Przegląd najważniejszych regulacji zawartych w projekcie nowej ustawy o ochronie danych osobowych
09/10/2017
Opracowanie projektu nowej ustawy o ochronie danych osobowych wynika z konieczności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Rozporządzenie zwane także w skrócie RODO będzie obowiązywało w polskim porządku prawnym bezpośrednio i będzie miało zastosowanie od dnia 25 maja 2018 r. i od tego dnia polskie przepisy muszą zapewniać skuteczne stosowanie przepisów Rozporządzenia, nie powielając jego rozwiązań ani nie będąc z nim sprzecznymi.
Przegląd najważniejszych projektowanych regulacji:
- Zgoda na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku
Zgodnie z projektem samodzielnie zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku będzie mogła wyrazić osoba, która ukończyła lat 13. Jednocześnie precyzuje się, iż problem zgody dotyczy usług świadczonych drogą elektroniczną, oraz wyrazić lub zaaprobować zgodę (wyrażoną przez dziecko, które nie ukończyło lat 13) może przedstawiciel ustawowy.
- Publikacja danych kontaktowych inspektora ochrony danych
Obowiązek publikacji danych kontaktowych inspektora spoczywa zgodnie z RODO na administratorze oraz podmiocie przetwarzającym. Art. 5 projektu reguluje sposób i tryb zawiadamiania o wyznaczeniu inspektora oraz prowadzenie ewidencji zawiadomień. Przyjęto rozwiązanie, zgodnie z którym zawiadomienia należy przesyłać drogą elektroniczną. Co istotne, w zawiadomieniu należy wskazać adres poczty elektronicznej lub numer telefonu osoby wyznaczonej do pełnienia roli inspektora.
- Certyfikacja i akredytacja
Rozdział 3 projektu reguluje zasady certyfikacji i akredytacji oraz tryb postępowania w tych sprawach. Przewidziano, że certyfikacji dokonywał będzie wyłącznie Prezes Urzędu Ochrony Danych Osobowych. Certyfikacji dokonuje się na wniosek administratora lub podmiotu przetwarzającego, na podstawie kryteriów określonych przez Prezesa Urzędu i udostępnionych w BIP na jego stronie podmiotowej. W celu zapewnienia skutecznych narzędzi sprawdzania czy kryteria certyfikacji są spełniane, przewidziano uprawnienie dla Prezesa Urzędu do przeprowadzania czynności sprawdzających. Zakres uprawnień przysługujących w ramach prowadzenia czynności sprawdzających określa art. 14 projektu.
Przepisy art. 17-19 projektu dotyczą monitorowania przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO. Projekt nowej ustawy przewiduje, iż monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania będą zajmowały się podmioty akredytowane przez Prezesa Urzędu. Prezes Urzędu będzie udostępniał wykaz podmiotów akredytowanych w Biuletynie Informacji Publicznej.
- Prezes Urzędu Ochrony Danych Osobowych
Rozdział 4 zawiera kluczową regulację ustrojową – przepisy dotyczące organu nadzorczego. Przepisy projektowanej ustawy ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych, będzie nim Prezes Urzędu Ochrony Danych Osobowych. Novum przy regulacjach dotyczących tej jednostki jest nadawanie jej statutu przez Prezesa Urzędu. Nowością są również regulacje dotyczące obowiązku zachowania tajemnicy przez pracowników Urzędu.
Nową instytucją powoływaną przez Prezesa Urzędu ma być Rada do Spraw Ochrony Danych Osobowych- organ opiniodawczo-doradczy. Zadania ww. Rady określa art. 34 ust. 2 projektu.
Projekt nakłada na Prezesa Urzędu obowiązek publikowania w Biuletynie Informacji Publicznej standardowych klauzul umownych i zatwierdzonych kodeksów postępowania, a także określa formy prawne upubliczniania wykazu rodzajów operacji przetwarzania danych osobowych podlegających wymogowi dokonania oceny skutków dla ochrony danych. Prezesa Urzędu obciążono także obowiązkiem opracowywania i udostępniania rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Projekt wprowadza również regulacje zapewniające sprawność i zakończenie w rozsądnym czasie postępowania dotyczącego uprzednich konsultacji.
- Postępowania w sprawach naruszenia przepisów o ochronie danych osobowych
Przepisy Rozdziału 5 projektu ustawy regulują sposób postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Prowadzi się je co do zasady według przepisów Kodeksu postępowania administracyjnego. Projektodawca przewidział jednoinstancyjność postępowania.
W przepisach Rozdziału 7 uregulowano postępowanie kontrolne. Przepisy tego rozdziału będą miały zastosowanie w przypadku czynności kontrolnych prowadzonych w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, w przypadku kontroli planowych jak również kontroli doraźnych. Kontrole będą przeprowadzane przez upoważnionych pracowników Urzędu Ochrony Danych Osobowych. Zakres udzielanych upoważnień do przeprowadzenia kontroli określa art. 68 projektu.
- Postępowanie cywilne
Projektodawca zdecydował się na wprowadzenie regulacji dającej wyraźną cywilnoprawną podstawę roszczeń o charakterze niemajątkowym. Sądy okręgowe będą właściwe w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, niezależnie od tego czy chodzić będzie o roszczenia majątkowe (niezależnie od wartości przedmiotu sporu) czy niemajątkowe.
- Ograniczenie kar wobec podmiotów publicznych
Przepisy Rozdziału 9 projektu dotyczą administracyjnych kar pieniężnych. Przesłanki ich nakładania i maksymalne wysokości wynikają wprost z Rozporządzenia. Projektodawca zdecydował się ograniczyć wysokość kar, jakie mogą być nakładane na podmioty publiczne do 100.000 zł. Wyłączono z możliwości objęcia takimi karami państwowe i samorządowe instytucje kultury.
- Odpowiedzialność karna za naruszenie ochrony danych osobowych
Rozdział 10 projektu wprowadza do projektu przepisy karne. Odpowiedzialność karna ma być jednak wyjątkiem przewidzianym wyłącznie dla najcięższych naruszeń przepisów. Tym niemniej dla zapewnienia skuteczności systemu ochrony danych osobowych przewidziano sankcję karną za udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, penalizuje się również przetwarzanie pewnych szczególnych kategorii danych bez podstawy prawnej.
Projekt oraz uzasadnienie nowej usstawy o cohronie danych opublikowaliśmy pod linkiem.
Konsultacje społeczne w sprawie projektu potrwają do 13 października 2017 r. więcej
Jakub Gosz
radca prawny