Przetwarzanie danych osobowych. Co znajdziemy w projekcie nowej ustawy?

kobieta pracująca przy komputerze

Działalność OS i OSK, na co nie każdy zwraca dość uwagi, wiąże się w oczywisty sposób z przetwarzaniem danych osobowych i przechowywaniem ich nawet przez dekadę. To zaś rodzi obowiązki, o których wciąż wielu przedsiębiorców nie ma pojęcia. Warto być jednak świadomym, tym bardziej, że na światło dzienne wyszedł projekt nowej ustawy o ochronie danych osobowych.

Często przewijający się ostatnio w mediach skrót RODO wielu Polaków może kojarzyć z ogrodami działkowymi. Nic bardziej mylnego. Chodzi o Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – w skrócie: ogólne rozporządzenie o ochronie danych. Regulacje tego aktu wejdą w życie w maju 2018 roku. Trwają już prace nad nową ustawą o ochronie danych osobowych, która będzie uwzględniać te zmiany.

Działalność OS i OSK, na co nie każdy zwraca dość uwagi, wiąże się w oczywisty sposób z przetwarzaniem danych osobowych i przechowywaniem ich nawet przez dekadę. To zaś rodzi obowiązki, o których wciąż wielu przedsiębiorców nie ma pojęcia. Aktualnie obowiązująca ustawa o ochronie danych osobowych określa zasady postępowania z danymi, obowiązki w zakresie zgłoszeń i dokumentacji związanej z przetwarzaniem danych osobowych. Warto zapoznać się z tym, co przewiduje projekt zupełnie nowej ustawy i jak wpłynie na polskich przedsiębiorców.

Do najważniejszych zmian należy m.in. przyznanie obywatelom dodatkowego prawa dochodzenia roszczeń cywilnoprawnych z tytułu naruszenia zasad ich prywatności. Poza tym w kontekście RODO najwięcej, z oczywistych powodów, mówi się o karach. Projekt nowej ustawy o ochronie danych osobowych poświęca temu tematowi rozdziały 9 i 10. Przepisy rozdziału 9 projektu dotyczą administracyjnych kar pieniężnych. Przesłanki ich nakładania i maksymalne wysokości wynikają wprost z RODO i mogą szokować. Rozporządzenie przewiduje bowiem nakładanie kar nawet w wysokości do 20.000.000 euro, albo – w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosowana ma być wyższa z tych dwóch kwot.

Rozdział 10 projektu zawiera przepisy karne. Odpowiedzialność karna ma być wyjątkiem przewidzianym wyłącznie dla najcięższych naruszeń przepisów. Ma ona, w założeniu autorów projektu, inaczej niż obecnie, stanowić jedynie uzupełnienie dla szeroko uregulowanej odpowiedzialności administracyjnej i cywilnej. Przyjęto więc, że podstawowymi sankcjami za naruszenie przepisów o ochronie danych osobowych są, nakładane na administratora lub podmiot przetwarzający, obowiązki wynikające z prawa administracyjnego oraz administracyjne kary pieniężne. Jedynie dla zapewnienia skuteczności systemu ochrony danych osobowych przewidziano sankcję karną za udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. Ponadto, jak czytamy w uzasadnieniu, „mając na względzie dobro podmiotów danych oraz wagę naruszenia, jakim jest przetwarzanie danych dotyczących np. zdrowia czy seksualności, uznano, że przetwarzanie ich bez podstawy prawnej, a więc nieuprawnione przetwarzanie, powinno być zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku”.

Przepisy ustanawiają również, w miejsce dotychczasowego GIODO, nowy organ państwowy – prezesa Urzędu Ochrony Danych Osobowych. Ma on być niezależny i powoływany przez Sejm na wniosek premiera na czteroletnią kadencję. Nowy organ ochrony danych osobowych będzie miał znacznie szerszy zakres uprawnień niż dzisiejszy GIODO.

Nową instytucją powoływaną przez prezesa urzędu ma być Rada do spraw Ochrony Danych Osobowych. W ocenie projektodawcy szeroki zakres zadań prezesa urzędu oraz potrzeba stałej grupy osób wspomagających go w realizacji zadań uzasadniają powołanie przy nim organu opiniodawczo-doradczego.

W celu uniknięcia przewlekłości postępowań, jaka ma miejsce w przypadku GIODO, uchwalone przez Sejm przepisy przewidują, że zniesiona zostanie dwuinstancyjność postępowania, a postępowania kontrolne prowadzone przez prezesa urzędu będą mogły trwać maksymalnie 30 dni. W uzasadnieniu projektu wskazano, że obecnie na uzyskanie prawomocnego orzeczenia w sprawie dotyczącej ochrony danych osobowych czeka się średnio 600 dni. Nowy organ będzie uprawniony również do wydawania rekomendacji w zakresie sposobów zabezpieczania danych osobowych, co dzisiaj się nie dzieje. Zmianie ulegną także zasady gromadzenia danych osobowych pracowników poprzez przyznanie im uprawnienia do udzielania zgody na przetwarzanie

Radosław Biernat

2 komentarze do “Przetwarzanie danych osobowych. Co znajdziemy w projekcie nowej ustawy?”

  1. Kolejna unijna ustawa, która tak naprawdę uderzy w małe firmy. Np. w biurze OSK ustawisz monitor komputerowy, z którego nawet przypadkowo ktoś MOŻE podpatrzyć nazwisko kursanta – OSK zostanie ukarany za to że ktoś MOŻE podpatrzyć.

    Ciekawe jak to się ma wyczytywania przez głośniki kursanta na plac egzaminacyjny w WODzie z imienia i nazwiska. „Co wolno będzie WOJEWODZIE to nie Tobie smr….!!

Dodaj komentarz