Kara dla pracodawcy za utrudnianie kontroli prawidłowości przetwarzania danych osobowych

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych obowiązuje od 30 kwietnia 1998 r. Jej przepisy były wzorowane na regulacjach zawartych w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, dalej zwana dyrektywą (DzUrz UE L 281, 23.11.1995 r., s. 31). Jeden z przepisów dyrektywy zobowiązuje państwa członkowskie do podjęcia działań zmierzających do zapewnienia pełnej realizacji praw i obowiązków, które zostały w niej określone, wiążąc jedynie co do celu, jaki należy osiągnąć, a pozostawiając swobodę w wyborze drogi do jego osiągnięcia.

Praktyka stosowania przepisów ustawy o ochronie danych osobowych wykazała, że przewidziana w ustawie odpowiedzialność prawnokarna jest niewystarczająca i mało skuteczna. Wiąże się to m.in. z tym, że przepisy ustawy w obowiązującym brzmieniu nie przyznają Generalnemu Inspektorowi Ochrony Danych Osobowych żadnych skutecznych instrumentów, które służyłyby egzekwowaniu prawa. Obecne przepisy nie stanowią również gwarancji, że administratorzy danych, którzy uporczywie naruszają przepisy ustawy, nie respektując przy tym praw osób, których dane dotyczą, poniosą konsekwencje działań niezgodnych z ustawą.

W związku z powyższym został przygotowany projekt ustawy nowelizującej ustawę o ochronie danych osobowych (druk sejmowy nr 488), który ma na celu wprowadzenie zmian podyktowanych doświadczeniami wynikającymi ze stosowania przepisów ustawy. Prezydencki projekt wpłynął do Sejmu 21 grudnia 2007 r., jednak dopiero 20 maja 2010 r. zakończyła się nad nim praca w komisjach po pierwszym czytaniu w Sejmie.

Jeśli ustawa zostanie uchwalona, Generalny Inspektor Ochrony Danych Osobowych będzie miał prawo występowania z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

Dla pracodawcy, będącego jednocześnie administratorem danych osobowych, szczególnie istotne są informacje zawarte w imiennym upoważnieniu, na podstawie którego przeprowadzana jest kontrola prawidłowości przetwarzania danych osobowych.

Przepisy nowelizacji precyzują, jakie informacje powinno zawierać imienne upoważnienie, a są to m.in.:

• wskazanie podstawy prawnej kontroli,

• oznaczenie organu kontroli,

• imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer legitymacji służbowej,

• określenie zakresu przedmiotowego kontroli,

• oznaczenie podmiotu zbioru danych albo miejsca poddawanego kontroli,

• wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli,

• podpis Generalnego Inspektora,

• pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach,

• datę i miejsce wystawienia upoważnienia.

W projekcie doprecyzowano także przepisy dotyczące sposobu przeprowadzenia kontroli jak również rodzaj danych, jakie powinny znaleźć się w protokole pokontrolnym. Dodano też sankcję za utrudnianie inspektorowi wykonywania czynności kontrolnych: „kto udaremnia lub utrudnia wykonanie czynności kontrolnej wykonywanej przez inspektora, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” (art. 1 pkt 12 projektu).

Paweł Łukaszuk