Ochrona danych osobowych cz. 5

NUODO Projekt polskiej ustawy i zmiany wobec dotychczasowych wymagań UODO

To kolejny artykuł w cyklu „Bezpieczeństwo biznesu – ochrona danych osobowych” dotyczący przedsiębiorców branży security. Jest poświęcony projektowi Nowej Ustawy ODO, udostępnionemu 12 września 2017 r. przez Ministerstwo Cyfryzacji do publicznej dyskusji.

Powtórzmy po raz kolejny: dane osobowe są to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To najprostsza i zarazem bardzo szeroka definicja uświadamiająca, że każdy przedsiębiorca przetwarza dane osobowe (pracowników, klientów, kontrahentów i wspólników). Ich ochrona jest jednym z istotnych elementów ochrony zasobów przedsiębiorstwa, ponieważ to człowiek jest twórcą, nośnikiem, operatorem i użytkownikiem informacji stanowiących tajemnice i dorobek firmy. Niestety może on być również mimowolnym lub świadomym (czasami szantażowanym lub przymuszonym) ujawniającym te dane. Dane osobowe pracownika są chronione, aby nie dać możliwości negatywnego oddziaływania na niego intruzowi, konkurentowi czy agentowi gospodarczemu przy wykorzystaniu socjotechnik (np. spear-phishing).

Posiadane przez pracownika kompetencje cyfrowe (jego wiedza i umiejętności) coraz częściej stanowią płaszczyznę penetracji konkurencyjnej za informacjami nieujawnionymi – dostęp do chronionych danych osobowych pracownika staje się „wytrychem informacyjnym” do zasobów firmy. Rozwój technik i technologii powoduje, że pracodawca posiada, jako administrator danych osobowych, coraz większy zbiór danych pracowniczych, a dostęp do kolejnych uzyskuje niemal automatycznie. Dlatego tak wielkie znaczenie ma treść RODO/GDPR oraz poddany pod osąd publiczny projekt nowej ustawy będący wraz z rozporządzeniami ścieżką jej wprowadzenia do polskiego prawodawstwa.

2. Projekt NUODO jako wskazanie dla wdrożenia RODO/GDPR w przedsiębiorstwie
Na łamach portalu „GDPR.PL Ochrona danych 2.0” 14 września 2017 r. zostały opublikowane projekty Nowej Ustawy o Ochronie Danych Osobowych (NUODO) wraz z projektem przepisów wprowadzających, które ustanawiają zmiany w ponad 130 ustawach. Oznacza to, że Ministerstwo Cyfryzacji zdecydowało się wdrożyć prawo unijne kompleksowo, we wszystkich sektorach. Odeszło tym samym od praktyki innych państw członkowskich UE, w których najpierw udostępnia się ustawy o ochronie danych osobowych, a dopiero w dalszej kolejności podejmuje prace zmieniające przepisy szczególne.

Podejście zaprezentowane przez resort ma dużo zalet. Najważniejszą jest nadanie nowego kierunku całemu systemowi ochrony danych osobowych w Polsce i wskazanie od razu zmian w przepisach sektorowych, co jest istotne dla przedsiębiorców – umożliwia przygotowanie się do nowych regulacji już teraz. Poważnym ryzykiem takiej decyzji jest jednak możliwość znacznego wydłużenia procesu legislacyjnego, co może opóźnić wejście w życie regulacji krajowych.

2.1. Proponowane zmiany prawne
Procesowanie ustawy o ochronie danych osobowych oddzielnie względem zmiany 133 ustaw sektorowych bez wątpienia przyśpieszyłoby jej przyjęcie. W tym roku obchodzimy 20-lecie obowiązującego w Polsce prawa dotyczącego ochrony danych osobowych. Przez ten czas było ono nowelizowane jedynie w ograniczonym zakresie. W wielu aspektach przestało przystawać do rzeczywistości, a co za tym idzie – przestało gwarantować należytą ochronę w dobie technologii XXI wieku. Dlatego projektodawca, wdrażając GDPR, niemal zupełnie odszedł od obowiązującej obecnie ustawy o ochronie danych. Przybliżmy zatem kwestie problemowe.

