Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Wyślij link znajomemu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego RODO lub z ang. GDPR. Przepisy rozporządzenia będą stosowane bezpośrednio, więc nie muszą być specjalnie implementowane do krajowych porządków prawnych. Z drugiej strony, aby nie zachodziła kolizja przepisów, konieczne jest uchylenie obecnie obowiązujących przepisów polskiej ustawy o ochronie danych osobowych. Ponadto RODO pozostawia kilka kwestii do decyzji władzy ustawodawczej poszczególnych krajów członkowskich UE.

28 marca br. Ministerstwo Cyfryzacji (minister tego resortu odpowiada za sprawne wdrożenie przepisów RODO w Polsce) opublikowało projekt nowej ustawy o ochronie danych osobowych. Jeżeli niektóre firmy w naszym kraju zwlekały z przygotowaniem organizacji do nadchodzącej rewolucji pod postacią RODO, z powodu oczekiwania na polską ustawę, to niestety czas ten został zmarnowany. Zgodnie z przypuszczeniami wielu ekspertów nowa ustawa o ochronie danych osobowych nie wprowadza zmian treści RODO (robić tego nie może), a jedynie stanowi dopełnienie jego przepisów i stanowi niejako instrukcję postępowania z RODO, poprzez m.in. ustalenie proceduralnych ram działalności polskiego organu nadzorczego.

Jedną z kwestii, którą RODO pozostawiło do ewentualnej decyzji na szczeblu krajowym jest możliwość obniżenia wieku dziecka, które samodzielnie będzie mogło wyrazić zgodę na przetwarzanie danych osobowych w przypadku korzystania z usług społeczeństwa informacyjnego (każda usługa normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług). Projektodawca zdecydował się na maksymalnie dopuszczalne obniżenie tego wieku i polskie dzieci już od 13 roku życia będą mogły samodzielnie wyrażać zgodę na przetwarzanie ich danych osobowych w tym celu. Argumentacja idąca w ślad za obniżeniem wieku (RODO określa pułap na poziomie 16 lat) opiera się m.in. na przepisach polskiego Kodeksu cywilnego, który daje osobom powyżej 13 roku życia ograniczoną zdolność do czynności prawnych. Ministerstwo wyszło zatem z założenia, iż skoro polskie przepisy dają osobom powyżej 13 roku życia możliwość kreowania, w ograniczonym zakresie, stosunków prawnych to takie osoby będą również mogły samodzielnie wyrażać zgodę na przetwarzanie ich danych osobowych. Co ciekawe podczas szerokich konsultacji GIODO zapytał nauczycieli o opinię w tej sprawie i aż 89% z biorących udział w konsultacjach uznało, że 13 lat to zbyt mało na podejmowanie samodzielnej decyzji w tej sprawie.

Projekt ustawy rozstrzyga ponadto kwestię nazwy polskiego organu ochrony danych osobowych. Zdecydowano się na określenie Prezes Urzędu Ochrony Danych Osobowych. Z jednej strony chodziło o to, aby nazwa była przejrzysta dla obywateli i wpisywała się w katalog innych tego typu organów, np. Prezes Urzędu Komunikacji Elektronicznej, Prezes Urzędu Ochrony Konkurencji i Konsumentów. Z drugiej, konieczne było uniknięcie ewentualnych nieporozumień związanych ze słowem „inspektor”. Obecnie obowiązująca ustawa określa Generalnego Inspektora Ochrony Danych Osobowych (GIDOO), natomiast RODO w miejsce administratorów bezpieczeństwa informacji (ABI) wprowadza inspektorów ochrony danych (IOD). Bez zmiany mogło powstać wrażenie, iż mamy dwie kategorie inspektorów ochrony danych: urzędowi, podlegający pod Generalnego Inspektora oraz niezależni, odpowiadający za przestrzeganie przepisów w firmach.

Wprowadzono również mechanizm automatycznego „przekształcenia” administratorów bezpieczeństwa informacji, którzy w dniu 24 maja 2018 r. będą pełnić tę funkcję (czyli zostali zgłoszeni do rejestru prowadzonego przez GIODO) w inspektorów ochrony danych. Następnie do dnia 1 września 2018 roku konieczne będzie poinformowanie Prezesa Urzędu o woli dalszego pełnienia tej funkcji albo zaprzestania jej pełnienia. Ograniczenie czasowe „przekształcenia” jest wyjściem naprzeciw osobom pełniącym obecnie funkcję ABI. Projektodawca zdaje sobie sprawę z ogromu pracy, która jest konieczna do wykonania, aby pod rządami RODO rzetelnie pełnić tę funkcję. W związku z tym każdy ABI będzie mógł zdecydować czy nadal chce pełnić te obowiązki. Warto pamiętać, że jeżeli do Prezesa Urzędu nie wpłynie żadna informacja w tym zakresie inspektor ochrony danych przestanie pełnić swoją funkcję z dniem 1 września 2018 roku.

Projekt ustawy w pozostałym zakresie reguluje m.in. kwestie proceduralne związane z funkcjonowaniem Prezesa Urzędu Ochrony Danych Osobowych. Określa przepisy, na podstawie których Prezes Urzędu będzie mógł prowadzić postępowania w sprawie naruszenia ochrony danych, kontrolować administratorów danych, a także udzielać akredytacji podmiotom certyfikującym. Wartą odnotowania jest również propozycja obniżenia wysokości kar dla organów publicznych za nieprzestrzeganie przepisów RODO do maksymalnego poziomu 100 tyś. zł.

Polskim firmom pozostaje czekać na ostateczny kształt nowej ustawy o ochronie danych osobowych, oczekiwanie to nie powinno wstrzymywać procesu dostosowania organizacji do przepisów RODO, ponieważ w wielu przypadkach czas, który pozostał do 25 maja 2018 r. może okazać się zbyt krótki.

Autor: Michał Rogoziński