Nowa Ustawa o Ochronie Danych Osobowych – porównanie
Dnia 10 maja 2018 r. sejm uchwalił nową ustawę o ochronie danych osobowych. Ma ona na celu uszczegółowienie pewnych kwestii, które w treści rozporządzenia ogólnego o ochronie danych osobowych (RODO) zostały pozostawione do uregulowania poszczególnym państwom członkowskim UE. Nowa ustawa zawiera m.in. wyszczególnienie obowiązków i kompetencji Prezesa Urzędu Ochrony Danych Osobowych.
Nowa ustawa o ochronie danych osobowych – zakres regulacji
Dotychczasowa, uchwalona w roku 1997 ustawa o ochronie danych osobowych w sposób kompleksowy regulowała wszystkie zagadnienia dotyczące zasad przetwarzania danych osobowych. Jej normy odzwierciedlały konieczność implementacji dyrektywy unijnej dotyczącej ochrony danych osobowych. Jednakże, z uwagi na fakt, iż nowe rozporządzenie ogólne o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) jest unijnym aktem prawnym, który będzie stosowany bezpośrednio we wszystkich państwach członkowskich, nie jest konieczne dalsze implementowanie tych przepisów na gruncie ustawodawstwa krajowego. W związku z tym treść nowej ustawy o ochronie danych osobowych będzie zawierała jedynie część regulacji, która umieszczona była w starym akcie prawnym z roku 1997. Większość kwestii interesujących podmioty danych (tj. osoby, których dane są przetwarzane) lub administratorów danych znajduje się bowiem bezpośrednio w treści rozporządzenia. Jeżeli więc polski przedsiębiorca chce poznać podstawowe informacje dotyczące zasad przetwarzania danych osobowych, powinien sięgnąć bezpośrednio po treść RODO. Dopiero jego treść może wskazać, które kwestie zostały uregulowane w polskiej ustawie o ochronie danych osobowych bardziej szczegółowo.
Ochrona danych osobowych na gruncie starych i nowych przepisów
Z uwagi na bezpośrednie stosowanie RODO, w treści nowej ustawy o ochronie danych osobowych nie znajdzie się wiele rzeczy, które regulowała stara ustawa. Dotyczy to np. zasad ochrony danych osobowych, podstaw prawnych umożliwiających przetwarzanie danych osobowych, konieczności stosowania odpowiednich zabezpieczeń danych czy też obowiązku informowania osób, których dane dotyczą o fakcie przetwarzania ich danych osobowych. Wystarczające jest bowiem zawarcie regulacji dotyczących tych zagadnień bezpośrednio w treści rozporządzenia ogólnego o ochronie danych.
Uszczegółowienie zasad ochrony danych osobowych
Nowa ustawa o ochronie danych osobowych uszczegóławia natomiast pewne kwestie wynikające bezpośrednio z RODO. Dotyczy to na przykład sprecyzowania, że podmiotami publicznymi, które są obowiązane powołać Inspektora Ochrony Danych są jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski. Ponadto ustawa wskazuje, że podmiot który powołał Inspektora Ochrony Danych obowiązany jest zawiadomić o tym Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia jego powołania. W treści zawiadomienia powinny znaleźć się następujące informacje:
- imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora ochrony danych,
- imię i nazwisko oraz adres zamieszkania administratora lub podmioty przetwarzającego , w przypadku gdy jest nim osoba fizyczna,
- firma przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,
- pełna nazwa oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest inny podmiot, np. spółka,
- numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.
