Przedstawiony przez Prezydenta Rzeczypospolitej Polskiej projekt ustawy o zmianie ustawy o ochronie danych osobowych

Warszawa, 17 września 2008 r.
SEJM
RZECZYPOSPOLITEJ POLSKIEJ
VI kadencja
Prezes Rady Ministrów

DSPA–140 - 106(9)/08


Pan

Bronisław Komorowski
Marszałek Sejmu
Rzeczypospolitej
Polskiej


Przekazuję przyjęte przez Radę Ministrów stanowisko wobec
prezydenckiego projektu ustawy:

- o zmianie ustawy o ochronie danych
osobowych (druk nr 488).

Jednocześnie informuję, że Rada Ministrów upoważniła Ministra Spraw
Wewnętrznych i Administracji do reprezentowania Rządu w tej sprawie w toku
prac parlamentarnych.



(-) Donald Tusk
Stanowisko Rządu
w sprawie prezydenckiego projektu ustawy o zmianie ustawy o ochronie danych
osobowych (druk nr 488)
Prezydencka propozycja, wyrażona w projekcie ustawy o zmianie ustawy o ochronie
danych osobowych (druk 488), zmierza do zmiany rozwiązań prawnych w zakresie
stosowania sankcji karnych wobec podmiotów naruszających przepisy ustawy. Według
projektodawców konieczność wprowadzenia skutecznego rozwiązania w kwestii
egzekwowania prawa o ochronie danych osobowych wynika z postanowień Dyrektywy
95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób
w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych.
Art. 24 Dyrektywy 95/46/WE obliguje państwa członkowskie do podjęcia działań
zmierzających do zapewnienia pełnej realizacji praw i obowiązków, które zostały w niej
określone, wiążąc jedynie co do celu jaki należy osiągnąć, a pozostawiając swobodę
w wyborze drogi do jego osiągnięcia.
Według uzasadnienia przepisy ustawy w obowiązującym brzmieniu nie przyznają
Generalnemu Inspektorowi Ochrony Danych Osobowych żadnych skutecznych
instrumentów, które służyłyby egzekwowaniu prawa, a także byłyby gwarantem tego,
że administratorzy danych, którzy uporczywie naruszają przepisy ustawy, nie respektując
przy tym praw osób, których dane dotyczą, poniosą konsekwencje działań niezgodnych
z ustawą.
Projekt nowelizacji ustawy o ochronie danych osobowych skierowany przez
Prezydenta RP koncentruje się wokół dwóch zagadnień:
a)
zmiany w systemie sankcji związanych z nieprzestrzeganiem przepisów
o ochronie danych osobowych,
b)
wprowadzenia zmian w poszczególnych instytucjach ustawy o ochronie
danych osobowych wynikających z zebranych dotychczas doświadczeń
w stosowaniu jej przepisów.
Największe zastrzeżenia budzi wprowadzenie rozdziału 7a „Kary pieniężne”. Według
projektodawców obecny system sankcji karnych jest nieefektywny, co uzasadnia
wprowadzenie dodatkowego systemu kar pieniężnych, które mają być nakładane w drodze
decyzji administracyjnej przez Generalnego Inspektora Ochrony Danych Osobowych. Należy
wskazać, że – inaczej, niż podnoszą to autorzy projektu – wprowadzenie systemu kar
pieniężnych nie stanowi wymogu wynikającego z dyrektywy 95/46/WE w sprawie ochrony
osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu
tychże danych. Dyrektywa, wiążąc państwa członkowskie Unii Europejskiej co do celu, jakim
jest należyta ochrona danych osobowych, pozostawia państwom członkowskim wybór
sposobu zapewnienia tejże ochrony. Odróżnić należy środki ochrony administracyjnej (w tym
kary pieniężne nakładane przez krajowe organy danych osobowych) od sankcji karnych.
Na wprowadzenie pierwszego rozwiązania, tj. systemu kar pieniężnych zdecydowały się m.in.
Słowacja, Portugalia, Malta, Holandia, Finlandia, Estonia oraz Czechy. W państwach tych,
nie ustanowiono jednak równoległego systemu sankcji karnych. Proponowane w nowelizacji
ustawy o ochronie danych osobowych rozwiązanie – zgodnie z którym wprowadzony ma być
system (administracyjny) kar pieniężnych, przy jednoczesnym utrzymaniu (a nawet
rozbudowaniu) systemu sankcji karnych – jest więc nie tylko rozwiązaniem skrajnie
niekorzystnym dla administratorów danych, ale również niespotykanym w ustawodawstwach
innych państw Unii Europejskiej.
Jednocześnie projekt zakłada wprowadzenie rozwiązań, które zmuszą zobowiązane
podmioty do realizacji nakazów nałożonych przez Generalnego Inspektora. Jednakże temu
służą środki egzekucyjne dla obowiązków o charakterze niepieniężnym przewidziane
w ustawie o postępowaniu egzekucyjnym w administracji. W szczególności organ
egzekucyjny posiada kompetencję do nałożenia grzywny w celu przymuszenia na warunkach
określonych w art. 119 i nast. ustawy o postępowaniu egzekucyjnym w administracji (Dz. U.
z 2005 r. Nr 229, poz. 1954 z późn. zm.). Prezydencki projekt ustawy tworzy zatem
równoległy do egzekucyjnego mechanizm przymuszenia do wykonania nakazu
administracyjnego. Jednak w projekcie wprost nie wyłączono przepisów o postępowaniu
egzekucyjnym w administracji, co oznacza, ze pomimo nałożenia przez Generalnego
Inspektora kary finansowej na niewykonanie nakazu, dopuszczalne wydaje się niezależne
zastosowanie standardowych środków egzekucyjnych w administracji.
W odniesieniu do regulacji zawartych w art. 48b projektowanej ustawy, który stanowi,
że sąd administracyjny wyznacza rozprawę w terminie przypadającym w ciągu 30 dni od dnia
przekazania odpowiedzi na skargę, należy wskazać, że powyższy przepis nie uwzględnia
wymogów sądowo – administracyjnych. Zgodnie z art. 91 § 1 ustawy z dnia 30 sierpnia
2002r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2002 r. Nr 153, poz.
1270 z późn. zm.), posiedzenia sądowe wyznacza przewodniczący z urzędu, ilekroć wymaga
2
tego stan sprawy. W szczególności wyznaczenie posiedzenia jawnego musi poprzedzać
ustalenie czy skarga spełnia wymogi formalne oraz czy została ona prawidłowo opłacona.
Wyznaczenie terminu posiedzenia nie może być zatem uzależnione od daty wpływu do sądu
odpowiedzi na skargę.
Ponadto należy zwrócić uwagę na nieprecyzyjne sformułowanie zawarte w art. 48b,
w myśl którego możliwe jest wniesienie do sądu administracyjnego skargi od decyzji
o nałożeniu kary pieniężnej, co dodatkowo wstrzymuje wykonanie decyzji. Przepis ten nie
określa bowiem, o jaką decyzję chodzi – czy o decyzję o której mowa w art. 48a ust. 1 (tj.
w przypadku nałożenia kary na podmiot, który nie wykonuje decyzji GIODO wydanej na
podstawie art. 18 ust. 1 lub art. 44 ust. 2), czy też o decyzje, o których mowa w art. 48a ust. 4
i ust. 5. Wobec projektowanego brzmienia art. 48b, istnieje niespójność pomiędzy nim, a art.
48a ust. 1 – jeden z tych przepisów zakłada możliwość wniesienia skargi do sądu
administracyjnego, a drugi – nie przewiduje takiej możliwości.
Wątpliwości budzi dodanie dwóch nowych typów czynów zabronionych związanych
z przetwarzaniem danych osobowych, tj. penalizację przetwarzania danych osobowych
wrażliwych przed zarejestrowaniem zbioru danych oraz niewykonanie obowiązku aktualizacji
zgłoszenia rejestracyjnego. Wydaje się, że nie ma uzasadnienia do powiększania
dotychczasowego zbioru przepisów karnych mających służyć respektowaniu ustawy
o ochronie danych osobowych o kolejne artykuły, skoro jednocześnie zaprzecza się
praktycznej wartości tego rodzaju przepisów dla faktycznej realizacji ochrony danych
osobowych. Ponadto należy wskazać, że nietrafne wydaje się wprowadzenie do ustawy
o ochronie danych osobowych projektowanego przepisu art. 53 ust. 2, bowiem czyn
stypizowany w projektowanym przepisie w obecnym stanie prawnym jest objęty dyspozycją
art. 49 ust. 2 ustawy, z wyjątkiem jedynie danych dotyczących orzeczeń o ukaraniu.
Dodatkowym argumentem może być fakt, iż w dotychczasowej praktyce funkcjonowania
przepisów karnych w ustawie, nie jest znany żaden przypadek skierowania do sądu aktu
oskarżenia z art. 53 ustawy – powstają więc uzasadnione wątpliwości
o skuteczność typu kwalifikowanego tego przestępstwa, tj. przestępstwa przetwarzania
danych osobowych wrażliwych przed zarejestrowaniem zbioru danych.
Biorąc powyższe pod uwagę Rada Ministrów wyraża negatywne stanowisko w kwestii
wprowadzenia rozwiązań zaproponowanych w projekcie prezydenckim i wnosi o odrzucenie
projektu ustawy o zmianie ustawy o ochronie danych osobowych.
3