Projektowane zmiany w postępowaniu kontrolnym

16.10.2017

Rozporządzenie nr 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) już 25 maja 2018 roku w pełni zastąpi dotychczasową Dyrektywę 95/46/WE. Od tego momentu, zasadniczo ten kto będzie przetwarzał dane osobowe osób fizycznych na terytorium Unii Europejskiej – np. każdy pracodawca – będzie musiał spełniać nowe wymogi. Weryfikowane one będą podczas postępowania kontrolnego. Ich niespełnienie będzie groziło nałożeniem bardzo wysokich kar administracyjnych.

Teraz – kontrola GIODO…

Obecnie w Polsce obowiązuje ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (u.o.d.o.). Zgodnie z nią, organem odpowiedzialnym za ochronę danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). To właśnie GIODO przeprowadza postępowanie kontrolne, w ramach którego weryfikuje, czy doszło do naruszenia przepisów z zakresu ochrony danych osobowych.

a od 25 maja 2018 – kontrola PUODO?

W związku z przyjęciem RODO, dnia 12 września 2017 roku Ministerstwo Cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych (Projekt). Co prawda jest to dopiero wstępny projekt, ale zasadniczo nakreślono kierunek przyszłych zmian. A tych ostatnich nie brakuje. W kontekście postępowania kontrolnego, warto wskazać na:
a) zmianę organu odpowiedzialnego za ochronę danych osobowych. GIODO ma zostać zastąpiony przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO);
b) zmianę przyczyn, z uwagi na które podejmowane będzie postępowanie kontrolne;
c) rozszerzenie katalogu osób kontrolujących;
d) nadanie nowych uprawnień kontrolerom;
e) nowe postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych.
Istotnym narzędziem w rękach nowego organu będzie możliwość nakładania wielomilionowych kar administracyjnych – przewidzianych w RODO.

Przykładowe zmiany w projektowanym postępowaniu kontrolnym

Zgodnie z Projektem nowej ustawy, postępowania kontrolne PUODO będą prowadzone w oparciu o: plan kontroli; uzyskane informacje lub przeprowadzone analizy.
Z uwagi na to, że przepisy o ochronie danych osobowych nie regulują kompleksowo procedury kontrolnej, posiłkowo zastosowanie znajduje rozdział 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (u.s.d.g.). W Projekcie nowej ustawy wprost wyłączono stosowanie niektórych regulacji z u.s.d.g. Przez to, przyszły PUODO będzie mógł:
a) przeprowadzić kontrolę, nie zawiadamiając o niej wcześniej kontrolowanego;
b) przeprowadzać kontrolę u kontrolowanego, nawet jeżeli w tym samym czasie u kontrolowanego będzie przeprowadzana inna kontrola (np. Państwowej Inspekcji Pracy);
c) prowadzić kontrolę, nawet jeżeli zostanie przekroczona maksymalna liczba dni w roku, podczas których przedsiębiorca mógłby być kontrolowany.

Projekt nowej ustawy przewiduje też rozszerzenie katalogu osób, upoważnionych do przeprowadzenia kontroli. Kontrolę oprócz krajowych kontrolerów, będą też mogli przeprowadzić kontrolerzy organu nadzorczego odpowiedzialnego za ochronę danych osobowych z innego państwa unijnego, ale tylko w przypadku tzw. wspólnych operacji organów nadzorczych. Innymi słowy, w przyszłości przedsiębiorca będzie mógł być kontrolowany nie tylko przez polskiego kontrolera, ale także przez jego odpowiednika np. z Czech lub Niemiec.

Zakres uprawnień kontrolerów też ma ulec rozszerzeniu. Warto wskazać chociażby na wprowadzenie możliwości korzystania przez kontrolera z pomocy funkcjonariuszy innych organów kontroli państwowej oraz Policji. Co więcej, kontroler będzie mógł wydawać polecenia towarzyszącym mu funkcjonariuszom. Dodatkowo, w uzasadnionych przypadkach, czynności kontrolne będą mogły być utrwalane przy pomocy urządzeń rejestrujących obraz.

Protokół kontroli – kluczowy moment

W Projekcie porzucono możliwość przedstawienia swojego stanowiska do GIODO w terminie 7 dni, w przypadku odmowy podpisania protokołu. W przyszłości, kontrolowanemu ma być przedstawiany protokół, do którego w ciągu 7 dni będzie mógł złożyć pisemnie swoje zastrzeżenia. Jeżeli kontrolowany tego nie uczyni, straci możliwość składania zastrzeżeń. Jeżeli kontrolowany odmówi podpisania protokołu, kontroler będzie czynił wzmiankę o odmowie podpisania protokołu, a sam protokół będzie przekazywany dalej do PUODO.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

W przypadku niedochowania zasad ochrony danych osobowych, PUODO będzie przeprowadzał tzw. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. W ramach takiego postępowania PUODO będzie wydawał decyzję w której będzie mógł:
a) udzielić upomnienia, jeżeli waga naruszenia przepisów o ochronie danych osobowych będzie znikoma, a strona zaprzestała naruszeń;
b) nałożyć w drodze decyzji, karę pieniężną – określoną w przepisach RODO.

Możliwość nakładania administracyjnych kar pieniężnych została przewidziana wprost w RODO. Ich wysokość – w porównaniu do obecnych kwot – jest nieporównywalnie wyższa. W zależności bowiem od rodzaju naruszenia, kary będą mogły sięgać nawet 20 milionów euro lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa. Na decyzję nakładającą wspomnianą karę będzie przysługiwała skarga do sądu administracyjnego.

Już teraz warto przygotować się do przyszłej kontroli

Ze względu między innymi na wspomniane wysokie pieniężne kary administracyjne, podmioty przetwarzające dane osobowe osób fizycznych powinny podjąć odpowiednie działania w zakresie zabezpieczenia procesów przetwarzania tych danych. Opisane w artykule zmiany z zakresu postępowania kontrolnego są tylko niektórymi zmianami, do jakich dojdzie w wyniku stosowania RODO oraz nowej ustawy o ochronie danych osobowych. Ostateczny projekt ustawy nie jest jeszcze znany, ale i tak należy spodziewać się gruntownych zmian.

 

Przemysław Rogiński, Prawnik Rödl & Partner, Gdańsk