W przypadku zmiany Inspektora, zmiany danych podmiotu, który go wyznaczył lub odwołania inspektora, podmiot wyznaczający inspektora jest obowiązany zawiadomić o tym Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia zmiany lub odwołania. Dodatkowo nowa ustawa wskazuje, że podmiot, który wyznaczył inspektora, udostępnia dane inspektora, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Akredytacja i certyfikacja a nowe prawo dotyczące ochrony danych osobowych
Nowa ustawa o ochronie danych osobowych odnosi się w sposób szczegółowy do możliwości uzyskania certyfikatów potwierdzających, że dany podmiot przestrzega przepisów o ochronie danych osobowych. Ustawa wskazuje również na kryteria uzyskania akredytacji w tym zakresie. Podmioty akredytowane są uprawnione do badania możliwości wydawania certyfikatów dotyczących przestrzegania przepisów ochrony danych osobowych na zasadach zbliżonych do tych, na podstawie których robi to sam Prezes Urzędu Ochrony Danych Osobowych. Ustawa określa także informacje, które powinny się znaleźć w treści wniosku o udzielenie certyfikatu, procedurę badania zasadności jego udzielenia oraz możliwości późniejszej kontroli przestrzegania przez podmiot certyfikowany zasad dotyczących ochrony danych osobowych, które wynikają z Rozporządzenia ogólnego o ochronie danych osobowych.
Kodeksy postępowania
Przepisy ustawy precyzują również możliwość tworzenia oraz zatwierdzania kodeksów postępowania dotyczących ochrony danych osobowych. Kodeksy postępowania są zbiorem wytycznych, tworzonych przez organy samorządów zawodowych, zrzeszenia branżowe czy też związki przedsiębiorców. Umożliwiają one właściwie dostosowanie organizacji do przepisów RODO a następnie bieżące przestrzeganie tej regulacji. Zgodnie z nową polską ustawą o ochronie danych osobowych, kodeksy postępowania będą zatwierdzane przez Prezesa Urzędu Ochrony Danych Osobowych.
Prezes Urzędu Ochrony Danych Osobowych
Ustawa wskazuje, że organem państwowym właściwym w sprawach związanych z ochroną danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Zastępuje on działającego na podstawie dotychczasowej ustawy Generalnego Inspektora Ochrony Danych Osobowych. Tym samym Prezes Urzędu (PUODO) jest organem nadzorczym w rozumieniu przepisów rozporządzenia ogólnego o ochronie danych. Prezesa Urzędu powołuje i odwołuje Sejm za zgodą Senatu. Na stanowisko Prezesa Urzędu może być powołana wyłącznie osoba, która jest obywatelem polskim, posiada wyższe wykształcenie, wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych, korzysta z pełni praw publicznych, nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe oraz posiada nieposzlakowaną opinię. Kadencja Prezesa Urzędu trwa 4 lata.
Ustawa wskazuje, że Prezes Urzędu może powołać do trzech zastępców. Ponadto, Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych, którego organizacja i zakres zadań uregulowany jest statutem nadanym przez Prezesa UODO. Możliwe jest również tworzenie jednostek zamiejscowych urzędu tak aby usprawnić wykonywanie zadań dotyczących ochrony danych osobowych. Istotne jest również to, że Prezes Urzędu będzie posiadał organ doradczy i opiniodawczy, tj. Radę do Spraw Ochrony Danych Osobowych.
Nowa ustawa o ochronie danych osobowych nakłada na Prezesa Urzędu obowiązek opublikowania na swojej stronie internetowej standardowych klauzul umownych dotyczących umów powierzenia przetwarzania danych osobowych, zatwierdzonych przez Prezesa Urzędu kodeksów postępowania czy też rekomendacji określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Naruszenia ochrony danych osobowych
Prezes Urzędu zobowiązany jest także do prowadzenia postępowań w sprawie naruszenia przepisów o ochronie danych osobowych. W zakresie nieuregulowanym w nowej ustawie do takich postępowań stosuje się przepisy ustawy Kodeks postępowania administracyjnego. Ponadto, Prezes Urzędu, za pośrednictwem pracowników Urzędu Ochrony Danych Osobowych przeprowadza kontrole przestrzegania przepisów o ochronie danych osobowych. Ustawa reguluje także szczegółowe kwestie związane z dochodzeniem przez osoby, których dane dotyczą roszczeń przed sądami powszechnymi, wynikających z nieprawidłowego stosowania przez administratorów lub podmioty przetwarzające przepisów dotyczących ochrony danych osobowych.
Sprawdź również: