Nowa ustawa o ochronie danych osobowych 2018 podpisana

Kary za naruszenie przepisów o ochronie danych osobowych, powołanie Urzędu Ochrony Danych Osobowych w miejsce Generalnego Inspektora Ochrony Danych Osobowych, skrócenie postępowań dotyczących naruszeń danych osobowych - nowe przepisy o ochronie danych osobowych z podpisem prezydenta.

Podpisana przez prezydenta ustawa o ochronie danych osobowych dostosowuje polskie prawo do przyjętego w maju 2016 r. przez UE ogólnego rozporządzenia o ochronie danych osobowych (RODO). RODO ma zharmonizować przepisy o ochronie danych osobowych w Unii. Zacznie obowiązywać w UE 25 maja 2018 r. Ustawa ma zapewnić skuteczne stosowanie RODO w Polsce.

Nowe przepisy stanowią, że powołany zostanie Prezes Urzędu Ochrony Danych Osobowych (PUODO), który zastąpi funkcjonującego do tej pory Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zamiana nastąpi automatycznie w dniu wejścia w życie ustawy, czyli 25 maja 2018 r., a pracownicy zatrudnieni w GIODO stają się pracownikami tego Urzędu.

Prezes urzędu będzie powoływany na czteroletnią kadencję przez Sejm za zgodą Senatu. Będzie go wspierało trzech zastępców (obecnie jest jeden), a organem opiniodawczo-doradczym będzie Rada ds. Ochrony Danych Osobowych. Według ustawy, rada będzie się składała z ośmiu członków, których powoła PUODO spośród kandydatów zgłoszonych m.in. przez Radę Ministrów, fundacje i stowarzyszenia, Rzecznika Praw Obywatelskich, izby gospodarcze. Rada będzie powoływana na dwuletnią kadencję.

Szef urzędu będzie mógł kierować do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

Wzmocnieniu pozycji urzędu służyć mają także przyznanie prawa do przeprowadzania kontroli naruszenia zasad ochrony danych osobowych. W ustawie zapisano, że prezes urzędu będzie mógł nakładać kary finansowe na administrację publiczną za naruszenie dotyczące danych osobowych. Maksymalna wynosi 100 tys. zł, a dla instytucji kultury 10 tys. zł.

Wprowadzono również rozwiązania mające przyspieszyć postępowania w sprawach ochrony danych - zniesiono dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych. Wprowadzono także przepis, dzięki któremu podejmowana przez PUODO kontrola nie będzie mogła trwać dłużej niż miesiąc.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Rozstrzygnięcia wydawane przez Prezesa Urzędu będą jednak podlegały zaskarżeniu do sądu administracyjnego i skargi w tych sprawach będą podlegały dwuinstancyjnemu postępowaniu sądowo-administracyjnemu. Wniesienie przez stronę skargi do sądu administracyjnego wstrzyma wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

W nowym prawie zapisano również możliwość certyfikacji w dziedzinie ochrony danych osobowych. Wyłączono stosowanie niektórych przepisów rozporządzenia do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, wypowiedzi w ramach działalności literackiej, wypowiedzi w ramach działalności artystycznej oraz wypowiedzi akademickiej.

W momencie wejścia w życie podpisanej przez prezydenta ustawy, czyli 25 maja 2018 r., przestaje obowiązywać ustawa z sierpnia 1997 r. z wyjątkiem przepisów dotyczących przetwarzania danych w związku z zapobieganiem, wykrywaniem i zwalczaniem przestępstw, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu.

Przepisy te będą obowiązywać do wejścia w życie ustawy wdrażające w Polsce tzw. unijną dyrektywę policyjną. Przepisy wdrażające tzw. unijną dyrektywę policyjnej ministerstwo spraw wewnętrznych i administracji w drugiej połowie kwietnia przesłało do konsultacji międzyresortowych.

Unijne rozporządzenie o ochronie danych osobowych (RODO) zakłada m.in. prawo do bycia zapomnianym, czyli możliwość usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, a także prawo do przenoszenia danych – będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi.

RODO nakłada także obowiązek powiadomienia o wycieku danych osobowych. Stanowi też, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą. RODO przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. całego obrotu firmy.(PAP)

autor: Krzysztof Markowski