Unijne rozporządzenie o ochronie danych osobowych (RODO) wejdzie w życie 25 maja tego roku. Będzie obowiązywać wprost, ale wiele szczegółowych problemów musi być uregulowanych w krajowej ustawie. Jej pierwszy projekt został zaprezentowany jesienią ubiegłego roku, potem w konsultacjach zgłoszono do niego wiele uwag i Ministerstwo Cyfryzacji przygotowało właśnie nową wersję. Jest ona już dostępna, ma wkrótce być przedmiotem prac rządowego komitetu europejskiego, potem komitetu stałego Rady Ministrów, a na końcu projekt ma być zatwierdzony przez rząd.
Jak zapowiada dr Maciej Kawecki, dyrektor departamentu w MC i koordynator krajowej reformy ochrony danych osobowych, za około półtora miesiąca projekt powinien zostać przyjęty przez Radę Ministrów i skierowany do Sejmu. – Jestem przekonany, że ustawa wejdzie w życie nie później niż 25 maja – zapewnia. I dodaje, że teraz kierowane przez niego zespoły pracują nad przepisami wprowadzającymi do ustawy i RODO, a na połowę marca planowana jest konferencja uzgodnieniowa w tej sprawie.

Certyfikat z urzędu lub z firmy
Jak mówi dr Kawecki, największym problemem w trakcie ostatnich prac nad projektem ustawy była sprawa certyfikacji administratorów danych. Ale poinformował, że w obecnej wersji projektu przyjęto dwie drogi certyfikacji –  urząd generalnego inspektora ochrony danych osobowych lub jedna z autoryzowanych prywatnych firm, które uzyskają uprawnienia do przeprowadzania certyfikacji. Jak mówi, podmioty przetwarzające dane osobowe będą mogły wybrać miejsce certyfikacji, a w praktyce mogą być różnice w czasie trwania takiego procesu, a także w jego kosztach.


Będą kary za naruszanie danych
Wspomniana odpowiedzialność karna za umyślne naruszenie przepisów o ochronie danych osobowych została wprowadzona do projektu, ponieważ uznano, że przewidziane w RODO kary administracyjne nie zawsze mogą być wystarczające i nie we wszystkich przypadkach skuteczne. Istotnym argumentem było także to, że bez dodania takich przepisów do projektu po jego wejściu w życie umorzonych zostałoby wiele z toczących się obecnie postępowań karnych, dotyczących np. kradzieży danych osobowych czy wykorzystywania ich przez oszustów. – Zdecydowaliśmy się na pewien krok do przodu, polegający nie tylko na penalizacji umyślnego naruszenia danych osobowych wrażliwych, ale także zwykłych – mówi dr Kawecki. I dodaje, że do zaakceptowania takiej zmiany przekonały go informacje o dużej liczbie takich spraw prowadzonych w prokuraturach. Jak przypomina, obecnie takie czyny są zagrożone karą dwóch lub trzech lat pozbawienia wolności.

Czytaj: Dr Gryszczyńska: nie będzie karnoprawnej odpowiedzialności za nielegalne przetwarzanie danych osobowych>>

Ułatwienia dla małych firm
Ważną zmianą, na którą zwracają uwagę autorzy projektu, jest też wprowadzenie pewnych ograniczeń w stosowaniu nowych przepisów o ochronie danych osobowych przez mniejsze firmy (do 250 pracowników), szczególnie jeśli nie przetwarzają one danych wrażliwych. Jak mówi dr Kawecki, obowiązki takich podmiotów mają być ograniczone tylko do obowiązku informacyjnego, obowiązku informowania o sprostowaniu danych, żądania uzyskania kopii danych oraz informowania o naruszeniach. – Wprowadziliśmy przepis, według którego każdy przedsiębiorca zatrudniający do 250 pracowników, który nie przetwarza danych szczególnie chronionych, czyli dzisiejszych danych wrażliwych, który nie udostępnia danych innym podmiotom, będzie mógł skorzystać z takiego ograniczenia – mówi.

Nowym elementem w ustawie ma być też dopuszczenie organizacji społecznych do postępowań o naruszenie danych osobowych. Będą mogły w nich występować zarówno jako uczestnicy, jak i jako skarżący. Będzie też obowiązek konsultowania ze wszystkimi interesariuszami, w tym z zainteresowanymi organizacjami społecznymi, branżowych kodeksów zachowań dotyczących danych osobowych, przed ich zatwierdzeniem przez organ nadzoru.

Projekt w obecnej wersji przewiduje również możliwość zaskarżania do sądu postanowień zabezpieczających organu nadzorczego, które będą mogły zobowiązywać przedsiębiorców do ograniczenia przetwarzania danych osobowych, np. w przypadku wniesienia przez kogoś skargi. Odwołania takie będą rozpatrywać sądy okręgowe.

 

Czytaj: 10 rzeczy, które musisz wiedzieć o RODO>>