Ustawę o ochronie danych osobowych trzeba jeszcze poprawić

Z rynku

W projekcie ustawy o ochronie danych osobowych uwzględniono część uwag zgłaszanych przez przedsiębiorców. Pozostaje jednak wiele kwestii, które powinny zostać zmienione, w tym m.in. przepisy regulujące postępowanie przed nowym organem – Prezesem Urzędu Ochrony Danych Osobowych (PUODO), czy zasady kontroli przestrzegania przepisów o ochronie danych. Tak przynajmniej uważają przedstawiciele Konfederacji Lewiatan.

Opublikowany został długo wyczekiwany projekt ustawy o ochronie danych osobowych (dalej: ustawa odo) wraz z projektem przepisów wprowadzających do niej. Konfederacja Lewiatan postanowiła przygotować bilans nowego projektu, zestawiając go z jego dotychczasową, nieoficjalną wersją.

Co można zaliczyć na plus?

Projekt ustawy odo, podobnie jak jego wersja nieoficjalna z kwietnia tego roku, utrzymuje na poziomie 13 lat wiek dziecka, którego dane osobowe są przetwarzane zgodnie z prawem, w kontekście oferowania usług świadczonych drogą elektroniczną. Od początku prac nad projektem ustawy zabiegaliśmy o skorzystanie przez ustawodawcę z możliwości ustalenia wieku dziecka na tym poziomie – mówi dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Postulaty Konfederacji dotyczące certyfikacji również zostały uwzględnione w projekcie, w szczególności doprecyzowany został tryb przeprowadzania czynności sprawdzających przez Prezesa PUODO po udzieleniu certyfikacji oraz warunki jej cofnięcia.

Z aprobatą należy odnieść się do uwzględnienia przez resort cyfryzacji apelu o przywrócenie możliwości zawierania przez strony ugód w postępowaniu przed PUODO. Przedsiębiorcy zrzeszeni w Konfederacji Lewiatan są zdania, że ugoda stanowi potrzebną, alternatywną formę załatwienia sprawy administracyjnej, ponieważ pozwala zażegnać spór w drodze porozumienia i bez potrzeby odwoływania się do sądu.

Co powinno ulec zmianie?

Wątpliwości budzi rozdział poświęcony postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych. Regulacje dotyczące udziału organizacji społecznych w postępowaniu przed PUODO nie zabezpieczają przed praktykami tych organizacji, które działają z niskich pobudek i czynią źródłem swego utrzymania zaskarżanie przedsiębiorców, pod pretekstem rzekomego naruszenia przepisów o ochronie danych osobowych – dodaje dr Aleksandra Musielak.

Wciąż brakuje możliwości zaskarżania postanowień czy decyzji zapadłych w toku postępowania przed PUODO, w tym postanowienia w sprawie ograniczenia przetwarzania danych osobowych czy decyzji o uchyleniu zastrzeżenia o objęciu informacji i dokumentów przekazywanych do Prezesa tajemnicą przedsiębiorstwa. Są to rozstrzygnięcia daleko idące, które mogą poważnie zakłócić funkcjonowanie wielu firm, a nawet zagrozić możliwości świadczenia przez nie usług na rynku.

Resort cyfryzacji nie zrezygnował z nadawania decyzjom PUODO rygoru natychmiastowej wykonalności – który pozostaje wymogiem obligatoryjnym – bez określenia przesłanek jego zastosowania. Wstrzymanie tego trybu dotyczyć będzie wyłącznie kar administracyjnych. Zdaniem firm zrzeszonych w Konfederacji Lewiatan jest to bardzo rygorystyczna koncepcja, której realizacja w praktyce może prowadzić do nieodwracalnych skutków dla przedsiębiorców i stanowić poważne ograniczenie w zakresie realizacji ich prawa do skutecznego środka odwoławczego.

Nadal aktualnym pozostaje model sądowo-administracyjnej ścieżki odwołań od decyzji PUODO, mimo wielokrotnie podnoszonego przez przedsiębiorców argumentu na rzecz Sądu Ochrony Konkurencji i Konsumentów – jako sądu właściwego do rozstrzygania tego typu odwołań. Sąd ten dysponuje równie bogatym doświadczeniem co sądy administracyjne a przy tym pozwala przedsiębiorcom łatwiej wykazać nieprawidłowość w orzeczeniu o karze pieniężnej, w tym stopień współpracy z organem, mający wpływ na wysokość orzekanych kar.

Zdecydowanie negatywnie należy podejść również do uregulowań dotyczących postępowania kontrolnego przeprowadzanego przez PUODO, które nie chroni przedsiębiorców przed jego nadmierną uciążliwością. Ustawodawca przewidział wyłączenia od zawiadamiania o zamiarze kontroli oraz wyłączenia przepisów ograniczających czas trwania kontroli przewidziane w ustawie o swobodzie działalności gospodarczej. Możliwe będzie też prowadzenie więcej niż jednej kontroli jednocześnie u przedsiębiorcy, w tym kontroli dotyczącej zapewnienia właściwej ochrony danych osobowych. Nie podważając potrzeby zapewnienia wysokiego poziomu ochrony danych osobowych w Polsce można mieć wątpliwości co do proporcjonalności przyjętych rozwiązań w kontekście zapewniania swobody działalności gospodarczej.

Niezmienna pozostała wysokość administracyjnych kar pieniężnych, nakładanych na podmioty publiczne za naruszenie przepisów z zakresu ochrony danych osobowych i wynosi 100 000 zł. Tak niski pułap maksymalnych kar dla sektora publicznego jest nieuzasadniony.

Lewiatan