drobnych, bieżących sprawach życia codziennego, może także rozporządzać swoim zarobkiem. W ocenie projektodawcy,  w tym kontekście uzasadnione jest  przyjęcie granicy lat 13, dla skutecznego wyrażania przez dziecko zgody na przetwarzanie dotyczących go danych osobowych w związku z kierowanymi do niego bezpośrednio usługami  społeczeństwa informacyjnego.

Ustawodawca europejski w ust. 2 art. 8 wskazał, iż w przypadku zastosowania obniżenia granicy wieku w przedziale 13 -16 lat, administrator winien uwzględniając dostępną technologię, podejmować rozsądne starania, by zweryfikować  czy osoba sprawująca władze rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.  Postawienie znaku równości pomiędzy zawieraniem umów w bieżących drobnych sprawach życia codziennego a udostępnianiem własnych danych osobowych czy wyrażaniem zgody na ich przetwarzanie jest niezwykle odważną i ryzykowną decyzją. Może skutkować bardzo niebezpiecznymi dla bezpieczeństwa nieletniego skutkami.  Jest wiele podmiotów, które w walce o poszerzanie usług w sferze informatycznej może posunąć się za daleko, nie zważając na bezpieczeństwo dzieci. Już wyrażanie zgody na przetwarzanie danych przez osoby pełnoletnie jest obwarowane w przepisach art. 7 Rozporządzenia wieloma warunkami i obowiązkami wobec administratora danych. Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, musi byś sformułowane w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W Motywie (32) Preambuły rozporządzenia wyraźnie wskazano, iż zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, którą wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą na przetwarzanie jej danych dla określonego jednoznacznie celu. Zawsze osoba, która udzieliła zgody na przetwarzanie danych, ma prawo w dowolnym momencie wycofać zgodę i musi być o tym prawie poinformowana. Administrator danych osobowych, którym jest każdy podmiot prowadzący działalność gospodarczą jest zobowiązany do zapewnienia odpowiedniego do zagrożenia naruszeniem przetwarzania poziomu bezpieczeństwa, a także wypełnieniem wielu zapisów przepisów przewidzianych w nowym Rozporządzeniu, których naruszenie może skutkować karami pieniężnymi do 20 000 000 EUR. lub karą do 4 % obrotu.

W tym przedstawionym kontekście stoimy na stanowisku, iż obniżenie przez prawodawcę polskiego wieku dziecka z 16 do 13 lat na korzystanie z usług społeczeństwa informacyjnego jest niezasadne i może powodować niezwykle negatywne i niebezpieczne skutki dla bezpieczeństwa dziecka.

Prawodawca europejski w celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenie przepisów rozporządzenia wskazuje w motywach (150) i ( 151) preambuły uprawnienia organów nadzorczych do nakładania administracyjnych kar finansowych. W przepisach art. 83 rozporządzenia przedstawiono ogólne warunki nakładania tychże kar.

Prawodawca europejski wskazał, że jeżeli administracyjna kara pieniężna jest nakładana na „przedsiębiorstwo” to należy je definiować, zgodnie z art. 101 i 102 TFUE. Państwa członkowskie powinny określić czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne. Interpretacja przez prawodawcę polskiego, zapisu : czy i w jakim zakresie budzi duże wątpliwości.

Nasuwa się pytanie, czy polski porządek prawny przewiduje stosowanie administracyjnych kar finansowych dla organów publicznych.  Ustawodawca polski w projekcie ustawy o ochronie danych osobowych w przepisach art. 83 dokonał rozróżnienia odpowiedzialności za naruszenie przepisów rozporządzenia na odpowiedzialność ponoszoną przez podmioty niepubliczne oraz na odpowiedzialność ponoszoną przez podmioty publiczne, o których mowa w art. 9 pkt. 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Podmioty niepubliczne, czyli prowadzące działalność gospodarczą, odpowiadają według określonych w przepisach art. 83 rozporządzenia stawek, czyli do wysokości w zależności od rodzaju naruszenia, w pierwszym przypadku 10 000 000 Euro i  w przypadku przedsiębiorstwa – w wysokości do 2% jego obrotu i w drugim do 20 000 000 EUR i do 4% obrotu. Podmioty publiczne podlegają określonej w projekcie ustawy stawce do wysokości 100 000 PLN.

