13 września 2017 r. Ministerstwo Cyfryzacji opublikowało na swojej stronie internetowej nowy projekt ustawy o ochronie danych osobowych. Oprócz całkiem nowej ustawy, która zastąpi tą obowiązującą od 20 lat, projekt obejmuje zmiany w 133 innych ustawach. Projekt został poddany konsultacjom społecznym, które będą trwały do 13 października 2017 r. Każdy może wyrazić swoją opinię dotyczącą przedstawionego projektu ustawy (link do strony MC znajduje się tutaj).
Aby ułatwić Państwu wyrobienie sobie własnego zdania na temat nowego projektu ustawy o ochronie danych osobowych, poniżej przedstawiamy najważniejsze zmiany:
Zgoda wyrażona przez dziecko
W przypadku korzystania z usług świadczonych drogą elektroniczną (m.in. korzystania z portali internetowych, forum internetowego, zamawiania newsletterów) skuteczną zgodę na przetwarzanie danych osobowych będzie mogła wyrazić osoba, która ukończyła 13 lat. Ustawodawca świadomie obniżył granicę wieku wskazaną w RODO z 16 na 13 lat, argumentując, że na gruncie prawa cywilnego małoletni po ukończeniu 13 roku życia mają tzw. ograniczoną zdolność do czynności prawnych i mogą składać skuteczne oświadczenie woli.
Inspektorzy ochrony danych
Ponieważ przestanie obowiązywać aktualna ustawa o ochronie danych osobowych, swoje funkcje przestaną pełnić dotychczasowi Administratorzy Bezpieczeństwa Informacji (ABI). Na ich miejsce mogą być powoływani Inspektorzy Ochrony Danych (IOD). Wymagania, jakie powinna spełniać osoba pełniąca funkcję Inspektora, posiadane kwalifikacje i zakres zadań wynikają wprost z RODO.
Podmioty i organy publiczne, które mają obowiązek powołania IOD
Projekt doprecyzował pojęcie organów i podmiotów publicznych, które mają obowiązek powołania Inspektora Ochrony Danych. W tym celu posłużono się już istniejącymi definicjami wyrażonymi w KPA i ustawie o finansach publicznych. Zatem podmiotami i organami publicznymi zobowiązanymi do powołania IOD są:
W rozumieniu art. 5 § 2 pkt 3 KPA:
ministrowie;
centralne organy administracji rządowej;
wojewodowie;
działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej);
organy jednostek samorządu terytorialnego, organy państwowe oraz inne podmioty, gdy są one powołane z mocy prawa lub na podstawie porozumień.
W rozumieniu art. 9 ustawy o finansach publicznych:
organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
jednostki samorządu terytorialnego oraz ich związki;
związki metropolitalne;
jednostki budżetowe;
samorządowe zakłady budżetowe;
agencje wykonawcze;
instytucje gospodarki budżetowej;
państwowe fundusze celowe;
Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
Narodowy Fundusz Zdrowia;
samodzielne publiczne zakłady opieki zdrowotnej;
uczelnie publiczne;
Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
państwowe i samorządowe instytucje kultury;
inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaww celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
Certyfikacja i akredytacja
Certyfikacja i akredytacja stanowią nowość w naszych przepisach i realizują art. 42 RODO mówiący o tym, że państwa członkowskie powinny dążyć do ustanawiania mechanizmów certyfikacji oraz znaków jakości w zakresie ochrony danych osobowych. Posiadanie certyfikatu daje więc gwarancję zgodności prowadzonych operacji przetwarzania danych z zasadami RODO oraz ich wysokiej jakości.
Kryteria jakie należy spełnić ubiegając się o certyfikat opracowuje i udostępnia w BIP Prezes Urzędu. Postepowanie o udzielenie certyfikacji jest odpłatne i wynosi trzykrotność przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce w roku poprzednim ogłaszanego przez Prezesa GUS.
Postepowanie certyfikacyjne prowadzi wyłącznie Prezes Urzędu na wniosek administratora lub podmiotu przetwarzającego. W przypadku spełnienia kryteriów certyfikacji Prezes Urzędu zawiadamia podmiot o udzieleniu certyfikacji i wydaje stosowny certyfikat. Podmiot, który uzyskał certyfikację będzie musiał spełniać kryteria przez cały okres na jaki został wydany certyfikat (maksymalnie 3 lata), jak też, przez cały ten okres, może być poddany postępowaniu sprawdzającemu w celu oceny spełniania kryteriów certyfikacji. W przypadku odmowy wydania lub cofnięcia certyfikatu – Prezes Urzędu wydaje decyzję administracyjną o odmowie udzielenia certyfikatu, jednocześnie wskazując kryteria, których wnioskujący nie spełnił lub w przypadku cofnięcia certyfikatu – które przestał spełniać.
