Ta strona używa plików „Cookies”
Korzystanie ze strony bez zmiany ustawień przeglądarki w tym zakresie, oznacza zgodę na ich używanie. Więcej informacji na ten temat znajduje się w naszej polityce prywatności. X

Co już wiemy o nowych krajowych przepisach o ochronie danych osobowych

Katarzyna Wojciechowska, Radca prawny w kancelarii prawnej D. Dobkowski sp.k. stowarzyszonej z KPMG w Polska

Na początek częściowy projekt

Wiosną tego roku Ministerstwo Cyfryzacji (MC) udostępniło wstępny projekt nowych regulacji dotyczących ochrony danych osobowych. Krajowe przepisy są w trakcie przygotowywania w ramach dostosowywania polskiego systemu prawnego do wymogów ogólnego rozporządzenia unijnego o ochronie danych osobowych (tzw. GDPR lub RODO). Udostępniony projekt to na razie „wersja robocza”.

Czego dotyczy wstępny projekt?

W ramach przepisów ogólnych, projekt tworzy i definiuje zadania organu nadzorczego (dziś GIODO) – po zmianie Prezesa Urzędu Ochrony Danych Osobowych.

Projektodawca korzysta też z możliwości ustalenia innego niż wynikającego z GDPR dolnego limitu dla zgody dziecka w przypadku usług społeczeństwa informacyjnego – obniża granicę 16 lat do poziomu 13 lat.

W pozostałym zakresie wersja robocza projektu poświęcona jest takim zagadnieniom jak: akredytacja i certyfikacja; postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, europejska współpraca administracyjna, postępowanie kontrolne, administracyjne kary pieniężne, odpowiedzialność cywilna, inspektorzy ochrony danych.

Najważniejsze kwestie projektu

1. Nowe uprawnienia/obowiązki Prezesa UODO w związku ze stwierdzeniem naruszenia przepisów

• Wydawanie rozstrzygnięć w postaci decyzji nakazujących np. uwzględnienie żądań zawartych w skardze, dostosowanie operacji przetwarzania danych do wymogów GDPR, zawiadomienie podmiotu danych o naruszeniu, wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych lub zakazu przetwarzania, sprostowanie lub usunięcie danych, zawieszenie przepływu danych do państw trzecich;

• Kompetencja do nakładania kar administracyjnych do kwot wynikających z GDPR (do 10 – 20 mln Euro albo do 3- 4 % obrotu). Projekt dopuszcza łagodniejszą sankcję w postaci upomnienia, ale tylko dla znikomej wagi naruszenia;

• Rozpoznawanie skarg w ciągu miesiąca, w wyjątkowych sytuacjach może zostać wydłużone do dwóch miesięcy (dziś postępowania przed GIODO trwają nawet 270 dni);

• Decyzje Prezesa mają podlegać natychmiastowemu wykonaniu. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych ma być jednoinstancyjne, a decyzje podlegają zaskarżeniu do sądu administracyjnego;

• Warto zwrócić uwagę na kompetencję Prezesa UODO do wydawania środków tymczasowych:

Prezes UODO ma mieć możliwość wydawania postanowień nakazujących ograniczenie przetwarzania danych w trakcie trwania postępowania. Celem tego środka jest zapobieganie dalszemu naruszaniu prawa przez podmiot, któremu jest ono zarzucane. Rozwiązanie to budzi wątpliwości przedsiębiorców, z uwagi na brak możliwości zaskarżenia takiego postanowienia. Oburzenia nie podziela MC uważając, iż interesy przedsiębiorców są chronione przez uregulowane warunki do wydania takiego środka (naruszenie musi być uprawdopodobnione, powinno powodować poważne i trudne do usunięcia skutki, a środek tymczasowy ma przewidywać dopuszczalny zakres przetwarzania i czas obowiązywania ograniczeń). Jak wskazuje MC, przy krótkim terminie na rozstrzygnięcie postępowania, zażalenie na takie postanowienie, mogłoby nie zostać rozpoznane przed terminem zakończenia postępowania;

• Prezes UODO będzie przygotowywać i udostępniać tzw. dobre praktyki przetwarzania danych osobowych (być może znajdą się w nich wskazówki na kształt rozporządzenia technicznego z 2004 r. dot. środków zabezpieczających, wskazówki co do treści polityk).

2. Niższe kary pieniężne dla podmiotów publicznych – do 100.000 PLN

3. Roszczenia cywilnoprawne mają być rozstrzygane w trybie postępowania cywilnego, z możliwością postępowania zabezpieczającego. O każdym pozwie i wyroku należy zawiadomić Prezesa UODO.

4. Inspektorzy Ochrony Danych (IOD)

Najważniejszym przepisem projektu w tym zakresie dla obecnych ABI jest proponowany art. 61 projektu, zgodnie z którym osoby wykonujące w dniu 24 maja 2018 r. funkcję ABI, będą pełnić funkcję IOD, ale tylko do dnia 1 września 2018 r. Do tego dnia (01.09.2018 r.) administrator lub podmiot przetwarzający mają czas na zawiadomienie Prezesa Urzędu czy obecny ABI będzie pełnić funkcję IOD czy też nie. W przypadku powołania IOD już po 24 maja 2018 r., administrator lub procesor ma 14 dni na zawiadomienie Prezesa o fakcie powołania.

Czego jeszcze nie wiemy?

Z uwagi na roboczy charakter projektu, MC sygnalizuje, iż są kwestie, które wymagają jeszcze decyzji projektodawcy

Co z sankcjami karnymi?

Brak w projekcie przepisów karnych, wywołał dyskusję co do tego czy polski ustawodawca zrezygnuje z odpowiedzialności karnej związanej z naruszeniem przepisów o ochronie danych osobowych. MC ostatnio rozwiało wątpliwości oświadczając, iż MC widzi potrzebę funkcjonowania przepisów karnych i takie są opracowywane (regulacja na gruncie ustawy o ochronie danych osobowych oraz kodeksu karnego ma być skonsolidowana, a odpowiedzialność karna ma grozić wyłącznie za najcięższe naruszenia

Przepisy resortowe?

Omawiany dokument to na razie trzon projektu koordynowanego przez MC. W samym MC trwają prace nad zmianami w zakresie ustawy o świadczeniu usług drogą elektroniczną, ustawie o informatyzacji podmiotów publicznych oraz prawie telekomunikacyjnym. Inne ministerstwa odpowiadają za przegląd właściwego dla nich ustawodawstwa oraz opracowują swoje propozycje zmian (w zakresie nazewnictwa organu, ale także merytorycznym – przegląd dokonywany jest pod kątem zgodności z prawem unijnym) i kierują dalej do MC.

Kiedy koniec prac projektowych?

MC deklaruje, iż na koniec lipca albo ogólnie latem, ma ukazać się finalny projekt, który zostanie następnie przedstawiony do uzgodnień międzyresortowych i konsultacji społecznych. Ma on zawierać kompletną ustawę o ochronie danych osobowych oraz pakiet przepisów sektorowych wprowadzających zmiany w wielu ustawach.

Przypominamy, iż nowe ramy prawne dot. ochrony danych osobowych zaczną obowiązywać od 25 maja 2018 r. Przepisy krajowe są ważnym elementem nowego porządku prawnego w tej dziedzinie, niemniej nie warto odkładać przygotowań do wdrożenia GDPR w swojej organizacji do czasu ostatecznego kształtu oraz formalnego uchwalenia przepisów krajowych. Standardy, zasady, obowiązki ciążące na administratorach czy procesorach wynikające z GDPR nie będą doprecyzowane przez polskie przepisy. Oczywiście GDPR rodzi wiele wątpliwości, szczególnie o praktykę, dlatego warto śledzić wytyczne Grupy Roboczej 29, niemniej już teraz warto zacząć sprawdzenie gotowości organizacji do nowych wymogów.