Recenzujemy najnowszy projekt ustawy o ochronie danych osobowych!

 Wprowadzenie

O projekcie nowej ustawy o ochronie danych osobowych pisaliśmy już 18 marca 2017 roku, na łamach naszego bloga: https://blog-daneosobowe.pl/gotowy-projekt-nowej-ustawy-o-ochronie-danych-osobowych/

Ministerstwo Cyfryzacji przygotowało jednak kolejny projekt i udostępniło go na swojej stronie internetowej. Przedstawiony projekt zostanie poddany konsultacjom społecznym i po ewentualnych modyfikacjach trafi do Sejmu.

Nowy projekt różni się od poprzedniego w kilku kluczowych kwestiach, dlatego zdecydowaliśmy się poświęcić mu całkowicie nowy wpis.

Co więcej,  Ministerstwo Cyfryzacji poza samym projektem, przygotowało dwa bardzo istotne i wcześniej niepublikowane dokumenty:

  • Uzasadnienie do Projektu,
  • Dodatkową ustawę – Przepisy wprowadzające ustawę o ochronie danych osobowych 

Po co nam nowa ustawa o ochronie danych osobowych?

Do tej pory przepisy ochrony danych osobowych, opierały się na ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (dalej: uodo). Ustawa o ochronie danych osobowych jest – jak to czasem żartobliwie określamy w Kancelarii – klonem Dyrektywy 95/46/WE.

Podstawowym aktem prawnym regulującym ochronę danych osobowych w Polsce jest nadal (do 25 maja 2018 roku) uodo, jako akt prawny bezpośrednio obowiązujący.

Aktem wykonawczym (precyzującym) uodo jest Rozporządzenie w sprawie warunków technicznych i organizacyjnych (…) z 2004 roku (dalej: Rozporządzenie 2004).

Całość sytemu aktów prawnych na których obecnie się opieramy, można zobrazować poniższą grafiką:

Wraz z wejściem w życie  Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: RODO), hierarchia aktów prawnych zmieni się.

Aktem prawnym obowiązującym bezpośrednio będzie RODO. Z kolei ustawa o ochronie danych osobowych będzie koncentrowała się przede wszystkim wokół podstaw prawnych działania nowego regulatora czy procesu certyfikacji.

Całość przyszłego systemu aktów prawnych można zobrazować w poniższy sposób:

Przyjrzyjmy się temu, co znalazło się w projekcie nowej ustawy (dalej: Projekt), który 14 września na swojej stronie internetowej zamieściło Ministerstwo Cyfryzacji.

GIODO do likwidacji – podobnie jak w poprzednim projekcie

Generalny Inspektor Ochrony Danych Osobowych po 20 latach funkcjonowania przestanie istnieć!

Jego miejsce zajmie Urząd Ochrony Danych Osobowych (dalej: UODO), na czele którego stanie Prezes.

W uzasadnieniu do projektu, zmiana nazwy z Generalnego Inspektora na Prezesa motywowana jest między innymi możliwym chaosem terminologicznym. RODO wprowadza termin Inspektora Ochrony Danych, którego Generalny Inspektor nie będzie zwierzchnikiem.

Zgodnie z wcześniejszymi zapowiedziami Ministerstwa Cyfryzacji, UODO będzie prawnym następcą GIODO.

Prezesa UODO będzie powoływał Sejm, za zgodą Senatu, na wniosek Prezesa Rady Ministrów. Kadencja Prezesa potrwa 4 lata.

Określono również kryteria zawodowe, którym musi sprostać nowy Prezes UODO. Są one znacznie bardziej surowe, niż w obecnie obowiązującej ustawie o ochronie danych osobowych.

Zwracam uwagę na to, że „Nowy GIODO”, poza tytułem naukowym doktora, musi posiadać również min. 5 lat praktycznego doświadczenia związanego z ochroną danych osobowych.

Według mnie to bardzo dobry pomysł autorów nowelizacji, gwarantujący nie tylko wiedzę teoretyczną Prezesa ale co równie ważne (a może nawet ważniejsze) – także 5 letnie doświadczenie praktyczne!

W stosunku do poprzedniego projektu, mamy jeszcze jedną bardzo istotną nowość, dotyczącą nowego regulatora.

Przy Prezesie UODO będzie działać Rada do Spraw Ochrony Danych Osobowych, składająca się z 8 członków. Rada będzie miała charakter opiniodawczo – doradczy.

Rekomendacje zamiast dobrych praktyk

W poprzednim projekcie Prezes UODO przygotowywał i udostępniał na swojej stronie internetowej tzw. dobre praktyki przetwarzania danych osobowych.