Porównanie wysokości stawek dla podmiotów publicznych i niepublicznych za te same naruszenia przepisów rozporządzenia wzbudzają uzasadnione kontrowersje. Wzbudza to również  obawy o naruszenie przepisów Konstytucji RP, a w szczególności przepisów art. 32 według którego wszyscy według prawa są równi.

Prawodawca państwa członkowskiego mógł zgodnie z przepisami motywu (150) preambuły określić czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne. Prawodawca UE nie daje możliwości różnicować wysokości nakładanych przez organ nadzorczy administracyjnych kar pieniężnych, gdyż w podstawowym przepisie dotyczącym administracyjnych kar pieniężnych art. 83 ust. 7 możliwość interpretacji dotyczy tylko określenia: „Każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.”

W motywie ( 151) prawodawca UE jako przykłady innych rozwiązań wskazuje system prawny Danii i Estonii, które nie przewidują administracyjnych kar pieniężnych. Przepisy o administracyjnych karach  można stosować tak, iż w Danii właściwy sąd krajowy będzie nakładać grzywnę jak sankcję karną, a w Estonii organ nadzorczy będzie nakładać grzywnę w ramach postępowania o wykroczenia. Warunkiem stosowania takich swoistych „zamienników” jest spełnienie obowiązku osiągnięcia skutku równoważnego administracyjnej karze pieniężnej nakładanej przez organ nadzorczy. Każdorazowo sąd krajowy nakładając kary, powinien brać pod uwagę zalecenie organu nadzorczego przy wysokości nakładanej danej kary. Prawodawca UE wskazuje w przedstawianych motywach, iż w każdym przypadku nakładane kary muszą być skuteczne, proporcjonalne i odstraszające.

Przepis art. 83 rozporządzenia określające ogólne zasady i warunki nakładania administracyjnych kar pieniężnych w ust. 9 przewiduje, iż jeżeli ustrój prawny państwa członkowskiego nie przewiduje administracyjnych kar pieniężnych, to przepisy tego artykułu można stosować w ten sposób, że o zastosowaniu kary pieniężnej wnosi właściwy organ nadzorczy, a nakłada je właściwy sąd krajowy, o ile zapewniona zostaje skuteczność tych rozwiązań prawnych i równowartość ich skutku względem administracyjnej kary pieniężnej nakładanej przez organ nadzorczy.

Prawodawca UE w art. 83 ust. 7 (wcześniej w motywie 150 preambuły rozporządzenia) wskazał, iż bez uszczerbku dla uprawnień naprawczych organu nadzorczego państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim. Prawodawca europejski  umożliwił państwom członkowskim zastosowanie w swoim prawie innych rozwiązań, gdy ich porządek prawny nie przewiduje zastosowania administracyjnych kar pieniężnych określonych w przepisach rozporządzenia. Jako inne formy kar finansowych wskazał przykłady Estonii i Danii ( art.150 i 151 motywów), a także w art. 83 ust 9 rozporządzenia możliwość nakładania takich kar przez sąd krajowy w przypadkach gdy o ich zastosowanie wnosi organ nadzorczy.

Wprowadzenie przez prawodawcę krajowego w projekcie ustawy nowych, nieproporcjonalnie niskich stawek  administracyjnych dla organów publicznych kar pieniężnych narusza przepisy rozporządzenia (art. 83). Prawodawca państwa członkowskiego takich uprawnień ustawodawczych, według naszej interpretacji, nie posiada. Ustawodawca państwa członkowskiego, jak to wskazał Prawodawca UE, mógł wskazać inny tryb nakładania kar finansowych dla podmiotów publicznych np. poprzez sąd krajowy, ale w  żadnym przypadku nie ma możliwości różnicować wysokości nakładanych kar ze względu na status podmiotu. Zwracamy się o dokonanie porównania zastosowania rozwiązań nakładania administracyjnych kar pieniężnych w poszczególnych krajach członkowskich UE. Zaproponowane rozwiązanie stawia w szczególności podmioty prowadzące działalność gospodarczą w pozycji dyskryminującej.

