11 kwietnia 2018 r. do I czytania na posiedzeniu Sejmu skierowano rządowy projekt ustawy o ochronie danych osobowych przygotowany przez Ministerstwo Cyfryzacji (projekt wpłynął do Sejmu w dniu 05 kwietnia 2018 r. – druk nr 2410).
Nadzwyczajne tempo prac spowodowane jest koniecznością wdrożenia do krajowego porządku prawnego postanowień ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Mimo bezpośredniej skuteczności rozporządzenia pociągnie ono za sobą konieczność rozpoczęcia prac legislacyjnych nad szeregiem ustaw tak, aby w pełni dostosować polski system prawny do nowych regulacji (wchodzących w życie już w dniu 25 maja 2018 r.).
Najistotniejsze zmiany obejmą m.in.:
- ustanowienie nowego, niezależnego organu właściwego w sprawie ochrony danych osobowych (Prezesa Urzędu Ochrony Danych Osobowych);
- postępowanie w sprawie naruszenia przepisów o ochronie danych,
- wyznaczanie inspektora ochrony danych.
Prezes Urzędu Ochrony Danych Osobowych (PUODO) zastąpi obecnego Generalnego Inspektora Ochrony Danych Osobowych. Niezależny organ powoływany będzie przez Sejm za zgodą Senatu, a możliwość jego odwołania została ograniczona do wyjątkowych przypadków. Prezes uzyska szereg kompetencji wzmacniających jego autonomiczny charakter, takich jak możliwość kierowania wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych, wniosków o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych czy wydawania rekomendacji w zakresie sposobów zabezpieczania danych osobowych. Organem opiniodawczo-doradczym Prezesa będzie Rada do Spraw Ochrony Danych Osobowych. Ponadto PUODO zyska możliwość korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub policji w trakcie przeprowadzanej kontroli (zgodnie z projektem kontrola taka nie będzie mogła trwać dłużej niż 30 dni od dnia od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach upoważnienia do przeprowadzenia kontroli).
Postępowanie w sprawach o naruszenie przepisów o ochronie danych osobowych, dotychczas dwuinstancyjne, zgodnie z projektowanymi zmianami ma zostać ograniczone do jednej instancji. Jak podkreśla Ministerstwo Cyfryzacji dzięki temu rozwiązaniu obywatel będzie miał możliwość szybszego uzyskania sądowej ochrony swoich praw[1]. Od 25 maja 2018 r. każdy obywatel zyska również prawo do „bycia zapomnianym”, które wiąże się z usunięciem danych z określonych baz czy rejestrów.
Ponadto projekt szczegółowo reguluje tryb zawiadamiania o wyznaczeniu inspektora ochrony danych. Administratorzy i podmioty przetwarzające określone w art. 37 ust. 1 lit. a rozporządzenia 2016/679 (RODO), tejże gdy:
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego
i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub - główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO [pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, danych biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby] oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO [przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa];
oraz organy i podmioty publiczne (art. 9 projektu) takie jak:
- jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r.
o finansach publicznych; - instytuty badawcze, o których mowa w ustawie z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz. U. z 2017 r. poz. 1158, 1452 i 2201);
- Narodowy Bank Polski;
obowiązane są do wyznaczenia inspektora i zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o tym fakcie w terminie 14 dni od dnia wyznaczenia wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora.
Jak wskazano w uzasadnieniu projektu[2] w związku z bezpośrednim stosowaniem rozporządzenia unijnego (RODO) konieczne stało się kompleksowe opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE. Przewiduje się, że ustawa wejdzie w życie z dniem 25 maja 2018 r. i pociągnie za sobą utratę mocy obowiązującej obecnej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138).
Dostosowanie przepisów wewnętrznych przedsiębiorstw do nowych regulacji wiąże się z szeregiem nowych obowiązków oraz koniecznością wdrążenia odpowiednich środków technicznych i organizacyjnych przez wszystkie podmioty, które zbierają i przetwarzają dane osobowe. Co istotne RODO przewiduje wysokie kary administracyjne (do 20 000 000,00 €) w przypadku naruszenia postanowień rozporządzenia.
Jeżeli potrzebujesz profesjonalnego doradztwa w zakresie zagadnień związanych z ochroną danych osobowych nasz zespół ekspercki wskaże Ci możliwe rozwiązania oraz zapewni kompleksowe doradztwo w zakresie dostosowania wewnętrznych przepisów do nowych regulacji.
[1] https://www.gov.pl/cyfryzacja/dane-osobowe-obywateli-beda-lepiej-chronione
[2] Uzasadnienie i projekt ustawy dostępne są na stronie internetowej Sejmu Rzeczypospolitej Polskiej pod adresem http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=2410.
Masz pytania dotyczące rachunkowości lub prawa podatkowego?
Potrzebujesz pomocy prawnej?
Wypełnij formularz kontaktowy
i skontaktuj się z nami
