Projekt ustawy został zamieszczony w Biuletynie Informacji Publicznej na stronie podmiotowej Rządowego Centrum Legislacji oraz w Biuletynie Informacji Publicznej na stronie Ministra Cyfryzacji.
Wejście w życie 25 maja 2018 r. Rozporządzenia ogólnego podyktowane jest wypracowaniem przepisów je prowadzających. Przygotowywany projekt ustawy z jednej strony więc zapewniają skuteczne stosowanie rozporządzenia z drugiej zaś stanowi uszczegółowienie przepisów w tych obszarach, w których rozporządzenie daje państwom taką możliwość. W związku z tym, niezbędne stało się przygotowanie tekstu nowej ustawy o ochronie danych osobowych. Projekt ustawy opublikowany w lutym 2018 r. składa się z 158 artykułów, co w porównaniu do projektu złożonego w marcu 2017 r. stanowi znaczące rozbudowanie jej treści.
Rozdział I projektu ustawy o ochronie danych osobowych
W rozdziale I projektu wskazano zakres podmiotowy i przedmiotowy regulacji wskazując, że ustawa będzie miała zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Rozwiązania to stanowią powielenie koncepcji przyjętej w Rozporządzeniu ogólnym. W art. 2 projektu ustawy wyłączono stosowanie niektórych przepisów Rozporządzenia odnoszących się do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, działalności literackiej, działalności artystycznej, wypowiedzi akademickiej.
Powoływanie Inspektorów Ochrony Danych
W zakresie powoływania Inspektorów Ochrony Danych przepisy nie uległy zmianie w stosunku do poprzedniej wersji projektu. Określona została treść zawiadamiania o powołaniu Inspektora, którą administrator danych kieruje do Prezesa Urzędu. Zgodnie z propozycją powinno zawierać: adres siedziby i pełną nazwę, albo adres zamieszkania oraz imię i nazwisko w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna, albo adres miejsca wykonywania działalności gospodarczej, imię, nazwisko i firmę przedsiębiorcy, w przypadku przedsiębiorcy wpisanego do Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Administrator danych został zobowiązany do złożenia zawiadomienia o powołaniu inspektora w ciągu 14 dni od jego powołania. W zawiadomieniu należy wskazać adres poczty elektronicznej lub numer telefonu osoby wyznaczonej do pełnienia roli inspektora. Jak podkreślono w uzasadnieniu do projektu ustawy w sposób celowy nie zostało wskazane czy ma to być adres e-mail ogólny, czy też przypisany do konkretnej osoby dopuszczając tym samym oba rozwiązania. Prezes Urzędu będzie prowadził wewnętrzną ewidencję zawiadomień oraz udostępniał zebrane dane jednak wyłącznie w zakresie imienia i nazwiska inspektora.
Akredytacja i certyfikacja
Kolejnym istotnym zagadnieniem uregulowanym w projekcie ustawy jest akredytacja i certyfikacja. W marcowym projekcie ustawy zgodnie z art. 9 akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych miały udzielać podmioty certyfikujące. W nowym projekcie odstąpiono od powyższego zapisu powierzając tę funkcję zarówno Prezesowi Urzędu oraz podmiotom akredytowanym przez Polskie Centrum Akredytacji przy czym Prezes Urzędu zatwierdza kryteria certyfikacji i akredytacji. Zgodnie z art. 42 ust. 5 RODO certyfikacji dokonują podmioty certyfikujące, o których mowa w art. 43 RODO lub dokonuje jej właściwy organ nadzorczy. Ustawodawca unijny przyznał więc państwom członkowskim swobodę w wyborze podmiotu, który podejmował będzie działania certyfikacyjne. Jak podkreślano w poprzedniej wersji uzasadnienia do ustawy „w ocenie projektodawcy jednostka odpowiadająca za certyfikację wewnątrz struktury organizacyjnej Urzędu Ochrony Danych Osobowych nie powinna odpowiadać za prowadzenie postępowań w sprawie naruszenia przepisów o ochronie danych, w tym przeprowadzanie czynności kontrolnych. Ich powiązanie byłoby bowiem czynnikiem korupcjogennym lub generującym ryzyka braku obiektywizmu w przypadku kontroli” (uzasadnienie do projektu ustawy z dnia 28.3.2017 r., www.gov.pl, s.21). W nowym uzasadnieniu wskazuje się, iż „Urzędu Ochrony Danych Osobowych powinna posiadać odpowiednią swobodę wewnątrz struktury dlatego też zdecydowano się zaangażować również przedsiębiorców (uzasadnienie do projektu ustawy z dnia 8.2.2018 r., www.gov.pl, s. 22). W projekcie określono szczegółowo jakie informacje powinien zawierać wniosek o udzielenie certyfikacji. Wniosek będzie się składać w postaci papierowej albo elektronicznej, a procedura ma trwać maksymalnie 3 miesiące.
Warto także mieć na uwadze, że zgodnie z przepisami projektu Prezes Urzędu będzie posiadał kompetencje do dokonania czynności sprawdzających, bądź też cofnięcia nadanej certyfikacji w drodze decyzji. Zgodnie z art. 20 ust 2 projektu ustawy Prezes Urzędu będzie prowadził publicznie dostępny wykaz administratorów, podmiotów przetwarzających, producentów oraz podmiotów wprowadzających produkt na rynek, którym udzielono certyfikacji, który udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.
