Projekt nowej ustawy o ochronie danych osobowych wiąże się z przyjętym w maju 2016 r. przez Unię Europejską ogólnym rozporządzeniem o ochronie danych osobowych (RODO). RODO ma zharmonizować prawo ochrony danych osobowych w Europie. Kraje członkowskie muszą zastosować przepisy rozporządzenia do 25 maja 2018 r.
W związku z rozporządzeniem we wtorek w siedzibie Business Centre Club odbyła się konferencja przedsiębiorców; zwracali m.in. uwagę na ogólnikowość rozporządzenia i surowość kar, które mogą być nakładane za naruszenia przepisów dotyczących danych osobowych.
Według rozporządzenia naruszenie takich przepisów może podlegać karze administracyjnej do 20 mln EUR, a w przypadku przedsiębiorstwa - do 4 proc. jego całkowitego rocznego światowego obrotu.
- Przedsiębiorca musi spełnić swoje zadania wyznaczone przez rozporządzenie, ale one są bardzo ogólnikowo potraktowane. Z doświadczenia wiadomo, że w momencie, kiedy rzeczy są dosyć ogólne, również samo karanie może być dosyć dowolne. Nie chcielibyśmy, żeby to tak wyglądało - powiedziała w rozmowie z Polską Agencją Prasową ekspertka BCC Kaja Kwaśniewska.
Ekspertka obawia się, czy kary nie staną się sposobem na dodatkowe wpływy do budżetu państwa. - Sądzę, że są to dosyć uzasadnione obawy, ze względu na inne doświadczenia przedsiębiorców - dodała. O kwestie kar pytali również inni przedsiębiorcy.
- Proszę zauważyć, że Prezes Urzędu Ochrony Danych Osobowych (PUODO - zgodnie z ustawą zastąpi GIODO) funkcjonuje w ramach ustroju państwa, że to sądy będą dokonywały miarkowania tych kar. W Polsce nie było jeszcze nigdy przypadku, w którym ktokolwiek za cokolwiek dostałby karę w wysokości 20 mln euro, czyli ponad 100 mln zł, więc taka racjonalność, zakładam, będzie też po stronie regulatora - odpowiadał koordynator krajowej reformy ochrony danych osobowych Maciej Kawecki z ministerstwa cyfryzacji.
Kaja Kwaśniewska zwróciła uwagę, że nowe przepisy powodują, że przedsiębiorcy muszą wykonać "bardzo dużo pracy". Jak dodała, nie są to jednak "rzeczy, do których przedsiębiorca mały czy średni musiałby zatrudnić sztab ludzi; może to zrobić we własnym zakresie, ewentualnie przy pomocy doradczej z zewnątrz".
Zaznaczyła, że nowe przepisy są jednymi z nielicznych, które uwzględniają wielkość przedsiębiorstwa.
Projekt ustawy zakłada, że niektórych przepisów (m.in. dotyczących obowiązków informacyjnych) nie będą musiały stosować się przedsiębiorstwa do 250 osób, które nie przetwarzają danych szczególnie chronionych oraz nie udostępniają danych innym podmiotom.
Projekt ustawy o ochronie danych osobowych, który został skierowany w piątek na Komitet ds. Europejskich Rady Ministrów zakłada zmiany względem pierwszego z projektów, m.in. sposób przyznawania zaświadczeń o zgodności firmowych systemów przetwarzania danych osobowych z RODO. Od 25 maja przedsiębiorcy będą mogli uzyskać takie zaświadczenie zarówno od PUODO, jak i prywatnych, akredytowanych przedsiębiorstw.
Według resortu cyfryzacji za certyfikat wydany przez PUODO będzie trzeba zapłacić czterokrotność średniego miesięcznego wynagrodzenia, czyli ok. 16 tys. zł. Środki z certyfikacji mają trafiać do budżetu państwa.
Zmianie uległa także odpowiedzialność karna. W myśl nowego projektu karane będzie nie tylko naruszenie tzw. danych wrażliwych, ale również umyślne naruszenie tzw. zwykłych danych osobowych.
Projekt przewiduje także możliwość zaskarżenia do sądu tzw. postanowień zabezpieczających, które w pewnych przypadkach zobowiązują przedsiębiorców do ograniczenia przetwarzania danych osobowych.
Nowe przepisy mają wzmocnić ochronę danych osobowych obywateli UE, m.in. dając możliwość usunięcia danych z określonych baz czy rejestrów. Innym założeniem reformy jest uproszczenie transferu danych, np. pomiędzy bankami.
Projekt nowej ustawy o ochronie danych osobowych zakłada także powołanie w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych Prezesa Urzędu Ochrony Danych Osobowych, który byłby powoływany przez Sejm na wniosek premiera na czteroletnią kadencję i chroniony immunitetem.
W projekcie ustawy resort skorzystał także z uprawnień przysługujących państwom członkowskim przy dostosowaniu przepisów krajowych do rozporządzenia i obniżył z 16 do 13 lat wiek dziecka, do którego konieczne będzie uzyskanie zgody rodzica na przetwarzanie jego danych w internecie.