kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Latest Posts

Udostępnianie danych w świetle nowelizacji ustawy o ochronie danych osobowych z dnia 29.10.2010 r.

Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie w dniu 7 marca 2011 r. wprowadziła kilka istotnych zmian w ustawie. Kwestii, która uległa zmianie a której chciałabym poświęcić ten wpis jest udostępnianie danych osobowych osobom innym niż osoba, której dane dotyczą. Z OchrDanOsobU zostały usunięte dwa artykuły, które dotychczas tę problematykę regulowały. Uzasadnieniem dla tej zmiany była potrzeba synchronizacji z przepisami unijnymi, w ramach której wykreślono art 29 i 30 OchrDanOsobU. Na skutek powyższej zmiany pojawiły się nawet stanowiska, iż obecnie udostępnianie danych możliwie jest jedynie na podstawie przepisów szczególnych, które takie udostępnianie dopuszczają. Jest to jednak pogląd nieuprawniony i nie znajdujący uzasadnienia w obecnie obowiązującej OchrDanOsobU.

Okazuje się bowiem, iż na gruncie art. 23 OchrDanOsobU znajdujemy więcej przesłanek uzasadniających takie udostępnienie niż na gruncie poprzedniego stanu prawnego, gdzie usunięte przepisy pozwalały na udostępnianie właściwie w dwóch przypadkach a mianowicie, gdy wynikało to z przepisów prawa oraz, gdy potrzeba posiadania danych była wiarygodnie uzasadniona. Nowelizacja zmodyfikowała przede wszystkim przesłanki fakultatywnego udostępniania danych. Podstawę żądania udostępnienia danych w tym trybie stanowi klauzula usprawiedliwionego celu to znaczy, że udostępnienie danych jest dopuszczalne, o ile jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych albo odbiorców danych a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”.

Przesłanka wymogu wiarygodnego uzasadnienia potrzeby posiadania danych przez osobę zainteresowaną została zastąpiona w aktualnym stanie prawnym, warunkiem niezbędności udostępnienia dla realizacji usprawiedliwionych celów administratora danych albo odbiorcy. Dotychczas analizowano sytuację odbiorcy danych, obecnie dla dopuszczalności udostępnienia będzie stwierdzenie przesłanki usprawiedliwionego celu po stronie administratora udostępniającego dane.

Różnice pomiędzy aktualnym i dawnym stanem prawnym rysują się tez na gruncie zakresu pojęć i tak wcześniejsza „potrzeba posiadania danych” rozumiana była jako wszelkie interesy wnioskodawcy, które można uznać za prawnie uzasadnione. Natomiast przy wykładni klauzuli usprawiedliwionego celu przyjmuje się, że cel przetwarzania danych musi być usprawiedliwiony prowadzoną działalnością administratora danych lub odbiorcy. Takie rozumienie tej przesłanki „prowadzenia działalności” może utrudnić ubieganie się o udostępnienie danych tym odbiorcom, którzy działalności nie prowadzą.

W ramach nowelizacji OchrDanOsobU zniknęła procedura związana z procesem udostępniania danych i w tym zakresie wymóg złożenia wniosku na piśmie ze wskazaniem zakresu i przeznaczenia żądanych danych jak również wymóg uzasadnienia takiego żądania. Aktualnie brak jest adekwatnych uregulowań, co wydaje się być negatywne. Jednakże, w praktyce wydaje się oczywiste, iż dla celów dowodowych, szczególnie po stronie administratorów udostępniających dane zobowiązanych do czuwania nad tym, aby przetwarzanie danych odbywało się zgodnie z prawem, zasada pisemności w dalszym ciągu pozostanie nieodzowna.

Postępowanie o udostępnienie danych, również po nowelizacji jest dwuetapowe to znaczy w pierwszej kolejności wniosek należy złożyć do administratora danych, który w oparciu o przepisu OchrDanOsobU rozpatruje wniosek a następnie w drugim etapie osoba niezadowolona z rozstrzygnięć administratora danych może dochodzić swoich praw przed GIODO w trybie postępowania administracyjnego.

To tylko niektóre zmiany wprowadzone ostatnią nowelizacją, czas pokaże jak w praktyce nowe rozwiązania będą się sprawdzały i czy wynikną na tle ich stosowania jakieś głębsze zagadnienia prawne.

Grzywna w celu przymuszenia

Począwszy od marca 2011 r. GIODO uzyskał status organu egzekucyjnego, co oznacza, iż posiada obecnie środki prawne, aby skutecznie egzekwować wydawane przez siebie decyzje.
Przez kilkanaście lat obowiązywania przepisów ustawy o ochronie danych osobowych Generalny Inspektor nie miał tego rodzaju uprawnień, a co za tym idzie, nie mógł doprowadzać do przymusowego wykonania obowiązków (nakazów) nałożonych w wydanych przez siebie decyzjach.

