Ministerstwo Cyfryzacji uspokaja generalnego inspektora ochrony danych osobowych. Odpowiedzialność karna za naruszenie prawa w zakresie przetwarzania informacji o osobach fizycznych znajdzie się w nowych przepisach. Ale w zmienionej formie niż obecnie.
Zaniepokojenie GIODO, o czym pisaliśmy w miniony poniedziałek, wzbudziło to, że w zaprezentowanym przez resort cyfryzacji projekcie nowej ustawy o ochronie danych osobowych zabrakło regulacji o odpowiedzialności karnej za naruszenie przepisów, które w ocenie GIODO są ważnym orężem walki z przestępcami. Przestrzeganie prawa miałyby gwarantować wyłącznie odpowiedzialność cywilna oraz administracyjna w postaci kar pieniężnych.
Nowe regulacje są przygotowywane w ramach dostosowywania polskiego systemu prawnego do wymogów rozporządzenia nr 679/2016 Parlamentu Europejskiego i Rady UE z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz. UE z 2016 r. L 119, s.1), które w życie wejdzie w 2018 r. Bruksela zdecydowała, że to państwa członkowskie będą rozstrzygać, czy na swoim terenie przewidywać odpowiedzialność karną za naruszenia prawa związane z przetwarzaniem informacji o osobach fizycznych.
Gdyby przedstawiony projekt ministerstwa został przyjęty, oznaczałoby to dużą zmianę względem obecnego stanu prawnego. Dziś odpowiedzialności karnej poświęcony jest bowiem cały odrębny rozdział ustawy 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922).
W związku z wątpliwościami podnoszonymi przez GIODO, resort cyfryzacji informuje, że również widzi potrzebę funkcjonowania przepisów karnych i już od jakiegoś czasu pracuje nad nimi. Wyjaśnia, że opublikowany dotychczas projekt ustawy o ochronie danych osobowych nie był całościowy. Do końca lipca 2017 r. ma pojawić się jego nowa wersja, w której znajdą się regulacje dotyczące odpowiedzialności karnej. Jednocześnie ministerstwo zaznacza, że nie będą one kopią obecnych rozwiązań.
– Obowiązujące dziś przepisy wskazują wiele czynów zabronionych, ale jednocześnie zbyt ogólnie opisują znamiona poszczególnych z nich. W konsekwencji prokuratorzy i sądy niechętnie sięgają do tych regulacji, co z kolei przekłada się na niewielką liczbę postępowań – tłumaczy dr Maciej Kawecki z gabinetu politycznego ministra cyfryzacji. Dziś do więzienia można trafić nawet za brak zarejestrowania zbioru danych czy też niewypełnienie obowiązków informacyjnych względem osób, o których gromadzi się informacje.
Dlatego ministerstwo chce ograniczyć liczbę przepisów karnych i jednocześnie je doprecyzować.
– Odpowiedzialność karna ma być wyjątkiem przewidzianym wyłącznie dla najcięższych naruszeń przepisów. Będzie stanowiła uzupełnienie dla szeroko uregulowanej odpowiedzialności administracyjnej i cywilnej, a nie główną oś gwarancji przestrzegania przepisów jak obecnie – dodaje dr Kawecki.
W ocenie rozmówcy warte rozważenia jest wprowadzenie odpowiedzialności karnej w postaci grzywny w odniesieniu do czynów polegających na udaremnianiu lub utrudnianiu organowi ochrony danych osobowych prowadzenia kontroli. Szczególnie poważne są również naruszenia polegające na przetwarzaniu szczególnych kategorii danych bez podstawy prawnej. Ustawodawca unijny wyodrębnił dane zwykłe i szczególne, uznając, że tym ostatnim należy się wyjątkowa ochrona z uwagi na ich związek ze sferą intymności człowieka.
W związku z tym godnym zastanowienia jest poddanie również takich naruszeń rygorowi odpowiedzialności karnej, włącznie z ograniczeniem i pozbawieniem wolności.
Jednocześnie ministerstwo rozwiewa nadzieje GIODO na to, by normy karne za naruszenia związane z przetwarzaniem danych osobowych przenieść do ustawy z 6 czerwca 1997 r. – Kodeks karny (t.j. Dz.U. z 2017 poz. 851 ze zm.).
– Dążymy do konsolidacji przepisów w dwóch aktach prawnych. Obok unijnego rozporządzenia ma to być właśnie ustawa o ochronie danych osobowych. Nie chcemy dokonywać rozproszenia przepisów z tej problematyki do innych aktów – wyjaśnia dr Kawecki.