Nowy Urząd Inspektora Ochrony Danych
Rozdział VI projektu ustawy w całości został poświęcony nowemu Urzędowi Inspektora Ochrony Danych, który zastąpi dotychczasowego GIODO. Poszerzenie kompetencji Prezesa Urzędu min. o możliwość nakładania kar finansowych, a także zwiększenie kadry (min. trzech zastępców) ma przyczynić się do zapewnienia większej efektywności nowego organu. Wzmocnieniu pozycji organu nadzorczego mają zapewnić organowi także takie rozwiązania jak przyznanie prawa do przeprowadzania niezapowiedzianych kontroli naruszenia zasad ochrony danych osobowych, przeprowadzania kontroli planowanych czy możliwość korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji w toku przeprowadzanej kontroli. Organ Ochrony Danych sam będzie również decydował o nadawaniu sobie statutu co stanowi istotne novum bowiem obecnie robi to Prezydent Rzeczpospolitej Polskiej 9 (uzasadnienie z dnia 8.2.2018 r. s. 26). Nowością zaproponowaną w projekcie ustawy jest również powołanie Rady do Spraw Ochrony Danych Osobowych, której podstawowym celem będzie merytoryczne wsparcie nowego Urzędu jako głównego organu opiniodawczo-doradczego. Jak zostało podkreślone „z dniem wejścia w życie ustawy pracownicy zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych stają się pracownikami Urzędu Ochrony Danych Osobowych, mienie Skarbu Państwa będące we władaniu Generalnego Inspektora Ochrony Danych Osobowych staje się mieniem Prezesa Urzędu Ochrony Danych Osobowych, a należności i zobowiązania Generalnego Inspektora Ochrony Danych Osobowych z dniem wejścia w życie ustawy stają się należnościami i zobowiązaniami Prezesa Urzędu Ochrony Danych Osobowych. Organ będzie organem kadencyjnym, odwołalnym w wyjątkowych, wynikających z rozporządzenia 2016/679 przypadkach” 9 (uzasadnienie z dnia 8.2.2018 r., s. 26).
Postępowanie w przypadku naruszenia przepisów o ochronie danych osobowych
Szczególnie istotne z punktu widzenia administratorów danych są przepisy regulujące sposób postępowania w przypadku naruszenia przepisów o ochronie danych osobowych. Jak zostało zauważone naruszenie przepisów o ochronie danych osobowych odnosi się nie tylko do naruszeń ustawy ale również przepisów RODO, z których w sposób bezpośredni wynikają określone prawa i obowiązki podmiotów danych osobowych, administratorów lub podmiotów przetwarzających (uzasadnienie z dnia 8.2.2018 r., s. 30). W kwestiach nieuregulowanych w nowej ustawie w sprawie postępowania w przypadku naruszenia przepisów o ochronie danych osobowych nadal będą miały zastosowanie przepisy KPA.
Jednoinstancyjności postępowania
W projekcie utrzymany został zapis dotyczący jednoinstancyjności postępowania, który stanowi wyjątek od zasady dwuinstancyjności postępowania administracyjnego. Nie mniej jednak rozstrzygnięcia wydawane przez Prezesa Urzędu będą nadal podlegały zaskarżeniu do WSA, NSA. W projekcie ustawy wprowadzono również rozwiązanie, zgodnie z którym Prezes Urzędu będzie zawiadamiał strony o niezałatwieniu sprawy w terminie, stanie sprawy i przeprowadzonych w jej toku czynnościach (art. 56 projektu ustawy).
Kary finansowe nakładane przez Prezesa Urzędu Ochrony Danych
Nową istotną funkcją Prezesa Urzędu Ochrony Danych jest również możliwość nakładania kar finansowych, które będą stanowiły dochód budżetu państwa. Ustawodawca określił 14 dniowy termin uiszczenia kary od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Prezes Urzędu może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy. Na podstawie projektu ustala się odsetki w wysokości 50% stawki odsetek za zwłokę (uzasadnienie, s. 55).
Jak wynika z uzasadnienia, państwowe i samorządowe instytucje kultury, a także jednostki zakładane i prowadzone przez osoby fizyczne czy fundacje i stowarzyszenia, dysponują z reguły niewielkimi budżetami, a jednocześnie zakres przetwarzanych danych osobowych nie powoduje znaczącego zagrożenia dla prywatności użytkowników (uzasadnienie, s. 52.).
Projektodawca wielokrotnie podkreślał, że podstawową sankcją przewidzianą w projekcie ustawy są kary finansowe nie mniej jednak utrzymano również przepisy karne, które jednak z uwagi na niską skuteczność pełnią raczej rolę pomocniczą.
Właściwe w tym zakresie mają być sądy okręgowe. O wniesieniu pozwu, sądy zostały zobowiązane do zawiadamiania Prezesa Urzędu.
Projekt ustawy zawiera także zmiany ponad 40 ustaw sektorowych. Kolejnym krokiem będzie uchwalenie przez Sejm ustawy co powinno mieć miejsce już w kwietniu.
