1. Zakres regulacji

Ustawa ma zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE z 4.5.2016 L 119/1; dalej: RODO).

Określa ona:

1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;

2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji, podmiotu monitorującego kodeks postępowania oraz certyfikacji;

3) tryb zatwierdzenia kodeksu postępowania;

4) organ właściwy w sprawie ochrony danych osobowych (Prezes Urzędu Ochrony Danych Osobowych zastąpił GIODO);

5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;

6) tryb europejskiej współpracy administracyjnej;

7) kontrolę przestrzegania przepisów o ochronie danych osobowych;

8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;

9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

2. Przepisy przejściowe

Z przepisów przejściowych zawartych w ustawie wynika m.in., że osoba pełniąca w dniu 24.5.2018 r. funkcję administratora bezpieczeństwa informacji staje się inspektorem ochrony danych (IOD) i pełni swoją funkcję do 1.9.2018 r., chyba że przed tym dniem administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO) o wyznaczeniu innej osoby na IOD.

Osoba, która stała się w ten sposób IOD, pełni swoją funkcję także po 1.9.2018 r., jeżeli do tego dnia administrator zawiadomi Prezesa UODO o jej wyznaczeniu w sposób określony. Ponadto, osobę tę administrator może odwołać bez zawiadomienia Prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy administrator nie ma obowiązku wyznaczenia IOD.

Administrator, który przed 25.5.2018 r. nie powołał administratora bezpieczeństwa informacji, ma obowiązek wyznaczyć IOD na podstawie art. 37 RODO i zawiadomienia Prezesa UODO o jego wyznaczeniu, w terminie do 31.7.2018 r. W tym samym terminie podmiot przetwarzający, zobowiązany do wyznaczenia IOD na podstawie art. 37 RODO, wyznacza IOD i zawiadamia Prezesa UODO o jego wyznaczeniu.

Utraciła moc ustawa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) z wyjątkiem art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziałów 4, 5 i 7, które zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz.Urz.UE L 119 z 4.5.2016, s. 89).

3. Nowe przepisy dotyczące monitoringu

W kilku ustawach wprowadzono przepisy dotyczące monitoringu. Przykładowo, w ustawie z 8.3.1990 r. o samorządzie gminnym (t.j. Dz.U. z 2018 r. poz. 994) dodano art. 9a. wynika z niego, że gmina w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring):

1) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub

2) na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także

3) na terenie wokół takich nieruchomości i obiektów budowlanych

– jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej.

Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni oraz obiektów socjalnych.

Nagrania obrazu zawierające dane osobowe przetwarza się wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania, o ile przepisy odrębne nie stanowią inaczej. Po upływie tego okresu uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe, podlegają zniszczeniu, z wyjątkiem sytuacji, w których nagrania zostały zabezpieczone, zgodnie z odrębnymi przepisami.

Nieruchomości i obiekty budowlane objęte monitoringiem oznacza się w sposób widoczny i czytelny informacją o monitoringu, w szczególności za pomocą odpowiednich znaków. Monitoring, w ramach którego dochodzi do przetwarzania danych osobowych, wymaga stosowania środków zabezpieczających przetwarzanie tych danych, w szczególności uniemożliwiających ich utratę lub bezprawne rozpowszechnienie, a także uniemożliwienie dostępu do danych osobom nieuprawnionym.

Analogiczne przepisy wprowadzono też w ustawach z:

  • 5.6.1998 r. o samorządzie powiatowym (t.j. Dz.U. z 2018 r. poz. 995) – art. 4b;
  • 5.6.1998 r. o samorządzie województwa (t.j. Dz.U. z 2018 r. poz. 913) – art. 60a;
  • 26.6.1974 r. – Kodeks pracy (t.j. Dz.U. z 2018 r. poz. 917) – art. 22 2 i art. 223;
  • 14.12.2016 r. – Prawo oświatowe (t.j. Dz.U. z 2018 r. poz. 996) – art. 108a.