Do zadań Prezesa Urzędu należy opiniowanie i zatwierdzanie projektów, rejestrowanie i publikowanie kodeksów postępowania i dobrych praktyk mających pomóc w przestrzeganiu przepisów Rozporządzenia. Nad monitorowaniem przestrzegania zatwierdzonych kodeksów postępowania czuwać będzie właśnie podmiot akredytowany przez Prezesa Urzędu. Kryteria, jakie należy spełnić ubiegając się o akredytację oraz zasady postępowania akredytacyjnego reguluje bezpośrednio RODO, z propozycją doprecyzowania na gruncie prawa krajowego w art. 17-19 projektu ustawy. Potwierdzeniem uzyskania akredytacji jest certyfikat akredytacyjny.
Nowy organ – Prezes Urzędu Ochrony Danych Osobowych
Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpi Prezes Urzędu Ochrony Danych Osobowych, który zyskuje nowe uprawnienia i zadania.
Prezesem Urzędu może zostać osoba będąca obywatelem polskim, posiadająca tytuł naukowy doktora, wiedzę i doświadczenie z zakresu ochrony danych (powinna co najmniej 5 lat wykonywać czynności bezpośrednio związane z ochroną danych osobowych). Ponadto korzysta z pełni praw publicznych i nie była skazana prawomocnym wyrokiem za umyślne przestępstwo (lub umyślne przestępstwo skarbowe). Kadencja Prezesa Urzędu trwa 4 lata, a ta sama osoba może sprawować funkcję tylko przez dwie kadencje.
Prezesa Urzędu powołuje i odwołuje Sejm za zgoda Senatu na wniosek Prezesa Rady Ministrów. Taka procedura wyboru jest uzasadniona pozycją ustrojową Prezesa, który to w trakcie wykonywania swoich zadań współpracuje zarówno z władzą ustawodawczą jak i wykonawczą.
RODO nałożyło na Prezesa Urzędu szereg nowych zadań i obowiązków, np. współpraca międzynarodowa, certyfikacja i akredytacja, działania edukacyjne, nadzór nad przestrzeganiem przepisów nie tylko Rozporządzenia, ale także tzw. dyrektywy policyjnej. Ustawodawca postanowił więc umożliwić wywiązanie się Prezesowi Urzędu z nałożonych obowiązków przewidując możliwość wykonywania przez niego zadań przy pomocy do trzech zastępców. Jest to nowość ponieważ dotychczas GIODO panował niepodzielnie. Zastępców Prezesa Urzędu powołuje i odwołuje Prezes Rady Ministrów: dwóch zastępców na wniosek ministra właściwego ds. cyfryzacji, a jednego na wniosek ministra do spraw wewnętrznych po zasięgnięciu opinii Ministrów Sprawiedliwości, Obrony Narodowej, ministra właściwego do spraw finansów publicznych oraz Prokuratora Generalnego. Wymagania w stosunku do kandydatów na zastępców są takie same jak do Prezesa, z wyjątkiem wymogu posiadania tytułu doktora oraz z wymogiem 4-letniego doświadczenia w wykonywaniu czynności bezpośrednio związanych z ochroną danych osobowych.
Prezes Urzędu posiada immunitet oraz niezależność budżetową, a także – co jest nowością – samodzielnie nadaje statut Urzędowi Ochrony Danych Osobowych, w którym określa organizację Urzędu i zakres zadań zastępców.
Dodatkowo, przy Prezesie Urzędu będzie działać nowy, dotychczas nieznany organ: Rada do Spraw Ochrony Danych Osobowych. Rada będzie składała się z 8 członków, którzy będą pełnić funkcję opiniodawczo-doradczą.
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych.
Postępowanie prowadzone jest przed Prezesem Urzędu, według przepisów KPA.
Postępowanie jest jednoinstancyjne. Na decyzję wydaną w postępowaniu przysługuje wniosek o ponowne rozpatrzenie sprawy dokonywane przez ten sam organ. Jak czytamy w uzasadnieniu do projektu, ustawodawcy zależy na zapewnieniu szybkości postępowania, egzekwowalności praw właścicieli danych, a w konsekwencji skutecznej ochrony danych.
