Agnieszka Szydlik, Barbara Majewska

Nowelizacja ustawy o ochronie danych osobowych

Generalny Inspektor Ochrony Danych Osobowych będzie mógł karać grzywną za niewykonanie wydanych przez siebie decyzji. Doprecyzowana została też możliwość cofnięcia zgody na przetwarzanie danych osobowych.

7 marca 2011 roku wejdzie w życie nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Jest to największa zmiana tej ustawy od 2004 roku. Istotnie poszerza ona kompetencje Generalnego Inspektora Ochrony Danych Osobowych oraz modyfikuje wybrane zasady przetwarzania danych osobowych w celu zapewnienia skuteczniejszego wykonywania prawnych obowiązków ochrony danych osobowych.

Nowelizacja stanowi równocześnie element procesu implementacji unijnej dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 281 z 23.11.1995, str. 31, z późn. zm.)

Zmiany dotyczące Generalnego Inspektora Ochrony Danych Osobowych

Spośród wprowadzonych do ustawy zmian największe znaczenie mają te dotyczące Generalnego Inspektora Ochrony Danych Osobowych i jego uprawnień. Organ ochrony danych osobowych został wyposażony w uprawnienia egzekucyjne w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym wynikających z wydawanych przez niego decyzji (art. 2 pkt 2 ustawy o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw, zwanej dalej ustawą nowelizującą). Egzekucji mają podlegać te decyzje, które nakładają na adresata obowiązek zachowania się w określony sposób, np. nakaz przywrócenia stanu zgodnego z prawem czy nakaz ograniczenia przetwarzania danych wyłącznie do ich przechowywania.

Taka regulacja pociąga za sobą zmiany w przepisach dotyczących egzekucji administracyjnej, na podstawie których organ ochrony danych osobowych stał się organem egzekucyjnym (art. 2 pkt 1 i 2 ustawy nowelizującej) i w razie niewykonania obowiązków o charakterze niepieniężnym wynikających z decyzji administracyjnych będzie mógł stosować środek egzekucyjny w postaci grzywny w celu przymuszenia (art. 119 i n. ustawy o postępowaniu egzekucyjnym w administracji). Zakres stosowania tej regulacji obejmuje wszystkie obowiązki nakładane przez GIODO, tj. obowiązek znoszenia lub zaniechania albo obowiązek wykonania określonej czynności. GIODO będzie mógł wystawić postanowienie o zastosowaniu grzywny w celu przymuszenia, a w razie jej nieziszczenia sporządzi tytuł wykonawczy i skieruje go do właściwego urzędu skarbowego z wnioskiem o wszczęcie egzekucji. Powyższa grzywna może być nakładana wielokrotnie.

Ustawa nowelizująca w art. 1 pkt 6 ustanawia ponadto dwa nowe niewładcze uprawnienia GIODO przewidziane w dodanym art. 19a ustawy o ochronie danych osobowych. GIODO będzie mógł mianowicie kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych oraz innych jednostek organizacyjnych, a także osób fizycznych i prawnych wystąpienia mające na celu zapewnienie skutecznej ochrony danych osobowych. Będzie mógł także występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących danych osobowych.

Kolejna zmiana dotyczy organizacji biura organu ochrony danych osobowych i wprowadza możliwość tworzenia w uzasadnionych przypadkach jednostek zamiejscowych biura GIODO (art. 13 ust. 1a ustawy o ochronie danych osobowych). Ma to na celu zapewnienie obywatelom lepszego dostępu do organu zajmującego się ochroną ich danych osobowych.

Zmiany dotyczące udostępniania danych

Na podstawie art. 1 pkt 7 ustawy nowelizującej uchylono art. 29 i 30 ustawy o ochronie danych osobowych regulujące udostępnianie danych osobowych w celach innych niż włączenie do zbioru przez administratora danych. Niniejsza zmiana ma na celu dostosowanie ustawy do przepisów prawa UE, w szczególności do dyrektywy 95/46/WE. Od 7 marca podstawą żądania udostępnienia danych osobowych będą ogólne przepisy art. 23 ust. 1 i art. 27 ust. 2 ustawy o ochronie danych osobowych.

Zmiana dotycząca zgody na przetwarzanie danych osobowych

Art. 1 pkt 1 ustawy nowelizującej precyzuje brzmienie art. 7 pkt 5 ustawy o ochronie danych osobowych regulującego dopuszczalność odwołania zgody na przetwarzanie danych osobowych. Dotychczas kwestia jej odwołania wywoływała wiele kontrowersji w doktrynie. Obecnie art. 7 pkt 5 ustawy o ochronie danych osobowych przewiduje możliwość odwołania zgody w każdym czasie ze skutkiem ex nunc, czyli od dnia odwołania.

Agnieszka Szydlik, Barbara Majewska, Grupa Ochrony Danych Osobowych kancelarii Wardyński i Wspólnicy