Warszawa, 8 marca 2018 r.
STANOWISKO ZWIĄZKU PRZEDSIĘBIORCÓW I PRACODAWCÓW WS. PROJEKTU USTAWY
O OCHRONIE DANYCH OSOBOWYCH Z DN. 3 MARCA 2018 ROKU
Dostosowanie przepisów krajowych do nowej rzeczywistości prawnej, wykreowanej na poziomie Unii Europejskiej za pomocą rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, z pewnością stanowi duże wyzwanie dla ustawodawcy. Nie dziwi zatem, że proces powstawania ustawy o ochronie danych osobowych był stosunkowo długi, a w konsultacjach zdecydowało się wziąć udział tak wiele organizacji. Nowe regulacje dotyczyć będą bowiem bardzo szerokiego katalogu podmiotów – trudno podać przykład przedsiębiorcy, czy też jakiejkolwiek organizacji, która nie przetwarza w jakimś stopniu danych osobowych. Nie powinien również budzić zdziwienia fakt, że w toku całego procesu, projekt ustawy był poddawany szeregowi modyfikacji. Z tego też powodu, mimo że Związek Przedsiębiorców i Pracodawców składał już w toku oficjalnych konsultacji społecznych swoje stanowisko, uważamy za stosowne ponowne przedstawienie swoich uwag.
Pierwszym aspektem nowego projektu, na który chcemy zwrócić uwagę, jest zaproponowanie wyłączenia spod stosowania niektórych przepisów rozporządzenia, przewidzianego dla mikroprzedsiębiorców. Warto zaznaczyć, że w poprzedniej wersji dokumentu, wyłączenie obejmowało cały sektor mikro, małych i średnich przedsiębiorstw. Pozytywnie oceniamy fakt, że projektodawca nie zdecydował się na całkowitą rezygnację z takiego wyłączenia. Art. 3 ust. 1 przewiduje wyłączenie mikroprzedsiębiorców spod części obowiązków informacyjnych, a także spod obowiązku dostarczana kopii danych osobowych podlegających przetwarzaniu, osobie której te dane dotyczą. Jako, że mikroprzedsiębiorstwa to ponad 96% ogółu firm działających w Polsce, wyłączenie ich spod reżimu niektórych przepisów rozporządzenia, uznajemy za rozwiązanie korzystne. Dostosowanie metodyki postępowania w zakresie przetwarzania danych osobowych do nowych regulacji, dla najmniejszych firm i tak będzie bardzo dużym i kosztownym wyzwaniem, dlatego też im mniejszy będzie zakres ich nowych obowiązków, tym lepiej – naszym zdaniem – będą w stanie przygotować się do wprowadzenia niezbędnych modyfikacji procedur. Nieuwzględnienie w wyłączeniu firm większych, niż mikroprzedsiębiorcy, przyjmujemy do wiadomości, zakładając że podmiot zatrudniający kilkadziesiąt osób, będzie w stanie efektywnie dostosować swoje działanie do nowych regulacji.
Zdecydowany niepokój budzi fakt, że projektodawca – mimo licznych głosów krytycznych pochodzących od partnerów społecznych – zdecydował się na utrzymanie jednoinstancyjnego postępowania przed Prezesem Urzędu Ochrony Danych Osobowych. Prezes jest uprawniony do nakładania na administratorów danych kar finansowych za naruszenia przepisów ustawy. Warto zwrócić uwagę, na ich wysokość – kara może sięgać nawet 20 milionów euro, a w przypadku przedsiębiorstw nawet 4 proc. całkowitego rocznego światowego obrotu (zastosowanie ma kwota wyższa). Nałożenie na zdecydowaną większość polskich przedsiębiorców kary sięgającej górnej granicy wyżej zarysowanych widełek, skutkowałoby de facto bankructwem. Sposób wykonywania przez Prezesa swoich kompetencji może mieć zatem daleko idące skutki, zarówno dla poszczególnych podmiotów, jak i dla całego otoczenia gospodarczego w Polsce. Wprowadzenie do postępowania przed Prezesem Urzędu Ochrony Danych Osobowych zasady jednoinstancyjności zasługuje zatem na zdecydowaną krytykę. Jest to odstępstwo od zasady dwuinstancyjności wyrażonej w art. 15 kodeksu postępowania administracyjnego. Sam art. 15 z kolei stanowi konkretyzację normy zawartej w art. 78 konstytucji, zgodnie z którą każda ze stron ma prawo do zaskarżenia orzeczeń i decyzji wydanych w pierwszej instancji. W orzecznictwie wskazuje się, że zasada dwuinstancyjności wywiedziona z art. 78 konstytucji stanowi część ogólnej zasady sprawiedliwości proceduralnej. Jak można przeczytać w orzeczeniu Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 stycznia 2015 roku (sygn.. akt VI SA/Wa 1579/14), organ drugiej instancji zobowiązany jest merytorycznie rozpoznać sprawę zawisłą przed organem pierwszej instancji i ustalić we własnym zakresie prawidłowe rozstrzygnięcie. Ustanawianie wyjątku od tej reguły akurat w przypadku postępowania przed Prezesem