Przejdź do treści głównej

Projekt nowej ustawy o ochronie danych osobowych. Co ważne dla organizacji pozarządowych?

autor(ka): Jarosław Greser, poradnik.ngo.pl
2017-10-05, 04:04
DasWortgewand, pixabay.com, CC0 Public Domain
12 września 2017 r. Ministerstwo Cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych. Ustawa ma doprecyzować rozwiązania zawarte w unijnym Rozporządzeniu 2016/679, które wejdzie w życie 25 maja 2018 r. Jakie czekają nas zmiany w ochronie danych osobowych? Warto, żeby NGO już teraz zaczęły oswajać się z nową regulacją.

Powstanie nowy urząd ochrony danych osobowych

W miejsce Generalnego Inspektora Ochrony Danych Osobowych (GIODO), instytucji która od 20 lat zajmuje się w Polsce ochroną danych, powstanie Urząd Ochrony Danych Osobowych (UODO). Na czele urzędu będzie stał Prezes.

Nowy organ ochrony danych osobowych będzie miał znacznie szerszy zakres uprawnień niż dzisiejszy GIODO, w tym szerszy zakres uprawnień kontrolnych. Będzie też mógł nakładać znacznie dotkliwsze kary.


W uzasadnieniu projektu wskazuje się, że znacznie wzrośnie liczba pracowników nowego urzędu (w stosunku do zatrudnionych dziś w GIODO).

Zmiany w postępowaniu przed UODO

Średni czas trwania postępowania przed GIODO (czyli obecnie działającym urzędem), w sprawach dotyczących zasad naruszenia ochrony danych, wynosi 437 dni. Dlatego ustawodawca zdecydował się na wprowadzenie rozwiązań mających przyspieszyć postępowanie.

Po pierwsze postępowanie będzie prowadzone według znowelizowanego Kodeksu postępowania administracyjnego (o zmianach w kpa pisaliśmy w informacji: „Środki odwoławcze i przyspieszenie postępowań”).

Po drugie postępowanie będzie jednoinstancyjne, to znaczy że od decyzji Prezesa UODO będzie przysługiwać skarga od razu do sądu.

Po trzecie nie przewiduje się zażaleń na postanowienia jako odrębnych środków odwoławczych. Dotychczas większość decyzji niekończących sprawy mogło być zaskarżanych od razu. Prowadziło to do uruchomienia nowej procedury w ramach toczącego się postępowania. Na przykład po złożeniu wniosku o wyłączenie urzędnika od orzekania, organ rozpatrywał go i wydawał postanowienie. Strona niezadowolona mogła je zaskarżyć do organu wyższego stopnia. W praktyce hamowało to rozpatrywanie sprawy głównej. Według projektu ustawy wszystkie postanowienia, będą zaskarżane łącznie w skardze do sądu. 

Udział organizacji społecznych – wsparcie osób poszkodowanych

Projekt ustawy przewiduje aktywną rolę NGO w działaniach przed Prezesem UODO. Organizacja społeczna może występować z żądaniem wszczęcia postępowania lub dopuszczenia jej do udziału w postępowaniu, jeżeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes osoby, której prawa zostały naruszone. NGO będą więc mogły wspierać osoby poszkodowane w dochodzeniu ich praw.

Zastrzeżenie poufności

Organizacje, które prowadzą działalność gospodarczą będą mogły skorzystać z możliwości zastrzeżenia poufności dokumentów przekazywanych Prezesowi Urzędu. Będzie to dotyczyło informacji chronionych tajemnicą przedsiębiorstwa. Ma to zapobiec wyciekowi informacji i chronić ważne zasoby organizacji pozarządowej-przedsiębiorcy.

Rozstrzygnięcia i wysokość kar

Rozporządzenie unijne przewiduje maksymalną karę za naruszenie przepisów o ochronie danych osobowych w wysokości 20.000.000 EUR lub 4 % „całkowitego rocznego światowego obrotu” przedsiębiorstwa z poprzedniego roku.

Ale projekt ustawy łagodzi niektóre rozwiązania. Po pierwsze w przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia, Prezes Urzędu może (w drodze decyzji) udzielić upomnienia.

Po drugie, choć decyzje wydane przez Prezesa Urzędu podlegają natychmiastowemu wykonaniu, to wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Po trzecie Prezes Urzędu może, na wniosek podmiotu ukaranego, odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.

Zasady kontroli 

Ustawa reguluje zasady prowadzenia kontroli przez Prezesa UODO. Postępowanie kontrolne może być prowadzone zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli, bądź poza planem, na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz. W pierwszym przypadku będzie dotyczyło wytypowanych wcześniej kategorii podmiotów np. przedszkoli czy szkół językowych. W drugim mogą być to kontrole ad hoc - np. na podstawie doniesień medialnych lub donosu. 