Dobre praktyki miały zastąpić bardzo nieaktualne już Rozporządzenie z 2004 roku. Tymczasem dobre praktyki zostały zastąpione rekomendacjami.

Za pomocą rekomendacji, regulator będzie wskazywał zalecane środki bezpieczeństwa. W rekomendacjach może znaleźć się miejsce na wskazanie elementów, które powinna zawierać polityka bezpieczeństwa danych osobowych czy na wymogi odnośnie częstotliwości zmiany hasła.

Rekomendacje mają być konsultowane z przedstawicielami branż, których będą dotyczyły i okresowo aktualizowane.

Rozwiązanie takie warto pochwalić. Jest znacznie bardziej elastyczne niż Rozporządzenie, którego zmiana, każdorazowo wymaga uruchomienia skomplikowanych procedur legislacyjnych. Przy wyjątkowo szybkim postępie technologicznym, będzie możliwa szybka aktualizacja rekomendacji.

Konsultowane ze specjalistami rekomendacje, mają szansę stać się praktycznymi i użytecznymi wskazówkami.

 Kary finansowe

Największą i najbardziej medialną zmianą są oczywiście kary finansowe. Konieczność wyposażenia Prezesa UODO w możliwość nakładania kar finansowych wynika wprost z treści RODO. W myśl art. 85 Projektu, ściągane kary będą stanowiły dochód budżetu państwa.

Krajowy regulator musi być wyposażony w możliwość nakładania kar finansowych, co wynika wprost z art. 83 RODO. Nie mogło więc być tutaj żadnych niespodzianek.

Poza nakładaniem kar finansowych do kwoty 20 000 000 EUR lub do 4% całkowitego rocznego obrotu, Prezes UODO:

  • Kieruje wystąpienia do organów publicznych, zmierzające do zapewnienia skutecznej ochrony danych osobowych
  • Przygotowuje wykaz operacji na danych osobowych, wymagających sporządzenia oceny skutków i publikuje go na swojej stronie internetowej
  • Prowadzi system teleinformatyczny za pomocą którego będzie można zgłaszać naruszenia ochrony danych osobowych (w sytuacji wielu naruszeń, zgłoszenie będzie obowiązkowe)

Kary dla administracji będą znacznie niższe

Zgodnie z art. 83 ust. 1 Projektu, maksymalna wysokość kary pieniężnej to 100 tys. złotych. Jest to bardzo ważna informacja dla podmiotów publicznych (RODO w art. 83 ust. 7 przewiduje,  że każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne).

Polska jak widać z tego uprawnienia skorzystała. Rozwiązanie jest z jednej strony praktyczne, ponieważ kary i tak trafiają do budżetu państwa.

Z drugiej strony dysproporcja w wysokości kar nakładanych na sferę publiczną, a uczestnikami obrotu gospodarczego, jest bardzo znacząca.

 Odpowiedzialność karna zostanie ograniczona

Do tej pory postępowania karne prowadzone w sprawie naruszenia przepisów uodo, były bardzo rzadkie i mało skuteczne. Jednocześnie ponoszenie odpowiedzialności karnej wydawało się być nieadekwatnie dotkliwą sankcją. Zwłaszcza, że przepisy były wielu obszarach mało precyzyjne.

Na przykład niezgłoszenie bazy danych do GIODO obecnie wciąż jest uznawane za przestępstwo (art. 53 obecnej ustawy). Jednak samo pojęcie zbioru danych osobowych, jest pojęciem nieostrym. Może być interpretowane na różne sposoby.

Co więcej art. 43 obecnej ustawy, pozwala nie zgłaszać do GIODO np. zbiorów danych osobowych przetwarzanych w ramach drobnych bieżących czynności życia codziennego. Jeśli więc inaczej niż GIODO zinterpretujemy termin drobnych bieżących czynności życia codziennego i nie zgłosimy bazy danych do regulatora, to możliwe, że popełniamy właśnie przestępstwo.

Oczywiście GIODO w zdecydowanej większości przypadków nie angażował w takich sytuacjach Prokuratury. Wskazywał jedynie brak rejestracji jako uchybienie i wzywał do zgłoszenia bazy. Co nie zmienia faktu, że literalnie rzecz ujmując, przestępstwo zostało popełnione.

Stan prawny w którym dany czyn jest przestępstwem ale w praktyce nikt go nie ściga, nie jest pożądanym zjawiskiem.

Projekt kwalifikuje już tylko dwa czyny jako przestępstwa. Są to:

  • Udaremnianie bądź utrudnianie kontroli UODO,
  • Przetwarzanie bez podstawy prawnej danych sensytywnych, wymienionych w art. 9 RODO,

Nowy projekt to istotny krok w kierunku zastąpienia mało efektywnej odpowiedzialności karnej, odpowiedzialnością administracyjną (finansową).

