Przedsiębiorcy boją się, że nowy organ ochrony danych osobowych, wydając postanowienia tymczasowe, wstrzyma ich działalność, a nawet doprowadzi do plajty.
Ustawa o ochronie danych osobowych, nad której projektem pracuje Ministerstwo Cyfryzacji, nie tylko wprowadzi nowy Urząd Ochrony Danych Osobowych, ale też nada mu nieznane wcześniej uprawnienia. Jednym z nich ma być możliwość wydawania postanowień nakazujących ograniczenie przetwarzania danych. Prezes UODO będzie je wydawał w trakcie trwania postępowania. Chodzi o to, by firma przetwarzająca dane nie naruszała dalej prawa. Zanim bowiem zostanie zakończone prowadzone przeciwko niej postępowanie, może upłynąć sporo czasu.
Uprawnienie to niepokoi organizacje skupiające przedsiębiorców i część ekspertów.
– Dla firm, których działalność jest nierozerwalnie związana z takim przetwarzaniem, może to oznaczać nawet konieczność jej zawieszenia. Co więcej, nie będą one mogły w żaden sposób odwołać się od takiego postanowienia, a więc do zakończenia postępowania grozi im konieczność wstrzymania biznesu – zauważa Aleksandra Piotrowska, adwokat z firmy konsultingowej ODO 24.
Spółki świadczące niektóre usługi internetowe czy też chociażby banki zwyczajnie nie mogą działać bez przetwarzania danych. Słychać nawet głosy, że postanowienia prezesa UODO będą oznaczać konieczność zamykania przedsiębiorstw.
„Niezaskarżalny brak możliwości przetwarzania danych osobowych oznacza, że wielu przedsiębiorców nie będzie mogło świadczyć usług czy sprzedawać towarów na rzecz swoich kontrahentów (konsumentów), przez cały okres trwania postępowania administracyjnego, co biorąc pod uwagę powszechną przewlekłość polskich procedur administracyjnych, może być mechanizmem skutkującym likwidacją i zniknięciem z rynku wielu przedsiębiorców. Niewielu bowiem przedsiębiorców będzie mogło sobie pozwolić na utrzymywanie zatrudnienia i przedsiębiorstwa wobec rocznego albo dłuższego braku możliwości zarabiania” – można przeczytać w stanowisku przedstawionym przez Konfederację Lewiatan. Z przywołanych w nim danych wynika, że średni czas oczekiwania na decyzję generalnego inspektora ochrony danych osobowych wynosi aż 295 dni.
Liczy się czas
Przedsiębiorcy postulują wprowadzenie możliwości składania zażaleń na postanowienia prezesa UODO. Doktor Maciej Kawecki, który w resorcie cyfryzacji odpowiada za przygotowanie projektu, nie widzi takiej potrzeby. Zwraca uwagę, że nowa ustawa wprowadza miesięczny termin na zakończenie postępowania kontrolnego.
Co będzie mógł nakazać prezes Urzędu Ochrony Danych Osobowych / Dziennik Gazeta Prawna
– Organem właściwym do rozpatrzenia takiego środka powinien być sąd. Uwzględniając krótkie terminy postępowania, rozstrzygnięcie sądu mogłoby nastąpić później niż wydanie decyzji przez prezesa urzędu – tłumaczy dr Maciej Kawecki.
– Nie oznacza to, że przedsiębiorca nie będzie mógł odwołać się od środka tymczasowego. Będzie mógł to zrobić, ale już po wydaniu decyzji, jeśli zdecyduje się ją zaskarżyć. Co więcej, wyrok sądu administracyjnego będzie podstawą do ewentualnego dochodzenia odpowiedzialności odszkodowawczej na drodze cywilnej – dodaje.
Konfederacja Lewiatan boi się jednak, że ewentualne odszkodowania mogą nie naprawiać rzeczywistych szkód. Co więcej, nie wiadomo, czy będzie miał kto ich w ogóle dochodzić przed sądem.
„Brak możliwości zażalenia postanowienia może mieć bardzo poważne, nieodwracalne konsekwencje dla wielu przedsiębiorców, z likwidacją włącznie, a rehabilitacja i ewentualne odszkodowanie post mortem jest rozwiązaniem daleko niesatysfakcjonującym” – napisano w jej stanowisku.
Kluczowy będzie rzeczywisty czas trwania postępowań. Ograniczenie możliwości przetwarzania danych na kilka dni czy nawet na dwa-trzy tygodnie, choć oczywiście może oznaczać olbrzymie straty, nie doprowadzi do likwidacji firmy. Co innego jednak, jeśli postępowania będą ciągnęły się przez wiele miesięcy.
Pytanie, czy nowy urząd będzie w stanie dotrzymać miesięcznych terminów. Nie wystarczy przecież ich zapisanie w ustawie, liczą się realne możliwości urzędu. A to, mówiąc wprost, zależy od tego, ile pieniędzy dostanie. Obecny budżet nie wystarcza na zatrudnienie potrzebnej liczby kontrolerów.
Ministerstwo Cyfryzacji zapowiada zwiększenie puli środków. Ostateczne kwoty zostaną podane w ocenie skutków regulacji, gdy projekt ustawy będzie już skończony. Mają zagwarantować sprawne działanie urzędu.
– Chciałabym wierzyć w te zapewnienia, ale rzeczywistość pokazuje, że każde postępowanie prowadzone przez dowolny urząd potrafi się przeciągnąć – powątpiewa Aleksandra Piotrowska.
W zgodzie z prawem UE
Nie ma natomiast wątpliwości co do jednego – proponowane rozwiązanie jest zgodne z unijnym rozporządzeniem o ochronie danych osobowych 2016/679. Przewidziano w nim środek tymczasowy, jakim w polskich realiach ma być właśnie postanowienie o ograniczeniu przetwarzania danych osobowych.
Zgodnie z motywem 137 organ nadzorczy powinien w razie pilnej potrzeby podjęcia działań w celu ochrony praw i wolności mieć możliwość przyjmowania na swoim terytorium należycie uzasadnionych środków tymczasowych o określonym czasie obowiązywania. Znajduje to dalej odzwierciedlenie w art. 61 ust. 8, art. 62 ust. 7 oraz art. 66 ust. 1 rozporządzenia.
– Nie jest możliwe zapewnienie skutecznego stosowania tych przepisów bez przyznania prezesowi UODO uprawnienia do wydawania środków tymczasowych – przekonuje dr Maciej Kawecki.
– Warto też pamiętać, że proponowane rozwiązanie nie jest obce polskiemu porządkowi prawnemu. Z podobnymi rozwiązaniami mamy do czynienia chociażby przy zabezpieczaniu roszczeń w postępowaniu cywilnym bądź postępowaniu antymonopolowym w przypadku decyzji prezesa Urzędu Ochrony Konkurencji i Konsumentów. Dlatego dziwi mnie trochę to całe zamieszanie – dodaje.
Ministerstwo Cyfryzacji twierdzi, że wystarczającym zabezpieczeniem interesów przedsiębiorców są wymagania, jakimi obwarowane jest wydanie postanowienia ograniczającego możliwość przetwarzania danych osobowych. Musi dojść do uprawdopodobnienia naruszenia, naruszenie powinno powodować poważne i trudne do usunięcia skutki, a środek tymczasowy ma przewidywać dopuszczalny zakres przetwarzania i czas obowiązywania ograniczeń.