Jak zmienią się polskie przepisy o ochronie danych osobowych

przepisy o ochronie danych osobowych

Projekt zmian polskich przepisów dostosowanych do obowiązującego RODO (GDPR), który pojawił się 28 marca 2017 r. na stronie Ministerstwa Cyfryzacji, w naszej ocenie podąża w dobrym kierunku. Jednak wiele propozycji wymaga większej uwagi. W projekcie nie pojawiły się kwestie dotyczące rejestrów czynności przetwarzania, procedury zgłaszania incydentów czy terminów postępowania przed Urzędem Ochrony Danych Osobowych.

Omawiany projekt odnosi się natomiast do propozycji zmian w obrębie:

Nowej nazwy urzędu ochrony danych osobowych – odpowiednikiem Generalnego Inspektora Ochrony Danych Osobowych byłby Prezes, który stałby na czele Urzędu Ochrony Danych Osobowych (UODO). Pracownicy UODO będą nazywani kontrolującymi. Dodatkowo, Prezes Urzędu będzie uprawniony do wydawania niewiążących dobrych praktyk zabezpieczeń przy przetwarzaniu danych osobowych.

Akredytacji i certyfikacji – w projekcie wskazano na tryb certyfikacji administratorów danych osobowych, a także warunki i kryteria akredytacji. Warto podkreślić, że Prezes Urzędu byłby wyłącznie podmiotem akredytującym, a nie certyfikującym.

Postępowania w sprawie naruszenia przepisów o ochronie danych – projekt zakłada, iż postępowanie byłoby jednoinstancyjne. Z obiegu prawnego wyeliminowany zostałby wniosek o ponowne rozpatrzenie sprawy. Dodatkowo, organizacje społeczne zostałyby dopuszczone do postępowania przez Urzędem. Prezes Urzędu dysponowałby prawem autokontroli w zakresie zmiany lub uchylenia decyzji w terminie 30 dni od daty wniesienia skargi. Zmiany odnoszą się także do możliwości wyznaczenia przez Prezesa Urzędu terminu (przy czym nie byłby on krótszy niż 3 dni) do przedstawienia wniosku dowodowego przez stronę. Nie sposób nie wspomnieć o tym, że w przypadku stwierdzenia naruszenia przepisów ODO, Prezes Urzędu, oprócz możliwości nakładania kar pieniężnych, będzie dysponował prawem np. do wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych osobowych, lub zakazu przetwarzania, sprostowania, lub usunięcie danych osobowych czy zawieszenia przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.

Europejskiej współpracy administracyjnej – projekt ustawy zakłada, iż wszelkie pisma  kierowane do Prezesa Urzędu w związku z europejską współpracą administracyjną powinny być przetłumaczone na język polski. Natomiast korespondencja pomiędzy Prezesem Urzędu a organami nadzorczymi powinna być prowadzona w języku urzędowym tego państwa członkowskiego lub języku angielskim.

Postępowania kontrolnego – projekt zakłada trzy rodzaje postępowań kontrolnych: kontrolę planową, kontrolę doraźną, a także kontrolę jako jeden ze środków w ramach toczącego się postępowania. Warto nadmienić, że projekt zakłada ograniczenie czasowe przeprowadzania kontroli. Kontrola musi zakończyć się w terminie 30 dni od dnia jej wszczęcia.

Administracyjnych kar pieniężnych i odpowiedzialności cywilnej – nakładanie kar pieniężnych będzie następować w drodze decyzji administracyjnej. Przy czym w stosunku do podmiotów publicznych maksymalna kara będzie wynosiła 100.000 zł. Warto dodać, że w projekcie znajduje się również możliwość dochodzenia roszczeń na drodze sądowej przed sądami cywilnymi. Z takiej możliwości będzie można skorzystać w ramach dopełnienia czynności potrzebnych do usunięcia skutków naruszenia przetwarzania danych osobowych. W praktyce każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, będzie mogła skorzystać z rozbudowanych roszczeń odszkodowawczych czy roszczeń niemajątkowych i majątkowych z tytułu naruszenia dóbr osobistych zgodnie z art. 24 Kodeksu Cywilnego (w tym prawa do prywatności).

W przypadku naruszenia przepisów przez przedsiębiorców ustawa odwołuje się do przepisów GDPR.  W ściśle określonych przypadkach w grę wchodzą ogromne kary pieniężne (przy czym zastosowanie będzie miała zawsze kwota wyższa) sięgające bagatela:

  • do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
  • do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Warto dodać, że środki finansowe pochodzące z kar pieniężnych stanowić będą dochód budżetu państwa. Termin na ich uiszczenie został ściśle ustalony i wynosi 14 dni od dnia upływu terminu na wniesienie skargi albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Co ważne, projekt zakłada również możliwość odroczenia uiszczenia kary bądź rozłożenia jej na raty.

Inspektorów ochrony danych – jak czytamy w projekcie, czas na zgłoszenie DPO do Urzędu to 14 dni od dnia jego wyznaczenia. Warto dodać, że obecni ABI będą  mieli czas do 1 września 2018 na podjęcie decyzji w sprawie rezygnacji z funkcji lub jej dalszym kontynuowaniu w charakterze IOD (DPO). Należy podkreślić, że do 1.09.2018 r. obecni ABI będą pełnić funkcję inspektorów.

Granicy wieku dziecka, od kiedy nie będzie wymagana zgoda rodzica bądź opiekuna prawnego – projekt w tym zakresie wskazuje, że granicą wieku wystarczającą do decydowania o wyrażeniu przez dziecko zgody na przetwarzanie danych jest 13 lat. Jeśli dziecko nie ukończyło 13 lat, przetwarzanie będzie uznane za legalne wyłącznie wtedy, kiedy zgodę wyrazi lub zaakceptuje osoba sprawująca władzę rodzicielską lub opiekę nad nim.

Więcej o projekcie przepisów:

Roboczy projekt nowej ustawy o ochronie danych osobowych – podsumowanie

DOWIEDZ SIĘ WIĘCEJ NA SZKOLENIACH O  UNIJNEJ  REFORMIE  OCHRONY  DANYCH  OSOBOWYCH  (RODO) :

Szkolenie unijna reforma ochrony danych osobowych i jej wpływ na przetwarzanie danych w sektorze publicznym

Ochrona danych osobowych i ogólne rozporządzenie unijne

Warsztaty „Dziś Administrator Bezpieczeństwa Informacji (ABI), a jutro Inspektor Ochrony Danych (IOD)”

Unijna reforma ochrony danych osobowych

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.