Już od poniedziałku zwiększą się kary dla przedsiębiorców, którzy nieprawidłowo przetwarzają dane i nie stosują się do zaleceń generalnego inspektora ochrony danych osobowych. Grzywny nakładane w celu przymuszenia do wykonania decyzji GIODO wyniosą 50 tys. zł w przypadku przedsiębiorców i 10 tys. zł dla osób fizycznych.
Generalny inspektor danych osobowych będzie mógł ukarać takie firmy grzywną w wysokości nawet do 200 tys. zł. Taką karę otrzymają przedsiębiorcy, którzy przynajmniej cztery razy zlekceważą decyzje GIODO. Ponadto za utrudnianie kontroli grozić będzie kara więzienia do lat dwóch, ograniczenia wolności lub grzywny.
Wynika to z nowelizacji ustawy o ochronie danych osobowych (Dz.U. z 2010 r. nr 229, poz. 1497), która wchodzi w życie 7 marca 2011 r.

Kary i kajdanki

Grzywny nakładane w celu przymuszenia do wykonania decyzji GIODO wyniosą 50 tys. zł w przypadku przedsiębiorców i 10 tys. zł dla osób fizycznych. To wysokość kar nakładanych jednorazowo. Przepisy pozwalają jednak nałożyć taką karę więcej razy. Wówczas górny pułap grzywien może wynieść maksymalnie 50 tys. zł w przypadku osób fizycznych, a przypadku przedsiębiorstwa nawet 200 tys. zł.
Po zmianach przepisów GIODO będzie mógł też zastosować przymus bezpośredni. Oznacza to, że opornego przedsiębiorcę zakuje nawet w kajdanki czy użyje wobec niego siły fizycznej.
Oczywiście takie grzywny czy inne metody nie będą stosowane od razu i w każdym przypadku. GIODO będzie mógł egzekwować wykonanie swoich decyzji, jeżeli pomimo nakazania przywrócenia stanu zgodnego z prawem jego decyzje nie zostaną wykonane przez dane osoby czy przedsiębiorców, którzy naruszyli prawo.
Przedsiębiorcy cieszą się, że zmiany, które wchodzą w życie nie są tak surowe, jak proponowane początkowo. Górny ich pułap miał wynieść nawet 100 tys. euro. Egzekucja administracyjna jest więc bardziej przyjazna, co potwierdza Michał Sztąberek, partner zarządzający w iSecure Sp. z o.o., firmie specjalizującej się w doradztwie w zakresie ochrony danych osobowych.

Nie denerwuj inspektora

– Wśród środków dostępnych dla GIODO znajdą się więc m.in. grzywna w celu przymuszenia, wykonanie zastępcze i przymus. Egzekucja nie będzie automatyczna. Zanim do niej dojdzie, GIODO wpierw skieruje do firmy upomnienie, w którym wyznaczony zostanie termin na wykonanie decyzji – mówi Michał Sztąberek.
Według przepisów surowo zostaną potraktowane osoby utrudniające kontrolę inspektorom ochrony danych osobowych. Za przeszkadzanie im w pracy będzie można trafić nawet na dwa lata do więzienia. Przepisy przewidują też łagodniejsze sankcje w postaci kar grzywny czy ograniczenia wolności.
Nowe przepisy są tak skonstruowane, że na takie kary narazi się właściciel firmy i jej pracownik, który na przykład na zlecenie szefa nie wpuści inspekcji, czy też utrudni kontrolę. Na taką samą odpowiedzialność narażają się także pozostałe osoby w firmie, które będą np. przeszkadzać inspektorowi. W takim przypadku na karę grzywny, aresztu czy więzienia narażony będzie i szef i jego pracownik. Narazić się na odpowiedzialność będzie znacznie łatwiej niż obecnie.
Za jakie dokładnie utrudnianie będzie można pójść do więzienia?
– Utrudnianiem może być na przykład kilkugodzinne poszukiwanie dokumentów, odmowa udzielenia informacji lub uniemożliwienie inspektorom wstępu do wybranych pomieszczeń kontrolowanego – wymienia Marcin Lewoszewski z kancelarii CMS Cameron McKenna. Wskazuje on także na orzecznictwo w tym zakresie. Sąd Najwyższy w jednym z wyroków (sygn. V KKN 454/2000) wskazał, że utrudnianiem nie jest nieprzychylne, niekulturalne czy nawet niegrzeczne traktowanie kontrolujących.
– Utrudnianiem przeprowadzenia kontroli będzie też niszczenie bądź ukrywanie dokumentów przed kontrolującymi – dodaje Marcin Lewoszewski.