Można również postawić zarzut naruszenia osiągnięcia celów i skuteczności jakie wytyczył prawodawca UE formułując odpowiedni zapis dotyczący administracyjnych kar pieniężnych. W motywach preambuły ( 150 i 151) oraz w przepisach art. 83 rozporządzenia prawodawca UE wskazał iż: „nakładane kary muszą być w każdym przypadku skuteczne, proporcjonalne i odstraszające”. Zaproponowane w projekcie  ustawy kary dla podmiotów publicznych takich wymogów nie spełniają. Jako przykład można wskazać przypadek, gdy podmiot publiczny będący administratorem danych osobowych za naruszenia przepisów rozporządzenia będzie zagrożony karą do 100 000 PLN, a podmiot przetwarzający, który będzie podmiotem gospodarczym będzie zagrożony karą do 20 000 000 EUR. Sytuacja to może mieć miejsce przy wykonywaniu tego samego obowiązku  wynikającego z realizacji umowy przetwarzania danych. Takie rozwiązanie budzi w samorządzie gospodarczym wątpliwości. Wnosimy o ponowne rozważenie tej propozycji opierając się na rozwiązaniach zastosowanych w innych państwach członkowskich, opinii Grupy art. 29 dyrektywy 95/46/WE lub w przyszłości opinii Europejskiej Rady Ochrony Danych Osobowych.

Prawodawca w projekcie ustawy zgodnie z przepisami Rozdziału VI Niezależne Organy Nadzorcze reguluje powołanie Prezesa Urzędu Ochrony Danych Osobowych jako organ właściwy w sprawie ochrony danych osobowych. Sprawy statusu, zasad, ogólnych warunków, właściwości i zadań są jednolicie uregulowane w przepisach Rozporządzenia 2016/679.

Nam, reprezentantom środowisk gospodarczych, jawi się pytanie czy przedstawiona struktura urzędu, jego propozycje budżetowe, pozwolą wypełnić stawiane urzędowi, przez przepisy Rozporządzenia, zadania. Wypełnienie tych zadań i obowiązków pozwoli wypełniać przez administratorów danych osobowych, w tym przypadku ze środowisk biznesu, swoje zadania i obowiązki w zakresie przetwarzania danych osobowych, a także ochronę praw i wolności osób, których dane dotyczą.  Podmioty ze środowisk biznesowych w przypadku naruszenia przepisów rozporządzenia, czy nieprawidłowego wypełniania obowiązków, są narażone na wysokie administracyjne kary pieniężne i na wypłatę odszkodowań w przypadku poniesienia przez osobę, której dane dotyczą szkód materialnych i niematerialnych, regulowanych w przepisie art. 82 rozporządzenia. Nowe obowiązki i zadania w świetle przepisów rozporządzenia ulegają zdecydowanemu wzrostowi. Rosnąca świadomość społeczna osób, zagrożenie naruszenia ich prywatności, powoduje stały wzrost skarg na naruszenia jak i wzrost licznych zadań przyszłego urzędu, wynikający z nowych jednolitych w całej UE zadań i obowiązków. Dzisiejszy budżet urzędu wynosi nieco ponad 12 mln PLN, przyszły od 2019 r. będzie wynosić około 16 mln. PLN, jest to wzrost nieduży. Nie spowoduje znaczącego wzrostu ilości pracowników. Nie mówi się o powołaniu dwóch delegatur, których powołanie  przewidywał dzisiaj obowiązujący Statut  Urzędu. Porównywalnie do ochrony danych osobowych i prywatności człowieka, w ochronie pracy Państwowa Inspekcja Pracy dysponuje budżetem w wysokości około 323 mln. PLN i 2566 etatami. Tworzy 16 Okręgowych Inspekcji i 43 oddziały.  Tematem ochrony pracy czynnie i aktywnie zajmują się Społeczni Inspektorzy Pracy.

Urząd ds. Ochrony Konkurencji i Konsumentów dysponuje budżetem w wysokości około 70 mln. PLN i 445 etatami oraz 9 delegaturami. Ochroną konsumentów zajmują się powiatowi i miejscy rzecznicy ochrony konsumentów, w tym w m. st. Warszawa biuro to liczy około 50 pracowników. Są to  ilości w stosunku do budowanej struktury ochrony danych osobowych nieporównywalne. Zaś stale rosnący przedmiot ochrony danych osobowych w sposób niekwestionowany przeważa nad ochroną praw konsumenta czy ochrony pracy.

