Blog

Projekt ustawy o ochronie danych osobowych cz. I

Zmiany w krajowym systemie ochrony danych osobowych zapowiadane były już od dawna.  W pierwszej połowie września został opublikowany projekt ustawy o ochronie danych osobowych, który ma umożliwić stosowanie  “RODO”, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Zmiany w przepisach o ochronie danych osobowych,  będą miały duży wpływ na małych i średnich przedsiębiorców. Chociaż większość przepisów zacznie obowiązywać już w maju 2018r., to z naszego doświadczenia, we współpracy z firmami, w zakresie ochrony danych osobowych wynika, że część  przedsiębiorców nie jest jeszcze przygotowana na nowe przepisy. Warto zacząć wprowadzać zmiany już dziś.Dlatego dziś kilka słów na temat tego, jakie są podstawowe założenia planowanego aktu. Oczywiście należy pamiętać, że póki co, jest to dopiero projekt  ustawy o ochronie danych osobowych. Na etapie prac legislacyjnych, mogą zostać dokonane w nim pewne zmiany.Dobrze jest jednak wiedzieć, w którym kierunku zmierzają zmiany w prawie o ochronie danych osobowych. Czasu zostało tak naprawdę niewiele, dlatego warto być przygotowanym już dziś.

Ochrona danych osobowych osób fizycznych

Pierwsze co warto wiedzieć to to, że ustawa, będzie znajdowała zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Ustawa nie znajdzie zastosowania np. do przetwarzania danych osób prawnych.Po drugie, ustawa przewiduje pewne wyłączenia w zakresie jej stosowania. W ustawie wyłączono  stosowanie części przepisów rozporządzenia o ochronie danych osobowych w stosunku np. do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, działalności literackiej, artystycznej czy wypowiedzi akademickiej. Stosowanie ustawy wyłączone będzie, na mocy rozporządzenia m.in. w przypadku przetwarzania danych osobowych przez osobę fizyczną, w ramach czynności o czysto osobistym bądź domowym charakterze.

Inspektorzy ochrony danych

Projekt ustawy o ochronie danych osobowych,  w rozdziale drugim wskazuje na obowiązek ustanowienia inspektora ochrony danych przez organy i podmioty publiczne.Warto wiedzieć również, że rozporządzenie wymaga obowiązkowego ustanowienia inspektora ochrony danych osobowych wtedy, gdy :

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych( na przykład danych dotyczących poglądów politycznych , przekonań religijnych, danych genetycznych, biometrycznych, danych dotyczących zdrowia, seksualności etc.) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W pozostałych przypadkach wyznaczenie inspektora ochrony danych osobowych jest dobrowolne.  Może jednak stanowić znaczne ułatwienie w procesie codziennego przestrzegania procedur ochrony danych. Inspektor ochrony danych ma m.in. informować administratora danych o spoczywających na nim obowiązkach, doradzać w zakresie ochrony danych osobowych, monitorować czy odpowiednie przepisy i procedury są przestrzegane, wykonywać stosowne audyty czy na przykład pełnić funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych.Warto wspomnieć o tym, że w obecnie obowiązującej ustawie o ochronie danych osobowych podobną (aczkolwiek nie tożsamą) do inspektora ochrony danych osobowych funkcję pełni ABI ( Administrator Bezpieczeństwa Informacji).

Projekt ustawy o ochronie danych osobowych – certyfikaty

Projekt  ustawy o ochronie danych osobowych przewiduje także możliwość uzyskania stosownego certyfikatu, mającego świadczyć o tym, że operacje przetwarzania danych osobowych prowadzone przez dany podmiot są zgodne z przepisami. Taki certyfikat ma według projektu ustawy wydawać Prezes Urzędu, na wniosek zainteresowanego podmiotu.  Kryteria wydania certyfikatu ma określić Prezes Urzędu i mają być one publikowane  na stronie Biuletynu Informacji Publicznej urzędu. Przewiduje się, że certyfikat ma być udzielany na okres maksymalnie 3 lat, a jego uzyskanie ma być dobrowolne.Za czynności związane z postępowaniem o udzielenie certyfikatu ma być pobierana opłata. Ma ona być równa trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim. Wartość przeciętnego miesięcznego wynagrodzenia jest ogłaszana przez prezesa GUS. W 2016r., wyniosło ono 4047,21zł, co oznacza, że osoby ubiegające się o opłatę powinny się liczyć z opłatą w kwocie ponad 12 000 zł.

Akredytacja

Warto wspomnieć również o tym, że zgodnie z rozporządzeniem o ochronie danych osobowych, mogą zostać stworzone tzw. Kodeksy Postępowań, które mają pomóc we właściwym stosowaniu przepisów o ochronie danych osobowych. Takie kodeksy mają uwzględniać specyfikę poszczególnych sektorów. Inaczej ochrona danych wyglądała będzie np. przy sklepach internetowych a inaczej w służbie zdrowia.Projekt ustawy o ochronie danych osobowych stanowi, iż monitorowaniem przestrzegania takich zatwierdzonych kodeksów zajmować się będą podmioty, które uzyskają akredytację Prezesa Urzędu. W rozdziale III projektu ustawy przewidziano procedurę uzyskania certyfikatu akredytacyjnego.

Prezes Urzędu Ochrony Danych Osobowych

Projekt ustawy o ochronie danych osobowych przewiduje również, że organem do spraw ochrony danych osobowych ma być Prezes Urzędu Ochrony Danych Osobowych. Aktualnie organem zajmującym się ochroną danych jest Generalny Inspektor Ochrony Danych Osobowych ( GIODO). Projekt nowej ustawy o ochronie danych osobowych przewiduje jednak, że Prezes Urzędu będzie mieć znacznie szersze kompetencje niż GIODO.Projekt przewiduje, że prezes ma być powoływany przez Sejm, za zgodą Senatu , na wniosek Prezesa Rady Ministrów na czteroletnią kadencję. Ta sama osoba będzie mogła piastować to stanowisko przez nie dłużej niż dwie kadencje.Powołana ma zostać również Rada do Spraw Ochrony Danych Osobowych, która ma być organem opiniodawczo-doradczym.

Rekomendacje

Projekt ustawy o ochronie danych osobowych przewiduje również, że Prezes Urzędu będzie opracowywał i udostępniał w Biuletynie Informacji Publicznej stosowne rekomendacje. Rekomendacje te mają określać środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Takie rekomendacje mają uwzględniać specyfikę różnego rodzaju działalności oraz być, w zależności od potrzeb aktualizowane.

Uwaga

Prawo zmienia się bardzo dynamicznie, dlatego skontaktuj się z nami, aby zweryfikować czy opisane powyżej przepisy prawa są nadal w aktualne.

Kontakt
Logo
Adres
ul. Szlak 65 lok. 1008
(X piętro biurowca KŁOS)
31-153 Kraków

Kancelaria

Oferuje usługi prawne dla podmiotów gospodarczych oraz osób fizycznych.

Zachęcamy do kontaktu z prawnikami Kancelarii w celu umówienia indywidualnego spotkania.

Prawa autorskie © 2022 Kancelaria. Wszelkie prawa zastrzeżone.