Wytykanie luk i błędów

Zgodnie z nowelizacją ustawy o ochronie danych osobowych GIODO zyska prawo, by do wielu państwowych organów kierować wystąpienia zmierzające do właściwego przetwarzania danych. Dokładnie takie samo uprawnienie będzie miał w stosunku do państwowych instytucji, jeśli GIODO zauważy potrzebę zmiany przepisów w zakresie przetwarzania danych osobowych. Co prawda do tej pory też miał możliwość wytykania takich rzeczy, z tym że nie zawsze odnosiło to skutek. Po zmianach np. samorząd, który niewłaściwie przetwarza dane, będzie musiał choćby odpowiedzieć GIODO na jego pismo. Podobnie gdy inspektor wskaże potrzebę zmiany przepisów określonemu ministerstwu. Zmiana sprawi, że jego wskazówka przynajmniej nie zostanie zignorowana, a resort będzie musiał się do niej ustosunkować.
Postępowanie egzekucyjne ułatwi wykonanie decyzji inspektora

Dr Wojciech Rafał Wiewiórowski,m generalny inspektor ochrony danych osobowych

Nowelizacja ustawy o ochronie danych osobowych, umożliwi egzekwowanie decyzji GIODO na drodze postępowania egzekucyjnego. Co da takie rozwiązanie?
To rozwiązanie powinno przyczynić się do lepszej wykonalności decyzji wydawanych przez generalnego inspektora ochrony danych osobowych (GIODO). Pierwotnie proponowano nawet, by GIODO mógł nakładać kary finansowe, ale uważam, że nie byłoby to dobre rozwiązanie. Na szczęście w toku prac parlamentarnych nad nowelizacją ustawy o ochronie danych osobowych zrezygnowano z niego. Wprowadzono natomiast administracyjne metody dochodzenia do egzekucji decyzji, które są wydawane przez GIODO. Oznacza to, że od 7 marca 2011 r. GIODO na podmioty, które nie będą wykonywały jego decyzji administracyjnych, będzie mógł nałożyć grzywnę w celu przymuszenia. Na mocy znowelizowanych przepisów GIODO uznany bowiem został za organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym.
Jakie znaczenie ma wprowadzenie sankcji karnych za utrudnianie kontroli?
Przede wszystkim regulacje te będą miały znaczenie prewencji ogólnej, czyli wskazania, że za taki czyn będzie można zostać ukaranym grzywną, a nawet trafić do więzienia. To bardzo ważne, gdyż każdy, kto uniemożliwi bądź utrudni kontrolę GIODO, narazi się na taką odpowiedzialność. Co ważne, będzie ona groziła nie tylko przedsiębiorcy czy właścicielowi firmy, ale również pracownikowi, który uniemożliwi lub utrudni wykonanie jakiejś czynności kontrolnej. W ten sposób dojdzie do sytuacji, w której na przykład sami pracownicy nie dadzą się zmusić przełożonym do tego, by antydatować dokumenty czy sporządzać takie, które faktycznie nie istniały.
GIODO zyska prawo, by do wielu podmiotów kierować wystąpienia zmierzające do skutecznej ochrony danych osobowych. Co da taki zapis?
Jest to zapisanie w prawie czegoś, co do tej pory było wykonywane przez GIODO tylko w ramach funkcji rzecznikowskich. Dziś też sygnalizujemy pewne sprawy. Jednak wystąpienia mają mieć charakter dobrych praktyk i miękkich wskazań ze strony GIODO dotyczących tego, w jaki sposób radzić sobie z poważniejszymi problemami. Wyobrażam sobie, że kompleksowa sektorowa kontrola mogłaby kończyć się właśnie takimi wystąpieniami, które wskazywałyby na najważniejsze problemy. Jednocześnie byłyby dostępne np. w internecie. Co istotne, na mocy wchodzącej w życie nowelizacji podmioty, do których będzie skierowane wystąpienie, zostały zobowiązane, by odpowiedzieć na nie w ciągu 30 dni od daty jego otrzymania. Tego przepisu brakowało m.in. latem 2010 r., kiedy zwracałem uwagę na nieprawidłowości przy rekrutacji do przedszkoli.