Podpisana przez prezydenta ustawa o ochronie danych osobowych dostosowuje polskie prawo do przyjętego w maju 2016 r. przez UE ogólnego rozporządzenia o ochronie danych osobowych (RODO). RODO ma zharmonizować przepisy o ochronie danych osobowych w Unii. Zacznie obowiązywać w UE 25 maja 2018 r. Ustawa ma zapewnić skuteczne stosowanie RODO w Polsce.
Nowe przepisy stanowią, że powołany zostanie Prezes Urzędu Ochrony Danych Osobowych (PUODO), który zastąpi funkcjonującego do tej pory Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zamiana nastąpi automatycznie w dniu wejścia w życie ustawy, czyli 25 maja 2018 r., a pracownicy zatrudnieni w GIODO stają się pracownikami tego Urzędu.
Prezes urzędu będzie powoływany na czteroletnią kadencję przez Sejm za zgodą Senatu. Będzie go wspierało trzech zastępców (obecnie jest jeden), a organem opiniodawczo-doradczym będzie Rada ds. Ochrony Danych Osobowych. Według ustawy, rada będzie się składała z ośmiu członków, których powoła PUODO spośród kandydatów zgłoszonych m.in. przez Radę Ministrów, fundacje i stowarzyszenia, Rzecznika Praw Obywatelskich, izby gospodarcze. Rada będzie powoływana na dwuletnią kadencję.
Szef urzędu będzie mógł kierować do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
Wzmocnieniu pozycji urzędu służyć mają także przyznanie prawa do przeprowadzania kontroli naruszenia zasad ochrony danych osobowych. W ustawie zapisano, że prezes urzędu będzie mógł nakładać kary finansowe na administrację publiczną za naruszenie dotyczące danych osobowych. Maksymalna wynosi 100 tys. zł, a dla instytucji kultury 10 tys. zł.
Wprowadzono również rozwiązania mające przyspieszyć postępowania w sprawach ochrony danych - zniesiono dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych. Wprowadzono także przepis, dzięki któremu podejmowana przez PUODO kontrola nie będzie mogła trwać dłużej niż miesiąc.
Rozstrzygnięcia wydawane przez Prezesa Urzędu będą jednak podlegały zaskarżeniu do sądu administracyjnego i skargi w tych sprawach będą podlegały dwuinstancyjnemu postępowaniu sądowo-administracyjnemu. Wniesienie przez stronę skargi do sądu administracyjnego wstrzyma wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
W nowym prawie zapisano również możliwość certyfikacji w dziedzinie ochrony danych osobowych. Wyłączono stosowanie niektórych przepisów rozporządzenia do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, wypowiedzi w ramach działalności literackiej, wypowiedzi w ramach działalności artystycznej oraz wypowiedzi akademickiej.
W momencie wejścia w życie podpisanej przez prezydenta ustawy, czyli 25 maja 2018 r., przestaje obowiązywać ustawa z sierpnia 1997 r. z wyjątkiem przepisów dotyczących przetwarzania danych w związku z zapobieganiem, wykrywaniem i zwalczaniem przestępstw, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu.
Przepisy te będą obowiązywać do wejścia w życie ustawy wdrażające w Polsce tzw. unijną dyrektywę policyjną. Przepisy wdrażające tzw. unijną dyrektywę policyjnej ministerstwo spraw wewnętrznych i administracji w drugiej połowie kwietnia przesłało do konsultacji międzyresortowych.
Unijne rozporządzenie o ochronie danych osobowych (RODO) zakłada m.in. prawo do bycia zapomnianym, czyli możliwość usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, a także prawo do przenoszenia danych – będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi.
RODO nakłada także obowiązek powiadomienia o wycieku danych osobowych. Stanowi też, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą. RODO przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. całego obrotu firmy.