Dzisiaj Ministerstwo Cyfryzacji opublikowało na stronach projekty nowych ustaw dotyczących przetwarzania danych osobowych, tj. ustawę o ochronie danych osobowych oraz przepisy wprowadzające ustawę o ochronie danych osobowych.
Podstawowe zasady i wymagania co do przetwarzania danych osobowych określać będą przepisy unijnego Rozporządzenia nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: Rozporządzenie RODO 2016/679). Rozporządzenie RODO 2016/679 wejdzie w życie już 25 maja 2018 r.
Polskie ustawy dotyczące ochrony danych osobowych natomiast będą pełnić rolę aktów wykonawczych do Rozporządzenia RODO 2016/679. Jest to rozwiązanie nowe i rewolucyjne w stosunku do dotychczas obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która kompleksowo regulowała kwestię przetwarzania danych osobowych w Polsce (poczynając od zakresu zastosowania, definicji, zasad i warunków przetwarzania danych osobowych, trybu uzyskiwania zgód na przetwarzanie danych, aż po organy i tryb kontroli oraz sankcje za naruszenie).
Wszystkie trzy powyższe nowe akty prawne tworzą zatem swoistą konstytucję ochrony danych osobowych obejmującą:
- Rozporządzenie RODO 2016/679,
- Nową ustawę o ochronie danych osobowych oraz
- Przepisy wprowadzające ustawę o ochronie danych osobowych.
Projekt nowej ustawy o ochronie danych osobowych koncentruje się na wybranych zagadnieniach, które zostały delegowane do regulacji krajowej przez Rozporządzenie RODO 2016/679. Po pierwsze, ustawa reguluje szczegółowe warunki i tryb udzielania certyfikacji i akredytacji w zakresie przetwarzania danych osobowych. Rozporządzenie RODO 2016/679 ustanawia system certyfikacji i akredytacji w celu wykazania, że dany administrator lub podmiot przetwarzający dane osobowe spełnia określone wymogi i stosuje odpowiednie zabezpieczenia danych osobowych zgodnie z Rozporządzeniem RODO 2016/679. Projekt ustawy o ochronie danych osobowych przesądza, iż certyfikacji dokonuje Prezes Urzędu Ochrony Danych Osobowych, który opracowuje kryteria certyfikacji i udostępnia je publicznie.
Ustawa o ochronie danych osobowych reguluje również ustrój i zasady funkcjonowania Urzędu Ochrony Danych Osobowych oraz Prezesa Urzędu Ochrony Danych Osobowych. Warto zauważyć, że nie będzie już zatem Generalnego Inspektora Ochrony Danych Osobowych, czyli popularnego GIODO.
Ponadto ustawa o ochronie danych reguluje kwestię postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, zasady prowadzenia postępowań kontrolnych, odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych, w końcu administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.Temu wszystkiemu można zapobiec zatrudniając wyspecjalizowaną kancelarię prawa gospodarczego przeprowadzającą audyt ochrony danych osobowych.
Ustawa przepisy wprowadzające ustawę o ochronie danych osobowych przewiduje natomiast dokonanie zmian w ponad 130 polskich ustawach, w celu dostosowania polskiego prawa do wymogów nowego unijnego prawa ochrony danych osobowych.
Realne wdrożenie nowego systemu ochrony danych osobowych niewątpliwie będzie wymagało od nowego Urzędu Ochrony Danych Osobowych aktywnego i efektywnego działania. Jak wiadomo z praktyki, w ostatnim okresie aktywność Generalnego Inspektora Ochrony Danych Osobowych osłabła i znaczna część podmiotów przetwarzających dane osobowe funkcjonuje praktycznie poza kontrolą organów powołanych do ochrony danych osobowych. Wynika to przede wszystkim z braków kadrowych i finansowych. GIODO zapowiada podwojenie inspektorów uprawnionych do kontroli i podjęcie zaplanowanych działań w celu wdrożenia nowych zasad przetwarzania danych osobowych. Z pewnością elementem sprzyjającym rozwojowi struktur urzędu ochrony danych osobowych będzie wysokość kar przewidzianych za naruszenie przepisów o ochronie danych osobowych (nawet do 20 mln. EUR albo alternatywnie do 4 procent całkowitego światowego obrotu przedsiębiorcy).
Na łamach naszego bloga będziemy wracać do nowych regulacji w zakresie ochrony danych osobowych i szczegółowo omawiać poszczególne instytucje. Zapraszamy do śledzenia nowych wpisów w tym zakresie.
