GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Omówienie projektu ustawy o ochronie danych osobowych

Prace nad nowelizacją obecnie obowiązującej ustawy o ochronie danych osobowych, zwanej dalej ustawą, nabrały tempa w ubiegłym roku. Ich efektem było przyjęcie w marcu (pierwsza część) a następnie we wrześniu (druga część) projektu nowej ustawy wraz z projektem przepisów wprowadzających, które ustanawiały zmiany w ponad 130 ustawach. Projekt, przygotowany przez Ministerstwo Cyfryzacji, stanowił dotąd punkt odniesienia przy przewidywaniu ostatecznego jej kształtu. Po przeprowadzenie szerokich konsultacji społecznych, ogłoszono nowy projekt, który w dniu 9 lutego br. skierowano na Komitet do Spraw Europejskich Rady Ministrów. Termin najbliższego spotkania, na którym odbędzie się dyskusja nad nowym projektem ustalono na dzień 28 lutego br.

Przedmiotem niniejszej analizy jest porównanie obecnego projektu z poprzednim udostępnionym we wrześniu ubiegłego roku. Chociaż sumaryczna liczba zmian nie jest duża, to jednak są one bardzo istotne. Najważniejsze z nich dotyczą: znacznego ograniczenia obowiązku informacyjnego w przypadku przedsiębiorstw zatrudniających mniej niż 250 osób, zaostrzenia przepisów karnych, przedłużenie kadencji obecnego Generalnego Inspektora oraz dopuszczenia do wydawania certyfikatów podmiotów prywatnych. Ale nie są to oczywiście jedyne zmiany.

Przygotowanie projektu nowej ustawy o ochronie danych osobowych wynika z konieczności zapewnienia skutecznego stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) Rozporządzenie obowiązywało będzie od dnia 25 maja 2018r. i od tego dnia polskie przepisy muszą zapewniać skuteczne stosowanie przepisów Rozporządzenia, nie powielając jego rozwiązań ani nie będąc z nim sprzecznymi. Ze względu na archaiczność ustawy z dnia 29 sierpnia 1997 r. o ochronię danych osobowych,  konieczne stało się opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE. Głównym celem rozporządzenia jest unifikacja systemu, co w praktyce oznacza, że znaczna część regulacji ma być ta sama (identyczna) we wszystkich państwach członkowskich. Przepisy projektowanej ustawy powołują również do życia nowy organ właściwy w sprawie ochrony danych osobowych, będzie nim Prezes Urzędu Ochrony Danych Osobowych.

Prezes Urzędu Ochrony Danych Osobowych (UODO) z prawnego punktu widzenia zastąpi dotychczasowy organ do spraw ochrony danych osobowych czyli Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Prezes Urzędu jako niezależny organ zyska szereg nowych uprawnień, między innymi będzie mógł występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Zgodnie z projektem nowej ustawy organ kontrolny jakim będzie Prezes Urzędu Ochrony Danych Osobowych uzyska między innymi uprawnienie do nakładania bardzo wysokich kar finansowych bezpośrednio po stwierdzeniu naruszenia przepisów ustawy o ochronie danych osobowych. Prezes Urzędu, działając racjonalnie, ma być nie tylko egzekutorem, lecz także – a może przede wszystkim – krajowym konsultantem, ma doradzać, jak postępować, by działać zgodnie z prawem.

Jak zapowiadają projektodawcy, jednym z celów działań legislacyjnych implementujących RODO ma być odnalezienie złotego środka między interesem przedsiębiorców i interesem obywateli. Rozwiązaniem probiznesowym jest np. certyfikacja. Zgodnie z przepisami projektu Prezes Urzędu będzie uprawniony do wydawania certyfikatów, ale do ich wydawania dopuszczeni zostaną również przedsiębiorcy.

Certyfikacji dokonuje się na podstawie kryteriów określonych przez Prezesa Urzędu bądź podmiot certyfikujący np. Polskie Centrum Akredytacji. Wprowadzenie certyfikatów wpłynie pozytywnie na gospodarkę i pobudzi konkurencyjność na rynku. W przypadku gdy Prezes Urzędu zostanie zawiadomiony o zamiarze przeprowadzenia czynności sprawdzających certyfikat, czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze ich przeprowadzenia.

RODO nie wytycza szczegółowych instrukcji technicznych w zakresie przetwarzania i zabezpieczania danych.  W każdym miejscu może wyglądać to inaczej ze względu na zaplecze informatyczne czy też rodzaj przetwarzanych danych. W związku z tym nie ma jednego przygotowanego szablonu działania, tylko każdy z osobna dostanie obowiązek stworzenia go samemu, tak aby spełniał główne założenia RODO. Projekt ustawy o ochronie danych osobowych zobowiązuje jednak Prezesa Urzędu do wydawania rekomendacji określających techniczne i organizacyjne sposoby zabezpieczenia danych, stanowiących punkt odniesienia dla przedsiębiorców – w jaki sposób skutecznie zabezpieczać dane osobowe.

Zgodnie z RODO na przedsiębiorstwo może być nałożona kara do 20 mln euro lub 4 % rocznego światowego obrotu przedsiębiorstwa. Jeśli chodzi o kary nakładane na podmioty publiczne nie przekraczają one 100.000 zł. Państwa członkowskie są uprawnione do obniżenia maksymalnego wymiaru kary wobec sektora publicznego, z czego korzysta projekt ustawy o ochronie danych osobowych. W ocenie projektodawcy, różnica wynika z tego, że podmioty publiczne finansowane są ze środków budżetu państwa, a środki z administracyjnych kar pieniężnych stanowią dochód budżetu państwa. A zatem w przypadku nałożenia na podmiot publiczny administracyjnej kary pieniężnej środki z tej kary pośrednio trafiałyby z powrotem do tego podmiotu. Kara 20 mln euro jest kwotą, która bardzo często przekracza budżet organu państwowego nawet kilkukrotnie, więc jest ona nieuzasadniona.

Projektodawca wprowadza również do projektu przepisy określające zakres odpowiedzialności karnej za naruszenie przepisów o ochronie danych. Projekt udostępniony przez Ministerstwo Cyfryzacji w lutym br. poszerza zakres odpowiedzialności karnej względem uprzednio udostępnionego projektu – penalizując naruszenia nie tylko danych osobowych szczególnie chronionych ale również danych osobowych zwykłych.

Projekt przewiduje możliwość zaskarżania postanowień zabezpieczających wydawanych w toku prowadzonego postępowania, co jest nowością względem uprzednio udostępnionej treści. W toku postępowania Prezes Urzędu w razie uznania ryzyka niepowetowanych strat, może wydać postanowienie zobowiązujące podmiot dopuszczający się do naruszenia do ograniczenia przetwarzania danych do czasu wydania rozstrzygnięcia w danej sprawie. Na postanowienie będzie przysługiwała skarga do sądu administracyjnego.

Projektodawca zdecydował się utrzymać konsekwentnie względem dotychczas udostępnianych projektów jednoinstancyjność postępowania, uzasadniając to ekonomiką prowadzonego postępowania.

Aby ułatwić Państwu lekturę zmian w projektach ustaw  proponujemy poniższe zestawienie.

ZESTAWIENIE NAJWAŻNIEJSZYCH ZMIAN W PROJEKCIE USTAWY Z DNIA 8 LUTEGO 2018 R. W STOSUNKU DO PROJEKTU Z DNIA 12 WRZEŚNIA 2017 R.
LP. Projekt z IX.2017 r. Projekt z II.2018 r. Zwięzła charakterystyka zmiany
1. Brak analogicznego przepisu. Art. 3. 1. Do przetwarzania danych osobowych przez administratorów nie będących podmiotami publicznymi wskazanymi w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077), zatrudniających mniej niż 250 osób, przepisów art. 13 ust. 2 lit a-b oraz d – f, art. 15 ust. 3 i 4, art. 19 oraz art. 34 rozporządzenia 2016/679 nie stosuje się. Zmiana polega na znacznym ograniczeniu obowiązku informacyjnego w przypadku zbierania danych od osoby. Przedsiębiorcy zatrudniający poniżej 250 osób nie będą musieli informować m.in. o: profilowaniu, okresie retencji oraz podawać informacji o większości praw przysługujących osobie. Ponadto osoba nie będzie miała prawa do uzyskania kopii danych, jak również administrator nie będzie musiał jej zawiadamiać o naruszeniu ochrony danych.
2. Art. 4 Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy publiczne wskazane w art. 5 § 2 pkt 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych Art. 7. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Zmiana polega na ograniczeniu organów i podmiotów publicznych zobowiązanych do wyznaczenia ABI. Ograniczenie to dotyczy: ministrów, centralnych organów administracji rządowej, wojewodów, działających w ich lub we własnym imieniu innych terenowych organów administracji rządowej (zespolonej i niezespolonej), organów jednostek samorządu terytorialnego oraz organów i podmiotów wymienionych w art. 1 pkt 2 KPA, tj. gdy są one powołane z mocy prawa lub na podstawie porozumień do załatwiania spraw  indywidualnych rozstrzyganych w drodze decyzji administracyjnych albo załatwianych milcząco.
3. Art. 6. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu. Art. 12. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu i podmioty akredytowane przez Polskie Centrum Akredytacji, zwane dalej „podmiotami certyfikującymi Rozszerzenie podmiotów mogących udzielać certyfikacji na przedsiębiorców akredytowanych przez Polskie Centrum Akredytacji. Dotychczas certyfikaty mógł wystawiać jedynie organ.
4. Art. 8. Certyfikacji dokonuje się na wniosek administratora lub podmiotu przetwarzającego. Art. 14. 1. Certyfikacji dokonuje się na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek. Rozszerzono zakres jednostek uprawnionych do wystąpienia o certyfikację. W poprzednim projekcie z wnioskiem mogli wystąpić jedynie administrator i podmiot przetwarzający. W nowszym projekcie również producent oraz podmiot wprowadzający produkt na rynek.
5. Art. 20 ust. 4 Na stanowisko Prezesa Urzędu może być powołana osoba, która spełnia następujące warunki: 1) jest obywatelem polskim; 2) posiada tytuł naukowy doktora; 3) posiada wiedzę z zakresu ochrony danych osobowych; 4) przez okres co najmniej pięciu lat wykonywała czynności bezpośrednio związane z

