Przedstawiony przez Prezydenta Rzeczypospolitej Polskiej projekt ustawy o zmianie ustawy o ochronie danych osobowych
projekt ustawy dotyczy: poprawy wykonalności rozwiązań w zakresie stosowania sankcji karnych wobec podmiotów naruszających przepisy ustawy o ochronie danych osobowych
- Kadencja sejmu: 6
- Nr druku: 488
- Data wpłynięcia: 2007-12-21
- Uchwalenie: Projekt uchwalony
- tytuł: o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw
- data uchwalenia: 2010-10-29
- adres publikacyjny: Dz.U. Nr 229, poz. 1497
488
UZASADNIENIE
Ponad dziewięcioletni okres obowiązywania ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (zwanej dalej „ustawą”) wskazuje na
potrzebę wprowadzenia kolejnych zmian mających na celu zagwarantowanie
skuteczniejszej niż dotychczas ochrony danych osobowych. Podstawowym
celem przedkładanego projektu jest zmiana – jak wskazuje doświadczenie mało
efektywnych – rozwiązań przyjętych w zakresie stosowania sankcji karnych
wobec podmiotów naruszających przepisy ustawy. Konieczność wprowadzenia
skutecznego rozwiązania w kwestii egzekwowania prawa o ochronie danych
osobowych wynika z postanowień Dyrektywy 95/46/WE Parlamentu
Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób w związku
z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych
(zwanej dalej „Dyrektywą 95/46/WE”), na której polska ustawa – w momencie
jej tworzenia – była wzorowana. Art. 24 Dyrektywy 95/46/WE obliguje państwa
członkowskie do podjęcia działań zmierzających do zapewnienia pełnej
realizacji praw i obowiązków, które zostały w niej określone, wiążąc jedynie co
do celu jaki należy osiągnąć, a pozostawiając swobodę w wyborze drogi do jego
osiągnięcia. W 1997 r. wydawało się, że przyjęte wówczas przepisy o
odpowiedzialności karnej za naruszenie zasad określonych w ustawie o ochronie
danych osobowych okażą się wystarczające w egzekwowaniu prawa, w związku
z czym uznano, iż wprowadzenie innych sankcji nie jest konieczne. Stosowanie
ustawy w praktyce oraz zdobyte doświadczenie wskazują jednak na niską
skuteczność rozwiązań prawnokarnej ochrony danych osobowych. Przepisy
ustawy w obowiązującym brzmieniu nie przyznają Generalnemu Inspektorowi
Ochrony Danych Osobowych żadnych skutecznych instrumentów, które – po
pierwsze – służyłyby egzekwowaniu prawa, po drugie zaś, byłyby gwarantem
tego, że administratorzy danych, którzy uporczywie naruszają przepisy ustawy,
nie respektując przy tym praw osób, których dane dotyczą, poniosą
konsekwencje działań niezgodnych z ustawą.
2
Jednocześnie projekt nowelizacji ustawy o ochronie danych osobowych
ma na celu wprowadzenie także innych zmian, podyktowanych
doświadczeniami wynikającymi ze stosowania jej przepisów.
W art. 7 pkt 5 doprecyzowano definicję „zgody osoby, której dane
dotyczą” na ich przetwarzanie, dodając, iż zgoda ta może być w każdym czasie
odwołana. Dotychczas kwestia możliwości odwołania (cofnięcia) zgody była
dyskusyjna. W literaturze przedmiotu, na gruncie obecnego brzmienia definicji
„zgody”, spotkać można argumenty zarówno dopuszczające jej odwołalność, jak
i przemawiające przeciwko takiemu rozwiązaniu. Proponowana zmiana
rozstrzyga tę kwestię w sposób nie budzący wątpliwości, to jest dopuszcza
odwołanie zgody. Rozwiązanie dopuszczające odwołalność raz udzielonej
zgody funkcjonuje już w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług
drogą elektroniczną.
Z uwagi na zwiększenie zakresu zadań Generalnego Inspektora Ochrony
Danych Osobowych, wynikającego z niniejszej nowelizacji (np. prawo
nakładania kar pieniężnych, występowania z wnioskami o podjęcie inicjatywy
ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach
dotyczących ochrony danych osobowych), ale przede wszystkim ze względu na
ich wagę, konieczne jest, aby osoba powoływana na stanowisko Zastępcy
Generalnego Inspektora posiadała wyższe wykształcenie prawnicze. Stąd też
proponowana zmiana w art. 12a ust. 3 ustawy o ochronie danych osobowych.
