Jest projekt nowej ustawy o ochronie danych osobowych

Monika Brzozowska-Pasieka

Autor: Wioleta Szczygielska

Dodano: 28 marca 2017
Jest projekt nowej ustawy o ochronie danych osobowych

Ministerstwo Cyfryzacji zaprezentowało projekt nowej ustawy o ochronie danych osobowych. Reguluje ona m.in. sposób zawiadamiania o wyznaczeniu inspektora ochrony danych czy prowadzenie postępowania przez nowy organ nadzorczy do spraw ochrony danych.

Ogólne rozporządzenie o ochronie danych pozostawiło państwom członkowskim możliwość uregulowania w przepisach krajowych niektórych kwestii. Jedną z nich jest udzielanie zgody na przetwarzanie danych osobowych do korzystania z usług społeczeństwa informacyjnego przez dzieci. Polski ustawodawca chce obniżyć tę granicę z 16 (zaproponowanych w ogólnym rozporządzeniu) do 13 lat. Przetwarzanie danych takiej osoby będzie możliwe wyłącznie po uzyskaniu zgody jej rodziców bądź opiekunów prawnych.

Był GIODO – będzie UODO

Kolejną zmianą będzie nowa nazwa organu do spraw ochrony danych osobowych. Będzie to Urząd Ochrony Danych Osobowych, na jego czele ma stać Prezes. Będzie on opracowywał i udostępniał na swojej stronie internetowej dobre praktyki przetwarzania danych osobowych. Znajdą się w nich rekomendacje, jakie środki techniczne i organizacyjne zastosować, by zapewnić bezpieczeństwo przetwarzania danych osobowych.

Nowość! Akredytacja i certyfikacja

Prezes urzędu będzie także udzielał akredytacji podmiotom, które następnie będą mogły udzielać certyfikacji. Lista podmiotów certyfikujących będzie ogłoszona w Biuletynie Informacji Publicznej Urzędu. Za uzyskanie akredytacji trzeba będzie zapłacić, jednak Ministerstwo Cyfryzacji nie ustaliło jeszcze wysokości tej opłaty.

Podmioty certyfikujące będą udzielały certyfikacji administratorom i podmiotom przetwarzającym dane osobowe. Będą też prowadziły publicznie dostępny wykaz podmiotów, które uzyskały certyfikację. Po złożeniu wniosku o udzielenie certyfikacji lub po jej przyznaniu, podmiot certyfikujący będzie mógł przeprowadzić kontrolę u administratora lub podmiotu przetwarzającego. Udzielenie certyfikacji także ma być płatne.

Naruszenie przepisów o ochronie danych. Jaka procedura?

Prezes Urzędu Ochrony Danych Osobowych będzie prowadził postępowanie w sprawie naruszenia przepisów ochrony danych osobowych. Będzie to postępowanie jednoinstancyjne. Z wnioskiem o wszczęcie postępowania będzie mogła wystąpić organizacja społeczna, gdy prawa osoby przysługujące jej na mocy przepisów o ochronie osobowych zostaną naruszone. Organizacja społeczna będzie mogła także wnioskować o dopuszczenie jej do udziału w postępowaniu.

W toku postępownania Prezes Urzędu będzie miał dostęp do wszelkich informacji, w tym danych osobowych, niezbędnych do realizacji zadań. Będzie ono jednak ograniczone ze względu na tajemnice ustawowo chronione. Podmiot, u którego będzie przeprowadzana kontrola, będzie mógł zastrzec, jakie informacje i dokumenty są objęte tajenicą. Prezes Urzędu będzie mogł jednak uchylić to zastrzeżenie.

Prezes Urzędu będzie mógł także nałożyć do 500 zł grzywny na osoby, które nie stawią się w charakterze świadka lub biegłego, odmówią złożenia zeznania, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej.

Jeżeli Prezes Urzędu stwierdzi, że przetwarzanie danych narusza przepisy o ochronie danych osobowych, może nakazać:

  1. uwzględnienie żądań zawartych w skardze osoby, której dane dotyczą;
  2. dostosowanie operacji przetwarzania danych osobowych do przepisów ogólnego rozporządzenia;
  3. zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;
  4. wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania;
  5. sprostowanie lub usunięcie danych osobowych;
  6. powiadomienie odbiorców, którym dane osobowe zostały ujawnione o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych;
  7. zawieszenie przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.

Prezes Urzędu, niezależnie od rozstrzygnięcia postępowania, będzie mógł nałożyć administracyjną karę pieniężną. W przypadku niewielkich naruszeń Prezes Urzędu może jedynie udzielić upomnienia. Decyzję Prezesa będzie można zaskarżyć, skarga ma być rozpatrywana w ciągu 30 dni.

Jak będą wyglądać kontrole UODO

Prezes Urzędu Ochrony Danych Osobowych będzie prowadził kontrole przestrzegania przepisów o ochronie danych osobowych. Będą one prowadzone przez upoważnionych pracowników Urzędu i nie będą mogły trwać dłużej niż miesiąc. Będą oni mieli prawo do wstępu do budynków, pomieszczeń i lokali administratora, wglądu do wszelkich dokumentów, przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Będą mogli także żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w charakterze świadka. Z kontroli będzie sporządzany protokół. Kontrolowany będzie mógł w ciągu 7 dni na piśmie złożyć uwagi do tego protokołu lub odmówić jego podpisania.

Co z karami finansowymi

Zgodnie z przepisami ogólnego rozporządzenia podmioty prywatne będą musiały liczyć się z karą finansową nawet do 20 mln euro (lub do 4% rocznego obrotu). Kary dla podmiotów publicznych miały uregulować państwa członkowskie. Ministerstwo Cyfryzacji proponuje, aby wynosiły one do 100 tys. zł. Kary pieniężne będą mogły być rozkładane na raty.

Inspektorzy ochrony danych

Polska ustawa o ochronie danych osobowych będzie regulować także tryb zgłaszania inspektora ochrony danych organowi nadzorczemu. Zgodnie z propozycją Ministerstwa Cyfryzacji administrator lub podmiot przetwarzający będą mieli 14 dni od wyznaczenia inspektora na zawiadomienie o tym Prezesa Urzędu. Będzie trzeba podać imię, nazwisko, adres poczty elektronicznej albo numer telefonu inspektora.

W zawiadomieniu trzeba będzie wskazać adres siedziby i pełną nazwę, a w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna – miejsce zamieszkania oraz imię i nazwisko. O każdej zmianie tych danych lub danych inspektora należy zawiadomić Prezesa Urzędu w terminie 14 dni. Zawiadomienia te będą składane w postaci papierowej albo elektronicznej. Prezes Urzędu będzie prowadził system teleinformatyczny umożliwiający przesyłanie zawiadomień w postaci elektronicznej oraz ewidencję zawiadomień.

Nowa ustawa ma przewidywać także przepis przejściowy – administratorzy bezpieczeństwa informacji będą pełnili funkcję inspektorów do 1 września 2018 r. Do tego terminu administrator lub podmiot przetwarzający będą musieli zawiadomić Prezesa Urzędu, że wyznaczyli inspektora lub że ABI nie pełni funkcji inspektora.

Źródło:
  • Projekt ustawy o ochronie danych osobowych z 28 marca 2017 r.
Monika Brzozowska-Pasieka

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel