28 marca Ministerstwo Cyfryzacji opublikowało projekt ustawy o ochronie danych osobowych, który ma dostosować polskie regulacje do unijnego rozporządzenia o ochronie danych RODO. Nowa regulacja ma ujednolicić przepisy we wszystkich 28 państwach członkowskich Unii Europejskiej i wejdzie w życie 25 maja 2018 roku.

Ministerstwo Cyfryzacji odpowiedzialne za wdrożenie rozporządzenia o ochronie danych osobowych w polskim systemie prawnym przedstawiło roboczy, tzn. niekompletny projekt polskiej ustawy o ochronie danych osobowych – podkreśla w rozmowie z  Newserią Biznes Maciej Kaczmarski, prezes ODO24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji. –  Ma on dużo braków.

Projekt zawiera też kilka kontrowersyjnych przepisów, uważa szef ODO24. Wątpliwości może budzić zastąpienie Generalnego Inspektora Ochrony Danych Osobowych przez prezesa Urzędu Ochrony Danych Osobowych (UODO). Wiąże się to z zapisem w unijnej dyrektywie, że inspektor ochrony danych ma być osobą fizyczną wyznaczaną przez administratora lub podmiot przetwarzający i zobowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów RODO.

Niestety, nie jest wskazane, kto tego prezesa będzie wybierał. To niepokojący element, pojawia się pytanie, czy urząd będzie niezależny – zaznacza prezes ODO24. – Urząd zawsze w pewnym sensie był upolityczniony, do tej pory GIODO wybierał parlament. 

Nowością w przepisach unijnych jest możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Polska chce skorzystać jednak z uprawnienia, jakie przysługiwało ustawodawcy krajowemu, i obniżyć tę barierę do 13 lat. Zgodnie z Kodeksem cywilnym osoba, która ukończyła 13 lat, ma ograniczoną zdolność do czynności prawnych, może więc wyrazić zgodę na przetwarzanie danych, zwłaszcza że zawsze będzie można ją cofnąć.

Parlament Europejski do decyzji państw członkowskich zostawił też kwestię kar administracyjnych nakładanych na instytucje publiczne. Zgodnie z rozporządzeniem może sięgnąć 20 mln euro lub 4 proc. ubiegłorocznego globalnego przychodu.

W projekcie polskiej ustawy o ochronie danych osobowych pojawiła się informacja, że instytucje publiczne będą mogły zostać ukarane karą pieniężną do wysokości 100 tys. zł, znacznie niższą niż przedsiębiorstwa państwowe – mówi Maciej Kaczmarski. – Zgodnie z przytaczaną argumentacją niższa kara ma służyć temu, żeby urząd przypadkiem nie został doprowadzony do sytuacji, kiedy nie może wypełniać swoich statutowych obowiązków, co byłoby ze szkodą dla społeczeństwa.

Jego zdaniem projekt ustawy jest fragmentaryczny. Część istotnych kwestii pomija, np. kwestii nowelizacji innych ustaw, a jak przypomina ekspert, rozporządzenie wymusza zmianę nawet 200 przepisów w ustawach.

Rozporządzenie wprowadza naprawdę dużo zmian – zaznacza prezes ODO24. – Skoro zmienia od kilkudziesięciu do setek polskich ustaw, to uzgodnienie takich szczegółowych kwestii, wypracowanie wspólnego stanowiska, później zapisania go w takiej formie, żeby prawo było jednoznaczne, na pewno nie będzie proste.

Jak podkreśla, istotne jednak, że taki projekt w ogóle się pojawił.

Pracodawcy odbierają nową regulację jako groźną dla siebie nie tylko z uwagi na wysokie kary, lecz także z uwagi na pojawiający się obowiązek autodonosu, czyli konieczności poinformowania UODO o wycieku danych osobowych, który u nich wystąpił  – tłumaczy Maciej Kaczmarski. – Jeśli pracodawca poinformuje organ, to będzie miał u siebie kontrolę i wcale go to nie zwolni z odpowiedzialności. Jeśli zaś tego nie zrobi, jest zagrożony karą do 10 mln euro. Jak na polskie warunki są to sumy astronomiczne, więc to ogniskuje bardzo uwagę przedsiębiorców na szczegółowych regulacjach dotyczących rozporządzenia 

Jak informuje resort, projekt ustawy o ochronie danych osobowych może trafić do Sejmu na jesieni tego roku, aby proces legislacyjny zakończył się na początku 2018 roku. Zostanie wówczas kilka miesięcy na przygotowanie się do wejścia w życie nowych przepisów.

Źródło: Newseria