Przyspieszenie postępowań ws. przypadków nieprzestrzegania przepisów o ochronie danych osobowych i wprowadzenie kar finansowych to niektóre założenia wstępnego projektu nowej ustawy o ochronie danych osobowych, który poznała PAP. Projekt przygotował resort cyfryzacji.

"Projekt nowej ustawy o ochronie danych osobowych wdraża rozporządzenie unijne, czyli wprowadza nowy krajowy system ochrony danych osobowych" - powiedział PAP doradca minister cyfryzacji Anny Streżyńskiej, dr Maciej Kawecki.

Podkreślił, że projekt ma charakter roboczy i może jeszcze ulec zmianie. "Jego udostępnienie teraz to odpowiedź na ogromne zainteresowanie publiczne tym projektem, a także chęć zapewnienia pełnej transparentności procesu tworzenia nowego krajowego systemu prawnego ochrony danych osobowych" - wyjaśnił.

W dokumencie znalazły się tylko te przepisy, które resort ma już gotowe - nie zawiera on przepisów ciągle wypracowywanych - m.in. pozycji ustrojowej nowego organu ochrony danych osobowych, przepisów przejściowych oraz przepisów zmieniających regulacje sektorowe.

Projekt zakłada powołanie w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych nowego państwowego organu - zwanego Prezesem Urzędu Ochrony Danych Osobowych. "Zmiana nazwy wymuszona została niejako rozporządzeniem unijnym, które wprowadza instytucję inspektora ochrony danych jako pracownika administratora danych. Przyjęcie dla organu dotychczasowej nazwy wprowadzałoby więc w błąd. Zmiany zaproponowane przez ministra cyfryzacji w żaden sposób nie zmieniają też kompetencji organu ochrony danych osobowych" - powiedział Kawecki.

Przepisy te nie na razie nie zostały udostępnione, ale resort ujawnił, że chce, aby to urząd ochrony danych osobowych sam przyznawał sobie statut, czyli przyjmował strukturę organizacyjną najlepiej dostosowaną do swoich zadań. "Obecnie o strukturze organizacyjnej GIODO decyduje prezydent. Zaproponowana zmiana wzmocni naszym zdaniem niezależność organu ochrony danych" - dodał Kawecki.

Kolejna zmiana to zniesienie dwuinstancyjności postępowań przed obecnym GIODO związanych z naruszeniem zasad ochrony danych osobowych. "To ma przyspieszyć postępowania przed tym organem. Obecnie dwuinstancyjność wydłuża proces wydania decyzji, a i tak w znacznej części GIODO podtrzymuje swoją decyzję. Przyznajemy jednak organowi prawo do autokontroli swoich rozstrzygnięć" - powiedział.

Jak wskazał Kawecki, wedle posiadanych informacji średni czas trwania postępowania w sprawach dotyczących naruszenia zasad ochrony danych osobowych to obecnie w Polsce 295 dni - do czasu wydania przez GIODO decyzji w I instancji, a do decyzji w II instancji - 437 dni. Z danych resortu cyfryzacji wynika także, że na uzyskanie prawomocnego orzeczenia w sprawie dot. ochrony danych osobowych obywatel czeka średnio 600 dni. Tylko w 2015 r. rozpatrzenie wielu spraw trwało nawet ponad 3 lata.

Zaproponowane przepisy wprowadzają także dodatkowy, niezależny od już istniejących, mechanizm kierowania roszczeń z tytułu naruszenia prawa ochrony danych osobowych do sądu powszechnego, z pominięciem konieczności złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Kawecki wyjaśnił, że proponowane przepisy zakładają co najmniej kilka dróg dochodzenia swoich praw przez pokrzywdzonych. "Jeżeli doszło do naruszenia prawa ochrony danych, będzie można wystąpić do organu i po wydaniu decyzji udać się do sądu administracyjnego; druga droga to wystąpienie do organu i jednocześnie do sądu powszechnego; trzecia - to wystąpienie do sądu powszechnego. Można jednak wskazać jeszcze inne drogi, jak np. powództwo z tytułu naruszenia dóbr osobistych" - dodał.

Aby uniknąć sytuacji, że sąd i organ ochrony danych zajmują się tą samą sprawą, projekt zakłada obowiązek wzajemnego informowania się o postępowaniach w sprawie naruszenia przepisów o ochronie danych osobowych. "W związku z tym np. sąd może zawiesić toczące się przed nim postępowanie do czasu zakończenia postępowania przed prezesem Urzędu" - dodał.

