W związku z opublikowaniem na stronach Ministerstwa Cyfryzacji projektów ustawy o ochronie danych osobowych i przepisów wprowadzających tę ustawę oraz zaproszenia do wzięcia udziału w konsultacjach projektów, wraz z kancelarią Pilch Piotrowski i Partnerzy zwróciliśmy się do Ministerstwa z prośbą o rozważenie w toku dalszych prac pięciu uwag.
Z ich pełną treścią zapoznać można się w załączonym dokumencie, poniżej przedstawiono skrótowe omówienie poruszanych kwestii.
1. Nieprzystający do założeń koszt postępowania o udzielenie certyfikacji
Postępowanie o udzielenie certyfikacji zostało przewidziane w Rozdziale 3 projektu ustawy ochronie danych osobowych. Przyjęto, że jedynym organem uprawnionym do podejmowania działań certyfikacyjnych będzie Prezes Urzędu Ochrony Danych Osobowych zaś samo postępowanie zostało obwarowane opłatą w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego (art. 16 ust. 1 projektu).
Z treści Artykułu 42 RODO wynika natomiast, że państwa członkowskie powinny uwzględniać szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Tymczasem ustalenie opłaty za prowadzenie postępowania certyfikacyjnego na tak wysokim poziomie może faktycznie zamknąć drogę do uzyskania certyfikacji dla podmiotów mikro a przy tym nie znajduje uzasadnienia.
2. Kwestia niezależności prezesa
Artykuł 52 RODO stanowi, że organ nadzorczy podczas wypełniania swoich zadań i wykonywania uprawnień działać powinien w sposób niezależny. Członkowie organu nadzorczego powinni pozostawać wolni od bezpośrednich i pośrednich wpływów zewnętrznych. Jak trafnie wskazano, wielość obowiązków oraz uprawnień Prezesa Urzędu sprawia, że konieczne jest umożliwienie organowi działania poprzez zastępców Prezesa Urzędu. I tak, Prezes Urzędu może wykonywać swoje zadania przy pomocy do trzech zastępców (art. 22 projektu).
Niestety sposób powoływania zastępców Prezesa Urzędu został przeniesiony na zewnątrz. Prawo powołania dwóch zastępców przysługuje Prezesowi Rady Ministrów na wniosek ministra właściwego do spraw informatyzacji zaś jeden zastępca jest obowiązkowo powoływany przez Prezesa Rady Ministrów na wniosek ministra właściwego do spraw wewnętrznych. Tym samym Prezes Urzędu został w zasadzie pozbawiony możliwości kreowania polityki kadrowej wśród swoich najbliższych i najważniejszych współpracowników.
3. Uprawnienia organizacji społecznych
W proponowanym projekcie (art. 45) przewidziano, że organizacja społeczna będzie mogła występować z żądaniem wszczęcia postępowania oraz dopuszczenia jej do udziału w postępowaniu gdy prawa osoby przysługujące na mocy przepisów o ochronie danych osobowych zostaną naruszone. Niestety, jest to całość proponowanych w tym zakresie rozwiązań i konieczne jest odwołanie się do zapisów Kodeksu postępowania administracyjnego, a zwrócić należy uwagę, że tematyka ochrony danych osobowych jest specyficzna. Wydaje się, iż ta specyfika powinna zostać odzwierciedlona także w kwestii uprawnień organizacji społecznych aby uprawnienia organizacji społecznych nie pozostały wyłącznie formalne.
Nie działając na prawach strony, organizacja społeczna nie ma dostępu do akt sprawy. Tym samym nie jest w stanie przygotować swojego stanowiska w sposób rzetelny, bazując na stanie faktycznym ustalonym przez organ. Rodzi to ryzyko, że organizacje społeczne będą opierać swoje stanowiska na niepełnym materiale, na doniesieniach medialnych czy, w rażących przypadkach, na własnych domysłach. Problem ten nie został rozwiany w Kodeksie postępowania administracyjnego a wydaje się, że uzasadnionym jest przyjęcie rozwiązania zbieżnego z art. 635 Kodeksu postępowania cywilnego.
4. Wysokość kary za naruszenia dokonane przez organy administracji publicznej
Zdziwienie budzi przyjęte rozróżnienie pomiędzy podmiotami publicznymi a innymi podmiotami w zakresie wysokości kar, które będą mogły zostać nałożone na podstawie art. 82 i 83 projektu.
Przyjmując ze zrozumieniem argument, że podmioty publiczne są finansowane z budżetu państwa i kara administracyjna w pewnym stopniu traci swój represyjny charakter to ustalenie jej w wysokości 100 000 zł jest rażąco zaniżone. Tak niska górna granica powoduje utratę przez karę administracyjną także aspektu prewencji generalnej oraz może prowadzić do utraty przez społeczeństwo poczucia sprawiedliwości.
Z jednej bowiem strony dla uczestników obrotu gospodarczego przewidziano kary wielomilionowe, z drugiej zaś uznano, że karać podmiotów publicznych tak wysokimi karami nie należy. Wydaje się, iż w tym zakresie konieczna jest modyfikacja zapisów projektu, tym bardziej, że to organy publiczne dysponują często najbardziej wrażliwymi danymi a naruszenia związane z tego rodzaju danymi są zwykle najbardziej dotkliwe.
5. Procedury w zakresie kontroli przez upoważnionych pracowników PUODO
Być może wartym rozważenia jest dodanie w Rozdziale 7 projektu wyraźnego upoważnienia dla ministra właściwego dla spraw wewnętrznych do wydania rozporządzenia, które określiłoby zasady udzielania pomocy kontrolującym przez Policję przy wykonywaniu czynności kontrolnych. Wobec specyfiki kontroli przestrzegania przepisów o ochronie danych osobowych zasadnym byłoby współdziałanie w tym zakresie ministra właściwego dla spraw wewnętrznych z Prezesem Urzędu Ochrony Danych Osobowych.
Pewne wątpliwości budzi także konstrukcja art. 70 ust. 3 projektu, zgodnie z którą pracownik kontrolowanego przesłuchiwany w czasie kontroli w charakterze świadka może odmówić udzielenia informacji lub współdziałania tylko jeśli naraziłoby to jego lub osoby dla niego najbliższe na odpowiedzialność karną.
Mając na uwadze konstrukcję art. 83 Kodeksu postępowania administracyjnego takie rozwiązanie jest niezrozumiałe. Przepis ten przewiduje bowiem relatywnie szerokie prawo do odmowy zeznań jak również odmowy udzielenia odpowiedzi na pytanie. Tymczasem, rozwiązanie przyjęte w projekcie może rodzić niebezpieczeństwo próby ominięcia np. uprawnienia radców prawnych, zatrudnionych na podstawie umowy o pracę, którzy zgodnie z KPA mogą odmówić odpowiedzi na pytania wobec zagrożenia naruszenia obowiązku zachowania prawnie chronionej tajemnicy zawodowej. Stąd też, art. 70 projektu powinien zostać poddany dogłębnej modyfikacji, która w wystarczający sposób wdrożyłaby uprawnienia świadków znane KPA.
Pełna treść przesłanych uwag: pobierz plik.