Nowa treść ustawy o ochronie danych osobowych

W dniu wczorajszym do Komitetu do Spraw Europejskich został przekazany projekt ustawy o ochronie danych osobowych. Choć przepisy RODO obowiązują bezpośrednio to poszczególne kraje UE mogą uregulować wiele kwestii odrębnie. Projekt był szeroko konsultowany w styczniu br., o czym pisałam tutaj, niemniej jego treść od tego czasu uległa pewnym zmianom.

W pierwszej kolejności zmianie uległy przepisy, które podczas konsultacji wzbudzały dość wiele kontrowersji, a mianowicie zwolnienie małych , średnich i mikroprzedsiębiorców zatrudniających mniej niż 250 osób z obowiązku informacyjnego.
Obowiązek ten został utrzymany ale został ograniczony do podania informacji dotyczących swoich danych, celu i podstawie prawnej przetwarzania danych, danych kontaktowych inspektora danych osobowych (jełki takiego posiadają ) oraz prawie osoby do cofnięcia zgody na przetwarzanie jej danych osobowych. Pojawiają się wątpliwości czy wyłączenie z zakresu obowiązków informacyjnych m.in. informowania o prawie dostępu do danych, prawie do sprostowania danych, ich usunięcia, ograniczenia lub wniesienia sprzeciwu, jak też podania do wiadomości okresów, na jaki przechowywane są zbierane dane, jak również prawa do wniesienia skargi do organu nadzorczego, czy tego czy administrator będzie korzystał z profilowania jest prawidłowe i zgodne z założeniami RODO.

Ustawa przewiduje, zgodnie z sugestiami podczas konsultacji społecznych, iż Prezesa Urzędu Ochrony Danych Osobowych, który to urząd z dniem obowiązywania RODO przejmie nadzór nad ochroną danych osobowych powoływać będzie Sejm za zgoda Senatu, a nie jak w pierwotnej propozycji wybierany przez Sejm ale na wniosek premiera, co według większości biorących udział w konsultacjach mogło ograniczać jego niezależność. Niewątpliwie nowością w zakresie uprawnień Prezesa pojawiającą się w przepisach ustawy, a dokładnie w art. 65 ustawy jest możliwość poddawania w wątpliwość przez Prezesa decyzji Komisji Europejskiej uznającej kraje spoza UE za takie, do których można bezpiecznie eksportować dane osobowe. Jest to konsekwencja wyroku TSUE w sprawie Maxa Schremsa p-ko Google (C-362/14), w której zakwestionowano program „Safe Harbour” umożliwiający przekazywanie danych osobowych do USA.

Nowe przepisy ustawy regulują również proponowane zmiany dotyczące certyfikacji, a mianowicie dokonywać jej by mógł nie tylko Prezes UODO, ale również podmioty prywatne akredytowane przez Polskie Centrum Akredytacji. Ta zmiana zasługuje na poparcie, albowiem ilość wnoszonych wniosków o przyznanie certyfikatu mogłaby przy pozostawieniu certyfikacji jedynie w gestii Prezesa Urzędu powodować zbytnie wydłużenie procesu certyfikacji.
Cieszy również zmiana w obecnym brzmieniu ustawy dotycząca możliwości zatwierdzania kodeksów dobrych praktyk przez zainteresowanych przedstawicieli danych branż, a nie jak pierwotnie sugerowano przez Prezesa UODO.

Warto wspomnieć, iż przepisy przejściowe ustawy regulują rolę dotychczasowych ABI, którzy z mocy prawa w dniu 25 maja 2018 roku staną się Inspektorami Ochrony Danych do dnia 1 września 2018 r., chyba że administrator wyznaczy inną osobę na to stanowisko i poinformuje o tym Prezesa. Podmioty, które nie powołały ABI, a na gruncie RODO mają taki obowiązek, muszą powołać Inspektora i zgłosić jego dane do dnia 31 lipca br.

To główne zmiany prezentowane w nowej ustawie. Całość przepisów i uzasadnienia znajduje się tutaj.

No Comments

Post a Comment