W art. 13 przewidziano możliwość tworzenia w uzasadnionych
przypadkach jednostek zamiejscowych Biura Generalnego Inspektora. Celem
proponowanej zmiany jest zapewnienie obywatelom łatwiejszego dostępu do
organu stojącego na straży zgodnego z prawem posługiwania się dotyczącymi
ich informacjami. Proponowane rozwiązanie umożliwi Generalnemu
Inspektorowi pełniejszą realizację jego ustawowych zadań w zakresie kontroli
zgodności przetwarzania danych osobowych z przepisami statuującymi ich
3
ochronę. Analogicznym uprawnieniem na gruncie obowiązujących aktów
prawnych dysponuje np. Rzecznik Praw Obywatelskich (art. 22 ustawy z dnia
15 lipca 1987 r. o Rzeczniku Praw Obywatelskich). Tworzenie terenowych
delegatur przewidują również przepisy ustawy z dnia 23 grudnia 1994 r.
o Najwyższej Izbie Kontroli oraz ustawy z dnia 15 grudnia 2000 r. o ochronie
konkurencji i konsumentów.
Kolejna zmiana polegająca na dodaniu art. 19a ma na celu wyposażenie
Generalnego Inspektora Ochrony Danych Osobowych w prawo:
- kierowania do organów państwowych, organów samorządu terytorialnego,
państwowych i komunalnych jednostek organizacyjnych, podmiotów
niepublicznych realizujących zadania publiczne, osób fizycznych
i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz
innych podmiotów wystąpień zmierzających do zapewnienia skutecznej
ochrony danych osobowych,
- występowania do właściwych organów z wnioskami o podjęcie inicjatywy
ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach
dotyczących ochrony danych osobowych,
oraz zobligowanie adresatów takich wystąpień i wniosków do zajęcia
stanowiska w sprawie w ściśle określonym terminie. Ustawa o ochronie danych
osobowych w dotychczasowym brzmieniu nie przyznawała Generalnemu
Inspektorowi takich uprawnień, pomimo tego że analogicznymi uprawnieniami
dysponuje – w sprawach objętych zakresem ich działania – szereg podmiotów,
np. Rzecznik Praw Obywatelskich (art. 16 ustawy o Rzeczniku Praw
Obywatelskich), Rzecznik Praw Dziecka (art. 11 ustawy z dnia 6 stycznia
2000 r. o Rzeczniku Praw Dziecka), czy Rzecznik Ubezpieczonych
(art. 20 ustawy z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym
i emerytalnym oraz Rzeczniku Ubezpieczonych).
4
W projektowanej nowelizacji proponuje się również uchylenie art. 29
ustawy. Celem zmiany jest dostosowanie przepisów ustawy do przepisów prawa
UE. Komisja Europejska odnosząc się do treści art. 29 podkreślała, że
zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu
utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie
potrzeby posiadania danych osobowych nie powinno stanowić samoistnej
przesłanki udostępnienia danych osobie trzeciej. Uchylenie art. 29 ma również
charakter porządkujący. Nieuzasadnione było poddanie odrębnemu reżimowi
wyłącznie procesu udostępniania danych osobowych w celach innych niż
włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady – określone w art.
23 ust. 1 i art. 27 ust. 2 ustawy – regulujące legalność przetwarzania, a zatem
również udostępniania danych.
Porządkujący charakter ma również zmiana zaproponowana w
odniesieniu do art. 33 ust. 1 ustawy. Polega ona na skreśleniu enumeratywnie
wymienionego katalogu informacji dotyczących okoliczności przetwarzania
danych, jakie administrator danych obowiązany jest udzielić na wniosek
podmiotu, którego dane te dotyczą. Katalog ten pokrywał się bowiem z tym, jaki
wymieniony jest w art. 32 ust. 1 pkt 1-5a, do którego odwołuje się art. 33 ust. 1.
Kolejna zmiana o charakterze porządkowym dotyczy art. 41 ust. 1 pkt 2
ustawy i ma na celu skonkretyzowanie podmiotu zobowiązanego do zgłoszenia
zbioru danych do rejestracji oraz doprecyzowanie i usystematyzowanie
wymaganych informacji objętych zgłoszeniem zbioru danych do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych. Obecna treść
powyższego przepisu, w którym występuje pojęcie „podmiot prowadzący
zbiór”, oznaczające w istocie administratora danych, w praktyce budzić może
wątpliwości. Ponadto, w całej ustawie pojęcie to występuje wyłącznie w
zmienianym przepisie. Niezbędne jest zatem ujednolicenie nazewnictwa. Jest to
tym bardziej uzasadnione, że ustawa w tym samym przepisie (art. 41 ust. 2), dla
5
określenia tego samego podmiotu, posługuje się pojęciem „administrator
danych”.
