1. Zakres regulacji
Ustawa ma zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE z 4.5.2016 L 119/1; dalej: RODO).
Określa ona:
1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji, podmiotu monitorującego kodeks postępowania oraz certyfikacji;
3) tryb zatwierdzenia kodeksu postępowania;
4) organ właściwy w sprawie ochrony danych osobowych (Prezes Urzędu Ochrony Danych Osobowych zastąpił GIODO);
5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
6) tryb europejskiej współpracy administracyjnej;
7) kontrolę przestrzegania przepisów o ochronie danych osobowych;
8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;
9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
2. Przepisy przejściowe
Z przepisów przejściowych zawartych w ustawie wynika m.in., że osoba pełniąca w dniu 24.5.2018 r. funkcję administratora bezpieczeństwa informacji staje się inspektorem ochrony danych (IOD) i pełni swoją funkcję do 1.9.2018 r., chyba że przed tym dniem administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO) o wyznaczeniu innej osoby na IOD.
Osoba, która stała się w ten sposób IOD, pełni swoją funkcję także po 1.9.2018 r., jeżeli do tego dnia administrator zawiadomi Prezesa UODO o jej wyznaczeniu w sposób określony. Ponadto, osobę tę administrator może odwołać bez zawiadomienia Prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy administrator nie ma obowiązku wyznaczenia IOD.
Administrator, który przed 25.5.2018 r. nie powołał administratora bezpieczeństwa informacji, ma obowiązek wyznaczyć IOD na podstawie art. 37 RODO i zawiadomienia Prezesa UODO o jego wyznaczeniu, w terminie do 31.7.2018 r. W tym samym terminie podmiot przetwarzający, zobowiązany do wyznaczenia IOD na podstawie art. 37 RODO, wyznacza IOD i zawiadamia Prezesa UODO o jego wyznaczeniu.
3. Nowe przepisy dotyczące monitoringu
W kilku ustawach wprowadzono przepisy dotyczące monitoringu. Przykładowo, w ustawie z 8.3.1990 r. o samorządzie gminnym (t.j. Dz.U. z 2018 r. poz. 994) dodano art. 9a. wynika z niego, że gmina w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring):
1) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub
2) na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także
3) na terenie wokół takich nieruchomości i obiektów budowlanych
– jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej.
Nagrania obrazu zawierające dane osobowe przetwarza się wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania, o ile przepisy odrębne nie stanowią inaczej. Po upływie tego okresu uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe, podlegają zniszczeniu, z wyjątkiem sytuacji, w których nagrania zostały zabezpieczone, zgodnie z odrębnymi przepisami.
Nieruchomości i obiekty budowlane objęte monitoringiem oznacza się w sposób widoczny i czytelny informacją o monitoringu, w szczególności za pomocą odpowiednich znaków. Monitoring, w ramach którego dochodzi do przetwarzania danych osobowych, wymaga stosowania środków zabezpieczających przetwarzanie tych danych, w szczególności uniemożliwiających ich utratę lub bezprawne rozpowszechnienie, a także uniemożliwienie dostępu do danych osobom nieuprawnionym.
Analogiczne przepisy wprowadzono też w ustawach z:
- 5.6.1998 r. o samorządzie powiatowym (t.j. Dz.U. z 2018 r. poz. 995) – art. 4b;
- 5.6.1998 r. o samorządzie województwa (t.j. Dz.U. z 2018 r. poz. 913) – art. 60a;
- 26.6.1974 r. – Kodeks pracy (t.j. Dz.U. z 2018 r. poz. 917) – art. 22 2 i art. 223;
- 14.12.2016 r. – Prawo oświatowe (t.j. Dz.U. z 2018 r. poz. 996) – art. 108a.