Urzędnicy dostaną szerokie uprawnienia. Na przykład: prawo wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń, wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli oraz przeprowadzania oględzin urządzeń, nośników i systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Ponadto będą mogli żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać świadków. 

Do przeprowadzanych kontroli nie będzie stosować się przepisów o swobodzie działalności gospodarczej, określających czas jej trwania i zasadę jednej kontroli w jednym czasie.


Odpowiedzialność cywilna i karna 

Projekt ustawy oprócz kar nakładanych przez Prezesa UODO przewiduje sankcje cywilne i karne.

W przypadku sankcji cywilnych zastosowanie będą miały ogólne zasady Kodeksu cywilnego. To znaczy, że granicą odpowiedzialności jest wyrządzona szkoda. Należy jednak pamiętać, że dane osobowe są chronione jako dobra osobiste (więcej: „Dobra osobiste (w) organizacji pozarządowej”). Dlatego sąd może przyznać zadośćuczynienie pieniężne niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia (np. nakazania publikacji przeprosin). Dodatkowo każda osoba, której prawa zostały naruszone, może żądać, zaniechania tego działania, a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. Inaczej mówiąc nie tylko urząd (UODO), ale też sąd może zakazać przetwarzania danych osobowych.

W projekcie ustawy przewidziane są też przepisy karne. Ustawodawca zmniejsza ilość czynów karalnych w porównaniu do obowiązującej ustawy. Penalizowane są dwa zachowania. Pierwsze to utrudnianie lub udaremnianie kontroli, będące wykroczeniem zagrożonym grzywną. Drugie to przetwarzanie danych bez podstawy prawnej, które będzie zagrożone karą do roku pozbawienia wolności. 

 

zobacz:
Projekt ustawy o ochronie danych osobowych, Rządowy Proces Legislacyjny, legislacja.rcl.gov.pl

 


Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych - wejdzie w życie 25 maja 2018 r.)


 

fragment uzasadnienia do projektu ustawy o ochronie danych osobowych

Opracowanie projektu nowej ustawy o ochronie danych osobowych wynika z konieczności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (...) zwanego dalej„ Rozporządzeniem”.

Rozporządzenie będzie obowiązywało w polskim porządku prawnym bezpośrednio i będzie miało zastosowanie od dnia 25 maja 2018 r. i od tego dnia polskie przepisy muszą zapewniać skuteczne stosowanie przepisów Rozporządzenia, nie powielając jego rozwiązań ani nie będąc z nim sprzecznymi. Zakres kompetencji państw członkowskich wdrażania przepisów Rozporządzenia wyznacza co do zasady samo rozporządzenie (zob. szerzej P. Kozik, „Zakres swobody regulacyjnej państw członkowskich przy wdrażaniu ogólnego rozporządzenia o ochronie danych osobowych do prawa krajowego” EPS 5/2017 s. 18-22).

Przepisy obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r, poz. 922), zwanej dalej „obowiązującą Ustawą”, z jednej strony zawierają regulacje analogiczne do regulacji Rozporządzenia, np. w zakresie definicji danych osobowych, z drugiej zawierają regulacje odmienne niż te, które przewiduje Rozporządzenie, choćby w zakresie definicji zgody osoby, której dane dotyczą. Obowiązująca Ustawa zawiera też regulacje, których nie przewiduje Rozporządzenie, np. w zakresie rejestracji zbiorów danych, ale także brak w obowiązującej ustawie przepisów dotyczących choćby certyfikacji.

W świetle powyższego konieczne stało się opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE”.

 


Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.


Poznaj ofertę SCWO: warszawa.ngo.pl/scwo



Źródło: inf. własna (poradnik.ngo.pl)
Uwaga! Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w portalu www.ngo.pl w innych mediach lub w innych serwisach internetowych wymaga zgody Redakcji portalu!
Wyraź opinię 1 0

Skomentuj

KOMENTARZE

  • [+] Rozwiń komentarz Jak powinna wyglądać polityka ochrony danych w NGO - Fundacji ~Piotr 09.10.2017, 02:21 Jestem na etapie zakładania fundacji. W związku z tym chciałbym prosić o przykładowy wzór polityki ochrony danych osobowych spełniających wymagania po nowelizacji ustawy i innych dokumentów, które fundacja ma obowiązek mieć od początku swej działalności, aby nie mieć później problemów ... . Proszę o przesłanie informacji na podany adres mailowy ODPOWIEDZ

Redakcja www.ngo.pl nie ponosi odpowiedzialności za treść komentarzy

  • dane osobowe
  • organizacje pozarządowe
  • prawo
  • władze organizacji