Rozmawiamy z MICHAŁEM SERZYCKIM, generalnym inspektorem ochrony danych osobowych - Karę od 1 tys. do 100 tys. euro będzie można nałożyć na firmę, która nie wykonuje decyzji Generalnego Inspektora Ochrony Danych Osobowych. Za utrudnianie kontroli grozić będzie sankcja w wysokości do 300 proc. miesięcznego wynagrodzenia.
• Jakie dodatkowe uprawnienia zdobędzie pański urząd po wejściu w życie znowelizowanej ustawy o ochronie danych osobowych?
- Projekt zakłada możliwość nakładania przez GIODO kar finansowych, w przypadku gdy firma zobowiązana do wykonania prawomocnej decyzji GIODO, tego nie robi. Kara finansowa w takim przypadku będzie mogła wynieść od 1 tys. do 100 tys. euro. Chcemy także, aby możliwe było nałożenie kary finansowej w wysokości do 300 proc. miesięcznego wynagrodzenia przedsiębiorcy, który utrudnia bądź wprost uniemożliwia kontrolę GIODO. Pierwsze czytanie projektu ustawy odbyło się w Sejmie 9 lipca br. i wzbudziło wiele kontrowersji.
• Instytucje protestują?
- Tak. Związek Banków Polskich bardzo mocno krytykował projekt tłumacząc, że nałoży on na firmy obowiązki, których nie będą mogły udźwignąć. Taka argumentacja budzi moje zdziwienie, gdyż obowiązki nałożone przepisami ustawy o ochronie danych osobowych na firmy dziesięć lat temu nie zmieniłyby się. Po wejściu w życie ustawy powstałaby jedynie realna możliwość ich egzekucji. Może to świadczyć o tym, że firmy, nie bojąc się kary, dotychczas nie wykonywały obowiązków wynikających z obowiązujących przepisów prawa.
• Czy rzeczywiście jest pan bezradny wobec firm bojkotujących wykonywanie decyzji?
- Tak jest w istocie. W obecnym stanie prawnym generalny inspektor nie ma możliwości skutecznego egzekwowania wykonywania wydanych decyzji. Oczywiście każdy podmiot powinien dostosować się do prawomocnych decyzji. Praktyka wskazuje jednak, że brak możliwości egzekwowania postanowień wpływa negatywnie na ich wykonywanie. Dlatego też zaproponowaliśmy w nowelizowanej z inicjatywy Prezydenta RP ustawie o ochronie danych osobowych zmiany, dzięki którym GIODO zostałby wyposażony w analogiczne uprawnienia w zakresie nakładania kar finansowych, jak jest to w przypadku Najwyższej Izby Kontroli.
• Jakie są najczęstsze przyczyny sytuacji, w której dane osobowe innych osób są publicznie dostępne?
- Najczęstszą przyczyną wycieku danych jest brak należytej wiedzy administratorów z zakresu ochrony i zabezpieczenia danych osobowych, nieroztropność czy też naiwność użytkowników stron internetowych oraz lekkomyślne lub nakierowane na nieuczciwy zysk działanie hakerów. Wszystkie te przypadki można sprowadzić do wspólnego mianownika, jakim jest czynnik ludzki. Niezależnie jednak od tego, czy wyciek nastąpił na skutek działalności człowieka czy też błędu w systemie informatycznym, odpowiedzialność ponosić będzie administrator danych. Ma on bowiem obowiązek zastosowania należytych środków technicznych i organizacyjnych, tak aby w odpowiedni sposób zabezpieczyć dane osobowe.
• Panie ministrze, kiedy tak naprawdę dochodzi do wycieku danych osobowych w internecie?
- To, czy doszło do wycieku danych osobowych, zależy od okoliczności konkretnego przypadku. W przypadku gdy informacje o osobach nie są przeznaczone do upublicznienia, istnieje obowiązek odpowiedniego zabezpieczenia tychże danych. Gdy do takich informacji będą mieć dostęp osoby niepowołane, wówczas możemy mówić o nienależytym zabezpieczeniu, a w konsekwencji o wycieku danych osobowych. Taka sytuacja ma miejsce w przypadku upublicznienia danych, które gromadzi administrator w celu np. uzyskania informacji o kwalifikacjach zawodowych osób poszukujących pracy i w związku z tym nadsyłających swoje życiorysy.
• Jakie konsekwencje może ponieść osoba odpowiedzialna za wydostanie się danych do internetu?
- W przypadku wycieku danych mam obowiązek zawiadomić prokuraturę o podejrzeniu popełnienia przestępstwa. Konsekwencje zależą od kwalifikacji, jaką przyjmie prokuratura. Jeśli w toku dochodzenia zostanie stwierdzone naruszenie art. 51 ustawy o ochronie danych osobowych, administratorowi zbioru danych lub osobie odpowiedzialnej za ochronę danych, która udostępniła lub umożliwiła dostęp do danych osobom nieupoważnionym, grozi kara grzywny, ograniczenia albo pozbawienia wolności do dwóch lat. Natomiast przestępstwo z art. 52, które następuje w sytuacji naruszenia, choćby nieumyślnie, obowiązku należytego zabezpieczenia przed zniszczeniem lub przed zabraniem przez osobę nieuprawnioną zbioru danych, jest zagrożone karą pozbawienia wolności do jednego roku. W świetle obowiązujących przepisów nie mam, jako generalny inspektor ochrony danych osobowych, możliwości wymierzania kar finansowych. Mogę jedynie nakazać usunięcie danych lub zakazać ich przetwarzania.
• MICHAŁ SERZYCKI
prawnik, absolwent studiów podyplomowych dla kadry kierowniczej administracji w WSPiZ im. Leona Koźmińskiego, zastępca burmistrza dzielnicy Warszawa-Wola
Giodo w liczbach / DGP