Prezes UODO – nowy organ ochrony danych osobowych

Wprowadzenie nowej ustawy (z Prezesem UODO) i uchylenie starej (z GIODO) skutkuje tym, że od 25 maja 2018 r. mamy do czynienia z nowym organem państwowym, a nie tylko z prostą zmianą nazwy organu. Zmiana nazwy organu wynikała jednak nie tylko z chęci podkreślenia, że będziemy mieli na nowo ustanowiony organ nadzorczy. Wynika to także z konieczności pewnego uporządkowania nazewnictwa.

Po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO) administratorzy bezpieczeństwa informacji zostaną zastąpieni przez inspektorów ochrony danych. Pozostawienie nazwy „Generalny Inspektor Ochrony Danych Osobowych” mogłoby sugerować, że organ państwowy ma coś wspólnego z inspektorami ochrony danych u poszczególnych ADO, jest niejako ich „zwierzchnikiem” – a tak nie będzie.

Z podobnej przyczyn Biuro Generalnego Inspektora Ochrony Danych Osobowych zamienia się na Urząd Ochrony Danych Osobowych. Jego pracownicy nie będą już zwani jak dotychczas „inspektorami”, ale po prostu pracownikami, a w czasie przeprowadzania kontroli – kontrolującymi.

Zasadnicze kompetencje Prezesa UODO nie ulegną zmianie w porównaniu do kompetencji GIODO, ponieważ wynikają z niezmienionej głównej funkcji tego organu jako organu właściwego w sprawie ochrony danych osobowych. Zyska on jednak także dodatkowy status – będzie organem nadzorczym nie tylko w rozumieniu RODO, ale także organem nadzorczym w rozumieniu tzw. dyrektywy policyjnej. Jest to dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW.

Ponadto Prezes UODO będzie miał takie obowiązki jak:

• prowadzenie współpracy międzynarodowej,
• podejmowanie działań certyfikacyjnych,
• podejmowanie działań edukacyjnych,
• prowadzenie postępowań w sprawach o naruszenie przepisów o ochronie danych,
• nadzór nad wykonywaniem RODO i dyrektywy policyjnej,
• opiniowanie założeń i projektów aktów prawnych dotyczących ochrony danych osobowych,
• coroczne przedstawianie sprawozdań ze swojej działalności.

Nie zmienią się właściwie w ogóle zasady kierowania przez Prezesa UODO do innych organów lub podmiotów wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych.

Ogólne rozporządzenie o ochronie danych (RODO) określa procedurę powołania organu nadzorczego i w ramach zakreślonym tym rozporządzeniem zaprojektowano polskie rozwiązania. W Polsce Prezes UODO będzie powoływany i odwoływany przez Sejm za zgodą Senatu (i tak było do tej pory w przypadku GIODO), ale zapisano dodatkowo, że na wniosek Prezesa Rady Ministrów. Ma to zapewnić zgodny wybór dokonany przez władzę ustawodawczą i wykonawczą.

Nie ma specjalnych zmian w zakresie wymogów stawianych kandydatom do piastowania funkcji Prezesa UODO. Powinni oni:

• mieć pięcioletnie doświadczenie w wykonywaniu czynności bezpośrednio związanych z ochroną danych osobowych,
• posiadać stopień naukowy doktora.

Dodano natomiast wymóg korzystania z pełni praw publicznych. Kandydaci nie muszą już za to:

• stale zamieszkiwać na terytorium Rzeczypospolitej Polskiej.
• wyróżniać się wysokim autorytetem moralnym,
• być prawnikami.

Nie zostały zmienione przesłanki odwołania Prezesa UODO w porównaniu do przesłanek odwołania GIODO. Bez zmian pozostanie także długość kadencji Prezesa UODO (4 lata) oraz nadal będzie obowiązywała zasada, że ta sama osoba nie może piastować funkcji przez dłużej niż dwie kadencje.

Projekt nowej ustawy o ochronie danych osobowych przewiduje, że Prezes UODO będzie mógł mieć aż trzech zastępców, co jest bezpośrednim wynikiem zwiększenia jego kompetencji i nałożonych na niego obowiązków.

Pierwszy zastępca jest niejako „obowiązkowy” i powołuje go Prezes Rady Ministrów na wniosek ministra właściwego do spraw wewnętrznych. Wniosek taki minister właściwy do spraw wewnętrznych będzie zobowiązany przekazać do zaopiniowania ministrowi sprawiedliwości, ministrowi obrony narodowej, ministrowi właściwemu do spraw finansów publicznych oraz Prokuratorowi Generalnemu. Pozostali dwaj zastępcy mogą być powołani przez Prezesa Rady Ministrów na wniosek ministra właściwego do spraw informatyzacji. Odwołanie zastępców będzie się odbywało w tym samym trybie co ich powołanie.

W zamyśle ustawodawcy Rada do Spraw Ochrony Danych Osobowych będzie organem opiniodawczo-doradczym powoływanym na dwuletnią kadencję. W jego skład wejdą osoby reprezentujące różne interesy, nie tylko przedstawiciele administracji. Będą to osoby z wyższym wykształceniem, rekomendowane m.in. przez:

• członków Rady Ministrów,
• Rzecznika Praw Obywatelskich,
• Prezesa Urzędu Ochrony Konkurencji i Konsumentów,
• izby gospodarcze,
• jednostki naukowe,
• stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych osobowych.

Przewodniczącego i wiceprzewodniczącego Rady powołuje i odwołuje Prezes UODO.

Wśród zadań rady znajduje się:

• opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych,
• opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych,
• opracowywanie propozycji kryteriów certyfikacji,
• opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych,
• inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze,
• wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu,
• wykonywanie innych zadań zleconych przez Prezesa Urzędu.

Rada będzie składać Prezesowi UODO sprawozdanie z działalności za każdy rok kalendarzowy.

Prezes UODO będzie obciążony obowiązkiem sprawozdawczym. Do 31 sierpnia każdego roku (do tej pory data nie była wskazana) powinien przedstawić Sejmowi, Prezesowi Rady Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu (do tej pory tylko Sejmowi) sprawozdanie ze swojej działalności. Powinno ono zawierać w szczególności:

• informację o liczbie i rodzaju prawomocnych orzeczeń sądowych uwzględniających skargi na decyzje lub postanowienia Prezesa Urzędu (tej informacji do tej pory ustawa wyraźnie nie wymagała),
• wnioski wynikające ze stanu przestrzegania przepisów o ochronie danych osobowych (tak samo, jak do tej pory).

Prezes UODO będzie musiał prowadzić system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych. Zgodnie bowiem z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – ma je zgłosić organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. To zgłoszenie będzie więc mogło dokonywane elektronicznie.

Ponadto system teleinformatyczny Prezesa UODO ma także zapewnić administratorom albo podmiotom przetwarzającym, którzy powołali inspektora ochrony danych, możliwość przesyłania w postaci elektronicznej zawiadomień o wyznaczeniu takiego inspektora.