Zmiana polegająca na dodaniu w art. 41 ust. 1 pkt 2 ustawy obowiązku
zamieszczenia w formularzu zgłoszenia informacji dotyczących podmiotu,
któremu administrator, w drodze umowy określonej w art. 31 ustawy, powierzył
przetwarzanie danych, ma na celu ujednolicenie przepisów ustawy oraz
formularza zgłoszenia do rejestracji zbioru danych osobowych. W obecnym
stanie prawnym, administrator danych w pkt 3 części B formularza zgłoszenia,
stanowiącego załącznik do rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru
danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych,
zobowiązany jest do podania powyższych informacji. W art. 41 ust. 1 ustawy,
określającym katalog informacji, które administrator danych zobowiązany jest
wskazać zgłaszając zbiór danych do rejestracji, brak jest powyższego elementu
formularza zgłoszenia.
Dodanie w art. 41 ustawy ust. 3 i 4 ma na celu podkreślenie, że w
przypadku danych szczególnie chronionych, o których mowa w jej art. 27 ust. 1,
administrator danych ma obowiązek zgłosić zmianę w zbiorze przed
dokonaniem tej zmiany. Konsekwencję dodania ww. przepisów stanowi zmiana
brzmienia art. 41 ust. 2 ustawy.
Projektowana nowelizacja zawiera istotne zmiany w zakresie sankcji za
nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Po rozdziale
7 dodano nowy rozdział 7a zatytułowany „Kary pieniężne”. Dotychczasowe
doświadczenia organu ds. ochrony danych osobowych, zdobyte w trakcie
kilkuletniego obowiązywania ustawy o ochronie danych osobowych wskazują
na niską skuteczność norm przewidujących odpowiedzialność za działania
podejmowane wbrew zasadom przewidzianym w jej przepisach. Brak
efektywnego instrumentu w walce z nierzetelnymi administratorami danych oraz
Ponad dziewięcioletni okres obowiązywania ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (zwanej dalej „ustawą”) wskazuje na
potrzebę wprowadzenia kolejnych zmian mających na celu zagwarantowanie
skuteczniejszej niż dotychczas ochrony danych osobowych. Podstawowym
celem przedkładanego projektu jest zmiana – jak wskazuje doświadczenie mało
efektywnych – rozwiązań przyjętych w zakresie stosowania sankcji karnych
wobec podmiotów naruszających przepisy ustawy. Konieczność wprowadzenia
skutecznego rozwiązania w kwestii egzekwowania prawa o ochronie danych
osobowych wynika z postanowień Dyrektywy 95/46/WE Parlamentu
Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób w związku
z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych
(zwanej dalej „Dyrektywą 95/46/WE”), na której polska ustawa – w momencie
jej tworzenia – była wzorowana. Art. 24 Dyrektywy 95/46/WE obliguje państwa
członkowskie do podjęcia działań zmierzających do zapewnienia pełnej
realizacji praw i obowiązków, które zostały w niej określone, wiążąc jedynie co
do celu jaki należy osiągnąć, a pozostawiając swobodę w wyborze drogi do jego
osiągnięcia. W 1997 r. wydawało się, że przyjęte wówczas przepisy o
odpowiedzialności karnej za naruszenie zasad określonych w ustawie o ochronie
danych osobowych okażą się wystarczające w egzekwowaniu prawa, w związku
z czym uznano, iż wprowadzenie innych sankcji nie jest konieczne. Stosowanie
ustawy w praktyce oraz zdobyte doświadczenie wskazują jednak na niską
skuteczność rozwiązań prawnokarnej ochrony danych osobowych. Przepisy
ustawy w obowiązującym brzmieniu nie przyznają Generalnemu Inspektorowi
Ochrony Danych Osobowych żadnych skutecznych instrumentów, które – po
pierwsze – służyłyby egzekwowaniu prawa, po drugie zaś, byłyby gwarantem
tego, że administratorzy danych, którzy uporczywie naruszają przepisy ustawy,
nie respektując przy tym praw osób, których dane dotyczą, poniosą
konsekwencje działań niezgodnych z ustawą.
2
Jednocześnie projekt nowelizacji ustawy o ochronie danych osobowych
ma na celu wprowadzenie także innych zmian, podyktowanych
doświadczeniami wynikającymi ze stosowania jej przepisów.
