Uwagi Polskiego Stowarzyszenia Sprzedaży Bezpośredniej („PSSB”) do projektu ustawy o ochronie danych osobowych („UODO”) oraz projektu ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych („PWUODO”).

29.09.2017
  1. Uwagi do projektu UODO

PSSB zgadza się ze stanowiskiem przedstawionym w uzasadnieniu projektu UODO, że dotychczasowe przepisy nie zapewniały efektywnego systemu ochrony danych osobowych. Jednakże projekt UODO zdaje się przyjmować, iż prawo do ochrony danych osobowych jest prawem bezwzględnym. W ocenie PSSB w projekcie UODO nie wyważono prawa do ochrony danych osobowych względem innych praw podstawowych, wbrew zasadzie proporcjonalności, o czym mowa w motywie 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawi ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) („RODO”). Świadczy o tym szereg rozwiązań przedstawionych w projekcie UODO, które przyznają prymat prawu do ochrony danych osobowych, w oderwaniu od jego funkcji społecznej i pozbawiając znaczenia zasady związane m.in. z wolnością prowadzenia działalności gospodarczej.

Zastrzeżenia PSSB wzbudziły szczegółowe rozwiązania projektu UODO w zakresie: (1) jednoinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych, (2) rygoru natychmiastowej wykonalności decyzji wydanych przez Prezesa Urzędu Ochrony Danych Osobowych („Prezes Urzędu”), (3) braku zaskarżalności postanowień wydanych w toku postępowania w sprawie naruszeń przepisów o ochronie danych osobowych, (4) udziału organizacji społecznych w postępowaniu, (5) postępowania kontrolnego. PSSB zgłasza także uwagę w zakresie zaproponowanego rozwiązania dotyczącego zgłaszania inspektorów ochrony danych osobowych tylko w formie elektronicznej (6), które zamiast ułatwić proces zgłaszania inspektorów, może stać źródłem znacznych utrudnień dla przedsiębiorców, zwłaszcza tych z rodowodem zagranicznym,

Poniżej przedstawiamy szczegółowe uwagi do kwestii, o których mowa w pkt 1-6 powyżej.

Ad 1. Jednoinstancyjność postępowania

Zgodnie z art. 44 ust. 2 projektu UODO, postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest postępowaniem jednoinstancyjnym.

Zasada dwuinstancyjności przewidująca zaskarżalność orzeczeń i decyzji wydanych w pierwszej instancji jest zasadą konstytucyjną. Wprowadzenie jednoinstancyjności postępowania dopuszczalne jest jedynie w sytuacjach wyjątkowych i powinno być uzasadnione szczególnymi okolicznościami. W postępowaniu w sprawie o naruszenie przepisów o ochronie danych osobowych  brak jest uzasadnienia dla wprowadzenia takiego wyjątku jako zasady. W uzasadnieniu projektu UODO wskazano ogólnikowo, iż wprowadzenie tego wyjątku  jest konieczne w demokratycznym państwie dla zapewnienia wolności i praw osób. Dalej, wskazano, iż jest to rozwiązanie adekwatne i konieczne dla osiągnięcia celu zamierzonego przez ustawodawcę, jakim jest skuteczna i udzielona we właściwym czasie ochrona prawa podstawowego – prawa do ochrony danych osobowych osoby fizycznej oraz pozostaje w odpowiedniej proporcji do ograniczenia, jakim jest pozbawienie prawa do ponownego rozpatrzenia sprawy przez właściwy organ.  Uzasadnienie posługuje się uogólnieniami, nie próbując nawet odnieść się do tego, czy jest to jedyny sposób zapewnienie efektywnej, szybkiej ochrony praw osób fizycznych. W sporządzonej na potrzeby projektu UODO ocenie skutków regulacji („OCR”) podane są statystyki dotyczące średniego terminu załatwiania spraw z zakresu ochrony danych osobowych. W dalszej części OCR podane są dane dotyczące zasobów kadrowych organu nadzoru, ze wskazaniem na niedobór personelu. Oczywista staje się konkluzja, iż efektywność można podnieść przez zwiększenie personelu zatrudnionego przez organ nadzoru. Istnieją więc środki, za pomocą których można by osiągnąć zakładany cel ustawodawcy w postaci wzmocnionej, efektywnej ochrony praw podstawowych, bez jednoczesnego uszczuplenia innych praw w postaci prawa do odwołania od decyzji pierwszoinstancyjnej.

