Projekt ustawy o ochronie danych osobowych - po raz drugi - zobaczmy, co nowego!

Już jakiś czas temu pisałem o projekcie ustawy o ochronie danych osobowych, a teraz mamy kolejną wersję tego projektu na stronach Ministerstwa Cyfryzacji, które z dniem 14 września 2017 r.  zaprasza do konsultacji społecznych. W pakiecie mamy projekt ustawy (który tutaj podsumowuję), projekt ustawy wprowadzający zmiany w szeroko pojętym otoczeniu prawnym (opisuję go tutaj, tutaj i tutaj), ocena skurktów zmian w regulacja itp.

Na razie zobaczmy czym nowy projekt różni się w stosunku do wersji sprzed mniej więcej pół roku.

Co nowa ustawa o ochronie danych osobowych ma określać 

W zakresie są:

  1. podmioty obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o wyznaczaniu;
  2. warunki i tryb udzielania certyfikacji i akredytacji;
  3. organ właściwy w sprawie ochrony danych osobowych;
  4. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
  5. europejską współpracę administracyjną;
  6. postępowanie kontrolne;
  7. odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych;
  8. administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych. 

Vacatio legis wynosić będzie 30 dni. 

Prezes Urzędu Ochrony Danych Osobowych, zwany dalej "Prezesem Urzędu" - zamiast GIODO

Zmiana nazwy urzędu, gdyż RODO wprowadza inspektora ochrony danych osobowych i nie było wiadomo, jak tego inspektora powiązać z generalnym inspektorem (i tu inspektor, i tam inspektor). Ponadto skoro jest generalny inspektor, to pracownicy biura byliby pewnie normalnymi inspektorami, a wówczas wchodziło by to w kolizję z inspektorem ochrony danych o którym mowa w RODO. Więc ich też nie będzie nazywać się inspektorami, ale po prostu "kontrolującymi". Podsumowując zamiast GIODO będzie Prezes Urzędu Ochrony Danych Osobowych - trochę podobnie jak Prezes UOKiK. A w skrócie mówi się UOKiK. Więc pewnie będzie mówiło się "UODO" - np. złożyłem skargę do UODO.

Podsumowując Generalny Inspektor Ochrony Danych Osobowych (GIODO) stanie się Prezesem Urzędu Ochrony Danych Osobowych. I analogicznie Biuro GIODO zamieni się w Urząd Ochrony Danych Osobowych. Wszystkie pos†epowania wszczęte przed GIODO później toczą się przez Prezesem Urzędu i prowadzi się je na podstawie przepisów nowej ustawy o ochronie danych osobowych. Zarejestrowane zbiory danych Prezes Urzędu będzie jeszcze przechowywać przez 3 lata, to samo dotyczy rejestru ABI-ch.

Może mieć do trzech zastępców.

Kto może zostać Prezesem Urzędu?

  • obywatel polski
  • jest doktorem nauk
  • "zna się"
  • zajmował się ochroną danych osobowych conajmniej 5 lat
  • korzysta z pełni praw publicznych i nie miał wyroku za umyślne przestępstwo lub umyślne przestępstwo skarbowe 

Wymagania są nowe, nie było ich w poprzedniej wersji roboczej projektu. I są zupełnie odmienne od obowiązujących, bo dzisiaj Generalnym Inspektorem Ochrony mogła zostać osoba, która

  1. jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej;
  2. wyróżnia się wysokim autorytetem moralnym;
  3. posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe;
  4. nie była karany za przestępstwo.  

Rada do Spraw Ochrony Danych Osobowych

To kolejna nowość. Do jej zadań należy m.in.:

  1. opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych;
  2. opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;
  3. opracowywanie propozycji kryteriów certyfikacji, o których mowa w art. 7;
  4. opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
  5. inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
  6. wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
  7. wykonywanie innych zadań zleconych przez Prezesa Urzędu.

Składa się z ośmiu członków, których mogą rekomendować min. rząd, Rzecznik Praw Obywatelskich, Prezesi odpowiednio Urzędu Statystycznego, UKE, UOKiK, izby gospodarcze i "stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych osobowych".

Kodeks postępowania administracyjnego wciąż w grze

W projekcie zaproponowano by postępowanie w sprawach ochrony danych osobowych było prowadzone na podstawie przepisów ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego z wyłączeniem przepisów art. 66a.

Kary

Są dobrze uregulowane, więc niewiele o nich dowiemy się z projektu, poza tym że wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Organizacje też mogą żądać postępowania

Ciekawszą rzeczą jest "uprawnienie organizacji społecznej do wystąpienia z żądaniem wszczęcia postępowania bądź udziału w postępowaniu, nie tylko w przypadku gdy przemawia za tym interes społeczny, o czym stanowi art. 31 § 1 KPA, ale również gdy przemawia za tym interes osoby, której prawa zostały naruszone". Spodziewam się wysypu firm-szantażystów :-) Tu nic się nie zmienia w stosunku do wcześniejszego projektu.

Naruszenie przepisów 

Jeśli w toku postępowania jasnym stanie się, że przetwarzanie jest niezgodne z przepisami, a dalsze przetwarzanie przyniesie dużo szkody i "trudne do usunięcia skutki", to Prezes aby zapobiec tym skutkom może "w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Przepisu art. 10 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego nie stosuje się" (art. 53).

Jeśli naruszenie przepisów jest znikome, i podmiot już "zaprzestał naruszania", to Prezes Urzędu może udzielić tylko upomnienia.

Kontrola nie dłużej niż miesiąc

Postępowanie kontrolne może być prowadzone zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz. Kontrola nie może trwać dłużej niż miesiąc. 

Byłeś świadkiem, nie zeznałeś - płać

Kto, będąc obowiązany do osobistego stawienia się mimo prawidłowego wezwania nie stawił się bez uzasadnionej przyczyny jako świadek lub biegły albo bezzasadnie odmówił złożenia zeznania, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej, może być ukarany karą grzywny do 500 zł. Na postanowienie o ukaraniu służy skarga do sądu administracyjnego.

Do przewidzenia było, że kary mniejsze dla urzędów

projektodawca ograniczył więc krąg podmiotów publicznych wobec których możliwe jest nakładanie administracyjnych kar pieniężnych za naruszenia przepisów o ochronie danych osobowych. W pozostałym zakresie w jakim projektowane przepisy przewidują możliwość nałożenia kary pieniężnej na sektor publiczny, wprowadzają znaczne obniżenie maksymalnej granicy możliwej do nałożenia kary, na 100 000 zł. (art. 50 83).

Fundusz Ochrony Danych Osobowych

To nowe. Tworzy się Fundusz Ochrony Danych Osobowych. Przychodami Funduszu są środki finansowe pochodzące z 1% kar pieniężnych. Środki z Fundusz można wydawać na budowanie szeroko pojętej świadomości (art. 86 ust.4) 

Karna pożyczka

W przypadku odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, których wysokość wynosi 50% stawki odsetek za zwłokę

ABI będzie Inspektorem do września 2018, a później...

najwłaściwszym rozwiązaniem, jest przesądzenie wprost, że osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r. Do tego czasu, każdy z inspektorów ochrony danych ma czas na podjęcie decyzji o dalszym pełnieniu takiej funkcji (i dokonaniu stosowanego zawiadomienia do Prezesa Urzędu). W razie braku do tego czasu jakiejkolwiek aktywności z ich strony, w dniu 1 września 2018 r. z mocy prawa przestaną pełnić funkcję inspektorów ochrony danych - ustawa co prawda nakazuje przesłanie informacji o tym, ale nie mówi, co się stanie gdy taka informacja nie zostanie przesłana. Domniemujemy, że "kadencja" Inspektora wówczas wygasa... Zawiadomienia o wyznaczeniu, zmianie danych i odwołaniu wysyłać będzie się elektronicznie z użyciem podpisu elektronicznego lub profilu ePUAP

Certyfikacja - wolność i swoboda

kompetencje Prezesa Urzędu powinny być ograniczone wyłącznie do akredytacji podmiotów certyfikujących, a certyfikacja należeć powinna do wyspecjalizowanych podmiotów zajmujących się zawodowo ochroną danych osobowych. W uzasadnieniu podkreśla się, ze gdyby to Prezes UODO certyfikował, to każdy wolałby taki certyfikat i nie korzystałby z innych. Jedynym podmiotem certyfikującym będzie Prezes Urzędu Ochrony Danych Osobowych - po złożeniu wniosku maksymalnie 30 dni czeka się na certyfikację (lub odmowę).

Jeśli stosuje się zatwierdzone kodeksy postępowania - monitorowaniem jego przestrzegania zajmuje się podmiot akredytowany przez Prezesa Urzędu. Podobnie 30 dni. 

Certyfikacja jest płatna -  trzykrotność przeciętnego miesięcznego wynagrodzenia. Akredytacja - chyba umknęło to ustawie, albo jest bezpłatna.

Zgoda wyrażona przez dziecko - przyjęto 13 lat

Zgodnie z art. 15 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. z 2016 r. poz. 380, z późn. zm.) osoba, która ukończyła 13 lat ma ograniczoną zdolność do czynności prawnych, a zatem może zawierać umowy w drobnych bieżących sprawach życia codziennego, może także rozporządzać swoim zarobkiem. W ocenie projektodawcy w tym kontekście uzasadnione jest przyjęcie granicy lat 13 także dla skutecznego wyrażenia przez dziecko zgody na przetwarzanie dotyczących go danych osobowych, w związku z kierowanymi bezpośrednio do dziecka usługami społeczeństwa informacyjnego. Nie ma powodu, aby przyjąć, że osoba mogąca rozporządzić swoim zarobkiem oraz zawierać drobne umowy, nie była jednocześnie uprawniona do wyrażenia zgody na przetwarzanie dotyczących jej danych osobowych, szczególnie, że zgodnie z przepisami rozporządzenia 2016/679 zgodę można w każdym czasie wycofać.

Przepisy karne

A jednak są! Za udaremnianie lub utrudnianie kontroli - grzywna. Za przetwarzanie danych szczególnych kategorii bez podstawy prawnej - kara ograniczenie albo pozbawienia wolności do roku