W przypadku podtrzymania wydanej decyzji stronie przysługuje prawo do wniesienia skargi do sądu administracyjnego. Co ważne, wniesienie skargi powoduje wstrzymanie wykonania decyzji tylko w zakresie dotyczącym nałożonej kary pieniężnej, a nie w zakresie związanym z przetwarzaniem danych np. w przedmiocie ograniczenia przetwarzania danych lub przekazywania danych osoby fizycznej do państwa trzeciego.
Nowością wprowadzoną do postępowania w sprawie o naruszenia przepisów o ochronie danych osobowych jest umożliwienie organizacjom społecznym wzięcia udziału w postępowaniu.
Dodatkowe uprawnienia uzyskują właściciele danych, ponieważ toczące się postepowanie przed Prezesem Urzędu nie wyłącza możliwości występowania z roszczeniami z powództwa cywilnego. Dobrym rozwiązaniem jest współpraca sądu z Prezesem Urzędu aby uniknąć sytuacji, gdy w jednej sprawie wydawane są dwa różniące się od siebie rozstrzygnięcia. Sąd zawiadamia Prezesa Urzędu o wniesieniu pozwu, jak również informuje o każdym wyroku, w którym uwzględniono powództwo. Natomiast w sytuacji, jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie w tej sprawie lub postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym fakcie sąd. W konsekwencji zapewni to jednolite orzecznictwo.
Kary pieniężne
Kary w przypadku naruszenia przepisów o ochronie danych osobowych w stosunku do podmiotów prywatnych określa wprost RODO, tzn. w zależności od kategorii naruszeń jest to 10 mln euro lub 2% całkowitego obrotu za rok poprzedni albo 20 mln euro lub 4 % obrotu.
Nowością są administracyjne kary pieniężne nakładane na podmioty publiczne, wskazane w art. 9 ustawy o finansach publicznych (z wyłączeniem państwowych i samorządowych instytucji kultury), które mogą wynosić do 100 tys. złotych.
Utworzony zostanie Fundusz Ochrony Danych Osobowych, do którego będzie trafiało 1% nakładanych kar, pozostała część stanowić będzie dochód budżetu państwa. Środki z Funduszu będą przeznaczone na działania edukacyjne wśród społeczeństwa, w szczególności dzieci oraz administratorów danych.
Przepisy karne
Ustawa wprowadza również przepisy karne: za udaremnianie lub utrudnianie kontroli – grzywna. Za przetwarzanie danych szczególnych kategorii bez podstawy prawnej – kara ograniczenia albo pozbawienia wolności do roku.
13 września 2017 r. Ministerstwo Cyfryzacji opublikowało na swojej stronie internetowej nowy projekt ustawy o ochronie danych osobowych. Oprócz całkiem nowej ustawy, która zastąpi tą obowiązującą od 20 lat, projekt obejmuje zmiany w 133 innych ustawach. Projekt został poddany konsultacjom społecznym, które będą trwały do 13 października 2017 r. Każdy może wyrazić swoją opinię dotyczącą przedstawionego projektu ustawy (link do strony MC znajduje się tutaj).
Aby ułatwić Państwu wyrobienie sobie własnego zdania na temat nowego projektu ustawy o ochronie danych osobowych, poniżej przedstawiamy najważniejsze zmiany:
Zgoda wyrażona przez dziecko
W przypadku korzystania z usług świadczonych drogą elektroniczną (m.in. korzystania z portali internetowych, forum internetowego, zamawiania newsletterów) skuteczną zgodę na przetwarzanie danych osobowych będzie mogła wyrazić osoba, która ukończyła 13 lat. Ustawodawca świadomie obniżył granicę wieku wskazaną w RODO z 16 na 13 lat, argumentując, że na gruncie prawa cywilnego małoletni po ukończeniu 13 roku życia mają tzw. ograniczoną zdolność do czynności prawnych i mogą składać skuteczne oświadczenie woli.
Inspektorzy ochrony danych
Ponieważ przestanie obowiązywać aktualna ustawa o ochronie danych osobowych, swoje funkcje przestaną pełnić dotychczasowi Administratorzy Bezpieczeństwa Informacji (ABI). Na ich miejsce mogą być powoływani Inspektorzy Ochrony Danych (IOD). Wymagania, jakie powinna spełniać osoba pełniąca funkcję Inspektora, posiadane kwalifikacje i zakres zadań wynikają wprost z RODO.