2.1.1.Rozdział 2 NUODO
W zapisach projektu uregulowano warunki oraz tryb wyznaczania inspektorów ochrony danych osobowych (IOD), czyli nowych podmiotów o kompetencjach zbliżonych do dzisiejszych administratorów bezpieczeństwa informacji (ABI). W rozdziale określono termin, w jakim należy dokonać zgłoszenia inspektora ochrony danych organowi. Powinna być ona dokonana w ciągu 14 dni od dnia wyznaczenia inspektora ochrony danych – w takim samym czasie informujemy o każdej zmianie danych, w tym o odwołaniu IOD. Projektodawca NUODO postanowił wprowadzić do projektu szeroką definicję podmiotów publicznych, odnosząc się do definicji wskazanych w art. 5 par. 2 pkt 3 ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (KPA), oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (UFP). Wskazana definicja nie powinna nastręczać wątpliwości interpretacyjnych, jest również rozwiązaniem racjonalnym i systemowo spójnym. Są nimi niemal wszystkie podmioty realizujące zadania publiczne z wyłączeniem spółek skarbu państwa oraz instytutów badawczych.

2.1.2. Rozdział 3 NUODO
W zapisach projektu w rozdziale 3 NUODO została uregulowana procedura certyfikacji (art. 42 GDPR) oraz akredytacji podmiotów dokonujących monitorowania kodeksów postępowań (art. 41 GDPR). Ostatecznie w projekcie zdecydowano o powierzeniu procedury certyfikacji wyłącznie Prezesowi Urzędu Ochrony Danych Osobowych. We wcześniejszym projekcie NUODO Prezes UODO miał pełnić funkcję wyłącznie akredytacyjną w stosunku do certyfikujących podmiotów komercyjnych. Sam proces certyfikacji ma się opierać na wytycznych publikowanych przez Prezesa UODO w Biuletynie Informacji Publicznej (BIP) na stronie internetowej organu. Po złożeniu wniosku (w formie papierowej lub elektronicznej) Prezes UODO ma 3 miesiące na jego rozpatrzenie. Odmowa udzielenia certyfikacji następowałaby w formie decyzji, w której Prezes wyjaśniłby powody odmowy. Wniosek o przyznanie certyfikatu będzie wymagał wniesienia opłaty w wysokości trzykrotności średniego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim, ogłaszanym przez Prezesa GUS (w 2016 r. wyniosło ono 4047,21 zł). Certyfikat będzie przyznawany na 3 lata. Przed przyznaniem certyfikatu oraz w całym okresie certyfikacji Prezes UODO będzie uprawniony do przeprowadzania u certyfikowanego podmiotu czynności sprawdzających.
Warto wskazać, że osoby dokonujące czynności sprawdzających będą miały bardzo szerokie kompetencje polegające m.in. na możliwości wstępu do wszystkich pomieszczeń sprawdzanego (wglądu do dokumentów, oględzin urządzeń, nośników i systemów informacyjnych). W przypadku stwierdzenia przez audytora nieprawidłowości u certyfikowanego przyznany certyfikat może zostać cofnięty (lub zostanie wydana decyzja odmawiająca przyznania certyfikatu).

Projektodawca zdecydował więc o wykorzystaniu eksperckiego zaplecza organu do prowadzenia certyfikacji, a także rozstrzyga jedną, poważną wątpliwość pojawiającą się w tym zakresie. Przedsiębiorcy mogą się obawiać poddawania procedurze certyfikacji wykonywanej przez organ, gdyż w konsekwencji może dojść do ujawnienia naruszeń, a organ uzyskując taką informację, może wszcząć postępowanie z urzędu w sprawie uchybienia przepisów ochrony danych osobowych. W związku z tym w uzasadnieniu do projektu wskazano, że bez wątpienia rekomendowanym rozwiązaniem byłoby przyznanie jednemu z zastępców organu kompetencji do wspierania Prezesa UODO w kierowaniu jednostką odpowiadającą za certyfikację, w tym w zapewnieniu jej pełnej niezależności względem pozostałych jednostek jego struktury organizacyjnej. Czy takie rozwiązanie zostanie przyjęte – czas pokaże, chociaż ryzyko dla przedsiębiorców układa się tu zupełnie inaczej, niż miałoby to miejsce przy certyfikacji prowadzonej przez podmioty prywatne. Jednocześnie jednak „cywilizuje” to rynek certyfikacji oraz prawdopodobnie zapobiega swoistej wojnie rynkowej o certyfikowanie.

2.1.3. Rozdział 4 NUODO
W zapisach projektu NUODO wprowadza kluczową zmianę w zakresie funkcjonowania organu odpowiedzialnego za przestrzeganie przepisów o ochronie danych osobowych. Wraz z początkiem obowiązywania GDPR Generalny Inspektor Ochrony Danych Osobowych zostanie zastąpiony nowym organem, którym będzie Prezes Urzędu Ochrony Danych Osobowych (PUODO). Swoje zadania będzie on realizował przy pomocy Urzędu Ochrony Danych Osobowych (UODO). PUODO stanie się organem nadzorczym w rozumieniu GDPR i „dyrektywy policyjnej” (dyrektywa UE nr 680/2018).

