Ustawa o ochronie danych osobowych zmieniana częściej niż zwykle

Naszym zdaniem

W ostatnim czasie, również na naszym portalu, bardzo dużo mówiło się o projektowanej unijnej reformie przepisów o ochronie danych osobowych oraz nowelizacji polskiej ustawy o ochronie danych osobowych z 1 stycznia 2015 r. modyfikującej pozycję ustrojową administratorów bezpieczeństwa informacji. Mimo, że powyższe zmiany mają faktycznie największe znaczenie dla całego sektora ochrony danych osobowych nie sposób nie wskazać, że rok 2015 oraz 2016 są najbogatszymi jeżeli chodzi o zmiany wprowadzane do ustawy o ochronie danych osobowych – nie licząc nawet wskazanych powyżej. Warto dokonać więc ich krótkiej charakterystyki, zwłaszcza że mają często również bardzo doniosłe znacznie dla całego sektora ochrony danych osobowych.

Immunitet dla Generalnego Inspektora

Jedną, jak się wydaje, z najmniej doniosłych zmian, mającą praktyczne zastosowanie niemal wyłącznie dla Generalnego Inspektora Ochrony Danych Osobowych [dalej: GIODO], jest zmodyfikowanie ustawą z dnia 10 lipca 2015 r. zasad ponoszenia przez niego odpowiedzialności karnej. Nowa treść art. 11 ustawy o ochronie danych osobowych dała GIODO możliwość wyrażenia zgody na pociągnięcie go do odpowiedzialności w sprawach wykroczeń oraz w przypadku ukarania mandatem karnym zaocznym. Prawnym uzasadnieniem zmiany jest odciążenie biura Marszałka Sejmu RP, dotychczas w praktyce informowanego o wszelkich naruszeniach popełnianych przez piastunów organów centralnych. Ma ona jednak również wymiar polityczny, a istnienie analogicznych postanowień w innych ustawach dotychczas służyło budowaniu argumentacji o braku poczuciu sprawiedliwości osób piastujących organy państwowe, z uwagi na brak ich zgody na pociągnięcie do odpowiedzialności.

Ministerstwo Cyfryzacji właściwe dla ODO

Nie sposób również nie wskazać, że ustawa z dnia 22 grudnia 2015 r. zmieniająca działy w administracji rządowej przesądziła, że to minister właściwy do spraw informatyzacji a nie jak dotąd administracji publicznej, będzie uprawniony do wydawania aktów wykonawczych do ustawy o ochronie danych osobowych. To minister właściwy do spraw informatyzacji będzie również uprawniony do prowadzenia współpracy pomiędzy organami i instytucjami unijnymi w sprawach związanych z ochroną danych osobowych, w tym w związku ze wskazaną już unijną reformą przepisów. Powyższa zmiana jest o tyle istotna, że zapewnia personalną ciągłość w „obsługiwaniu” przez administrację rządową spraw związanych z ochroną danych osobowych.

W związku z tym, że doszło do podziału byłego Ministerstwa Administracji i Cyfryzacji na dwa odrębne ministerstwa (i pozostawieniu w znacznej części Ministerstwa Informatyzacji z personelem byłego Ministeria Administracji i Cyfryzacji), sprawy związane z ochroną danych osobowych „obsługiwane” będą przez personel, który dotychczas się tym zajmował (będąc jedynie uprzednio w zasobach Ministerstwa Administracji i Cyfryzacji). Praktyka pokazuje, że powyższe ma niebagatelny wpływ na legislacyjną poprawność wydawanych aktów wykonawczych oraz „obsługiwanych” spraw.

Program 500+

Szczególne znaczenie przywiązać należy również do nowelizacji ustawy o ochronie danych osobowych przewidzianej w ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci. Wskutek zmiany art. 23 powołanej ustawy, podmioty publiczne uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu. Wprowadzono również zmianę do art. 31 ustawy o ochronie danych osobowych poprzez niemal całkowite zwolnienie podmiotów należących do sektora publicznego z obowiązku zawierania umów powierzenia danych osobowych. Nie wdając się w szczegóły oceny prawnej powołanych zmian warto wskazać na trzy zasadnicze kwestie.

Po pierwsze, rozwiązanie przyjęte przez ustawodawcę polskiego stoi w sprzeczności z treścią dyrektywy 95/46, której implementację do polskiego porządku prawnego stanowi ustawa o ochronie danych osobowych. Żadna z norm powołanej dyrektywy nie uprawnia bowiem krajowego ustawodawcy, do tworzenia instytucji tzw. współadministratora danych osobowych. Rozwiązanie takie wprowadzone zostało dopiero do nowego projektowanego rozporządzenia unijnego i ograniczone jest wyłącznie do spółek wchodzących w skład grupy spółek.

Po drugie, rozwiązanie wprowadzone przez ustawodawcę unijnego obniża poziom prawnej ochrony danych przetwarzanych przez sektor publiczny, co może wiązać się z naruszeniem zasady pewności prawa. Sektor publiczny powinien stać w największym stopniu na straży należytego zabezpieczenia danych osobowych.

Po trzecie wreszcie, wprowadzając zwolnienie z obowiązku pisemnego powierzania danych osobowych w sektorze publicznym, ustawodawca unijny nie przewidział żadnych ograniczeń podmiotowych. Brak jest chociażby postanowienia, które uprawniałoby sektor publiczny do odstąpienia od wymogu powierzenia danych, gdy wymaga to nadmiernych nakładów. Można wskazać jedynie, że zwolnienie dotyczyć będzie wyłącznie przekazywania danych między podmiotami, o których mowa w art. 3 ust. 1 [organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych]. Podmioty publiczne zobowiązane więc będą do zawierania takich umów w przypadku, gdy dane przekazywane będą do podmiotu w sektorze prywatnym np. outsourcing kadrowo – płacowy lub hosting serwera.

 Zmiana statutu Biura GIODO

Na zakończenie warto również wskazać, że w dniu 19 listopada 2015 r. wydane zostało rozporządzenie Prezydenta Rzeczpospolitej Polskiej zmieniające rozporządzenie w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych. Do najważniejszych zmian należy w tym zakresie likwidacja Departamentu Rejestracji Zbiorów Danych Osobowych funkcjonującego wewnątrz struktury organizacyjnej Biura GIODO. Departament został zastąpiony Departamentem Rejestracji Administratorów Bezpieczeństwa Informacji i Zbiorów Danych Osobowych. Powyższe jest o tyle istotne, że departament jest faktycznie bezpośrednim adresatem pism rejestracyjnych kierowanych do Biura GIODO i zmiana jego nazwy wpływa na zmianę treści kierowanych do Biura GIODO pism.

Uwzględniając aktualny etap prac legislacyjnych nad ogólnych rozporządzeniem unijnym w sprawie ochrony danych osobowych można przypuszczać, że do czasu wejścia w życie rozporządzenia ustawa o ochronie danych osobowych ulegnie jeszcze kilkakrotnej nowelizacji. Powyższe jest wypadkową z jednej strony dostosowywania ustawy do zmieniającej się rzeczywistości prawnej, a z drugiej podejmowanych stale decyzji politycznych pociągających ze sobą konieczność przetwarzania danych osobowych.

Autor: Tomasz Osiej, radca prawny

About Redakcja 304 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.