Rozporządzenie unijne, które wdrażane jest ustawą przygotowywaną przez resort cyfryzacji zakłada, że prezes Urzędu Ochrony Danych Osobowych będzie mógł nałożyć kary finansowe na przedsiębiorców. Obecnie GIODO nie ma takich uprawnień. "Kary te będą mogły wynosić maksymalnie 20 mln euro albo do 4 proc. obrotu. Wyjątek stanowi nakładanie kar na administrację, co objęte jest swobodą państw członkowskich" - zastrzegł Kawecki.

Jak zaznaczył, projekt ogranicza krąg podmiotów publicznych, wobec których możliwe jest nakładanie administracyjnych kar pieniężnych za naruszenia przepisów o ochronie danych osobowych. W pozostałym zakresie, w jakim projektowane przepisy przewidują możliwość nałożenia kary pieniężnej na sektor publiczny, przewidują znaczne obniżenie maksymalnej granicy możliwej do nałożenia kary, do 100 000 zł.

"Nakładane kary nie mogą w żadnym zakresie ograniczać możliwości wykonywania przez administrację powierzanych jej zadań publicznych" – wskazał Kawecki.

Resort skorzystał także z uprawnień, jakie przysługują państwom członkowskim przy dostosowaniu przepisów krajowych do rozporządzenia i obniżył granice wieku dziecka, do którego konieczne będzie uzyskanie zgody rodzica na przetwarzanie jego danych w Internecie, z 16 lat do 13 lat.

"Obniżenie wieku wynika z tego, że chcemy zrównania z tym, jak jest on zapisany w kodeksie cywilnym. Tam wiek 13 lat oznacza, że dziecko dysponuje ograniczoną zdolnością do czynności prawnych. Czyli ustawodawca krajowy uznał, że dziecko w wieku powyżej 13 lat jest wystarczające dojrzałe, żeby zawrzeć drobną umowę, żeby korzystać z czynności życia codziennego" - powiedział Kawecki.

Zgoda ma być dotyczyć serwisów czy portali umożliwiających zakładanie poczty internetowej, serwisów społecznościowych, czy serwisów legalnie udostępniających seriale, filmy, czy gry. Kawecki zwrócił jednak uwagę, że przepisy rozporządzenia nie precyzują, jak ma dokładnie wyglądać wyrażenie zgody i zweryfikowanie wieku dziecka.

W związku z tym resort przyjął, że takie rozwiązanie uda się wypracować w praktyce. "Zakładamy jednak, że przepis ten może rodzić pewne wątpliwości - w jaki sposób ma być zweryfikowana ta zgoda. Jedyne, co unijny ustawodawca zapisał, to, że tożsamość rodzica bądź opiekuna powinna być zweryfikowana, przy uwzględnieniu dostępnej technologii " - powiedział.

"Nie wykluczamy, że jeśli będzie problem z wypracowaniem mechanizmów zgody, podejmiemy się doprecyzowania tych przepisów" - dodał.

Projekt zakłada także przyspieszenie prowadzonych dzisiaj postępowań kontrolnych w sprawach ochrony danych osobowych. "Przesądziliśmy, że postępowanie kontrolne może trwać maksymalnie miesiąc, czyli mówiąc wprost: od momentu wejścia do przedsiębiorcy organu do momentu, kiedy podpisze on protokół pokontrolny może upłynąć maksymalnie miesiąc" - podkreślił Kawecki. Jak wyjaśnił, obecnie same czynności kontrolne średnio trwają w większości przypadków do 5 dni, w związku z tym zaproponowany termin będzie wystarczający.

Resort planuje w czerwcu br. przedstawić gotowy projekt nowej ustawy ochronie danych osobowych wraz z przepisami zmieniającym dziesiątki ustaw szczegółowych.

"Liczymy na to, że jesienią projekt trafi do Sejmu, a proces legislacyjny zakończy się na początku 2018 r., aby kwiecień i maj pozwoliły na przygotowanie się do wejścia w życie przepisów. Sama ustawa powinna zacząć obowiązywać 25 maja 2018 r., bo wtedy rozpoczyna się stosowanie rozporządzenia unijnego, które przepisy krajowe wdrażają" - dodał.

W maju 2016 r. zostało przyjęte przez Unię Europejską ogólne rozporządzenie o ochronie danych osobowych. Kraje członkowskie muszą zastosować przepisy rozporządzenia od 25 maja 2018 r. Ma ono zharmonizować prawo ochrony danych osobowych w Europie. Rozporządzenie to zastąpi dyrektywę w tym zakresie z 1995 roku.

Wprowadza ono m.in. kary finansowe za wyciek danych osobowych - nawet do 20 mln euro. Unijne przepisy wprowadzają także obowiązek informowania GIODO o wycieku danych osobowych, a jeśli wyciek dotyczy dużej grupy osób albo prowadziłby do zagrożenie prywatności to muszą być również poinformowane osoby, których wyciek dotyczył.