ochroną danych osobowych; 5) korzysta z pełni praw publicznych; 6) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.

Art. 29 ust. 4. Na stanowisko Prezesa Urzędu może być powołana osoba, która: 1) jest obywatelem polskim; 2) posiada wyższe wykształcenie; 3) wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych; 4) przez okres co najmniej pięciu lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych; 5) korzysta z pełni praw publicznych; 6) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;

7) posiada nieskazitelny charakter.

W nowym projekcie zmieniony wymagania dotyczące wymogów Prezesa Urzędu. Najważniejszy z nich to zniesienie posiadania tytułu doktora na rzecz wykształcenia wyższego. Ponadto dodano przepis o „nieskazitelnym charakterze” oraz lekko zmodyfikowano brzmienie punkt 3) dotyczącego wiedzy z zakresu ochrony danych.
6. Brak analogicznego postanowienia. Art. 145. Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych i pełni swoją funkcję do czasu upływu kadencji na którą został powołany. Zmiana polega na utrzymaniu obecnego GIODO do momentu wygaśnięcia jego pierwotnej kadencji jako Prezesa w rozumieniu nowej ustawy zamiast wyboru nowego Prezesa.
7. Art. 45. Gdy prawa osoby przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, organizacja społeczna może występować z żądaniem: 1) wszczęcia postępowania, 2) dopuszczenia jej do udziału w postępowaniu, jeżeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes osoby, której prawa zostały naruszone. Art. 55. W sprawach związanych z ochroną danych osobowych pełnomocnikiem może być przedstawiciel organizacji, do której zadań statutowych należą sprawy związane z ochroną danych osobowych. Wzmocnienie prawa organizacji do udziału w postępowaniu, które nie jest już warunkowane „interesem osoby”.
8. Art. 89.1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie. 2. Orzekanie w sprawach o czyny określone w ust. 1 następuje w trybie przepisów ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia. Art. 90.1. Kto bez podstawy prawnej przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679, podlega grzywnie, karze ograniczenia wolności albo pozbawienia

wolności do roku. 2. Orzekanie w sprawach o czyny, o których mowa w ust.1, następuje w trybie przepisów ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. z 2016 r. poz. 1749

z późn. zm.6)).

Art. 101. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. Art. 102. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Znaczne rozszerzenie przepisów karnych. W poprzednim projekcie kara pozbawienia wolności do 1 roku groziła jedynie za przetwarzanie szczególnych kategorii danych bez podstawy prawnej. W nowym projekcie objęto przepisami karnymi zarówno przetwarzanie danych zwykłych (do 2 lat), jak i znacznie zwiększono karę za przetwarzanie danych wrażliwych (z 1 do 3 lat). Ponadto ustanowiono karę pozbawienia wolności do lat 2 za utrudnianie wykonywania kontroli Prezesowi Urzędu. Ponadto w odniesieniu do kary za przetwarzanie danych wrażliwych zmniejszono precyzyjność przepisu, który w poprzedniej wersji był dużo bardziej dookreślony. Obecnie jest mowa o przetwarzaniu niedopuszczalnym lub takim, do którego nie jest się uprawnionym a nie o braku podstawy;

 

Więcej informacji na temat projektu ustawy o ochronie danych osobowych znajdą Państwo pod linkiem:

https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow