133 ustawy do zmiany i nowa ustawa o ochronie danych osobowych – jest projekt przepisów

Nowy projekt ustawy o ochronie danych osobowych reguluje takie kwestie jak certyfikacja i akredytacja, postępowania w sprawie naruszenia przepisów o ochronie danych, europejska współpraca administracyjna, postępowanie kontrolne, odpowiedzialność cywilna, administracyjne kary pieniężne, inspektorzy ochrony danych, przepisy karne i Prezes Urzędu Ochrony Danych Osobowych.

Projekt wskazuje, jak rozumieć organy i podmioty publiczne, które są zobowiązane wyznaczyć inspektora ochrony danych. Będą to organy publiczne wskazane w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego i podmioty publiczne wskazane w art. 9 o finansach publicznych, czyli m.in. centralne organy administracji rządowej czy organy jednostek samorządu terytorialnego. Projekt reguluje też kwestię zawiadamiania organu ochrony danych o wyznaczeniu inspektora. Administrator lub podmiot przetwarzający będą mieli na to 14 dni. W zawiadomieniu będą musieli wskazać imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora, a także swój adres i pełną nazwę, a w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna – miejsce zamieszkania oraz imię i nazwisko. Zawiadomienia będą składane elektronicznie poprzez system teleinformatyczny prowadzony przez Prezesa Urzędu – będzie on też prowadził ewidencję zawiadomień.

Certyfikacji będzie udzielał Prezes Urzędu Ochrony Danych Osobowych na wniosek administratora lub podmiotu przetwarzającego na maksymalny okres 3 lat. Prezes Urzędu będzie mógł odmówić udzielenia certyfikacji, ale będzie musiał wskazać kryteria, których wnioskujący nie spełnił. Możliwe będzie także cofnięcie certyfikacji. Prezes Urzędu będzie mógł też sprawdzać, czy podmiot, który uzyskał certyfikat, spełnia wymagania niezbędne do jego otrzymania.

Przepisy projektowanej ustawy ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych, będzie nim Prezes Urzędu Ochrony Danych Osobowych. Będzie on powoływany przez Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów na 4-letnią kadencję. Z prawnego punktu widzenia nowy organ nadzorczy jest nowym organem państwowym, będącym następcą prawnym Generalnego Inspektora Ochrony Danych Osobowych. Nowy organ ochrony danych osobowych będzie miał znacznie szerszy zakres uprawnień niż dzisiejszy Generalny Inspektor Ochrony Danych Osobowych. Będzie także samodzielnie nadawał sobie statut. Organ sam będzie więc decydował o swojej strukturze organizacyjnej oraz zadaniach realizowanych przez jego zastępców oraz pracowników. Nową instytucją powoływaną przez Prezesa Urzędu Ochrony Danych Osobowych ma być Rada do Spraw Ochrony Danych Osobowych. Będzie to organ opiniodawczo-doradczy.

Projektodawca nie zdecydował się na wprowadzenie odrębnego, właściwego dla naruszeń ochrony danych osobowych, trybu postępowania przed Prezesem Urzędu. Została zachowana zasada stosowania Kodeksu postępowania administracyjnego w sprawach nieuregulowanych innymi przepisami. Postępowanie będzie jednoinstancyjne. W postępowaniu prowadzonym przez Prezesa Urzędu nie będzie odwołania składanego do organu wyższego stopnia, lecz wniosek o ponowne rozpatrzenie sprawy, który będzie rozpatrywany przez ten sam organ. Rozstrzygnięcia Prezesa Urzędu będzie można zaskarżyć do sądu administracyjnego.

Kontrole będą przeprowadzane przez upoważnionych pracowników Urzędu Ochrony Danych Osobowych. Do przeprowadzania kontroli będą również uprawnieni członkowie lub pracownicy organu nadzorczego innego państwa członkowskiego – osoby te będą wykonywały uprawnienia takie, jak przysługują pracownikom Urzędu Ochrony Danych Osobowych. Nową regulacją, która ma na celu skuteczne przeprowadzenie czynności kontrolnych, jest przepis pozwalający kontrolującym korzystać z pomocy funkcjonariuszy innych organów kontroli lub Policji. Nowością jest także to, że postępowanie kontrolne nie będzie mogło trwać dłużej niż miesiąc.

Zgodnie z projektem ustawy każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, zaniechania tego działania, a także może żądać, ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. Dochodzenie tych roszczeń w zakresie nieuregulowanym innymi przepisami będzie odbywało się na z zastosowaniem Kodeksu cywilnego i Kodeksu postępowania cywilnego.

Kary dla administracji publicznej będą mogły wynieść do 100 tys. zł. Taka kara będzie mogła być nałożona na podmioty publiczne, o których mowa w art. 9 pkt 1–12 i 14 ustawy o finansach publicznych, czyli m.in. NFZ, ZUS, KRUS, uczelnie publiczne czy jednostki samorządu terytorialnego. Dochód z kar będzie zasilał budżet państwa. Projekt przewiduje także utworzenie Funduszu Ochrony Danych Osobowych, do którego trafią środki finansowe pochodzące z 1% kar pieniężnych nakładanych przez Prezesa Urzędu. Wydatki Funduszu będą przeznaczane na inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania w społeczeństwie wiedzy o potrzebie ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z ich przetwarzaniem, a także inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych.

Zgodnie z projektem, kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie. Dodatkowo projekt określa, że kto bez podstawy prawnej przetwarza dane, o których mowa w art. 9 ogólnego rozporządzenia o ochronie danych (szczególne kategorie danych), podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Ministerstwo Cyfryzacji przygotowało także projekt przepisów wprowadzających ustawę o ochronie danych osobowych. Zmienia ona w sumie 133 inne akty prawne, m.in. Kodeks pracy, Prawo bankowe czy ustawę o świadczeniu usług drogą elektroniczną. Jak zapowiada Ministerstwo Cyfryzacji, zmiany te mają usprawnić funkcjonowanie określonych branż. Przykładowo, firmy z sektora ubezpieczeniowego nie będą musiały uzyskiwać pisemnej zgody ubezpieczonego na przetwarzanie jego danych o stanie zdrowia. Zgodę na piśmie zastąpi zgoda wyraźna. Zmiana ta pozwoli sektorowi ubezpieczeniowemu na rozwój pod względem cyfryzacji.

Zmiany w Kodeksie pracy określają m.in. zasady przetwarzania danych biometrycznych pracowników. Będzie to możliwe po uzyskaniu zgody pracownika, a takie dane będą mogły być wykorzystywane tylko, jeśli dotyczą stosunku pracy. Zmiany w Kodeksie pracy umożliwią pracodawcom pozyskiwanie zgody pracowników na przetwarzanie ich danych osobowych, co do tej pory było uznawane za niezgodne z prawem. Warunkiem będzie, że dane, na przetwarzanie których pracownik wyrazi zgodę, mają być wykorzystane wyłącznie do realizacji stosunku pracy. Brak zgody pracownika nie może być natomiast podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich żadnych negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę.