Obecnie zasady ochrony danych osobowych w Polsce są regulowane przez:
- ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (dalej: uodo) jako podstawowy akt prawny dotyczący ochrony danych osobowych bezpośrednio obowiązujący.
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (zwane „Rozporządzeniem 2004”) – jako akt wykonawczy do uodo
- dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych która jest w Polsce stosowana jedynie pośrednio i której postanowienia są zawarte generalnie w uodo,
- ustawę z dnia 23 kwietnia 1964 r. - kodeks cywilny, w zakresie w jakim reguluje ochronę danych osobowych jako dóbr osobistych
Jak będzie od 25 maja 2018 r. ?
Wraz z wejściem do polskiego porządku prawnego RODO, system prawa ochrony danych osobowych zmieni się diametralnie.
RODO będzie podstawowym aktem regulującym prawo ochrony danych osobowych i w tym zakresie zastąpi obecną ustawę o danych osobowych. RODO określać więc będzie m.in. podstawowe definicje, prawa i obowiązki w zakresie ochrony danych osobowych, sankcje za nieprzestrzeganie przepisów RODO. Będzie to zatem akt prawny regulujący materialnoprawne aspekty ochrony danych osobowych.
Do dnia 25 maja 2018 r., kiedy RODO stanie się aktem bezpośrednio skutecznym każde z państw członkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcie właściwych przepisów wewnętrznych. Wejście w życie RODO spowodowało zatem konieczność wprowadzenia m.in. zmian do obecnie obowiązującej ustawy o ochronie danych osobowych. Nowa ustawa o ochronie danych osobowych będzie zawierała wyłącznie przepisy, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym oraz takich, w których RODO pozostawiło pewną swobodę regulacyjną poszczególnym państwom członkowskim jak przede wszystkim te związane z działalnością organu nadzorczego oraz stosowanej procedury w postępowaniu przed tym organem.
Co będzie zawierać nowa uodo?
Można ogólnie określić nową uodo jako ustawę regulującą instytucjonalne i proceduralne aspekty ochrony danych osobowych. Będzie ona dopełnieniem szczegółowych zapisów RODO i zapewniać jego szybkie i właściwe wprowadzenie w życie.
Ustawa określać będzie następujące szczegółowe kwestie:
1) podmioty obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o wyznaczaniu;
Inspektorzy Ochrony Danych (IOD) zastąpią dotychczasowych Administratorów Bezpieczeństwa Informacji (ABI),
2) warunki i tryb udzielania certyfikacji i akredytacji;
Dotyczy mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające, o których mowa w art. 42 RODO. Ustawa przewiduje, że Prezes UODO będzie opracowywał kryteria certyfikacji i udostępniał je w Biuletynie Informacji Publicznej.
3) organ właściwy w sprawie ochrony danych osobowych; Dotychczasowy urząd Generalnego Inspektora Danych Osobowych zastąpi Urząd Ochrony Danych Osobowych, na którego czele będzie stał Prezes powoływany i odwoływany przez Sejm RP za zgodą Senatu RP na wniosek Prezesa Rady Ministrów.
4) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
Nadrzędnym celem przepisów ustawy regulujących postępowanie przed Prezesem UODO jest usprawnienie tej procedury. Stąd, zakłada się, że postępowanie przez Prezesem UODO jest jednoinstancyjne. Generalnie w postępowaniu stosuje się przepisy kodeksu postepowania administracyjnego z włączeniami wskazanymi w ustawie. Decyzje wydane przez Prezesa Urzędu w postepowaniu jednoinstancyjnym są decyzjami ostatecznymi podlegają więc mają natychmiastowemu wykonaniu. Przewiduje się natomiast możliwość zaskarżenia decyzji skargą do sądu administracyjnego. Wniesienie skargi nie wstrzymuje wykonania aktu lub czynności. Wyjątek od tej zasady wprowadza art. 59 ust. 2 projektu, który stanowi, że wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej. W projekcie ustawy nie przewiduje się zażaleń na postanowienia jako odrębnych środków odwoławczych. Wszystkie postanowienia wydawane w toku postępowania będą podlegały zaskarżeniu w skardze na decyzję Prezesa Urzędu. Zapewni to rozpatrzenie w jednym postępowaniu sądowo-administracyjnym wszystkich spraw związanych z prowadzonym przez Prezesa Urzędu postępowaniem.
5) europejską współpracę administracyjną;
6) postępowanie kontrolne;
Przepisy ustawy będą miały zastosowanie w przypadku czynności kontrolnych prowadzonych w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, w przypadku kontroli planowych jak również kontroli doraźnych. Kontrole będą przeprowadzane przez upoważnionych pracowników Urzędu Ochrony Danych Osobowych. Zakres udzielanych upoważnień do przeprowadzenia kontroli określa art. 68 projektu. Do przeprowadzania kontroli będą również uprawnieni członkowie lub pracownicy organu nadzorczego innego państwa członkowskiego.
7) odpowiedzialność cywilną i karną za naruszenie przepisów o ochronie danych osobowych;
Projekt dotyczy wyłącznie dokonanego naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych. Przysługiwać będzie roszczenie o: zaniechanie tego działania oraz roszczenie o dopełnienie czynności potrzebnych do usunięcia skutków naruszenia. Projekt ustawy wyraźnie przesądza, iż dochodzenie roszczeń w oparciu o ustawę nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych jako dóbr osobistych do których stosuje się wprosi przepisy kodeksu cywilnego (art. 23 i nast. k.c.) Regulacja w zakresie odpowiedzialności karnej jest ograniczona i zsyntetyzowana w stosunku do obowiązującej obecnie
8) administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Przesłanki nakładania i maksymalne wysokości tych kar wynikają wprost z RODO (art. 83 ust. 1 – 6). Ustawa określa natomiast sposób przeliczania kar wymierzanych w euro na złote oraz zamknięty katalog podmiotów publicznych, na które kary mogą być nałożone ograniczając (inaczej niż w przypadku podmiotów niebędących podmiotami publicznymi) ich wysokość do 100.000 zł (przypomnijmy, iż kary te dla podmiotów niepublicznych mogą sięgać nawet 20.000.000 EUR). Ustawa określa przesłanki i postępowanie w zakresie umorzenia i rozkładania na raty kar administracyjnych oraz wskazuje przeznaczenie środków pochodzących z kar.
Nowelizacja ustawy o ochronie danych osobowych ma zapewnić pełną skuteczność norm przewidzianych w RODO. Założeniem projektowanej regulacji jest również – jak wskazuje Ministerstwo Cyfryzacji – zapewnienie obywatelom możliwości skuteczniejszego egzekwowania ochrony ich danych osobowych - w tym poprzez przyśpieszenie postępowania w sprawach ich naruszeń.