Z uzasadnienia NUODO można wywnioskować, że wraz z początkiem obowiązywania GDPR zostanie uchylona podstawa prawna działania GIODO. Nowy organ nadzorczy, z prawnego punktu widzenia, jest nowym organem państwowym, będącym następcą prawnym Generalnego Inspektora. Nazwa nowego organu również nie jest przypadkowa. Z uwagi na wprowadzenie w rozporządzeniu funkcji inspektora ochrony danych osobowych pozostawienie nazewnictwa organu w postaci GIODO mogłoby wprowadzać w błąd w zakresie powiązania IOD (powołanych przez administratorów danych) z organem nadzorczym.

Procedura powołania PUODO jest zbliżona do powołania GIODO, ale zawiera nowe rozwiązania. W stosunku do obowiązującej ustawy zmieniono kryteria, jakie powinien spełniać kandydat na Prezesa UODO, w tym obowiązek posiadania tytułu doktora i udokumentowanego doświadczenia zawodowego.
Warto wspomnieć, że PUODO będzie mógł wykonywać swoje zadania przy pomocy trzech zastępców, powoływanych i odwoływanych przez Prezesa Rady Ministrów na wniosek Ministra Spraw Wewnętrznych (jeden zastępca) oraz przez Ministra Cyfryzacji (dwóch zastępców). Jest to o tyle ciekawa konstrukcja, że na gruncie NUODO, w porównaniu do UODO, zwiększono niezależność PUODO poprzez przyznanie mu m.in. kompetencji do samodzielnego nadania statutu Urzędowi Ochrony Danych Osobowych (obecnie robi to Prezydent w formie rozporządzenia).

Ponadto przy Prezesie UODO działać będzie Rada ds. Ochrony Danych Osobowych, w której skład wejdzie 8 członków. Do zadań Rady zgodnie z art. 34 NUODO będzie należało:

• opiniowanie projektów dokumentów organów i instytucji UE dotyczących spraw ochrony danych osobowych;
• opiniowanie przekazanych przez PUODO projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;
• opracowywanie propozycji kryteriów certyfikacji, o których mowa w art. 7;
• opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
• inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie PUODO propozycji zmian prawa w tym obszarze;
• wyrażanie opinii w sprawach przedstawionych Radzie przez PUODO;
• wykonywanie innych zadań zleconych przez PUODO.

Praca Rady do spraw Ochrony Danych Osobowych będzie więc dostarczała dużo informacji, które to administratorzy danych osobowych (właściciele zasobów danych, przedsiębiorcy) będą mogli wykorzystać już na etapie systemów służących do przetwarzania danych, jak również w codziennej działalności. Trzeba pamiętać, że wg NUODO decyzje PUODO będą podlegały natychmiastowemu wykonaniu. Co ważne, w projekcie przewidziano również, że wniesienie przez stronę skargi do sądu wstrzymuje wykonanie w odniesieniu do administracyjnej kary pieniężnej. Można dopatrzyć się w tym zakresie wątpliwości wyłącznie w zakresie celu wprowadzenia do projektu takiej regulacji, ponieważ zgodnie z art. 108 § 1 Kodeksu postępowania administracyjnego rygor natychmiastowej wykonalności może być nadany decyzji, od której służy odwołanie. Powiedzmy zatem jednoznacznie i wyraźnie – w przypadku decyzji, od której odwołanie nie przysługuje – jak w projekcie Ministra Cyfryzacji, rygor taki jest więc nadawany z mocy prawa. Przepis ten pełni więc funkcję wyłącznie informacyjną, jest bowiem samorealizującym się z mocy już obowiązującego prawa.

2.1.4. Rozdział 5 NUODO
Projekt przewiduje uprawnienie Prezesa Urzędu ODO (PUODO) do wydania postanowienia zabezpieczającego skargę za naruszenie przepisów o ochronie danych. Prezes będzie mógł do momentu rozstrzygnięcia sprawy i wydania decyzji wydać postanowienie nakazujące przedsiębiorcy ograniczenie przetwarzania danych, np. do ich posiadania. To znaczne wzmocnienie praw obywateli – będą mogli uzyskać natychmiastową ochronę swoich praw i rozwiązanie mogące ogromnie wpłynąć na przedsiębiorców. W szczególności dla działalności, której przedmiotem jest przetwarzanie danych osobowych, np. sklepu internetowego, będzie to oznaczało znaczne ograniczenie możliwości prowadzenia swojej działalności.