Podmiot przetwarzający dane osobowe powinien mieć zagwarantowane prawo obrony przez złożenia środka zaskarżania jeszcze na etapie administracyjnym. Istnieje wszakże prawdopodobieństwo, iż decyzja wydana w pierwszoinstancyjnym rozpoznaniu będzie błędna, krzywdząca dla przetwarzającego dane i utraci on możliwość obrony innej niż sądowa. Dla takiego podmiotu, którego działalność może opierać się na przetwarzaniu danych osobowych (np. sklep internetowy), decyzja nakazująca ograniczenie przetwarzania danych osobowych lub wręcz zakazująca przetwarzania, do tego opatrzona rygorem natychmiastowej wykonalności, może oznaczać koniec bytu gospodarczego. Odległy wyrok sądu administracyjnego, który uchyli taką decyzję nie przywrócić przedsiębiorcy poniesionych strat finansowych i utraconych możliwości gospodarczych.

Ad 2. Rygor natychmiastowej wykonalności

Zgodnie z art. 59 ust. 1 projektu UODO, decyzje wydane przez Prezesa Urzędu podlegają natychmiastowemu wykonaniu. W ustępie 2 przewidziano, iż wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

W ocenie PSSB rozwiązanie to jest nadmiernie dolegliwe i niezasadne. Jako argument za nadawaniem rygoru natychmiastowej wykonalności decyzjom wydawanym przez Prezesa Urzędu w uzasadnieniu projektu UODO podano szybkość postępowania. Należy wskazać, że rygor co do zasady nadaje się jedynie decyzjom, od których służy odwołanie. Istotą rygoru natychmiastowej wykonalności jest to, aby w wyjątkowych sytuacjach umożliwić wykonanie decyzji, choć zgodnie z ogólnymi zasadami nie powinna ona jeszcze wykonaniu podlegać, gdyż dopuszczalne jest wniesienie odwołania. Co więcej, rygor natychmiastowej wykonalności, powinien być nadawany jedynie w sytuacjach szczególnych, gdzie w grę wchodzi ochrona życia lub zdrowia ludzkiego, zabezpieczenie gospodarstwa narodowego przed ciężkimi stratami lub też z uwagi na inny interes społeczny lub wyjątkowo ważny interes strony. Przesłanki uzasadniające zastosowanie rygoru natychmiastowej nie mogą być interpretowane rozszerzająco. Nie sposób zgodzić się, by uzasadnione wobec tego było przyjęcie rozwiązania, zgodnie z którym każda decyzja Prezesa Urzędu, niezależnie od jej wagi, będzie posiadała rygor natychmiastowej wykonalności. Rozwiązanie to nie uwzględnia możliwych dramatycznych skutków związanych z nadaniem rygoru natychmiastowej działalności decyzji, która może okazać się błędna. W sytuacji gdy przedsiębiorca opiera swoją działalność na przetwarzaniu danych osobowych, decyzja taka taka może spowodować nieodwracalne skutki gospodarcze. Zdaniem PSSB nie istnieją przesłanki do zastosowania tej instytucji i nie będzie ona prawidłowo wypełniała swojej funkcji.

W uzasadnieniu projektu wskazano, iż przyjęto ustawowe wstrzymanie wykonalności decyzji administracyjnej nakładającej administracyjną karę pieniężną, tak by dopiero po rozpatrzeniu sprawy przez sąd i oddaleniu skargi decyzja taka podlegała wykonaniu. Wyjaśniono, iż wynika to z dolegliwości administracyjnej kary pieniężnej. Tymczasem dla przedsiębiorcy większą dolegliwość może stanowić nakaz ograniczenia przetwarzania lub zakaz przetwarzania danych osobowych, czego projektodawca nie uwzględnił.

Ad 3. Brak zaskarżalności postanowień w ramach postępowania

Kolejne zastrzeżenie dotyczy braku zaskarżalności postanowień w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. W uzasadnieniu projektu UODO wskazano, iż zabieg ten został zastosowany, aby osiągnąć cel jakim jest szybkie rozstrzyganie spraw, a możliwość skarżenia postanowień i tak będzie zachowana, bowiem kontrola zasadności wydania postanowienia prowadzona byłaby podczas rozpatrywania skargi przez sąd. Stanowisko to poparte zostało przekonaniem, że nie tylko przyspieszy to postępowanie, ale i zapobiegnie sytuacjom, w których organ wyda decyzję szybciej, niż sąd ustosunkuje się do zażalenia. Jest to podejście zakładające ekspresowe wydawanie decyzji w przyszłości, co nie jest oczywiste. Tymczasem, to niepewne założenie miałoby pozbawiać stronę możliwości przedstawienia swoich racji w toku postępowania.

Szczególnie dotkliwe może okazać się dla przedsiębiorcy wydanie przez Prezesa Urzędu postanowienia, o którym mowa w art. 53 ust. 1 projektu UODO, zgodnie z którym, jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Projekt przewiduje wyłączenie zastosowania w takim przypadku jednej z podstawowych zasad prawa administracyjnego, tj. zasadę wysłuchania stron i czynnego udziału w postępowaniu (art. 10 kpa).  Przy takiej redakcji przepisów może dojść do sytuacji, iż w trakcie postępowania przedsiębiorca zostanie pozbawiony możliwości prowadzenia działalności gospodarczej – w związku z odebraniem możliwości przetwarzania danych klientów – co może trwać niezasadnie, aż do uzyskania prawomocnego wyroku sądu administracyjnego wydanego na skutek skargi od decyzji wydanej w sprawie. Ten przedział czasowy może wynosić od kilku miesięcy wzwyż. Skutki ekonomiczne dla przedsiębiorcy będą nieodwracalne, a przyczyna takiego obrotu zdarzeń może okazać się błaha, powstała z omyłki, której przedsiębiorca nie będzie mógł nawet wyjaśnić, gdyż odebrano mu prawo głosu we własnej sprawie. Tym samym pozbawiono znaczenia zasadę wolności prowadzenia działalności gospodarczej oraz prawa do dobrej administracji, zgodnie z którą każdy ma prawo do bycia wysłuchanym zanim zostaną podjęte indywidualne środki mogące negatywnie wpłynąć na jego sytuację.

Zgodnie z art. 62 projektu UODO, w przypadkach z zakresu europejskiej współpracy administracyjnej, środkiem tymczasowym, który miałby zastosować polski organ nadzoru w ramach wzajemnej pomocy lub wspólnych operacji organów nadzorczych miałoby być również niezaskarżalne postanowienie, o którym mowa w art. 53 ust. 1. Również w tym przypadku uzasadnione zastrzeżenia wywołuje brak możliwości wniesienia środka zaskarżenia od wydanych przez Prezesa Urzędu rozstrzygnięć, a także brak możliwości wypowiedzenia się w tej sprawie przez przedsiębiorcę, którego postanowienie będzie dotyczyć.

Ad 4. Legitymacja organizacji społecznych do wystąpienia z wnioskiem o wszczęcie postępowania albo dopuszczenie do udziału w postępowaniu

Zgodnie z art. 45 projektu UODO, z wnioskiem o wszczęcie postępowania w sprawie naruszenia przepisów o ochronie danych osobowych lub dopuszczenia do udziału w takim postępowaniu może wystąpić organizacja społeczna. Z uzasadnienia projektu wynika, że intencją projektodawcy jest rozszerzenie praw organizacji społecznych w tym zakresie polegające na możliwości wystąpienia z ww. wnioskami także wówczas, gdy organizacja nie  może wykazać się istnieniem interesu społecznego w danej sprawie (co jest zasadą w postępowaniu administracyjnym). W sprawach o naruszenie ochrony danych osobowych wystarczające miałoby być wskazanie, iż za udziałem organizacji w postępowaniu przemawia interes osoby, której prawa zostały (prawdopodobnie) naruszone.

PSSB wskazuje na istniejący problem masowego wnoszenia powództw np. w sprawach o stwierdzenie abuzywności klauzul przez podmioty działające w tym zakresie głównie w celach zarobkowych, w szczególności przez organizacje quasi konsumenckie. W ocenie PSSB zaproponowane rozszerzenie możliwości wnioskowania o wszczęcie postępowania przez każdą organizację społeczną, nawet bez istnienia interesu społecznego w danej sprawie, może spowodować powstanie praktyki masowego zgłaszania przez różne podmioty bezzasadnych wniosków o wszczęcie postępowań w sprawie naruszenia ochrony danych osobowych, również w celach zarobkowych, co może prowadzić do nadużyć i niepotrzebnego obciążania pracą Urzędu Ochrony Danych Osobowych. PSSB postuluje w związku z tym wprowadzenie mechanizmu certyfikacji organizacji, którym przyznane miałoby być prawo występowania z przedmiotowymi wnioskami.

Ad 5. Postępowanie kontrolne

PSSB wnosi zastrzeżenie do proponowanego odejścia od zawiadamiania o zamiarze wszczęcia kontroli dotyczącej przetwarzania danych osobowych oraz o możliwości prowadzenia kontroli przez cała dobę (obecnie jedynie od 6:00 do 22:00). W ocenie PSSB takie rozwiązanie może rodzić niczym nieuzasadnione utrudnienia organizacyjne dla większości przedsiębiorców, którzy nie są czynni przez całą dobę. Zważywszy na wprowadzone do projektu UODO sankcje karne za „utrudnianie kontroli”, PSSB postuluje, by nie odstępować od zasady zawiadamiania o zamiarze przeprowadzenia kontroli, co umożliwi przedsiębiorcy przygotowanie organizacyjne do pomocy kontrolującym w przeprowadzeniu kontroli.

