Zmiany w krajowej regulacji ochrony danych osobowych

Z dniem 25 maja 2018 r. rozpocznie się stosowanie Ogólnego Rozporządzenia o Ochronie Danych (dalej jako „RODO”, „Rozporządzenie”), które zrewolucjonizuje system ochrony danych osobowych w Polsce. Rozporządzenie będzie stosowane obok nowych przepisów krajowych, które uregulują kwestie proceduralne oraz zagadnienia istotne dla poszczególnych sektorów działalności gospodarczej (nowelizacja dotyczy m.in. Prawa Bankowego, Ustawy o działalności ubezpieczeniowej i reasekuracyjnej oraz Kodeksu Pracy).

W dniu 13 września 2017 r., Ministerstwo Cyfryzacji, odpowiedzialne za politykę państwa w zakresie ochrony danych osobowych, opublikowało projekt pakietu legislacyjnego mającego na celu dostosowanie regulacji krajowych do wymogów RODO oraz ogłosiło rozpoczęcie konsultacji społecznych w tym zakresie, które potrwają do dnia 13 października 2017 r. W skład pakietu legislacyjnego wszedł projekt ustawy o ochronie danych osobowych (dalej jako „Ustawa”, link do projektu) oraz projekt przepisów wprowadzających ustawę o ochronie danych osobowych (dalej jako „Przepisy wprowadzające”, link do projektu) wraz z uzasadnieniami.

Niniejszy artykuł dotyczy pierwszego z dokumentów, czyli Ustawy.

  1. Projekt Ustawy o ochronie danych osobowych

Projektowana Ustawa zastąpi aktualnie obowiązującą ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Nowa Ustawa uzupełnia regulację RODO w ten sposób, że RODO reguluje kwestie materialnoprawne, natomiast Ustawa dostarcza przepisów proceduralnych określając:

1) podmioty obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o wyznaczaniu;

2) warunki i tryb udzielania certyfikacji i akredytacji;

3) organ właściwy w sprawie ochrony danych osobowych;

4) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;

5) europejską współpracę administracyjną;

6) postępowanie kontrolne;

7) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych;

8) administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

Szczególną uwagę warto zwrócić na zmiany w zakresie postępowań w sprawie naruszenia przepisów o ochronie danych osobowych oraz postępowań kontrolnych.

  1. Postępowania w sprawach naruszeń przepisów

Pierwszą zasadniczą różnicą pomiędzy aktualnie obowiązującą i projektowaną ustawą jest zastąpienie dwuinstancyjnego postępowania w sprawie naruszenia przepisów o ochronie danych osobowych postępowaniem jednoinstancyjnym, która to zmiana ma na celu przyspieszenie postępowań.

Po drugie należy odnotować iż osoby, których dane dotyczą, a w stosunku do których doszło do naruszenia przepisów o ochronie danych, będą miały możliwość kierowania roszczeń do sądu powszechnego z pominięciem konieczności złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych, co znacznie skróci czas oczekiwania na ostateczne rozstrzygnięcie.

Po trzecie należy wskazać, iż nowa Ustawa wraz z RODO zapewnią podmiotom danych kilka dróg dochodzenia ochrony praw. Podmioty danych będą mogły:

  • wystąpić do organu o stwierdzenie naruszenia przepisów o ochronie danych;
  • wystąpić do organu o stwierdzenie naruszenia przepisów o ochronie danych i jednocześnie do sądu powszechnego o odszkodowanie;
  • wystąpić jedynie do sądu powszechnego o odszkodowanie.

Ponadto należy zauważyć, iż roszczenie odszkodowawcze może zostać oparte zarówno na naruszeniu przepisów o ochronie danych osobowych, jak i na naruszeniu dóbr osobistych.

  1. Postępowania kontrolne

Drugą z kwestii zasługujących na szczególną uwagę są postępowania kontrolne. Z uwagi na ryzyko nałożenia wysokich kar administracyjnych, o których pisaliśmy tutaj, znajomość przepisów dotyczących uprawnień kontrolujących stanie się nieodzowna.

W przypadku kontroli należy zwrócić uwagę na to, czy:

  • upoważnienie kontrolującego do przeprowadzenia kontroli zawiera wszystkie niezbędne elementy (art. 68 Ustawy);
  • kontrolujący przeprowadza kontrolę w granicach określonych art. 69 ust. 2 Ustawy;
  • kontrolujący umożliwił kontrolowanemu potwierdzenie zgodności z oryginałem kopii sporządzonych dokumentów (art. 69 ust. 3);
  • protokół z przeprowadzonej kontroli zawiera wszystkie niezbędne elementy (art. 72 ust. 1 Ustawy);
  • kontrola mieści się w ramach czasowych określonych w art. 74 Ustawy.
  1. Cykl publikacji

Niniejszy artykuł jest pierwszym z serii publikacji mających na celu przybliżenie nowej krajowej regulacji ochrony danych osobowych. W dalszej kolejności omówione zostanie zagadnienie monitoringu i nowelizacji przepisów Kodeksu Pracy.

Share This:

Dodaj komentarz