Ochrona danych osobowych 2018 - zmiany w projekcie ustawy

1. Niezapowiadane kontrole

Podczas prac rozważano możliwość wyłączenia przepisów w zakresie zawiadamiania przedsiębiorców o zamiarze wszczęcia kontroli. Proponowane rozwiązanie, co zrozumiałe, spotkało się ze sprzeciwem ze strony organizacji reprezentujących interesy przedsiębiorców. Argumentem w walce z przedmiotową propozycją było to, iż kontrola wymaga zaangażowania wielu osób, których obecność trzeba przede wszystkim zapewnić. Ustawodawca przychylając się do stanowiska przedstawicieli przedsiębiorców ostatecznie zrezygnował z przedmiotowych wyłączeń. Oznacza to, że do materii związanej z kontrolowaniem przedsiębiorców stosujemy w pełni przepisy ustawy Prawo przedsiębiorców i zgodnie z jej postanowieniami organ zawiadamia przedsiębiorcę o zamiarze wszczęcia kontroli, którą wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze jej wszczęcia. Należy jednak pamiętać, że zawiadomienia nie dokonuje się w przypadku, gdy przeprowadzenie kontroli jest niezbędne dla przeciwdziałania popełnieniu przestępstwa, wykroczenia lub zabezpieczenia dowodów jego popełnienia. Ustawa Prawo przedsiębiorców, nie będzie miała jednak zastosowania do podmiotów które nie mieszczą się w pojęciu „przedsiębiorca”, a więc chociażby do fundacji nieprowadzących działalności gospodarczej i stowarzyszeń, do których zastosowanie będą miały w zakresie kontroli jedynie przepisy ustawy o ochronie danych osobowych.

2. Wyłączenie przepisów o ugodzie

W treści projektu postanowiono o wyłączeniu przepisów o ugodzie wskazując na tak dalece idącą doniosłość spraw z zakresu ochrony danych osobowych, iż zawieranie ugody nie powinno być dopuszczalne. Przedmiotowe wyłączenie także spotkało się z silnym sprzeciwem. Nie wszystkie bowiem sprawy z zakresu ochrony danych osobowych charakteryzują się wskazywaną doniosłością, a wręcz przeciwnie, w miarę możliwości znaczna ich ilość tą drogą powinna być finalizowana. Pod uwagę należy wziąć również i to, iż zawarcie ugody jest w ogóle możliwe tylko gdy charakter sprawy na to pozwala, a co więcej wymaga ona zatwierdzenia przez organ administracji publicznej przed którym zostaje zawarta, co daje pewność, iż zostanie ona wykorzystana tylko tam, gdzie będzie to rzeczywiście zasadne. Ostatecznie ustawodawca nie wyłącza możliwości zawierania ugody na zasadach wskazanych w Kodeksie postępowania administracyjnego.

3. Możliwość zaskarżania postanowień Prezesa Urzędu

Ministerstwo Cyfryzacji, które pracowało nad projektem ustawy o ochronie danych osobowych złagodziło także, początkowo mocno ograniczone, prawa przysługujące stronom postępowania. W szczególności zrezygnowano z wyłączenia stosowania art. 10 Kodeksu postępowania administracyjnego dotyczącego zasady wysłuchania stron, który ostatecznie będzie znajdował zastosowanie, a tym samym umożliwi stronom czynny udział w każdym stadium postępowania.

To co także w ramach tego zakresu uległo ostatecznym zmianom związane jest z możliwością zaskarżania postanowień Prezesa Urzędu, w szczególności z możliwością zaskarżenia postanowienia o ograniczeniu przetwarzania, co charakteryzuje się znaczącą doniosłością, bowiem błędne czy bezpodstawne zastosowanie instytucji ograniczenia przetwarzania o której mowa w art. 70 ustawy o ochronie danych osobowych mogłoby być bardzo daleko idące w skutkach dla strony, wobec której zostało niesłusznie zastosowane. Ustawa o ochronie danych przewiduje aktualnie możliwość zaskarżenia przedmiotowego postanowienia.

4. Wiek dziecka

Wśród zmian ostatecznie nie znalazła się także modyfikacja wieku dziecka wyrażającego zgodę na przetwarzanie jego danych w celu korzystania z usług społeczeństwa informacyjnego. Początkowo wiek dziecka miał być obniżony do lat 13 i tym samym ujednolicony z przepisami kodeksu cywilnego i postanowieniami dotyczącymi ograniczonej zdolności do czynności prawnych. Ostatecznie ustawodawca nie obniżył jednak granicy wiekowej, a co za tym idzie, jeżeli podstawą przetwarzania jest zgoda, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę oraz wyłącznie w zakresie wyrażonej zgody.

5. Brak rygoru natychmiastowej wykonalności

Decyzje Prezesa Urzędu nie będą posiadały z mocy samego prawa rygoru natychmiastowej wykonalności, choć pierwotnie takie rozwiązanie proponowano. Rygor natychmiastowej wykonalności jest instytucją, której sens zastosowania i prawo jej zastosowania istnieje jedyne w przypadku postępowań dwuinstancyjnych, kiedy decyzji należy nadać przedmiotowy rygor z powodów wskazanych w przepisach, bowiem przed upływem terminu do wniesienia odwołania nie ulega ona wykonaniu.

Autor: Adw. Aleksandra Piotrowska, ekspert ds. ochrony danych, ODO 24. Odpowiada za ochroną prawną obszaru związanego z bezpieczeństwem informacji, w szczególności danych osobowych, w międzynarodowych grupach kapitałowych. Uczestnik prac legislacyjnych nad przepisami o ochronie danych osobowych oraz łączności elektronicznej. Audytor wiodący ISO/IEC 27001.