W dniu 29 października 2010 r. Sejm uchwalił ustawę o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497) . Wprowadzone zmiany rozszerzają definicję legalną zgody osoby, której dane dotyczą. Dotychczasowa definicja została uzupełniona o możliwość odwołania w każdym czasie zgody na przetwarzanie danych osobowych.

Rozszerzono również listę zadań Generalnego Inspektora Danych Osobowych. Zgodnie ze znowelizowanym art. 12 na GIODO ciążyć będzie obowiązek zapewnienia wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.). Konsekwencją tego są zmiany w ustawie o postępowaniu egzekucyjnym w administracji. Z chwilą wejścia w życie zmian obowiązki z zakresu ochrony danych osobowych, nakładane w drodze decyzji Generalnego Inspektora Ochrony Danych Osobowych, będą podlegały egzekucji administracyjnej (dodany pkt 2 w §1 art. 2 ustawy). Ponadto w art. 20 § 2 rozszerzono katalog organów egzekucyjnych w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym o GIODO.

Uszczegółowieniu uległy procedury kontroli oraz sporządzania protokołu pokontrolnego. Przed przystąpieniem do czynności kontrolnych inspektor danych osobowych winien okazać legitymację oraz imienne upoważnienie do przeprowadzenia kontroli. Jego zawartość określono szczegółowo w dodanym ust. 4 art. 15 ustawy. Podobnie określono niezbędne elementy protokołu pokontrolnego – ich wykaz zawarto w dodanym ust. 1a art. 16 ustawy.

Zasadnicze znaczenie dla j.s.t. jako administratorów danych osobowych ma dodany art. 19a. Zgodnie z nim GIODO ma prawo kierować wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych (w ramach realizacja zadania polegającego na inicjowaniu i podejmowaniu przedsięwzięć w zakresie doskonalenia ochrony danych osobowych). Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Ustosunkowanie się do takiego wystąpienia będzie obowiązkiem podmiotu, do którego zostało ono skierowane. Ustawodawca przewidział na to termin 30 dni.

Z chwilą wejścia w życie nowelizacji stracą moc obowiązującą art. 29 i 30 ustawy normujące udostępnianie danych osobowych w celach innych niż włączenie do zbioru. Spowodowane jest to, koniecznością dostosowania przepisów ustawy do przepisów prawa UE. Jak czytamy w uzasadnieniu do projektu nowelizacji „Komisja Europejska odnosząc się do treści art. 29 podkreślała, że zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej.” Charakter porządkujący ma również zmiana art. 33 ustawy, który określa obowiązek administratora danych do informowania danej osoby o prawach, które przysługują jej w zakresie ochrony danych osobowych oraz informacji o zebranych danych. Ponadto administrator danych ma obowiązek odmówić udzielenia powyższych informacji, jeżeli mogłoby spowodować to ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, czy też istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Stanowi o tym znowelizowany art. 34 ustawy.

Nowelizacja objęła również zasady zgłaszania zbioru danych przez administratora do GIODO. W art. 41 ust. 2 pkt 1 wprowadzono zmiany o charakterze ujednolicającym przepisy w kwestii zgłaszania zbioru danych (zastąpienie słów „podmiotu prowadzącego zbiór danych” słowami „oznaczenie administratora danych”). Zasadnicze znaczenie mają dodane ust. 3 i 4. Zgodnie z nimi, jeżeli zmiana opisu kategorii osób, których dane dotyczą oraz zakresu przetwarzanych danych, obejmuje dane szczególnie chronione (wymienione w art. 27 ust. 1 ustawy, czyli m.in. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa) administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze. Zgłoszenie to odbywa się przez odpowiednie stosowanie przepisów o rejestracji zbioru danych.

Z chwilą wejścia w życie nowelizacji zmianie uległy przepisy karne ustawy - traci moc art. 50, zgodnie z którym kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Dodano również art. 54a stanowiący, iż kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze graniczenia wolności albo pozbawienia wolności do lat 2.

Pozostałe zmiany wprowadzone przez nowelizację dotyczą ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2008 r. Nr 50, poz. 292 ze zm.) oraz ustawy z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz. U. z 2010 r. Nr 29, poz. 153).

Ustawa wchodzi w życie po upływie 3 miesięcy od dnia ogłoszenia tj. 7 marca 2011 r.

Przydatne materiały:
Ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497)