Przekształcenie GIODO i kary finansowe - co jeszcze wprowadzi projekt ustawy o ochronie danych osobowych?
Wraz z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych państwa członkowskie Unii Europejskiej muszą dostosować do nich swoje przepisy. Aby RODO mogło być efektywnie stosowane w Polsce, Ministerstwo Cyfryzacji zaproponowało projekt ustawy o ochronie danych osobowych. Jakie zmiany wprowadzi ten dokument?
- Rafał Stępniewski
- /
- 25 sierpnia 2017
Wraz z wejściem w życie nowych przepisów unijnych, dotyczących ochrony danych osobowych — zwanych RODO (Rozporządzenie o Ochronie Danych Osobowych) — państwa członkowskie Unii Europejskiej muszą dostosować do nich krajowe porządki prawne. Aby RODO mogło być efektywnie stosowane w Polsce, Ministerstwo Cyfryzacji zaproponowało projekt ustawy o ochronie danych osobowych.
Projekt ustawy o ochronie danych osobowych — co nowego?
Projekt ustawy Ministerstwa Cyfryzacji został opublikowany w marcu 2017 roku i ma on na celu przyjęcie rozporządzenia unijnego w prawie krajowym. Uzupełnia on też kwestie, których nie zawierało RODO, a których dopełnienie pozostawiono w gestii państw członkowskich.
Wśród najważniejszych zmian, jakie wprowadzi projekt ustawy o ochronie danych osobowych, jest przede wszystkim przekształcenie Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Po wprowadzeniu rozporządzenia jego nazwa zostanie zmieniona na Urząd Ochrony Danych Osobowych, z prezesem na czele.
Jednocześnie wraz ze zmianą nazewnictwa, obecnie projekt nie wprowadza większych zmian w kompetencjach prezesa — co nie oznacza jednak, że finalna ustawa nie nada prezesowi nowych uprawnień.
Najważniejszą nową kompetencją prezesa UODO będzie możliwość nakładania kar, czyli rzecz, której nie mógł wcześniej robić GIODO.
Kary nakładane przez Prezesa Urzędu Ochrony Danych Osobowych
Fakt, że prezes UODO będzie mieć możliwość nakładania kar finansowych wynika bezpośrednio z RODO i zamieszczonych tam zapisów, a dokładniej art. 83. Zgodnie z nimi, prezes UODO ma prawo nałożyć karę w wysokości do 20 milionów Euro (lub 4% całkowitego rocznego obrotu).
Polska skorzystała z tego, że rozporządzenie unijne określa, iż każde państwo członkowskie ma prawo ustalić czy i w jakim zakresie można nakładać na organy i podmioty publiczne administracyjne kary pieniężne. W związku z tym w projekcie ustawy znalazł się zapis określający maksymalną kwotę kary dla podmiotów publicznych — wynosić ma ona do 100 tysięcy złotych.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Odpowiedzialność karna i cywilna
Wraz z pojawieniem się możliwości nakładania kar finansowych przez prezesa UODO prawdopodobnie zniknie odpowiedzialność karna — rozporządzenie w aktualnym brzmieniu tego jednak nie precyzują. Obecne wskazuje ono jedynie odpowiedzialność administracyjną — kary finansowe
Projekt ustawy o ochronie danych osobowych zawiera też nowość w postaci zapisów o odpowiedzialności cywilnej. Dzięki temu, oprócz administracyjnego postępowania prezesa UODO, pojawia się nowa droga dochodzenia roszczeń związanych z naruszeniem danych osobowych. Osoby, których dane zostały naruszone, będą mogły zgłosić się do sądu okręgowego i wystąpić z pozwem przeciwko firmie, która dopuściła się owego naruszenia.
Dobre praktyki
Inną nowością, którą prawdopodobnie się pojawi będą tak zwane “dobre praktyki”, czyli zalecane przez prezesa UODO środki techniczne oraz organizacyjne, które zapewnić mają bezpieczeństwo przetwarzania danych osobowych. Porady te będą pojawiać się na stronach internetowych prezesa UODO i stanowić mają sugestie postępowania dla Administratorów Danych Osobowych.
Zgłaszanie Inspektorów Ochrony Danych do prezesa UODO
Projekt ustawy dotyczącej ochrony danych osobowych zakłada także, że Administratorzy Danych będą mieli obowiązek zgłosić wybranych przez siebie Inspektorów Ochrony Danych do prezesa UODO — nie wystarczy samo wewnętrzne wyznaczenie takiej osoby.
Oprócz tego, wraz z wejściem w życie RODO, funkcja Administratora Bezpieczeństwa Informacji zostanie zastąpiona Inspektorem Ochrony Danych. IOD będzie musiał być powołany zwłaszcza w przypadkach, kiedy przedsiębiorstwo, podmioty publiczne czy organizacja przetwarza tak zwane dane “wrażliwe”, a więc np. informacje o stanie zdrowia.
Zmiana ta nie oznacza jednak, że osoby pełniące funkcję ABI zostaną natychmiast przemianowane na IOD wraz z wejściem w życie ustawy RODO. Projekt Ministerstwa Cyfryzacji zakłada, że aktualni ABI swoje obowiązki pełnić będą do 1 września 2018 roku.
Certyfikacja
Projekt ustawy określa też, kto będzie mógł nadawać certyfikaty poświadczające właściwe standardy ochrony danych osobowych. W przypadku polskiej ustawy prezes UODO będzie mógł wydawać certyfikat firmie zewnętrznej, a następnie firma ta sama będzie mogła nadawać odpowiednie zaświadczenia pozostałym podmiotom.
Kontrole według projektu ustawy
Projektowana ustawa szczegółowo reguluje też przepisy dotyczące kontroli — zapewniające jej skuteczność oraz gwarantujące osobom — które im podlegają — pewne prawa.
Prezes UODO nie będzie miał dostępu do informacji, które są ustawowo chronione — np. zastrzeżonych przez przedsiębiorców. Osoby prowadzące kontrole są też z nich wyłączane w przypadku gdy na przykład inspektor jest krewnym właściciela kontrolowanej firmy.
Wejście w życie projektu MC sprawi również, że pojawi się o wiele więcej kontroli, które nie będą zapowiedziane.
Kiedy projekt ustawy wejdzie w życie?
Aktualnie na stronach Ministerstwa Cyfryzacji dostępny jest projekt z datą 28 marca 2017 roku. Ministerstwo planuje wdrożenie ustawy na początku roku 2018 — przed wejściem w życie unijnego rozporządzenia o ochronie danych osobowych.
Pełen tekst projektu ustawy można znaleźć na stronach Ministerstwa Cyfryzacji.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?
