Projekt nie jest kompletny, w tym sensie, że przedstawiona została pierwsza część przepisów, a wśród kwestii nieuregulowanych pozostały m.in.:

1) rejestry czynności przetwarzania,

2) procedura zgłaszania incydentów,

3) terminy postępowania przed Urzędem Ochrony Danych Osobowych,

4) metodyka przeprowadzania oceny skutków dla ochrony danych,

5) wskazanie okresu przedawnienia karania czynów naruszających RODO i ustawy.

Natomiast najważniejsze z zagadnień, które projekt reguluje, to:

1) nowy urząd ochrony danych osobowych – projekt przewiduje zmiany, począwszy od zmiany nazewnictwa aż po nowe prawa i obowiązki spoczywające na Prezesie Urzędu Ochrony Danych Osobowych,

2) granica wieku dziecka, wymagana, by nie było konieczności wyrażenia zgody przez rodzica bądź opiekuna prawnego,

3) instytucja akredytacji i certyfikacji,

4) europejska współpraca administracyjna,

5) nowe zasady nadzoru nad zapewnieniem ochrony danych osobowych,

6) administracyjne kary pieniężne i odpowiedzialność cywilna,

7) inspektorzy ochrony danych osobowych (IOD).

Prezes Urzędu Ochrony Danych Osobowych

Zgodnie z zaproponowanymi zmianami odpowiednikiem GIODO będzie Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes Urzędu). Ogólne rozporządzenie o ochronie danych zmienia nazwę dotychczasowych administratorów bezpieczeństwa informacji (ABI) na inspektorów ochrony danych osobowych (IOD). Tym samym mielibyśmy konfuzję w nazewnictwie, obecni pracownicy biura GIODO (inspektorzy) mogliby być bowiem postrzegani jako inspektorzy, o których mowa w RODO, i odwrotnie. Dlatego też projekt ustawy zakłada, iż pracownicy Urzędu Ochrony Danych Osobowych nazwani byliby „kontrolującymi”.

Dobre praktyki

Należy dodać, że kolejnym novum na gruncie komentowanych zmian jest to, że Prezes Urzędu uprawniony będzie do wydawania niewiążących dobrych praktyk, które będą zawierały rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Udostępnione przez Prezesa Urzędu na stronie internetowej dobre praktyki będą miały wyłącznie charakter informacyjny, aczkolwiek mając na uwadze mechanizm Risk based aproach, będą miały ogromne znaczenie. Niewątpliwie dobre praktyki są przykładem racjonalności ustawodawcy i miejmy nadzieję, pewności stanowionego przez niego prawa.

Wyrażenie zgody przez dziecko na przetwarzanie dotyczących go danych osobowych

Kolejnym ważnym zagadnieniem poruszonym na gruncie komentowanej ustawy jest kwestia wyrażenia zgody przez dziecko na przetwarzanie dotyczących go danych osobowych, w związku z kierowanymi bezpośrednio do niego usług społeczeństwa informacyjnego. Projekt w tym zakresie wskazuje, że granicą wieku wystarczającą do decydowania o wyrażeniu przez dziecko zgody na przetwarzanie danych jest 13 lat. Jeśli dziecko nie ukończyło wspomnianego wieku, przetwarzanie będzie uznane za legalne wyłącznie wtedy, gdy zgodę wyrazi lub zaakceptuje osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem, co będzie nie lada wyzwaniem, zarówno pod względem prawnym, jak i technicznym.

Akredytacja i certyfikacja

W przedstawionym projekcie uregulowano także kwestię akredytacji i certyfikacji. Co ciekawe, projekt zakłada, że Prezes Urzędu posiada wyłącznie kompetencję do akredytacji podmiotów certyfikujących, a certyfikacja należeć powinna wyłącznie do wyspecjalizowanych podmiotów zajmujących się zawodowo ochroną danych osobowych. Warto dodać, że – jak się wydaje – mechanizmy certyfikacji z samej istoty adresowane są do sektora prywatnego i nie będą korzystały z nich podmioty publiczne. Główną przyczyną jest fakt, iż posiadanie/nieposiadanie przez organ administracji publicznej certyfikacji nie może przesądzać o udostępnieniu/nieudostępnieniu mu danych osobowych obywateli. Podstawą udostępnienia mu danych osobowych nie jest bowiem zgoda osoby, której dane dotyczą, ale przepis prawa.

Postępowanie w sprawie naruszenia przepisów ochrony danych osobowych

Kolejna instytucja opisana w projekcie to szeroko rozumiane postępowanie w sprawie naruszenia przepisów ochrony danych osobowych. Największymnovum na gruncie komentowanej ustawy jest ustanowienie jednoinstancyjności postępowania. Kolejną ważną zmianą jest prawo Prezesa Urzędu do autokontroli. Prezes Urzędu posiadać bowiem będzie prawo uchylenia i zmiany swoich decyzji w terminie 30 dni od dnia wniesienia skargi. Dodatkowo, wprowadzono uprawnienie organizacji społecznej do wystąpienia z żądaniem wszczęcia postępowania bądź włączenia się do toczącego się postępowania, nie tylko ze względu na interes osoby, której dotyczy postępowanie, lecz także gdy przemawia za tym interes społeczny. Kolejnym uprawnieniem leżącym po stronie Prezesa Urzędu będzie możliwość wyznaczenia terminu stronie do przedstawienia dowodu mającego znaczenie w rozpatrywanej sprawie (przy czym termin ten nie może być krótszy niż 3 dni). Nowe przepisy nadają ponadto organowi wiele uprawnień już w przypadku stwierdzenia naruszenia (art. 26 projektu), obok których będzie istnieć uprawnienie do nakładania kar pieniężnych. Projekt określa bardzo szeroki zakres kompetencji, począwszy od możliwości uwzględnienia żądań zawartych w skardze osoby, której dane dotyczą, zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania, sprostowania lub usunięcia danych osobowych, aż po zawieszenie przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.

Europejska współpraca administracyjna

Jeśli chodzi o europejską współpracę administracyjną, to projekt ustawy reguluje kwestie odnoszące się do języków (korespondencja powinna być prowadzona w języku urzędowym danego państwa członkowskiego bądź w języku angielskim) oraz formy komunikacji.

Postępowanie kontrolne

Kolejne zagadnienie ujęte w projektowanej ustawie to postępowanie kontrolne prowadzone przez Prezesa Urzędu. Projekt zakłada w tym zakresie trzy rodzaje postępowań kontrolnych: 1) kontrolę planową,

2) kontrolę doraźną, a także

3) kontrolę jako jeden ze środków w ramach toczącego się postępowania.

Kontrola musi zakończyć się w ciągu miesiąca od dnia podjęcia czynności kontrolnych. Rozdział zatytułowany „Postępowanie kontrolne” określa również szczegóły procesu kontroli, prawa i obowiązki kontrolowanego i kontrolującego oraz zawartość protokołu. Co bardzo ważne, projekt wyłącza stosowanie art. 79 ustawy o swobodzie działalności gospodarczej (t.j. Dz.U. z 2016 r. poz. 1829). W praktyce oznacza to wyłączenie regulacji dotyczących wcześniejszego zawiadamiania przedsiębiorcy o kontroli.

Administracyjne kary pieniężne

Nie można pominąć niezwykle ważnego, chociaż opisywanego już bardzo szeroko, zagadnienia administracyjnych kar pieniężnych. Ich nakładanie będzie następować w drodze decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych. Co ciekawe, projekt mocno różnicuje adresatów przepisów w tym zakresie, nie tylko na podmioty prywatne i publiczne, lecz także wprowadza zróżnicowanie w ramach grupy podmiotów publicznych.

O ile w odniesieniu do podmiotów prywatnych wysokość kar wynikająca z RODO wynosi do 20 mln euro lub 4% światowego obrotu, to podmiotom publicznym grozi 100 tys. zł kary, jednak nie wszystkim z nich. Decyduje o tym art. 50 projektu ustawy, zgodnie z którym kara może być nałożona na podmioty wskazane w art. 9 pkt 8-14 ustawy o finansach publicznych (t.j. Dz.U. z 2016 r. poz. 1870 ze zm.). Wyłącza to z systemu kar m.in. organy administracji rządowej, jednostki samorządu terytorialnego oraz ich związki, jednostki budżetowe czy samorządowe zakłady budżetowe. W systemie pozostają zaś takie instytucje jak ZUS, NFZ czy samodzielne publiczne zakłady opieki zdrowotnej. W tej kwestii obecnie toczy się ożywiona dyskusja, można bowiem zastanawiać się, czy takie wyłączenia będą dobrze służyć systemowi ochrony danych.

Inspektor ochrony danych osobowych

W kontekście zmian odnoszących sie do administratorów bezpieczeństwa informacji na wstępie należy zaznaczyć, że administrator danych (lub podmiot przetwarzający) będzie miał 14 dni (od wyznaczenia) na zgłoszenie inspektora ochrony danych (IOD) do Urzędu. Warto dodać, że obecni ABI będą mieli czas do 1.9.2018 r. na podjęcie decyzji w sprawie rezygnacji z funkcji lub pozostania na stanowisku jako IOD. Pamiętajmy także, że RODO zakłada (inaczej niż jest to w aktualnej ustawie) obowiązek powołania przez organ lub podmiot publiczny inspektora ochrony danych osobowych (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości).

Podsumowanie

Zasadniczo projekt ustawy nie koncentruje się na zmianach adresowanych do sektora publicznego, aczkolwiek dostrzega się rozróżnienie na sektor prywatny i publiczny, chociażby w newralgicznym zakresie, jakim są kary administracyjne. Bardzo widoczna jest także zmiana podejścia na procesowe (ciągły nadzór nad danymi) i konieczność położenia nacisku na zwiększanie świadomości przedsiębiorców i organów publicznych w zakresie respektowania prawa ochrony danych osobowych. Przedstawiony projekt został odebrany dosyć pozytywnie, podkreśla się zarówno transparentność prac nad nim, jak i próbę zrównoważenia interesów, czy też „stępienia” nieco restrykcyjnych przepisów RODO. Zwraca się także uwagę na przepisy odnoszące się do współpracy z administratorami i ich wsparcia (kodeksy praktyk, certyfikacja, upomnienie zamiast kary). Wszyscy zainteresowani bardzo liczą, że nowy organ przekuje te przepisy na rzeczywistą współpracę i wsparcie administratorów, działających po 18.5.2018 r. pod ogromną presja kar. Czekamy także z niecierpliwością na drugą część projektu ustawy, który ma być ogłoszony w czerwcu br.