W art. 7 pkt 5 doprecyzowano definicję „zgody osoby, której dane
dotyczą” na ich przetwarzanie, dodając, iż zgoda ta może być w każdym czasie
odwołana. Dotychczas kwestia możliwości odwołania (cofnięcia) zgody była
dyskusyjna. W literaturze przedmiotu, na gruncie obecnego brzmienia definicji
„zgody”, spotkać można argumenty zarówno dopuszczające jej odwołalność, jak
i przemawiające przeciwko takiemu rozwiązaniu. Proponowana zmiana
rozstrzyga tę kwestię w sposób nie budzący wątpliwości, to jest dopuszcza
odwołanie zgody. Rozwiązanie dopuszczające odwołalność raz udzielonej
zgody funkcjonuje już w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług
drogą elektroniczną.
Z uwagi na zwiększenie zakresu zadań Generalnego Inspektora Ochrony
Danych Osobowych, wynikającego z niniejszej nowelizacji (np. prawo
nakładania kar pieniężnych, występowania z wnioskami o podjęcie inicjatywy
ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach
dotyczących ochrony danych osobowych), ale przede wszystkim ze względu na
ich wagę, konieczne jest, aby osoba powoływana na stanowisko Zastępcy
Generalnego Inspektora posiadała wyższe wykształcenie prawnicze. Stąd też
proponowana zmiana w art. 12a ust. 3 ustawy o ochronie danych osobowych.
W art. 13 przewidziano możliwość tworzenia w uzasadnionych
przypadkach jednostek zamiejscowych Biura Generalnego Inspektora. Celem
proponowanej zmiany jest zapewnienie obywatelom łatwiejszego dostępu do
organu stojącego na straży zgodnego z prawem posługiwania się dotyczącymi
ich informacjami. Proponowane rozwiązanie umożliwi Generalnemu
Inspektorowi pełniejszą realizację jego ustawowych zadań w zakresie kontroli
zgodności przetwarzania danych osobowych z przepisami statuującymi ich
3
ochronę. Analogicznym uprawnieniem na gruncie obowiązujących aktów
prawnych dysponuje np. Rzecznik Praw Obywatelskich (art. 22 ustawy z dnia
15 lipca 1987 r. o Rzeczniku Praw Obywatelskich). Tworzenie terenowych
delegatur przewidują również przepisy ustawy z dnia 23 grudnia 1994 r.
o Najwyższej Izbie Kontroli oraz ustawy z dnia 15 grudnia 2000 r. o ochronie
konkurencji i konsumentów.
Kolejna zmiana polegająca na dodaniu art. 19a ma na celu wyposażenie
Generalnego Inspektora Ochrony Danych Osobowych w prawo:
- kierowania do organów państwowych, organów samorządu terytorialnego,
państwowych i komunalnych jednostek organizacyjnych, podmiotów
niepublicznych realizujących zadania publiczne, osób fizycznych
i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz
innych podmiotów wystąpień zmierzających do zapewnienia skutecznej
ochrony danych osobowych,
- występowania do właściwych organów z wnioskami o podjęcie inicjatywy
ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach
dotyczących ochrony danych osobowych,
oraz zobligowanie adresatów takich wystąpień i wniosków do zajęcia
stanowiska w sprawie w ściśle określonym terminie. Ustawa o ochronie danych
osobowych w dotychczasowym brzmieniu nie przyznawała Generalnemu
Inspektorowi takich uprawnień, pomimo tego że analogicznymi uprawnieniami
dysponuje – w sprawach objętych zakresem ich działania – szereg podmiotów,
np. Rzecznik Praw Obywatelskich (art. 16 ustawy o Rzeczniku Praw
Obywatelskich), Rzecznik Praw Dziecka (art. 11 ustawy z dnia 6 stycznia
2000 r. o Rzeczniku Praw Dziecka), czy Rzecznik Ubezpieczonych
(art. 20 ustawy z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym
i emerytalnym oraz Rzeczniku Ubezpieczonych).
4
W projektowanej nowelizacji proponuje się również uchylenie art. 29
ustawy. Celem zmiany jest dostosowanie przepisów ustawy do przepisów prawa
UE. Komisja Europejska odnosząc się do treści art. 29 podkreślała, że
zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu
utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie
potrzeby posiadania danych osobowych nie powinno stanowić samoistnej
przesłanki udostępnienia danych osobie trzeciej. Uchylenie art. 29 ma również
charakter porządkujący. Nieuzasadnione było poddanie odrębnemu reżimowi
wyłącznie procesu udostępniania danych osobowych w celach innych niż
włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady – określone w art.
23 ust. 1 i art. 27 ust. 2 ustawy – regulujące legalność przetwarzania, a zatem
również udostępniania danych.
Porządkujący charakter ma również zmiana zaproponowana w
odniesieniu do art. 33 ust. 1 ustawy. Polega ona na skreśleniu enumeratywnie
wymienionego katalogu informacji dotyczących okoliczności przetwarzania
danych, jakie administrator danych obowiązany jest udzielić na wniosek
podmiotu, którego dane te dotyczą. Katalog ten pokrywał się bowiem z tym, jaki
wymieniony jest w art. 32 ust. 1 pkt 1-5a, do którego odwołuje się art. 33 ust. 1.
Kolejna zmiana o charakterze porządkowym dotyczy art. 41 ust. 1 pkt 2
ustawy i ma na celu skonkretyzowanie podmiotu zobowiązanego do zgłoszenia
zbioru danych do rejestracji oraz doprecyzowanie i usystematyzowanie
wymaganych informacji objętych zgłoszeniem zbioru danych do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych. Obecna treść
powyższego przepisu, w którym występuje pojęcie „podmiot prowadzący
zbiór”, oznaczające w istocie administratora danych, w praktyce budzić może
wątpliwości. Ponadto, w całej ustawie pojęcie to występuje wyłącznie w
zmienianym przepisie. Niezbędne jest zatem ujednolicenie nazewnictwa. Jest to
tym bardziej uzasadnione, że ustawa w tym samym przepisie (art. 41 ust. 2), dla
5
określenia tego samego podmiotu, posługuje się pojęciem „administrator
danych”.
Zmiana polegająca na dodaniu w art. 41 ust. 1 pkt 2 ustawy obowiązku
zamieszczenia w formularzu zgłoszenia informacji dotyczących podmiotu,
któremu administrator, w drodze umowy określonej w art. 31 ustawy, powierzył
przetwarzanie danych, ma na celu ujednolicenie przepisów ustawy oraz
formularza zgłoszenia do rejestracji zbioru danych osobowych. W obecnym
stanie prawnym, administrator danych w pkt 3 części B formularza zgłoszenia,
stanowiącego załącznik do rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru
danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych,
zobowiązany jest do podania powyższych informacji. W art. 41 ust. 1 ustawy,
określającym katalog informacji, które administrator danych zobowiązany jest
wskazać zgłaszając zbiór danych do rejestracji, brak jest powyższego elementu
formularza zgłoszenia.
Dodanie w art. 41 ustawy ust. 3 i 4 ma na celu podkreślenie, że w
przypadku danych szczególnie chronionych, o których mowa w jej art. 27 ust. 1,
administrator danych ma obowiązek zgłosić zmianę w zbiorze przed
dokonaniem tej zmiany. Konsekwencję dodania ww. przepisów stanowi zmiana
brzmienia art. 41 ust. 2 ustawy.
Projektowana nowelizacja zawiera istotne zmiany w zakresie sankcji za
nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Po rozdziale
7 dodano nowy rozdział 7a zatytułowany „Kary pieniężne”. Dotychczasowe
doświadczenia organu ds. ochrony danych osobowych, zdobyte w trakcie
kilkuletniego obowiązywania ustawy o ochronie danych osobowych wskazują
na niską skuteczność norm przewidujących odpowiedzialność za działania
podejmowane wbrew zasadom przewidzianym w jej przepisach. Brak
efektywnego instrumentu w walce z nierzetelnymi administratorami danych oraz
Dokumenty związane z tym projektem:
-
488
› Pobierz plik
-
488-002
› Pobierz plik
-
488-001
› Pobierz plik
-
488-s
› Pobierz plik
-
488-sII
› Pobierz plik
Projekty ustaw
![Budownictwo mieszkaniowe I-III 2024: o 55,8% więcej rozpoczętych budów [© Fotoksa - Fotolia.com]](https://s3.egospodarka.pl/grafika2/budownictwo/Budownictwo-mieszkaniowe-I-III-2024-o-55-8-wiecej-rozpoczetych-budow-259294-50x33crop.jpg "Budownictwo mieszkaniowe I-III 2024: o 55,8% więcej rozpoczętych budów [© Fotoksa - Fotolia.com]")
Budownictwo mieszkaniowe I-III 2024: o 55,8% więcej rozpoczętych budów
