Projekt nowej ustawy o ochronie danych osobowych – na co warto zwrócić uwagę

W ubiegłym tygodniu na stronie Ministerstwa Cyfryzacji opublikowane zostały dwa projekty ustaw, mających na celu dostosowanie polskich przepisów do Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), które stosowane będzie w Unii Europejskiej od 25 maja 2018 r.

Pierwszy z nich to projekt ustawy o ochronie danych osobowych, której zakres został znacznie ograniczony w stosunku do aktualnie obowiązujących przepisów ustawy z dnia 29 sierpnia 1997 r. Jest to naturalną konsekwencją wyczerpującego uregulowania niemalże całej materii dotyczącej ochrony danych osobowych w RODO, co zgodnie z intencją europejskiego ustawodawcy, ma stanowić remedium na liczne różnice między regulacjami prawnymi obowiązującymi w poszczególnych państwach członkowskich. Różnice te nie sprzyjają pewności prawa i przyczyniają się do trudności w jego stosowaniu – zarówno podmiotom danych, jak i firmom owe dane przetwarzającym. Stąd RODO i wyższy stopień harmonizacji przepisów w całej Unii.

 

Najważniejsze aspekty projektów ustawy

Na co warto zwrócić uwagę w związku z opublikowaniem projektów?

  • Po pierwsze – ustawa nie zastępuje RODO, ale ma zapewnić jego skuteczne stosowanie w Polsce. Od 25 maja 2018 r. będziemy zobowiązani stosować zarówno RODO, jak i nową ustawę o ochronie danych osobowych, która co do zasady powinna uzupełniać rozporządzenie i nie powielać jego rozwiązań (nie wspominając o jakichkolwiek sprzecznościach).
  • Czas na oswajanie się z nowym nazewnictwem. Zgodnie z projektem, nie będziemy mieć już do czynienia z GIODO (Generalnym Inspektorem Ochrony Danych Osobowych), a z Prezesem Urzędu Ochrony Danych Osobowych. Prezes Urzędu będzie wykonywał swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych oraz Rady do Spraw Ochrony Danych Osobowych, czyli jego organu opiniodawczo-doradczego.
  • ABI (czyli Administratorzy Bezpieczeństwa Informacji) zostaną zastąpieni przez inspektorów ochrony danych. Wyznaczenie inspektora, jego odwołanie oraz jakiekolwiek zmiany jego danych będziemy zobowiązani zgłosić Prezesowi Urzędu w ciągu 14 dni (dla porównania – w tej chwili fakt powołania i odwołania ABI-ego zgłaszamy GIODO w terminie 30 dni). Informacje o inspektorach będą ewidencjonowane przez Prezesa, jednak już nie w formie jawnego rejestru.
  • Znika obowiązek zgłaszania zbiorów danych do rejestracji GIODO (pisaliśmy o nim szerzej w tym artykule) – i to znika w ogóle. Dla porównania w tej chwili zwolnienie z tego obowiązku obejmuje zamknięty katalog przypadków (m.in. nie muszą tego robić administratorzy, którzy w swojej strukturze organizacyjnej powołali ABI-ego i zgłosili go do GIODO).
  • Samodzielnej zgody na przetwarzanie danych osobowych w związku ze świadczeniem usług drogą elektroniczną mogą udzielić małoletni po ukończeniu 13 lat. Przetwarzanie danych dzieci młodszych niż lat 13 wymaga zgody ich przedstawiciela ustawowego.

Uwaga! RODO przewiduje wyższy próg wiekowy dla samodzielnego wyrażenia zgody przez małoletniego – 16 lat. Państwa członkowskie mogą przewidzieć niższą granice wiekową, jednak nie mniej niż lat 13 (tak właśnie zrobił polski ustawodawca). Jest to przykład obszaru, który pozostaje poza harmonizacją i wskazane jest, aby przedsiębiorcy przetwarzający dane osób małoletnich z różnych krajów członkowskich Unii, dostosowali swoją działalność do progów wiekowych obowiązujących w tych państwach.

  • Nowe mechanizmy, które mogą posłużyć administratorom danych oraz podmiotom przetwarzającym za element wykazujący wywiązywanie się z obowiązków w zakresie przetwarzania danych:

a) certyfikacja – dokonywana przez Prezesa Urzędu na wniosek zainteresowanego podmiotu.

RODO przyznaje państwom członkowskim swobodę w wyborze podmiotów prowadzących certyfikacje, ale polski ustawodawca zdecydował się przyznać tę kompetencję wyłącznie Prezesowi Urzędu. Pozostaje obserwować, czy mimo wszystko w projekcie uwzględniony zostanie mechanizm przyznawania akredytacji innym podmiotom certyfikującym, co na pewno byłoby dobrze przyjęte przez rynek. Skupienie wyłącznej kompetencji do udzielenia „certyfikatów zgodności” w ręku organu nadzoru, który jednocześnie jest wyłącznie właściwy w sprawach kontroli owej zgodności, nie wydaje się być fortunnym rozwiązaniem – w szczególności w świetle zapisów RODO, które obligują krajowe organy nadzoru do propagowania mechanizmów certyfikacji oraz ich ustanawiania.

Szczegółowe kryteria certyfikacji zostaną udostępnione na stronie Prezesa Urzędu, o czym na pewno Was poinformujemy. W tym momencie z konkretów wiadomo na pewno, że certyfikat przyznawany będzie na maksymalny okres 3 lat.

b) zatwierdzone kodeksy postępowania – ich przestrzeganie będzie monitorowane przez podmioty akredytowane przez Prezesa Urzędu.

