PUODO zamiast GIODO

• Rafał Stępniewski
• /
• 24 lipca 2018

Jedną z istotnych zmian wprowadzonych na gruncie krajowego porządku prawnego było zastąpienie z dniem 25 maja 2018 roku Generalnego Inspektora Ochrony Danych Osobowych nowym organem, który otrzymał nazwę Prezesa Urzędu Ochrony Danych Osobowych. Co ta zmiana przyniosła w praktyce?

 

Tego dnia nie tylko zaczęło obowiązywać ogólne rozporządzenie o ochronie danych (RODO), ale także weszła w życie nowa krajowa ustawa z 10 maja 2018 roku o ochronie danych osobowych (dalej: UODO; Dz.U. 2018 poz. 1000). Ustawa stanowi tylko część pakietu legislacyjnego, którego celem jest dostosowanie przepisów krajowych do reformy prawa ochrony danych osobowych w całej Unii Europejskiej. Drugą częścią pakietu legislacyjnego jest wciąż jeszcze pozostająca na etapie projektowania ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO).

Cele zmiany

Na podstawie uchwalonej w maju ustawy urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO) został przemianowany na Prezesa Urzędu Ochrony Danych Osobowych (PUODO), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się natomiast Urzędem Ochrony Danych Osobowych.

Z mocy prawa dr Edyta Bielak-Jomaa, będąca dotychczas Generalnym Inspektorem, została Prezesem nowopowstałego urzędu. Choć mogłoby się wydawać, że zmianie uległa tylko nazwa, bo przecież organ nadzorczy w zakresie ochrony danych osobowych istniał w Polsce od ponad 20 lat, to zmieniło się znacznie więcej.

Celem zmiany nazwy urzędu było również odróżnienie etapów prawnej ochrony danych osobowych i podkreślenie, że wraz z 25 maja 2018 roku rozpoczęły obowiązywanie nowe, jednolite dla całej Unii Europejskiej standardy. W istocie jednak celem polskiego ustawodawcy było uporządkowanie w krajowej nomenklaturze funkcji związanych z ochroną danych osobowych.

Zmiana wynikała z faktu, że RODO wprowadziło funkcję inspektora ochrony danych osobowych, która zastąpiła funkcję administratora bezpieczeństwa informacji. Dalsze posługiwanie się przez organ nazwą Generalny Inspektor Ochrony Danych Osobowych (GIODO) mogłoby sugerować powiązanie pomiędzy GIODO a powoływanymi wewnętrznie inspektorami ochrony danych i wprowadzać tym samym w błąd. Ustawodawca nazywa dotychczasowych inspektorów dokonujących kontroli z ramienia GIODO po prostu pracownikami Urzędu Ochrony Danych Osobowych, chcąc wyraźnie oddzielić ich od inspektorów ochrony danych powoływanych wewnętrznie przez administratorów.

Kwalifikacje i tryb powoływania PUODO

Tryb powołania Prezesa Urzędu będzie odbywał się jak dotychczas w przypadku GIODO – będzie powoływany i odwoływany przez Sejm RP za zgodą Senatu. Również nie zaszły istotne zmiany w zakresie wymogów kwalifikacyjnych wobec PUODO. Zgodnie z art. 34 ust. 4 nowej ustawy o ochronie danych osobowych na to stanowisko może zostać powołana osoba, która:

1. jest obywatelem polskim,
2. posiada wyższe wykształcenie,
3. wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych,
4. korzysta z pełni praw publicznych,
5. nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe,
6. posiada nieposzlakowaną opinię.

Prawodawca odstąpił od wymogu stałego zamieszkiwania przez kandydata na terytorium RP. Wyższe wykształcenie prawnicze i doświadczenie zawodowe zastąpił nieokreślonym wykształceniem wyższym, stawiając za to wymóg wiedzy prawniczej i doświadczenia w ochronie danych.