Podmioty i organy publiczne, które mają obowiązek powołania IOD
Projekt doprecyzował pojęcie organów i podmiotów publicznych, które mają obowiązek powołania Inspektora Ochrony Danych. W tym celu posłużono się już istniejącymi definicjami wyrażonymi w KPA i ustawie o finansach publicznych. Zatem podmiotami i organami publicznymi zobowiązanymi do powołania IOD są:
W rozumieniu art. 5 § 2 pkt 3 KPA:
W rozumieniu art. 9 ustawy o finansach publicznych:
Certyfikacja i akredytacja
Certyfikacja i akredytacja stanowią nowość w naszych przepisach i realizują art. 42 RODO mówiący o tym, że państwa członkowskie powinny dążyć do ustanawiania mechanizmów certyfikacji oraz znaków jakości w zakresie ochrony danych osobowych. Posiadanie certyfikatu daje więc gwarancję zgodności prowadzonych operacji przetwarzania danych z zasadami RODO oraz ich wysokiej jakości.
Kryteria jakie należy spełnić ubiegając się o certyfikat opracowuje i udostępnia w BIP Prezes Urzędu. Postepowanie o udzielenie certyfikacji jest odpłatne i wynosi trzykrotność przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce w roku poprzednim ogłaszanego przez Prezesa GUS.
Postepowanie certyfikacyjne prowadzi wyłącznie Prezes Urzędu na wniosek administratora lub podmiotu przetwarzającego. W przypadku spełnienia kryteriów certyfikacji Prezes Urzędu zawiadamia podmiot o udzieleniu certyfikacji i wydaje stosowny certyfikat. Podmiot, który uzyskał certyfikację będzie musiał spełniać kryteria przez cały okres na jaki został wydany certyfikat (maksymalnie 3 lata), jak też, przez cały ten okres, może być poddany postępowaniu sprawdzającemu w celu oceny spełniania kryteriów certyfikacji. W przypadku odmowy wydania lub cofnięcia certyfikatu – Prezes Urzędu wydaje decyzję administracyjną o odmowie udzielenia certyfikatu, jednocześnie wskazując kryteria, których wnioskujący nie spełnił lub w przypadku cofnięcia certyfikatu – które przestał spełniać.
Do zadań Prezesa Urzędu należy opiniowanie i zatwierdzanie projektów, rejestrowanie i publikowanie kodeksów postępowania i dobrych praktyk mających pomóc w przestrzeganiu przepisów Rozporządzenia. Nad monitorowaniem przestrzegania zatwierdzonych kodeksów postępowania czuwać będzie właśnie podmiot akredytowany przez Prezesa Urzędu. Kryteria, jakie należy spełnić ubiegając się o akredytację oraz zasady postępowania akredytacyjnego reguluje bezpośrednio RODO, z propozycją doprecyzowania na gruncie prawa krajowego w art. 17-19 projektu ustawy. Potwierdzeniem uzyskania akredytacji jest certyfikat akredytacyjny.
Nowy organ – Prezes Urzędu Ochrony Danych Osobowych
Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpi Prezes Urzędu Ochrony Danych Osobowych, który zyskuje nowe uprawnienia i zadania.
Prezesem Urzędu może zostać osoba będąca obywatelem polskim, posiadająca tytuł naukowy doktora, wiedzę i doświadczenie z zakresu ochrony danych (powinna co najmniej 5 lat wykonywać czynności bezpośrednio związane z ochroną danych osobowych). Ponadto korzysta z pełni praw publicznych i nie była skazana prawomocnym wyrokiem za umyślne przestępstwo (lub umyślne przestępstwo skarbowe). Kadencja Prezesa Urzędu trwa 4 lata, a ta sama osoba może sprawować funkcję tylko przez dwie kadencje.
Prezesa Urzędu powołuje i odwołuje Sejm za zgoda Senatu na wniosek Prezesa Rady Ministrów. Taka procedura wyboru jest uzasadniona pozycją ustrojową Prezesa, który to w trakcie wykonywania swoich zadań współpracuje zarówno z władzą ustawodawczą jak i wykonawczą.
