Co nowego w nowym projekcie ustawy o ochronie danych osobowych?

Wczoraj został opublikowany długo wyczekiwany projekt nowej ustawy o ochronie danych osobowych wraz z projektem ustawy wprowadzającej, która przewiduje zmianę 133 ustaw sektorowych. Ministerstwo Cyfryzacji przekazało ten projekt do konsultacji społecznych, w których udział może wziąć każdy.

Pamiętać przy tym należy, że projekt ten nie wprowadza merytorycznych zasad przetwarzania danych osobowych, gdyż zapisy dotyczące tej kwestii znajdują się w RODO.

Jakie zatem zmiany przygotował resort cyfryzacji w systemie funkcjonowania systemu ochrony danych osobowych w Polsce znanego nam dotychczas?

  1. NOWY ORGAN NADZORCZY – PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH
    Projektowane przepisy przewidują powołanie nowego organu do spraw ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (dalej PUODO). Ten nowy organ zastąpi Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z założeniami RODO PUODO ma być organem niezależnym powoływanym przez Sejm RP za zgodą Senatu na wniosek Prezesa Rady Ministrów. Kadencja nowego organu tak jak poprzednio ma trwać 4 lata. Ta sama osoba nie może być PUODO więcej niż dwie kadencje.
    Nową propozycją przedstawioną przez Ministerstwo Cyfryzacji jest możliwość powołania 3 zastępców PUODO, którzy będą wspierać organ przy wykonywaniu zadań. Na wniosek ministra właściwego do spraw informatyzacji Premier może powołać dwóch zastępców PUODO, zaś jeden zastępca może zostać powołany również przez Prezesa Rady Ministrów na wniosek ministra właściwego do spraw wewnętrznych, który to wniosek musi zostać zaopiniowany przez Ministra Sprawiedliwości, Ministra Obrony Narodowej, ministra właściwego do spraw finansów publicznych oraz Prokuratora Generalnego.
  2. RADA DO SPRAW OCHRONY DANYCH OSOBOWYCH
    Projekt nowej ustawy o ochronie danych osobowych przewiduje powołanie Rady do Spraw Ochrony Danych Osobowych, która ma być organem opiniodawczo – doradczym PUODO. Rada ma składać się z 8 członków, zaś kandydatów do tego organu mogą rekomendować m.in. członkowie Rady Ministrów, Rzecznik Praw Obywatelskich, Prezes UKE czy Prezes UOKiKU (dokładny katalog tych osób wskazany jest w art. 34 ust. 7 projektu ustawy).
  3. ZGODA DZIECKA
    Ministerstwo Cyfryzacji określiło wiek dziecka, które może samodzielnie wyrazić zgodę na przetwarzanie jej danych osobowych w związku ze świadczeniem usług drogą elektroniczną – 13 lat. Dziecko, które nie ukończyło 13 lat i które przebywa na terytorium RP może wyrazić taką zgodę tylko po uzyskaniu uprzedniej zgody przez przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego udzielonej zgody.
  4. INSPEKTORZY OCHRONY DANYCH OSOBOWYCH
    Projekt ustawy za definicją wyrażoną w RODO przewiduje nową funkcję, tj. inspektorów ochrony danych osobowych, zamiast dotychczas funkcjonującego Administratora Bezpieczeństwa Informacji. Nowym rozwiązaniem w projekcie ustawy o ochronie danych osobowych jest KONIECZNOŚĆ powołania Inspektora Ochrony Danych Osobowych przez organy i podmioty publiczne.
  5. CERTYFIKACJA I AKREDYTACJA
    Projekt nowej ustawy o ochronie danych osobowych rozwija wskazane w RODO praktyczne aspekty udzielania certyfikacji i akredytacji przez PUODO.
  6. NOWA PROCEDURA W SPRAWIE ROZPATRYWANIA SKARG NA NARUSZENIE PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH
    Projekt ustawy wprowadza jednoinstancyjność postępowania przez PUODO. Do tej pory postępowania przed GIODO były dwuinstancyjne. Kolejnym novum jest nałożenie WPROST na organ obowiązku zakończenia postępowania w ciągu maksymalnie 30 dni, a w sytuacji, gdy organ nie będzie w stanie załatwić sprawy w ciągu tego terminu jest zobowiązany zawiadomić o tym strony, podając przy tym m.in.. przyczyny tego opóźnienia. W sprawach dotyczących procedury nieuregulowanych w tym projekcie stosuje się odpowiednio przepisy Kodeksu postępowania administracyjnego.
  7. ODPOWIEDZIALNOŚĆ CYWILNA
    Osoby, których prawo do prywatności zostało naruszone zgodnie z przedstawionym przez Ministerstwo Cyfryzacji projektem mają możliwość wystąpić na drogę cywilną z pozwem o naruszenie przepisów o ochronie danych osobowych do sądu okręgowego.
  8. WYDAWANIE REKOMENDACJI PRZEZ PUODO
    Nowy organ będzie opracowywał i udostępniał na swojej stronie rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Rekomendacje te mają być konsultowane z zainteresowanymi podmiotami, tak by uwzględniały specyfikę danego rodzaju działalności.
  9. NAKŁADANIE KAR ADMINISTRACYJNYCH
    PUODO będzie mógł nałożyć kary finansowe zarówno na podmioty prywatne oraz na organy publiczne. Wysokość tych kar jest taka sama jak w RODO.
  10. PRZEPISY KARNE
    Obowiązująca ustawa o ochronie danych osobowych przewiduje 6 przepisów karnych, czyli takich które określają przestępstwa, polegające na naruszeniu przepisów ustawy. Z kolei projekt ustawy przygotowany przez Ministerstwo Cyfryzacji przewiduje 2 przepisy karne. Zgodnie z tym projektem przestępstwem ma być udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, a także przetwarzanie bez podstawy prawnej danych szczególnie chronionych (czyli danych wrażliwych, takich jak m.in. pochodzenie rasowe lub etniczne, poglądy polityczne).