Ad 6. Zgłaszanie inspektorów danych osobowych

Zgodnie z art. 5 ust. 4 projektu UODO, zgłaszanie inspektorów ochrony danych osobowych mogłoby nastąpić jedynie w formie elektronicznej z wykorzystaniem elektronicznego podpisu kwalifikowanego bądź podpisu potwierdzonego profilem zaufanym ePUAP. PSSB zwraca uwag na trudności, które mogą pojawić się w przypadku podmiotów, których reprezentanci są obcokrajowcami i nie posiadają kont ePUAP, ani elektronicznych podpisów kwalifikowanych, które nie są w Polsce powszechne.

  1. Uwagi do projektu PWUODO

W zakresie projektu PWUODO, PSSB zgłasza uwagi dotyczące (1) przepisów przejściowych, w szczególności do zastosowania UODO do postępowań wszczętych i niezakończonych do dnia wejścia w życie nowych przepisów, (2) zmian w zakresie przetwarzania danych osobowych w zatrudnieniu, (3) zmian ustawy o świadczeniu usług drogą elektroniczną.

Ad 1. Przepisy przejściowe

W art. 138 i 139 projektu PWUODO przewidziano zastosowanie UODO do wszelkich postępowań wszczętych i niezakończonych przed dniem wejścia w życie UODO.  Uzasadnienie projektu nie wyjaśnia, dlaczego przyjęto rozwiązanie o zastosowaniu przepisów nowych do stanów faktycznych, które miały miejsce pod rządami dotychczasowych przepisów o ochronie danych osobowych, a które objęte są toczącymi się postępowaniami. Takie rozwiązanie PSSB ocenia jako szczególne niebezpieczne i ingerujące w zasadę pewności prawa. Biorąc pod uwagę skalę zmian i sankcje przewidziane przez nowe przepisy o ochronie danych osobowych, wprowadzenie retroaktywnej mocy nowych przepisów jest niezasadne i może rodzić wielce negatywne konsekwencje dla podmiotów przetwarzających dane.

Kolejna kwestia to przewidziane w art. 144 projektu PWUODO ograniczenie możliwości wykorzystywania na potrzeby przekazywania danych wiążących reguł korporacyjnych („BCR”) zatwierdzonych przez GIODO jedynie przez okres 12 miesięcy od dnia wejścia w życie PWUODO. Projektodawca nie przedstawił uzasadnienia takiego rozwiązania. W ocenie PSSB, zatwierdzone przez GIODO BCR powinny pozostać ważną podstawą przekazywania danych osobowych. Ich uchylenie spowoduje zbędną konieczność ponownego przeprowadzania skomplikowanej procedury przyjmowania na nowo takich reguł przez przedsiębiorców skupionych w międzynarodowych grupach kapitałowych.

Ad 2. Zmiany w zakresie przetwarzania danych osobowych w zatrudnieniu

Projekt PWUODO w art. 5 przewiduje zmiany w Kodeksie pracy, w tym dodanie art. 222 § 2, zgodnie z którym Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 212 § 1 i 2 jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej.  

O ile PSSB pozytywnie ocenia wprowadzenie możliwości przetwarzania danych osobowych w zatrudnieniu na podstawie zgody, to postuluje by w tym zakresie zastosować koncepcję zgody określoną w RODO. Zgodnie z definicją zgody zawartą w art. 4 pkt 11) RODO, zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Dlatego PSSB postuluje, by zgodą w stosunkach pracowniczych było każde wyraźne przyzwolenie na przetwarzanie danych osobowych – bez konieczności pozyskiwania przez pracodawcę odrębnych oświadczeń w formie pisemnej lub elektronicznej. Wyraźne przyzwolenie dotyczy w szczególności sytuacji, w których kandydat do pracy w CV lub pracownik w trakcie zatrudnienie udostępnia pracodawcy dobrowolnie dane. W takim przypadku zwracanie się do takich osób z prośbą o złożenie odrębnego oświadczenia PSSB ocenia jako nadmierne w stosunku do wymogów RODO i prowadzące do tworzenia zbędnej dokumentacji i niepotrzebnych procedur.

Ad 3. Zmiany w ustawie o świadczeniu usług drogą elektroniczną („UŚUDE”)

W związku z tym, iż RODO w swoim zakresie podmiotowym i przedmiotowym obejmuje przetwarzanie danych osobowych w związku ze świadczeniem usług drogą elektroniczną, PSSB postuluje by Rozdział IV UŚUDE został uchylony w całości. Pozostawione szczątkowej regulacji w postaci art. 18 ust. 5 i 6 oraz art. 19 ust. 3 PSSB ocenia jako zbędne.

Należymy do

Zapisz się do newslettera

FreshMail.pl