RODO nałożyło na Prezesa Urzędu szereg nowych zadań i obowiązków, np. współpraca międzynarodowa, certyfikacja i akredytacja, działania edukacyjne, nadzór nad przestrzeganiem przepisów nie tylko Rozporządzenia, ale także tzw. dyrektywy policyjnej. Ustawodawca postanowił więc umożliwić wywiązanie się Prezesowi Urzędu z nałożonych obowiązków przewidując możliwość wykonywania przez niego zadań przy pomocy do trzech zastępców. Jest to nowość ponieważ dotychczas GIODO panował niepodzielnie. Zastępców Prezesa Urzędu powołuje i odwołuje Prezes Rady Ministrów: dwóch zastępców na wniosek ministra właściwego ds. cyfryzacji, a jednego na wniosek ministra do spraw wewnętrznych po zasięgnięciu opinii Ministrów Sprawiedliwości, Obrony Narodowej, ministra właściwego do spraw finansów publicznych oraz Prokuratora Generalnego. Wymagania w stosunku do kandydatów na zastępców są takie same jak do Prezesa, z wyjątkiem wymogu posiadania tytułu doktora oraz z wymogiem 4-letniego doświadczenia w wykonywaniu czynności bezpośrednio związanych z ochroną danych osobowych.
Prezes Urzędu posiada immunitet oraz niezależność budżetową, a także – co jest nowością – samodzielnie nadaje statut Urzędowi Ochrony Danych Osobowych, w którym określa organizację Urzędu i zakres zadań zastępców.
Dodatkowo, przy Prezesie Urzędu będzie działać nowy, dotychczas nieznany organ: Rada do Spraw Ochrony Danych Osobowych. Rada będzie składała się z 8 członków, którzy będą pełnić funkcję opiniodawczo-doradczą.
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych.
Postępowanie prowadzone jest przed Prezesem Urzędu, według przepisów KPA.
Postępowanie jest jednoinstancyjne. Na decyzję wydaną w postępowaniu przysługuje wniosek o ponowne rozpatrzenie sprawy dokonywane przez ten sam organ. Jak czytamy w uzasadnieniu do projektu, ustawodawcy zależy na zapewnieniu szybkości postępowania, egzekwowalności praw właścicieli danych, a w konsekwencji skutecznej ochrony danych.
W przypadku podtrzymania wydanej decyzji stronie przysługuje prawo do wniesienia skargi do sądu administracyjnego. Co ważne, wniesienie skargi powoduje wstrzymanie wykonania decyzji tylko w zakresie dotyczącym nałożonej kary pieniężnej, a nie w zakresie związanym z przetwarzaniem danych np. w przedmiocie ograniczenia przetwarzania danych lub przekazywania danych osoby fizycznej do państwa trzeciego.
Nowością wprowadzoną do postępowania w sprawie o naruszenia przepisów o ochronie danych osobowych jest umożliwienie organizacjom społecznym wzięcia udziału w postępowaniu.
Dodatkowe uprawnienia uzyskują właściciele danych, ponieważ toczące się postepowanie przed Prezesem Urzędu nie wyłącza możliwości występowania z roszczeniami z powództwa cywilnego. Dobrym rozwiązaniem jest współpraca sądu z Prezesem Urzędu aby uniknąć sytuacji, gdy w jednej sprawie wydawane są dwa różniące się od siebie rozstrzygnięcia. Sąd zawiadamia Prezesa Urzędu o wniesieniu pozwu, jak również informuje o każdym wyroku, w którym uwzględniono powództwo. Natomiast w sytuacji, jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie w tej sprawie lub postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym fakcie sąd. W konsekwencji zapewni to jednolite orzecznictwo.
Kary pieniężne
Kary w przypadku naruszenia przepisów o ochronie danych osobowych w stosunku do podmiotów prywatnych określa wprost RODO, tzn. w zależności od kategorii naruszeń jest to 10 mln euro lub 2% całkowitego obrotu za rok poprzedni albo 20 mln euro lub 4 % obrotu.
Nowością są administracyjne kary pieniężne nakładane na podmioty publiczne, wskazane w art. 9 ustawy o finansach publicznych (z wyłączeniem państwowych i samorządowych instytucji kultury), które mogą wynosić do 100 tys. złotych.
Utworzony zostanie Fundusz Ochrony Danych Osobowych, do którego będzie trafiało 1% nakładanych kar, pozostała część stanowić będzie dochód budżetu państwa. Środki z Funduszu będą przeznaczone na działania edukacyjne wśród społeczeństwa, w szczególności dzieci oraz administratorów danych.
Przepisy karne
Ustawa wprowadza również przepisy karne: za udaremnianie lub utrudnianie kontroli – grzywna. Za przetwarzanie danych szczególnych kategorii bez podstawy prawnej – kara ograniczenia albo pozbawienia wolności do roku.
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie