Nowa ustawa o ochronie danych osobowych – co się zmieni
Autor: Wioleta Szczygielska
Ministerstwo Cyfryzacji skierowało na Komitet do Spraw Europejskich Rady Ministrów projekt ustawy o ochronie danych osobowych, który ma zapewnić skuteczne stosowanie RODO w Polsce.
Wstępny projekt nowej ustawy o ochronie danych osobowych został przedstawiony 12 września 2017 r. Przez miesiąc trwały konsultacje społeczne projektu. W ich toku do Ministerstwa Cyfryzacji trafiło ponad 700 stron uwag od 110 organizacji i obywateli. Stanowisko resortu wobec uwag zgłoszonych w ramach konsultacji społecznych zostało szczegółowo omówione na konferencji, która odbyła się w Sali Kolumnowej Sejmu Rzeczypospolitej Polskiej 15 stycznia 2018 r. Wówczas także przedstawiciele Ministerstwa Cyfryzacji zapowiedzieli, że ustawa trafi do Sejmu w kwietniu tego roku.
Projekt ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych oraz reguluje warunki i tryb udzielania certyfikacji i akredytacji, postępowania w sprawie naruszenia przepisów o ochronie danych i odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych. Projekt zawiera również propozycję zmian ponad 40 ustaw sektorowych o charakterze techniczno-legislacyjnym.
Jedną z ważniejszych zmian, jakie zakłada projekt, jest zwolnienie podmiotów, które zatrudniają mniej niż 250 osób, nie przetwarzają danych wrażliwych i nie przekazują danych innym podmiotom, z części obowiązków informacyjnych wprowadzonych przez ogólne rozporządzenie o ochronie danych (RODO). Takie podmioty nie będą musiały:
- informować o okresie, przez który dane osobowe będą przechowywane (lub kryteriach ustalania tego okresu), prawie do żądania dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także o prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, prawie do wniesienia skargi do organu nadzorczego, o tym, czy podanie danych jest dobrowolne, czy obowiązkowe, a także o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą (art. 13 ust. 2 lit. a–b oraz d–f),
- dostarczać osobie, której dane dotyczą, kopii danych osobowych podlegających przetwarzaniu (art. 15 ust. 3 i 4 RODO),
- powiadamiać o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania,
- zawiadamiać o naruszeniu ochrony danych osobowych osoby, której dane dotyczą.
Autorzy regulacji zobowiązali dodatkowo administratorów danych, których dotyczą te zwolnienia, do przechowywania danych osobowych wyłącznie przez okres niezbędny do realizacji celów przetwarzania danych osobowych. Będą oni musieli też dochować najwyższej staranności w związku z przetwarzaniem danych osobowych, w szczególności w zakresie zapobiegania dostępowi do nich przez osoby niepowołane, możliwości ich utraty lub bezprawnego rozpowszechniania.
Aby przedsiębiorcy mogli skorzystać z tego zwolnienia, oprócz zatrudniania mniej niż 250 osób, nie mogą przetwarzać szczególnych kategorii danych osobowych (art. 9 ust. 1 RODO) i udostępniać danych osobowych innym administratorom. Wyjątkiem będzie sytuacja, gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych osobowych lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.
Źródło:
Projekt ustawy o ochronie danych osobowych z 8 lutego 2018 r.
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
