OPUBLIKOWANO: 12 MARCA 2018

Co reguluje nowa ustawa o ochronie danych osobowych?

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego

Generalny Inspektor Ochrony Danych Osobowych po 20 latach funkcjonowania przestanie istnieć. Jego miejsce zajmie Urząd Ochrony Danych Osobowych (dalej: UODO), na czele którego stanie Prezes. Oczywiście poza tymi zmianami możemy dostrzec wiele mających charakter czysto kosmetyczny np. zmiana nazwy organu z Generalnego Inspektora Danych Osobowych na Urząd Ochrony Danych Osobowych, zmiany ABI na IOD oraz określenie progu wiekowego osób, którym świadczone są usługi drogą elektroniczną na ukończenie trzynastego roku życia.

Zagadnienia uregulowane w ustawie o ochronie danych osobowych:

• podmioty obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o wyznaczaniu,

• warunki i tryb udzielania certyfikacji i akredytacji,

• organ właściwy w sprawie ochrony danych osobowych;

• postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,

• europejska współpraca administracyjna,

• postępowanie kontrolne,

• odpowiedzialność cywilna za naruszenie przepisów o ochronie danych osobowych,

• administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

Certyfikację zrealizuje Prezes UODO

Również w branży ochrony danych osobowych dostępne będą mechanizmy certyfikacji oraz znaki jakości i oznaczeń, mające świadczyć o zgodności z RODO. Dyrektor będzie mógł ubiegać się o nadanie takiego certyfikatu. Certyfikaty ma nadawać Prezes UODO (obecny GIODO). Postępowanie certyfikacyjne będzie możliwe do przeprowadzenia zdalnie, w formie elektronicznej.

Według planów Prezes urzędu będzie opracowywał i udostępniał kryteria certyfikacji.

Po pozytywnym rozpatrzeniu wniosku ma zostać określony okres, na jaki została udzielona certyfikacja. Kolejną nowością (poza samą certyfikacją) będzie możliwość przeprowadzenia przez UODO czynności sprawdzających u administratora lub podmiotu przetwarzającego w okresie obowiązywania certyfikacji. Czynności sprawdzające będą mogły dotyczyć oceny spełniania przez certyfikowany podmiot kryteriów certyfikacji. Warto zauważyć, iż w wypadku, gdy podczas czynności sprawdzających pojawią się nieprawidłowości, Urząd będzie mógł wydać decyzję o cofnięciu certyfikacji. Należy takie rozwiązanie uznać za wzmacniające realną wartość takiej certyfikacji, albowiem podmiot uzyskujący certyfikację będzie świadomy możliwości skontrolowania jego działalności w zakresie przetwarzania danych osobowych. Pomimo, iż certyfikacja wzmocni pozycję administratorów oraz podmiotów przetwarzających dane osobowe na rynku, to warto zauważyć, iż uzyskanie certyfikatu nie będzie darmowe. Za przeprowadzenie powyższych czynności podmiot wnioskujący będzie uiszczał opłatę w wysokości około 12 tysięcy złotych, co stanowi odpowiednik trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę.

Postępowanie w sprawie naruszenia przepisów

Prezes UODO może działać z własnej inicjatywy (np. prowadząc kontrole), jak również w wyniku skarg osób pokrzywdzonych. W przypadku odnotowania skargi, Prezes UODO może np.:

• nałożyć karę finansową,

• udzielić upomnienia,

• nakazać ograniczenie przetwarzania danych przez administratora.

Nie zdecydowano się na odgórne ustalenie maksymalnych terminów na rozpatrywanie skarg.

Postępowanie kontrolne

Do tej pory przebieg postępowania kontrolnego nie był uregulowany w przepisach zbyt szczegółowo. W ustawie dodano cały szereg przepisów mających zagwarantować zarówno skuteczność kontroli, jak i prawa osobom, które podlegają kontroli. Ustawowo zagwarantowano też, że kontrola może trwać maksymalnie 1 miesiąc. Do tej pory zdecydowana większość kontroli GIODO była zapowiadana, jednak przepisy nie regulowały tej materii wprost.