Administrator Bezpieczeństwa Informacji vs. Inspektor Ochrony Danych

Dla ABIch szczególnie istotne są zapisy o pełnieniu funkcji IOD. Według poprzedniego projektu, każdy ABI miał automatycznie stać się IODem i pełnić swoją funkcję do 1 września 2018 roku. Po tej dacie konieczne jest zgłoszenie IODa do regulatora.

Powyższe rozwiązanie zostało zachowane również w obecnej wersji projektu.

Zgłoszenia będą dokonywane w formie elektronicznej z wykorzystaniem elektronicznego podpisu kwalifikowanego bądź podpisu potwierdzonego profilem zaufanym ePUAP.

Rozwiązanie na pewno korzystne i idące z duchem czasu. W praktyce mogą pojawić się pewne trudności w przypadku członków zarządu będących obcokrajowcami i nie posiadającymi kont ePUAP, ani elektronicznych podpisów kwalifikowanych.

Wszyscy ABI, którzy pełnią swoją funkcję w więcej niż w jednym podmiocie, mogą spać spokojnie. W uzasadnieniu do Projektu czytamy, że twórcy nie zdecydowali się na jakiekolwiek limitowanie pełnienia funkcji IOD. Tego typu limity byłyby niezgodne z RODO.

Certyfikację zrealizuje Prezes UODO

W porównaniu z poprzednim projektem, mamy całkowicie odmienną koncepcję certyfikacji. Poprzednio Ministerstwo Cyfryzacji wyraźnie skłaniało się ku outsourcowaniu procesu certyfikacji.

Certyfikacji miały dokonywać akredytowane do tego podmioty. W nowym projekcie zrezygnowano z takiego rozwiązania.

Certyfikaty ma nadawać Prezes UODO. Postępowanie certyfikacyjne będzie możliwe do przeprowadzenia zdalnie w formie elektronicznej.

Jeśli Prezes poweźmie wątpliwości co do dokumentów przedstawianych przez ubiegających się o certyfikat podmiot, UODO będzie mógł przeprowadzić kontrolę.

Cały proces certyfikacji ma trwać maksymalnie 3 miesiące.

Za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobierze opłatę w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego. Będzie to zatem kwota ok. 12 tys. zł.

Przepisy wprowadzające ustawę o ochronie danych osobowych

Wdrożenie RODO do polskiego porządku prawnego, to nie tylko nowa ustawa o ochronie danych osobowych. Ministerstwo Cyfryzacji nie zapomniało o znowelizowaniu ponad 100 (!) innych aktów prawnych, które muszą być teraz kompatybilne z RODO.

Bardzo wiele zmian, to zmiany sektorowe, kierowane jedynie do ograniczonego kręgu odbiorców.

Inne, takie jak np. nowelizacja kodeksu pracy, będą miały bardzo duży zasięg oddziaływania.

Zmian jest na tyle dużo, że poświęcimy im odrębny artykuł na łamach naszego bloga.

Postępowanie w sprawie naruszenia przepisów

Prezes UODO może działać z własnej inicjatywy (np. prowadząc kontrole), jak również w wyniku skarg osób pokrzywdzonych.

W przypadku odnotowania skargi, Prezes UODO może np.:

  • Nałożyć karę finansową,
  • Udzielić upomnienia,
  • Nakazać ograniczenie przetwarzania danych przez administratora,

Nie zdecydowano się na odgórne ustalenie maksymalnych terminów na rozpatrywanie skarg. W praktyce dotrzymanie takich terminów (np. postulowanego 1 miesięcznego terminu), mogłoby się okazać niemożliwe.

 Postępowanie kontrolne

Do tej pory przebieg postępowania kontrolnego nie był uregulowany w przepisach zbyt szczegółowo. W projekcie dodano cały szereg przepisów mających zagwarantować zarówno skuteczność kontroli, jak i prawa osobom, które podlegają kontroli.

Ustawowo zagwarantowano też, że kontrola może trwać maksymalnie 1 miesiąc.

Do tej pory zdecydowana większość kontroli GIODO była zapowiadana, jednak przepisy nie regulowały tej materii wprost.

W nowych przepisach wyłączono działanie art. 79 ustawy o swobodzie działalności gospodarczej. Nie ulega więc wątpliwości, że postępowania kontrolne będą mogły być niezapowiadane.

Odpowiedzialność cywilna

Istotnym novum w stosunku do przepisów aktualnej ustawy o ochronie danych osobowych są zapisy o odpowiedzialności cywilnej.

Zapewniają one niezależną (niezależną wobec trybu postępowania administracyjnego przez Prezesem UODO) drogę dochodzenia roszczeń z tytułu naruszeń przepisów o ochronie danych osobowych.

Na podstawie tych przepisów, osoba której dane osobowe zostały naruszone, będzie mogła wystąpić z pozwem przeciwko temu kto dopuścił się takiego naruszenia. Właściwymi do rozpoznawania takich spraw mają być sądy okręgowe.

Warto również zwrócić uwagę, że chociaż sąd i Prezes UODO nie będą związani swoimi rozstrzygnięciami to jednak ustawodawca proponuję tryb wzajemnego informowania się tych organów o prowadzonych przez siebie postępowaniach i wydawanych rozstrzygnięciach. Wydaje się to bardzo słusznym rozwiązaniem, gdyż może ono wyeliminować przypadki wydawania sprzecznych wobec siebie decyzji i wyroków.

Podsumowanie

Kolejne niewiadome związane z procesem legislacyjnym, przestają być niewiadomymi. Zaproponowane zmiany idą w kierunku poszukiwania złotego środka pomiędzy zapewnieniem praw osób fizycznych i możliwością przetwarzania danych przez przedsiębiorców.

Czas pokaże na ile konsultacje społeczne zmienią obecną wersję projektu. Niemniej jednak, prawdopodobieństwo rewolucyjnych zmian jest dość znikome.

Polska jako jedno z pierwszych państw UE, przygotowała kompleksowy plan zmian, nie tylko w zakresie przedstawienia samej ustawy o ochronie danych osobowych.

Kolejnymi kluczowymi momentami procesu będą teraz:

  • Uchwalenie finalnej wersji ustawy o ochronie danych osobowych oraz przepisów wprowadzających przez sejm,
  • Przygotowanie przez Prezesa UODO rekomendacji w zakresie środków technicznych i organizacyjnych

O wszystkich zmianach będziemy Państwa szczegółowo informować na łamach naszego bloga.

uzasadnienie_do_ustawy_o_ochronie_danych_osobowych_-_13.09.2017 uzasadnienie_do_projektu_ustawy_przepisy_wprowadzajace_ustawe_o_ochronie_danych_osobowych_-_13.09.2017 ustawa_o_ochronie_danych_osobowych_-_projekt_-_13.09.2017 ustawa_-_przepisy_wprowadzajace_ustawe_o_ochronie_danych_osobowych_-_13.09.2017

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
RODO 3, czyli Akt w sprawie sztucznej inteligencji
Rozporządzenie ePrivacy, dlaczego wciąż czekamy i co się zmieni?

13 Odpowiedzi

  1. Ciekawe, czy za zmianą podmiotu odpowiedzialnego za ochronę danych osobowych pójdą konkretne usprawnienia. Dobrze, że odbędą się konsultacje społeczne – przecież ochrona danych osobowych powinna interesować każdego z nas.

  2. Jacek

    Jestem aktualnie ABIm w swojej spółce. Czy zgłoszenia mnie jako IOD mogą dokonać kadry przez ePuap, czy muszę mieć sam założone konto?
    Dziękuję.

    1. Kancelaria Lex Artist

      Dzień dobry. Zgłoszenia powinien dokonać administrator danych, czyli w Pana przypadku osoba/osoby uprawnione do reprezentacji spółki zgodnie z KRS. Pozdrawiamy!

  3. Krzysiek

    Czy firma hostingowa przetwarza jakiekolwiek dane? skoro teoretycznie pracownicy firm hostingowych nie mają żadnego wglądu (nie powinni) do przestrzeni dyskowej oraz do poczty którą udostępniają w ramach abonamentu to czy umowa taka powinna być podpisana ?
    Z reguły to chyba firma hostingowa powinna mieć klauzule że dane znajdujące się na ich serwerze są odpowiednio chronione a dane umieszczone na wykupionej przestrzeni dyskowej są na wyłączność danej osoby i nikt nie ma do niej dostępu?

    1. Kancelaria Lex Artist

      Witamy! Jeżeli serwery, na których „stoi” hosting, są własnością firmy hostingowej, to umowa powierzenia powinna być zawarta. Pozdrawiamy!

  4. Krzysiek

    Dzień dobry

    Dziekuję za odpowiedz

    Jeszcze mam jedno pytanie

    Zanim zacznę przygodę z Handlem (Lipiec/sierpień)to czy Umowa powierzenia danych może wyłącznie zawierać rozporządzenie RODO czy aktualne (nasze przepisy) również?

    1. Kancelaria Lex Artist

      Jeżeli rozpoczyna Pan przygodę w lipcu lub sierpniu, to umowy powierzenia należy zawrzeć wówczas i jako podstawy prawne podać już RODO. 🙂 Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO