Kto się boi Generalnego Inspektora Ochrony Danych Osobowych ? (10.03.2011r.)
Problematyka ochrony danych osobowych powinna interesować wszystkich przedsiębiorców, którzy gromadzą i przetwarzają dane klientów w celu świadczenia usług o charakterze masowym. Przepisy o ochronie danych osobowych dotyczą zarówno banków, szpitali, hoteli, biur turystycznych, agencji reklamowych, jak i wszelkich podmiotów świadczących usługi elektroniczne, jak sklepy internetowe, aukcje internetowe, pośrednictwo finansowe lub usługowe, portale społecznościowe etc. Do podstawowych obowiązków podmiotów przetwarzających dane osobowe należy zapewnienie środków ochrony zbioru danych osobowych przed ujawnieniem osobom nieuprawnionym lub jego zniszczeniem, umożliwienie osobom których dane są przetwarzane kontroli nad tymi danymi oraz rejestracja zbioru danych osobowych. Środki ochrony zbioru danych osobowych obejmują fizyczne zabezpieczenie zbioru danych, bezpieczeństwo infrastruktury informatycznej i telekomunikacyjnej, narzędzia programowe oraz środki organizacyjne. Co do zasady, każdy podmiot przetwarzający dane osobowe powinien dokonać rejestracji zbioru danych osobowych. Przepisy przewidują jednak kilka istotnych wyłączeń z obowiązku rejestracji zbioru, w szczególności w przypadku zbiorów danych powszechnie dostępnych, danych osób przynależnych do związków wyznaniowych, pacjentów zakładów opieki zdrowotnej oraz gdy dane są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.
Wchodząca w życie 7 marca 2011 r. nowelizacja ustawy o ochronie danych osobowych umożliwi Generalnemu Inspektorowi Danych Osobowych nakładanie grzywny na podmioty uchylające się od wykonania jego decyzji administracyjnych.
Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10 000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50 000 zł, jednak w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50 000 zł w odniesieniu do osób fizycznych oraz 200 000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.
Przypomnijmy, Generalny Inspektor Danych Osobowych (GIODO) jest ustawowym organem powołanym do spraw ochrony danych osobowych. Do podstawowych obowiązków GIODO należy (1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, (2) wydawanie decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych, (3) prowadzenia rejestru zbiorów danych oraz udzielania informacji o zarejestrowanych zbiorach, (4) opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych.
Wskutek nowelizacji ustawy o ochronie danych osobowych uchwalonej 29 października 2010 r. powyższy katalog praw i obowiązków GIODO został rozszerzony o uprawnienia organu egzekucyjnego w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym (art. 12 pkt. 3 UODO). Na tej podstawie GIODO w celu zapewnienia wykonania obowiązków wynikających z wydanych decyzji jest upoważniony do stosowania wobec kontrolowanych podmiotów środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji. Oznacza to, że od 7 marca 2011 r. GIODO na podmioty, które nie będą wykonywały jego decyzji administracyjnych, będzie mógł nakładać wielokrotnie grzywny w celu przymuszenia.
Dodatkowo nowelizacja ustawy daje GIODO możliwość tworzenia zamiejscowych biur, szczególnie w tych rejonach kraju w których stwierdzono bardzo dużo przypadków łamania przepisów o ochronie danych, bądź tam gdzie działa wiele podmiotów przetwarzających różne dane (por. nowy ust. 1a w art. 13 ustawy o ochronie danych osobowych).
Czy przedsiębiorcy zawodowo przetwarzający dane osobowe powinni obawiać się częstych kontroli inspektorów ochrony danych osobowych ? Zwiększenie ilości i częstotliwości kontroli wydaje się być prawdopodobne, gdyż inspektorzy ochrony danych osobowych – podobnie jak urzędnicy skarbowi – będą premiowani za wykryte uchybienia i skuteczność egzekucji decyzji administracyjnych. Grzywna w trybie egzekucji administracyjnej stanowić będzie zatem nowe narzędzie kontrolerów ochrony danych osobowych do dyscyplinowania przedsiębiorców. \
W celu umożliwienia inspektorom skutecznego wykonania czynności kontrolnych do ustawy o ochronie danych osobowych wprowadzono ponadto art. 54a, będący przepisem ustanawiającym sankcję karną grożącą temu, kto inspektorowi udaremnia lub utrudnia wykonywanie czynności kontrolnej. W okolicznościach, o których mowa w tym unormowaniu, winowajca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Warto zauważyć, że dotychczasowe przepisy nie zawierały powołanej wyżej normy karnej, co niejednokrotnie prowadziło do zablokowania postępowania kontrolnego.
Pozytywnie należy odebrać natomiast wprowadzenie bardziej precyzyjnych zasad prowadzenia kontroli przez inspektorów ochrony danych osobowych, którego dotychczas nie było. W nowelizacji pojawił się szczegółowy opis pisemnego upoważnienia, które powinien posiadać każdy przedstawiciel GIODO rozpoczynający kontrolę, a także opisano zakres informacji, które powinny być umieszczone w protokole pokontrolnym.