Typowym środkiem, który może być obecnie stosowany przez Generalnego Inspektora w celu egzekwowania wydanych przez siebie decyzji, jest grzywna w celu przymuszenia.

Grzywna w celu przymuszenia może być nakładana kilkakrotnie, przy czym każdorazowo nałożona grzywna nie może przekraczać 10 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 50 tys. zł, natomiast grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć 50 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 200 tys. zł.

Tags: GIODO kontrola, ochrona danych osobowych

GIODO sprawdzi jak przetwarzasz dane

Mimo, że ustawa o ochronie danych osobowych obowiązuje już kilkanaście lat myślę, że nawet obecnie, niektórzy przedsiębiorcy nie do końca zdają sobie sprawę, że ich również może ona dotyczyć. W tym artykule chciałabym poruszyć kwestię kontroli przedsiębiorcy przez inspektorów Głównego Inspektora Ochrony Danych Osobowych.

 W czasach obecnych trudno wyobrazić mi sobie przedsiębiorcę, którego regulacja dotycząca ochrony danych osobowych by nie dotyczyła, a to z prostego powodu, iż budowanie przez przedsiębiorców baz klientów, stałe pozyskiwania klientów lojalnych stało się normą w działalności większości przedsiębiorców, co powoduje, iż zbieranie i przetwarzanie tychże danych osobowych jest dla w/w celów konieczne, a więc w efekcie przedsiębiorcy wchodzą w krąg podmiotów objętych zakresem kontroli GIODO.

GIODO kontroluje przestrzeganie przepisów ochrony danych osobowych w zakresie przetwarzania i zabezpieczenia danych. Kontrole odbywają się w sposób wcześniej zapowiedziany i przeprowadzane są przez inspektorów, którzy z ramienia GIODO wyposażeni są w specjalnej upoważnienie imienne do przeprowadzenia danej kontroli. Każdy inspektor powinien wylegitymować się stosowną legitymacją służbową inspektora biura GIODO. Inspektor w zakresie swojego upoważnienia ma szerokie kompetencje i uprawnienia władcze, gdyż może żądać od każdej osoby, która ma wiedzę złożenia stosownych wyjaśnień, przedstawienie dokumentacji, której opracowanie jest obowiązkowe tj. polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz ewidencji osób upoważnionych do przetwarzania danych.

Poszczególne czynności kontrolne są dokumentowane w protokole kontroli oraz załącznikach.

W wyniku przeprowadzonej kontroli Generalny Inspektor wydaje decyzję: nakazujące przywrócenie stanu zgodnego z prawem, jeżeli stwierdzi naruszenie przepisów o ochronie danych osobowych, umarzające postępowanie, jeśli w toku kontroli kontrolowany usunął uchybienia i postępowanie takie stało się bezprzedmiotowe.

Co istotne w wyniku przeprowadzonej kontroli może zostać skierowane zawiadomienie o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw w stosunku do osoby fizycznej, której można postawić zarzut w zakresie stwierdzonych w toku kontroli uchybień. Jest to o tyle groźne, iż konkretna osoba fizyczna na przykład kierownik firmy lub inna, wyznaczona do zadań ochrony danych w firmie, osoba może zostać w następstwie takiej kontroli pociągnięta do odpowiedzialności karnej, osobistej.

Jeszcze słów kilka o nowościach, które, w omawianym zakresie, zostały wprowadzone przez nowelizację ustawy  w roku ubiegłym. Wprowadzono do ustawy nowy przepis karny, który penalizuje udaremnianie lub utrudnianie inspektorom wykonywania czynności kontrolnych. Występki tego rodzaju zagrożone są grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2.

I ostatnia rzecz, na którą, przy tej okazji warto zwrócić są uprawnienia egzekucyjne GIODO. Jak dotychczas GIODO nie należał do organów egzekucyjnych i jako taki nie miał uprawnień do egzekwowania wydawanych przez siebie decyzji przy pomocy przewidzianych specjalnie w tym celu środków prawnych, obecnie GIODO będzie uprawniony do stosowania na przykład grzywny w celu przymuszenia .
Są to istotne zmiany mające poprawić efektywność wydawanych decyzji, zmiany te mają bezpośredni wpływ na sferę praw i obowiązków podmiotów kontrolowanych, które powinny być takowych uprawnień GIODO świadome.