Wyrażamy obawę, że wdrożenie i wykonanie przepisów rozporządzenia może przynieść zastraszające efekty. Brak możliwości ze strony organu nadzoru szybkiego i efektywnego reagowania na wnioski i inne wykonanie zapisów rozporządzenia może ze strony podmiotów biznesowych  skutecznie naruszać możliwość prowadzenia działalności gospodarczej. W szczególności też należy mieć na uwadze prowadzoną działalność gospodarczą pomiędzy państwami członkowskimi UE, czy w innych ramach współpracy transgranicznej.

Odnosząc się do szczegółowych rozwiązań, wydaje się nam niezasadne uregulowane w Rozdziale 3 projektu ustawy, iż to Prezes Urzędu jako organ dokonuje certyfikacji.( art. 42 rozporządzenia)

Przepisy rozporządzenia przewidują powoływanie podmiotów certyfikujących, czyli nie musi tej funkcji wypełniać wyłącznie organ nadzorczy.

Mamy wątpliwości co do zasadności, iż tak ważną i istotną dla zapewnienia poziomu przetwarzania danych osobowych czynność powierza się i tak przeciążonemu organowi nadzorczemu. Prawodawca europejski w szczególny sposób w art. 42 wskazuje na istotną i ważną rolę mechanizmów certyfikacji w zakresie ochrony danych osobowych. Wskazano również, iż należy przy tym procesie uwzględnić szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Podnosimy również potrzebę zwiększenia środków finansowych tworzących Fundusz Ochrony Danych Osobowych, zgodnie z przepisem art. 86 projektu ustawy. Przewidziany na tworzenie tego Funduszu to 1% kar pieniężnych nakładanych przez Prezesa Urzędu. Zasadnym wydaje nam się, iż procent ten powinien być znacznie większy aby umożliwić zwiększenie środków na inwestycje techniczne, informatyczne umożliwiające Urzędowi  zwiększenie skuteczności działań. Niezwykle ważnym byłoby przeznaczenie części tych środków na edukację oraz wyjaśnienia interpretacji prawnych przepisów i rozwiązań technicznych i organizacyjnych,  rozporządzenia dla mikro, małych i średnich przedsiębiorstw. Prawodawca UE ze szczególną uwagą w poszczególnych przepisach odnosi się do sytuacji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw ( motyw. 13 ). Państwa Członkowskie winny mieć na uwadze szczególną rolę mikro, małych i średnich przedsiębiorstw i uwzględniać  ich szczególne potrzeby. Rozumienie tych podmiotów gospodarczych i ich roli powinno opierać się na Zaleceniach Komisji z dnia 6 maja 2003 roku dotyczące definicji tego rodzaju przedsiębiorstw. ( Dz.U.L124 z 20.5.2003)

Nie wnosimy zastrzeżeń odnośnie uregulowań w art. 89 i art. 90 dotyczących odpowiedzialności karnej, po pierwsze za przetwarzanie danych szczególnie wrażliwych bez podstawy prawnej ( art. 9 rozporządzenia) i za udaremnianie czy utrudnianie przeprowadzenia kontroli przez pracowników Urzędu.

Prawodawca UE wprowadzając nowe przepisy rozporządzenia zamierza zagwarantować podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom- pewność prawą i przejrzystość ( motyw 13 preambuły rozporządzenia).

Wskazuje się, aby uwzględniać szczególne potrzeby mikro małych i średnich przedsiębiorstw. Krajowa Izba Gospodarcza powołując Komitet ds. Ochrony Danych Osobowych docenia tą działalność dla funkcjonowania podmiotów gospodarczych. Komitet jest otwarty na przyszłą współpracę w tworzeniu nowych zapisów w przepisach szczególnych i w ich interpretacjach niezwykle istotnych dla prawidłowego wykonywania  przez administratorów danych osobowych zadań i obowiązków związanych z przetwarzaniem danych osobowych.


Andrzej Lewiński
Przewodniczący
Komitet ds. Ochrony Danych Osobowych
Krajowa Izba Gospodarcza

Warszawa, 11 października 2017 r.

Powrót >