5 kwietnia b.r. do Sejmu trafił rządowy projekt nowej ustawy o ochronie danych osobowych. Jak zapewnia Ministerstwo Cyfryzacji, nowa ustawa ma lepiej chronić dane osobowe obywateli i m.in. chronić przed handlem danymi. Do nowych regulacji będą musiały dostosować się wszystkie podmioty, które zbierają i przetwarzają dane osobowe. Zmiany wynikają z konieczności dostosowania przepisów do Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dnia 27 kwietnia 2016 (RODO). Co w praktyce oznacza przyjęcie nowej ustawy?
Nowe organy
Zgodnie z projektem, zostanie ustanowiony niezależny organ zajmujący się sprawami ochrony danych osobowych – Prezes Urzędu Ochrony Danych Osobowych (PUODO) oraz organ doradczy – Rada do Spraw Ochrony Danych Osobowych. Nowy organ zastąpi dotychczasowy urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO). PUODO będzie powoływany na swoją kadencję przez Sejm za zgodą Senatu. Będzie on mógł kierować do organizacji wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. PUODO będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Będzie też mógł wydawać rekomendacje, jak odpowiednio zabezpieczać dane osobowe. Każdy podmiot będzie musiał jednak sam ocenić ryzyko związane z wyciekiem danych osobowych i dostosować odpowiednie środki zabezpieczające.
Szybsze postępowanie
Jednym z założeń projektu ma być usprawnienie prowadzonych obecnie postępowań. Nowe przepisy mają dać obywatelom nie tylko lepszą ochronę przed nieuczciwymi praktykami, ale uczynić też postępowania w sprawach ochrony danych osobowych szybszymi. Projekt przewiduje także zniesienie dotychczasowej dwuinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Dzięki temu rozwiązaniu obywatel będzie miał możliwość szybszego uzyskania sądowej ochrony swoich praw.
Proces certyfikacji
W związku z RODO do nowej ustawy dodano także rozdział odnoszący się do certyfikacji. Na mocy tych przepisów certyfikacji dokonywać będzie PUODO oraz organ certyfikujący (podmioty z sektora prywatnego), na wniosek zainteresowanego podmiotu. Kryteria certyfikacji będą udostępnione przez PUODO w Biuletynie Informacji Publicznej. Certyfikacja będzie dokonywana na zasadach określonych w RODO. Do wniosku powinny zostać dołączone dokumenty potwierdzające spełnianie kryteriów certyfikacji oraz, w przypadku certyfikacji dokonywanej przez PUODO, dowód wniesienia opłaty, ustalanej każdorazowo przez organ w wysokości odpowiadającej przewidywanym kosztom poniesionym z tytułu wykonywania tych czynności.
Kontrola przestrzegania przepisów
Projekt nowej ustawy określa sposób przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych. Według tych założeń kontrola będzie przeprowadzana przez pracowników Urzędu Ochrony Danych Osobowych, zgodnie z zatwierdzonym przez PUODO planem kontroli, na podstawie uzyskanych informacji lub w ramach monitorowania przestrzegania stosowania RODO. Na mocy nowej ustawy kontrolujący będą mieć prawo do m.in. wglądu do wszelkich dokumentów i informacji mających bezpośredni związek z zakresem kontroli, przeprowadzania oględzin, żądać złożenia wyjaśnień oraz przesłuchiwać w charakterze świadka. Kontrola będzie mogła być również przeprowadzona bez wcześniejszego poinformowania podmiotu kontrolowanego. Z przebiegu kontroli podmiot kontrolujący będzie miał obowiązek sporządzić protokół.
Odpowiedzialność prawna
Podmiot, który naruszy przepisy o ochronie danych osobowych, będzie musiał się liczyć z odpowiedzialnością odszkodowawczą. Istotną rolę w postępowaniu będzie odgrywał PUODO – postępowanie dotyczące tego samego naruszenia, toczące się przed PUODO może spowodować zawieszenie, a nawet umorzenie postępowania sądowego. PUODO będzie mógł również wstąpić do toczącego się procesu w każdym jego stadium za zgodą powoda, wytaczać powództwa na rzecz osoby, której dane dotyczą, przedstawić sądowi istotny dla sprawy pogląd. Projekt uprawnia PUODO do nakładania kar pieniężnych w drodze decyzji administracyjnej. Za bezprawne przetwarzanie danych osobowych będzie groziła również kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Taka sama kara będzie grozić także za udaremnianie lub utrudnianie przeprowadzenia kontroli.
Kodeksy postępowania
Projekt ustawy odnosi się również do kodeksów postępowania, o których mowa w art. 40 RODO. Według założeń rozporządzenia, mają one pomagać we właściwym stosowaniu przepisów RODO z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Każdy projekt kodeksu przed zatwierdzeniem przez PUODO będzie podlegał konsultacjom z zainteresowanymi podmiotami. Przestrzeganie zatwierdzonego kodeksu postępowania będzie monitorowany przez podmiot akredytowany przez PUODO.
Tryb zgłaszania naruszeń ochrony
Projekt nowej ustawy o ochronie danych osobowych stwarza możliwość stworzenia systemu teleinformatycznego, którego celem będzie umożliwienie administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych. Prowadzenie systemu w razie jego utworzenia będzie powierzone PUODO. Obowiązek zgłaszania naruszeń wynika z art. 33 RODO. Administrator danych osobowych jest obowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych.
Projekt po uchwaleniu zapewni skuteczne stosowanie przepisów RODO, które nakłada na przedsiębiorców szereg obowiązków związanych z ochroną danych osobowych. Dużym ułatwieniem będzie stworzenie systemu teleinformatycznego, za pomocą którego będzie możliwe zgłaszanie naruszeń ochrony danych. Nowelizacja ma na celu dostosowanie polskiego prawodawstwa do unijnych standardów. W projekcie zmienione zostały postanowienia dotychczas obowiązującej ustawy o ochronie danych osobowych, które są sprzeczne z unijnym rozporządzeniem, a także uaktualniono i dodano niezbędne regulacje.
Źródło:
Projekt ustawy o ochronie danych osobowych (: http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=2410😉
Ministerstwo Cyfryzacji (https://www.gov.pl/cyfryzacja/dane-osobowe-obywateli-beda-lepiej-chronione; https://www.gov.pl/cyfryzacja/nowe-prawo-ochrony-danych-osobowych😉
