Prace nad krajową ustawą o ochronie danych osobowych powoli idą do przodu, tak że cały akt ma szanse na wejście w życie przed 25 maja. 8 lutego Ministerstwo Cyfryzacji opublikowało nowy projekt ustawy, ale okazuje się że… jest on już nieaktualny, ponieważ zmian w nim dokonał Stały Komitet Rady Ministrów.Teraz obraduje nad nim Komisja Prawnicza RM. Do otwarcia drogi parlamentarnej więc jest więc jeszcze dosyć daleko, zwłaszcza że projekt ustawy jest dosyć płynny. Ustawa krajowa stanowi uzupełnienie przepisów GDPR/RODO, a w pewnym zakresie wyłącza stosowanie rozporządzenia ogólnego.
Projekt z 8 lutego wprowadzał wyjątki i ułatwienia dla przedsiębiorców zatrudniających mniej niż 250 pracowników. Za najbardziej kontrowersyjne uznać należało wyłączenie obowiązku informowania przez administratora podmiotów danych (w tym klientów) o stwierdzonym naruszeniu ochrony danych osobowych. Zapis ten jest jednak nieaktualny i w najnowszym projekcie z 6 marca w ogóle nie znajdują się wyłączenia dla przedsiębiorców zatrudniających poniżej 250 pracowników, a zamiast tego ustawa operuje pojęciem mikro-przedsiębiorcy z art. 104 ustawy o swobodzie działalności gospodarczej.
Tacy administratorzy:
- Nie będą musieli informować klienta w chwili pozyskiwania od niego danych o okresie czasu przez jaki dane będą przechowywane. Zamiast tego z mocy prawa dopuszczalne będzie przechowywanie danych jedynie przez okres czasu w zakresie niezbędnym do realizacji celów przetwarzania danych osobowych.
- Nie będą musieli informować klienta w chwili pozyskiwania od niego danych o prawie wniesienia skargi do organu nadzorczego.
- Nie będą musieli w chwili pozyskiwania od niego danych podawać informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
- Nie będą musieli informować klienta w chwili pozyskiwania od niego danych o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz podawać istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- Nie będą musieli informować o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych (instytucje z odpowiednio art. 16, 17 i 18 GDPR/RODO), których których dokonali każdego odbiorcę, któremu wcześniej przekazali dane osobowe.
Pytaniem które się w tym miejscu nasuwa jest, co oznacza pojęcie “pracownicy” – czy chodzi o osoby zatrudnione tylko w ramach stosunku pracy, czy też na podstawie “umów cywilnoprawnych”? Wbrew pozorom definicja nie jest tutaj taka sama jak w przypadku przepisów ustawy o ochronie działalności gospodarczej nakazujących jak liczyć średnioroczne zatrudnienie (przy definicjach kategorii przedsiębiorców). W uzasadnieniu do projektu czytamy bowiem: Zwrot „pracownicy” powinien być w ocenie projektodawcy intepretowany szeroko i obejmuje wszystkie osoby wykonujące wewnątrz organizacji działania na rzecz przedsiębiorcy niezależnie od formy prawnej ich zatrudnienia .
Ustawa krajowa przewiduje też rozwiązanie, zgodnie z którym osoba pełniąca na dzień 24 maja 2018 funkcję administratora bezpieczeństwa informacji stanie się, z mocy samej ustawy (bez konieczności podpisywania albo aneksowania żadnych umów), inspektorem ochrony danych. Osoba taka będzie pełnić swoją funkcję do 1 września 2018, chyba, że do tego dnia administrator zawiadomi PUODO o wyznaczeniu innej osoby na inspektora ochrony danych. Osoba, która w tym trybie stanie się inspektorem ochrony danych, będzie pełnić swoją funkcję także po dniu 1 września 2018 r. jeżeli do tego dnia administrator zawiadomi o niej PUODO w sposób określony w ustawie. Osoba w ten sposób powołana będzie mogła zostać odwołana przez administratora danych bez zawiadomienia PUODO o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy na podstawie art. 37 rozporządzenia GDPR/RODO administrator danych nie będzie miał obowiązku wyznaczenia inspektora ochrony danych.
Ważne jest też, że administrator, który do dnia wejścia w życie ustawy nie powołał administratora bezpieczeństwa informacji, a który zgodnie z art. 37 GDPR/RODO będzie miał obowiązek wyznaczenia inspektora ochrony danych, będzie wyznaczać inspektora ochrony danych i zawiadamiać o tym PUODO w przedłużonym terminie do 31 lipca 2018. Analogicznie będzie postępować podmiot przetwarzający.
Z projektem ustawy można zapoznać się w tym miejscu.