Kadencja Prezesa, jak i Generalnego Inspektora będzie trwała 4 lata, a ta sama osoba będzie mogła być Prezesem UODO nie więcej niż przez dwie kadencje.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Urząd Ochrony Danych Osobowych: Prezes, Zastępcy, Rada

Ustawodawca wzmocnił i uniezależnił pozycję Prezesa Urzędu Ochrony Danych Osobowych. Przewidział m.in.:

1. możliwość powołania aż trzech zastępców Prezesa Urzędu, którzy powinni spełnić takie same wymogi kwalifikacyjne jak PUODO (art. 36 UODO); podczas gdy GIODO miał wyłącznie jednego zastępcę,
2. nadawanie przez Prezesa, w drodze zarządzenia, statutu Urzędu określającego organizację wewnętrzną Urzędu, zakres zadań zastępców oraz zakres zadań i tryb pracy komórek organizacyjnych Urzędu (art. 45 ust. 3 UODO); dla porównania statut Biuru GIODO nadawał Prezydent RP, od GIODO zasięgając w tym zakresie wyłącznie opinii,
3. utworzenie Rady do spraw Ochrony Danych Osobowych – nowego organu opiniodawczo-doradczego (art. 48 UODO), działającego przy Prezesie UODO.

Na uwagę zasługuje Rada ds. Ochrony Danych Osobowych. Będzie to organ składający się z 8 osób powołanych na dwuletnią kadencję. Kandydatów do Rady zgłaszać będą: Rada Ministrów, Rzecznik Praw Obywatelskich, izby gospodarcze, jednostki naukowe oraz fundacje i stowarzyszenia, których celem statutowym jest działalność na rzecz ochrony danych osobowych.

Do zadań Rady będzie należało wykonywanie zadań zleconych przez Prezesa Urzędu. Ustawa przewiduje m.in. opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej lub przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych. W kompetencjach Rady znajdzie się także opracowywanie propozycji kryteriów certyfikacji oraz rekomendacji określających środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych.

Kompetencje PUODO

Nowy organ nadzorczy w zakresie ochrony danych osobowych otrzymał zdecydowanie szerszy katalog kompetencji, w głównej mierze zdeterminowany standardami nałożonymi przez RODO. Oto kilka najistotniejszych obszarów działań następcy prawnego GIODO:

1. Prowadzenie postępowań w sprawie naruszenia przepisów o ochronie danych osobowych oraz nakładanie administracyjnych kar pieniężnych na podstawie art. 83 ust. 2 RODO. Działania w ramach realizacji tego zadania zostały zabezpieczone szeregiem uprawnień dla Prezesa UODO, które mają pomóc w efektywnym podnoszeniu poziomu ochrony danych osobowych (rozdział 7 UODO).
2. Prowadzenie postępowań kontrolnych przez upoważnionych pracowników Urzędu zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa informacji, czyli np. skarg (art. 78 i 79 ust. 1 UODO).
3. Opracowanie kryteriów certyfikacji (art. 16 UODO), o której mowa w art. 42 RODO oraz przeprowadzanie certyfikacji (art. 15 ust. 1 UODO).
4. Zatwierdzanie kodeksów postępowań oraz akredytacja podmiotów monitorujących przestrzeganie zatwierdzonych kodeksów, zgodnie z art. 40 RODO (rozdział 5 UODO).
5. Prowadzenie elektronicznego systemu umożliwiającego administratorom zgłaszanie naruszeń ochrony danych osobowych na podstawie art. 33 RODO.
6. Prowadzenie ewidencji inspektorów ochrony danych osobowych powołanych przez administratorów (art. 10 UODO).
7. Umożliwienie administratorom uprzednich konsultacji w zakresie operacji co do których ocena skutków wykazała wysokie ryzyko, o czym mowa w art. 36 RODO (art. 57 ust. 1 UODO).
8. Pełnienie roli organu doradczego i opiniotwórczego w zakresie podnoszenia standardów ochrony danych osobowych, co powinien realizować m.in. przez wydawanie rekomendacji.

Podsumowując: PUODO – nowy krajowy organ nadzorczy – będzie rozwijał się stopniowo. Proces tworzenia rekomendacji, wskazywania dobrych praktyk i wytycznych przez Prezesa Urzędu Ochrony Danych Osobowych oraz Radę może okazać się znacząco rozciągnięty w czasie.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.