Skrócenie postępowań w sprawach o naruszenie ochrony danych osobowych, a także możliwość nakładania kar za naruszenia przepisów o ochronie danych osobowych - to m.in. zakłada ustaw uchwalona w czwartek przez Sejm. Posłowie wprowadzili do niej kilka poprawek.

Za rządową ustawą o ochronie danych osobowych głosowało 233 posłów, przeciw było 176, a 25 wstrzymało się od głosu.

Polecamy: RODO 2018. Ochrona danych osobowych. Przewodnik po zmianach. Sprawdź!

Sejm wprowadził do ustawy pięć poprawek zaproponowanych przez PiS; doprecyzowują one m.in., że maksymalne okresy przechowywania nagrań monitoringu wizyjnego i jego obowiązkowego zniszczenia powinny dotyczyć wyłącznie nagrań zawierających dane osobowe.

Kolejna z przyjętych poprawek zmienia pierwotny zapis, który stanowi, że z dniem wejścia w życie ustawy, czyli 25 maja br., przestaje obowiązywać dotychczasowa ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. Poprawka wskazuje, że ustawa z sierpnia 1997 r. przestaje obowiązywać, ale z wyłączeniem - do wejścia w życie przepisów wdrażających tzw. unijną dyrektywę policyjną - przepisów dotyczących m.in. praw osoby, której dane są przetwarzane, zabezpieczenia tych danych osobowych oraz zasad przekazywania ich do państw trzecich.

Unijne przepisy określają zasady przetwarzania danych osobowych w związku z rozpoznawaniem, zapobieganiem, wykrywaniem i zwalczaniem przestępstw, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu. Przepisy wdrażające przepisy tzw. unijnej dyrektywy policyjnej ministerstwo spraw wewnętrznych i administracji w drugiej połowie kwietnia przesłało do konsultacji międzyresortowych.

Posłowie odrzucili poprawki zgłoszone przez PO; dotyczyły one pozostawienia nazwy Generalny Inspektor Ochrony Danych Osobowych, a także zrezygnowania z powołania Rady do Spraw Ochrony Danych Osobowych.

Uchwalone przez Sejm przepisy dostosowują polskie prawo do przyjętego w maju 2016 r. przez UE ogólnego rozporządzenia o ochronie danych osobowych (RODO). RODO ma zharmonizować przepisy o ochronie danych osobowych w Unii. Zacznie obowiązywać w UE 25 maja 2018 r. Ustawa ma zapewnić skuteczne stosowanie RODO w Polsce.

Nowe przepisy przewidują powołanie Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który zastąpi funkcjonującego do tej pory Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Prezes urzędu ma być powoływany na czteroletnią kadencję przez Sejm za zgodą Senatu. Będzie go wspierało trzech zastępców (obecnie jest jeden), a organem opiniodawczo-doradczym będzie Rada ds. Ochrony Danych Osobowych. Według założeń, rada będzie się składała z ośmiu członków, których powoła PUODO spośród kandydatów zgłoszonych m.in. przez Radę Ministrów, fundacje i stowarzyszenia, Rzecznika Praw Obywatelskich, izby gospodarcze. Rada będzie powoływana na dwuletnią kadencję.

Szef urzędu ochrony danych osobowych będzie mógł kierować do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

W ustawie zapisano, że prezes urzędu będzie mógł nakładać kary finansowe na administrację publiczną. Maksymalna wynosi 100 tys. zł, a dla instytucji kultury 10 tys. zł.

Zaproponowano również rozwiązania mające przyspieszyć postępowania w sprawach ochrony danych - zniesiono dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych. Wprowadzono także przepis, dzięki któremu podejmowana przez organ kontrola nie będzie mogła trwać dłużej niż miesiąc. W nowym prawie zapisano również możliwość certyfikacji w dziedzinie ochrony danych osobowych.

Unijne rozporządzenie o ochronie danych osobowych zakłada m.in. prawo do bycia zapomnianym, czyli możliwość usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, a także prawo do przenoszenia danych – będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi.

Unijne przepisy nakładają także obowiązek powiadomienia o wycieku danych osobowych. Stanowią też, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą. RODO przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. całego obrotu firmy.