Zarówno certyfikacja, jak i przystąpienie do zatwierdzonego kodeksu postępowania są dobrowolne, natomiast firmy, których działalność wiąże się z przetwarzaniem danych na dużą skalę, z całą pewnością będą nimi zainteresowane.

W GetResponse bacznie śledzimy strony internetowe GIODO (a od maja 2018 Prezesa Urzędu) i z niecierpliwością czekamy na doprecyzowanie kryteriów pozwalających na uzyskanie odpowiedniego certyfikatu.

dlugopis-podpisywanie-umowy

  • Prezes Urzędu prowadzić będzie elektroniczny system umożliwiający administratorom zgłaszanie naruszeń ochrony danych osobowych (przypominamy – zgodnie z rozporządzeniem co do zasady w ciągu 72 godzin po stwierdzeniu naruszenia).
  • Prezes Urzędu będzie opracowywał i udostępniał rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Mimo, że zalecenia nie będą miały mocy wiążącej, zachęcam do ich obserwowania. RODO i nowa ustawa odchodzą od kazuistycznych rozwiązań technicznych w typie wymogu używania co najmniej ośmioznakowego hasła, przewidzianych w tej chwili w rozporządzeniu wykonawczym do aktualnie obowiązującej ustawy. Zamiast tego koncentruje się na samodzielnym szacowaniu ryzyka i określeniu odpowiednich środków przez administratorów i podmioty przetwarzające. Rodzi to wiele pytań o właściwe stosowanie nowych przepisów w praktyce, więc zalecenia organów nadzorczych mają szansę być cennym wsparciem w tym zakresie.
  • Zmiany w trybie postępowania przed Prezesem Urzędu, które zdecydowanie powinny „zmotywować” firmy do przestrzegania nowych zasad przetwarzania danych – postępowanie będzie jednoinstancyjne, a decyzje wydane przez Prezesa Urzędu podlegać będą natychmiastowemu wykonaniu. Strona niezadowolona z wyroku może wnieść skargę do sądu administracyjnego, przy czym skarga ta wstrzyma wykonanie decyzji tylko w zakresie dotyczącym kary pieniężnej. Znaczy to, że inne rozstrzygnięcia zawarte w decyzji, np. wprowadzające ograniczenie (w tym zakaz) przetwarzania lub nakazujące usunięcie danych będą wykonalne niezwłocznie.

Postępowanie przed sądem administracyjnym będzie już dwuinstancyjne, a w jego ramach strona będzie mogła żądać wstrzymania wykonalności decyzji Prezesa Urzędu.

gruba-ksiazka

Ministerstwo Cyfryzacji opublikowało też projekt ustawy – przepisy wprowadzające ustawę o ochronie danych osobowych, które wprowadzają zmiany w ponad 130 sektorowych aktach prawnych. Wśród nich m.in.:

  • Kodeks Pracy – zmiany zasad przetwarzania przez pracodawcę danych osobowych osób ubiegających się o zatrudnienie oraz pracowników, wprowadzenie instytucji „monitoringu” jako szczególnej formy przetwarzania danych osobowych pracowników.
  • Prawa Bankowe – wprowadzenie możliwości wymagania zaświadczenia o niekaralności oraz danych biometrycznych od pracowników lub kandydatów do pracy na stanowiskach umożliwiających dostęp do danych dotyczących banku lub jego klientów. Projektowane jest również wprowadzenie zapisów dotyczących profilowania w celu oceny zdolności kredytowej.
  • Ustawa o swobodzie działalności gospodarczej – do danych i informacji udostępnianych przez Centralną Ewidencję Informacji i Działalności Gospodarczej (czyli rejestru osób prowadzących działalność gospodarczą) ponownie będziemy stosować przepisy o ochronie danych osobowych.

 

Co dalej?

Projekty poddane zostaną teraz konsultacjom społecznym, a następnie będą rozpatrywane przez Radę Ministrów. Ustawy mają wejść w życie 25 maja 2018 r., czyli w dniu rozpoczęcia stosowania RODO. Z tym samym dniem utraci moc aktualnie obowiązująca ustawa o ochronie danych osobowych.

Osoby wykonujące w dniu 24 maja 2018 r. funkcję ABI-ego automatycznie pełnić będą funkcję inspektora ochrony danych – ale tylko przez określony czas, tj. do 1 września 2018 r. W tym terminie należy zawiadomić Prezesa Urzędu albo o wyznaczeniu inspektora ochrony danych osobowych albo o tym, że dotychczasowy ABI nie pełni funkcji inspektora. Jeżeli w tym czasie dane kontaktowe dotychczasowego ABI-ego nie zostaną zgłoszone Prezesowi Urzędu, to z dniem 1 września 2018 r. przestanie on być inspektorem ochrony danych.

Teksty obu projektów dostępne są na stronie Ministerstwa Cyfryzacji.

BĄDŹ NA BIEŻĄCO:

Naciskając “Zapisz się”, wyrażam zgodę na przetwarzanie przez GetResponse sp. z o.o. (ul. Arkońska 6/A3, 80-387 Gdańsk) powyższych danych osobowych w celach promocyjnych, informacyjnych, reklamowych i marketingowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz na przesyłanie na podany adres email informacji handlowych od GetResponse sp. z o.o.
x

BĄDŹ NA BIEŻĄCO:

Naciskając “Zapisz się”, wyrażam zgodę na przetwarzanie przez GetResponse sp. z o.o. (ul. Arkońska 6/A3, 80-387 Gdańsk) powyższych danych osobowych w celach promocyjnych, informacyjnych, reklamowych i marketingowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz na przesyłanie na podany adres email informacji handlowych od GetResponse sp. z o.o.
x