W uzasadnieniu do projektu napisano, że wprowadzenie takiego przepisu było konieczne, by skutecznie wdrożyć art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 GDPR. Wszystkie z powołanych przepisów zobowiązują Prezesa Urzędu do wydawania środków tymczasowych, którym w polskim porządku prawnym została nadana forma postanowienia.

2.1.5. Rozdział 8: odpowiedzialność cywilna, karna i administracyjne kary pieniężne
Projekt przewiduje trzy odrębne ścieżki dochodzenia roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych. Co szczególnie ważne, każda z nich może zostać wykorzystana niezależnie, a więc naruszenie będzie mogło być karane trzykrotnie – odpowiedzialność karna, cywilna i administracyjna.

Odnosząc się do odpowiedzialności administracyjnej, PUODO będzie uprawniony
do nakładania administracyjnych kar pieniężnych na podstawie i w warunkach określonych w art. 83 GDPR. Kary będą nakładane w drodze decyzji administracyjnej. Projektodawca dokonał gruntownej zmiany względem projektu udostępnionego do konsultacji publicznej w marcu 2017 r., przyznając Prezesowi UODO uprawnienie do nakładania kary finansowej wobec wszystkich organów administracji publicznej. Ze względu na obniżenie maksymalnego wymiaru kary nakładanej na administrację publiczną projektodawca wzmocnił odpowiedzialność z tytułu naruszenia prywatności przez ten sektor poprzez nałożenie na niego obowiązku sprawozdawczego – każdy z adresatów decyzji wydawanych przez PUODO będzie zobowiązany do niezwłocznego wykazania sposobu ich wykonania. Administracyjne kary pieniężne będą stanowić dochód budżetu państwa, a ich 1% będzie zasilał nowo utworzony Fundusz Ochrony Danych Osobowych (FODO). Środki z funduszu nie mogą być podstawą osiągania przychodów przez pracowników Urzędu.
UWAGA: w przypadku, kiedy waga naruszeń jest znikoma, a strona zaprzestała naruszeń, PUODO może udzielić upomnienia w drodze decyzji administracyjnej.

2.2. Przepisy cywilne i karne w NUODO
W projekcie znajduje się również możliwość dochodzenia roszczeń na drodze sądowej przed sądami cywilnymi (obok wszczęcia postępowania administracyjnego). Nie wyłącza to jednak możliwości jednoczesnego wystąpienia z roszczeniami z tytułu naruszenia przepisów NUODO wobec administratora danych osobowych. Praktyczne znaczenie tego uregulowania jest duże. Powołany przepis stanowi odrębną podstawę prawną dochodzenia
roszczeń względem przewidzianej w art. 24 kodeksu cywilnego. NUODO wprowadza obowiązek dla sądów zawiadomienia PUODO o każdym toczącym się postępowaniu, a także o każdym wyroku uwzględniającym powództwo w sprawach roszczeń cywilnych związanych z naruszeniem przepisów ochrony danych osobowych. Powyższe oznacza, iż podmiot danych będzie w stanie, na drodze cywilnej, uzyskać szeroką ochronę w razie naruszenia przepisów o ochronie danych.

W NUODO znalazły się również przepisy karne. Za udaremnienie lub utrudnienie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych grozi grzywna nakładana na podstawie przepisów kodeksu postępowania w sprawach o wykroczenia; za przetwarzanie tzw. danych wrażliwych (art. 9 GDPR) bez podstawy prawnej grozi grzywna, ograniczenie wolności lub pozbawienie wolności do roku – orzekane w trybie przepisów kodeksu karnego. Problemem podstawowym jest odniesienie się do przewidywanego wykorzystania w procesie akredytacji oraz egzekucji prawnej wymagań SZBI (norma ISO 27001 – szczególnie w odniesieniu do wskazówek zawartych w załączniku normatywnym A pkt 18), zwłaszcza w przypadku wskazań PUODO.

Literatura
[1] Cyberdoktryna RP, CIIP Focus RCB, styczeń 2015 str. 14-15, http://rcb.gov.pl/wp-content/uploads/ciip-focus-9.pdf. 
[2] Projekt NUODO: https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych. 
[3] Raporty: https://www.bankier.pl/wiadomosc/McAfee-Raport-na-temat-zagrozen-w-Internecie-2145098.html

dr inż. Marek Blim
Europejski menedżer systemu zarządzania jakością EOQ, certyfikowany audytor systemów jakości i zarządzania bezpieczeństwem informacji, ekspert systemowy ISO 9000 INTERCERT/TüV Rheinland Polska. Rzeczoznawca systemów technicznej ochrony osób i mienia oraz zarządzania bezpieczeństwem. Projektant systemów ochrony. Czynny zawodowo konsultant, rzeczoznawca, audytor.