Projekt nowej ustawy o ochronie danych osobowych autorstwa Ministerstwa Cyfryzacji

Ustawa stanowi krajowe uzupełnienie rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli GDPR/RODO i wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/68.

Projekt opublikowało 14 września Rządowe Centrum Legislacji. Można się z nim zapoznać na stronie RCL.

PUODO zastąpi GIODO

Nowy organ nadzorczy ochrony danych osobowych będzie nosił nazwę „Prezes Urzędu Ochrony Danych Osobowych”. Prezesa będzie powoływał Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów. Przy Prezesie UODO działać będzie Rada do Spraw Ochrony Danych Osobowych, która będzie organem opiniotwórczo-doradczym Prezesa UODO.

Zawiadomienie o wyznaczeniu inspektora ochrony danych

Zgodnie z ustawą, administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych będzie zawiadamiać Prezesa Urzędu Ochrony Danych Osobowych o jego wyznaczeniu w terminie 14 dni, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora. W tym samym terminie trzeba będzie powiadomić o zmianie danych inspektora lub o jego odwołaniu. Co ciekawe zawiadomienia te będą mogły być składane tylko w postaci elektronicznej, jako opatrzone kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Nie będzie więc możliwe złożenie ich w tradycyjnej formie papierowej, zgodnie z art. 63 Kpa.

Certyfikacja

Bardzo ciekawym narzędziem będzie certyfikat o przestrzeganiu przepisów o ochronie danych osobowych, wydawany przedsiębiorcom przez Prezesa UODO. Będzie on mógł być udzielony zarówno administratorowi jak i podmiotowi przetwarzającemu. Najpierw jednak Prezes Urzędu opracuje kryteria certyfikacji i udostępni je w Biuletynie Informacji Publicznej na swojej stronie internetowej. Samo postępowanie certyfikacyjne będzie płatne – opłata będzie równa trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez GUS. Prezes Urzędu będzie rozpatrywał wniosek o certyfikację w terminie nie dłuższym niż 3 miesiące od dnia złożenia. W ramach samego postępowania PUODO przeprowadzi też czynności sprawdzające u administratora/podmiotu przetwarzająćego w ramach których osoba przeprowadzająca czynności sprawdzające będzie uprawniona do:

  • wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń
  • wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją
  • oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych
  • uzyskania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją

Ponadto, Prezes Urzędu będzie prowadzić publicznie dostępny wykaz administratorów i podmiotów przetwarzających, którym udzielono certyfikacji.

Przepisy karne w szczątkowej formie

Jednym z głównych zarzutów wobec rozporządzenia RODO 2016/679 był brak w nim przepisów karnych. Przez pewien czas ważyło się, czy przepisy te zostaną utrzymane w krajowym akcie prawnym (pierwszy projekt ustawy ich nie zawierał). Nowa ustawa o ochronie danych osobowych będzie zawierać dwa przepisy karne. Jeden z nich będzie wprowadzać wykroczenie – udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych będzie podlegać grzywnie. Można się zastanawiać czy w kontekście wielomilionowych kar jakie będzie można nakładać na naruszających przepisy o ochronie danych osobowych (do 4% światowego obrotu), sankcjonowanie udaremniania kontroli grzywną za wykroczenie jest w ogóle racjonalne. Będzie można bowiem uniemożliwić kontrolę, a więc w pewnych przypadkach uniemożliwić też nałożenie kary, narażając się jedynie na odpowiedzialność wykroczeniową. W chwili obecnej trudno sobie wyobrazić żeby ustawodawca nie zaostrzył tej odpowiedzialności w finalnym tekście ustawy.

Drugi przepis będzie sankcjonować przestępstwo przetwarzania danych wrażliwych, o których mowa w art. 9 rozporządzenia GDPR/RODO bez podstawy prawnej, które będzie podlegać grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Tutaj również zakres ochrony prawnokarnej uznać należy za niewystarczający, z uwagi na to że dotyczy on jedynie danych wrażliwych. Tym samym nękanie konsumentów namolnymi telefonami z ofertami, czy też nie tak znowu rzadkie przypadki „wyniesienia” danych osobowych przez odchodzącego pracownika do nowego pracodawcy nie będą już podlegać sankcji karnej (chyba że jako naruszenie tajemnicy przedsiębiorstwa – w tym drugim przypadku).

Warto wspomnieć, że wraz z projektem nowej ustawy o ochronie danych osobowych opublikowany został projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych, z którym można zapoznać się tutaj.