Urzędu Ochrony Danych Osobowych musi budzić zdecydowany sprzeciw, ponieważ – jak wskazano wyżej – decyzje wydawane przez Prezesa będą w bardzo istotnym stopniu oddziaływać zarówno na przedsiębiorców, jak i na warunki prowadzenia działalności gospodarczej w Polsce (choćby poprzez wpływ na poczucie bezpieczeństwa prawnego przedsiębiorców). Pozbawienie przedsiębiorców możliwości odwołania od tej decyzji, a zatem zrezygnowanie z merytorycznej kontroli rozstrzygnięć wydawanych przez Prezesa, wydaje się być całkowicie nieuzasadnione. Tłumaczenie takiego rozwiązania dbałością o „ekonomikę postępowania” jest zdecydowanie niewystarczające. Szybkość postępowania nie może być dla prawodawcy istotniejsza, niż pewność, że podmioty zobowiązane do dokonywania określonych czynności ustawą, nie będą karane w sposób bezpodstawny przez organ nadzorujący. W aktualnym brzmieniu ustawy, administratorom danych przyznaje się możliwość jedynie zaskarżenia decyzji Prezesa do sądu, przy czym w postępowaniu sądowoadministracyjnym sprawy nie są ponownie badane pod kątem merytorycznym, sprawdzana jest jedynie formalna ścieżka wydania decyzji i jej zgodność z obowiązującymi przepisami. W związku z powyższym, stopień ochrony przedsiębiorców przed błędami, pomyłkami, a potencjalnie również nadinterpretowaniem nowych przepisów przez Prezesa, uważamy za całkowicie niewystarczający i apelujemy ponownie o wprowadzenie możliwości merytorycznego odwołania od decyzji Prezesa.
Ostatnią kwestią, na którą chcemy zwrócić uwagę, jest wykreślenie w nowej wersji projektu ustawy, dotychczasowego art. 5. W jego ramach, projektodawca korzystał z możliwości zawartej w rozporządzeniu, obniżenia wieku osoby, w przypadku której, gdy podstawą przetwarzania danych osobowych przy usługach świadczonych drogą elektroniczną jest zgoda tej osoby, przetwarzanie możliwe byłoby tylko po uzyskaniu zgody jej przedstawiciela ustawowego. W rozporządzeniu wiek ten określony jest na 16 lat – w dotychczasowej wersji projektu, polski projektodawca zdecydował się obniżyć go do lat 13. Uważamy, że pozostawienie granicy 13 lat dla skutecznego wyrażania przez dziecko zgody na przetwarzanie jego danych osobowych, w związku z kierowanymi do niego usługami świadczonymi drogą elektroniczną, jest jak najbardziej uzasadnione. Wskazujemy, że osoba, która ukończyła 13 lat, ma w myśl Kodeksu cywilnego ograniczoną zdolność do czynności prawnych, a zatem może zawierać umowy w drobnych bieżących sprawach życia codziennego, a także rozporządzać swoim zarobkiem. Nie ma powodu, by twierdzić, że osoba taka nie mogłaby jednocześnie być uprawniona do wyrażenia zgody na przetwarzanie dotyczących jej danych osobowych. Co więcej, pozostawienie granicy lat 16 wydaje się być rozwiązaniem skrajnie nieżyciowym – ciężko oczekiwać, by osoba, której do osiągnięcia pełnoletniości brakuje 2 lata, korzystała z Internetu w permanentnej obecności rodziców, gotowych do wyrażenia w jej imieniu zgody na przetwarzanie danych osobowych. Zwracamy również uwagę na niekonsekwencję wprowadzanego rozwiązania. Nastolatek w wieku do 16 lat nie będzie mógł swobodnie decydować o udzieleniu zgody na przetwarzanie swoich danych osobowych, ale będzie mógł rejestrować się na serwisach handlowych czy sieciach społecznościowych i akceptować ich regulaminy, które mogą być w dużo większym stopniu intruzywne dla jego prywatności. Ponadto zwracamy uwagę, iż nawet w przypadku wyrażenia zgody na przetwarzanie danych przez dziecko, to jego dane ciągle pozostają pod jego kontrolą, gdyż taką zgodę w każdej chwili może wycofać.
Dodatkowo, ustalenie dopuszczalnego wieku na 13 lat jest wspierane zarówno przez branżę, jak i licznych uznanych ekspertów, organizacje pozarządowe i organizacje międzynarodowe (w tym UNICEF) działające na rzecz bezpieczeństwa i dobrostanu dzieci w Internecie. Ustalenie wieku na 13 lat byłoby zgodne z licznymi normami międzynarodowymi i krajowymi, w tym np. z prawem Stanów Zjednoczonych z 1998 r. Ustawą o ochronie prywatności dzieci w Internecie (COPPA). W ramach UE, wiele krajów w tym Republika Czeska, Irlandia, Dania, Estonia, Finlandia, Hiszpania, Szwecja, Portugalia i Wielka Brytania wybrały 13 lat jako obowiązujący wiek przy wdrażaniu RODO.
Tym samym, apelujemy o przywrócenie przepisu obniżającego ww. granicę wiekową do lat 13.