29 Mar

Komentarz: Projekt MAiC ustawy o ochronie danych osobowych

Ministerstwo Administracji i Cyfryzacji po przeprowadzeniu konsultacji z GIODO, związkami przedsiębiorców oraz Stowarzyszeniem ABI postanowiło opublikować bardzo wstępny projekt nowej ustawy o ochronie danych osobowych. Warto podkreślić, że nowa ustawa ma na celu doprecyzowanie tych elementów RODO, w których unijny ustawodawca pozostawił swobodę krajom członkowskim. Mówiąc krótko nie jest to transpozycja unijnego przepisu, który obowiązuje nas w opublikowanej treści, a zapewnienie skuteczności normom przewidzianym w RODO. Projekt może jeszcze ulec wielu zmianom, więc nie należy traktować jego treści jako wiążącej, jednakże na pewno ujawnia kierunek, w którym zmierza ustawodawca i pozwala lepiej przygotować się na jego wprowadzenie i późniejsze stosowanie.

Przed przeczytaniem treści ustawy, warto najpierw sięgnąć po bardzo przystępnie napisane wprowadzenie do projektu ustawy. Moim zdaniem po jego przeczytaniu bardzo łatwo przyjdzie przyswojenie treści samego projektu. Jakie zmiany?

  1. Ustalenie minimalnego wieku, w którym małoletni może samodzielnie i skutecznie wyrazić zgodę na przetwarzanie danych osobowych na poziomie 13 lat, co pozostaje w zgodzie z przyjętą dotychczas w Polsce praktyką wywodzącą się z Kodeksu Cywilnego. Pisałam już kiedyś na ten temat w tym artykule.
  2. Dookreślenie, które podmioty będą musiały powołać Inspektora Ochrony Danych Osobowych, poprzez odniesienie się do przepisów ustawy o finansach publicznych oraz Kodeksu postępowania administracyjnego. Najkrócej rzecz ujmując, jeżeli podmiot podlega przepisom ustawy o finansach publicznych, musi powołać IOD (czyli obejmie to m.in. resorty, urzędy, szkoły, ośrodki pomocy społecznej, biblioteki, domy kultury, muzea, szpitale). Ma to zapewnić wyższy poziom ochrony danych osobowych przekazywanych tym instytucjom.
  3. Ustalenie niższego progu kar finansowych dla podmiotów publicznych. Maksymalna kara jaka może być nałożona na podmiot publiczny, nie może przekroczyć 100 tys. złotych. Wysokość kary nie może też sparaliżować lub bardzo utrudnić pracy takiego podmiotu. W mojej ocenie jest to bardzo słuszne podejście, bo nawet niewielka kara finansowa dla podmiotu publicznego jest bardzo dotkliwa.
  4. W miejsce GIODO zostanie wprowadzony PUODO (Prezes Urzędu Ochrony Danych Osobowych). Dotychczasowa praktyka pokazała, że nazwa jest niezrozumiała i niefortunna, bo w naturalny sposób kojarzy się z ABI, a teraz z IOD. Dodatkowo po wprowadzeniu Inspektora Ochrony Danych, pozostawienie nazwy GIODO mogłoby wywołać wrażenie, że jest on podległy pod GIODO (o problemie z tym jak nazwać samych inspektorów pracujących w obecnym Biurze GIODO nie wspomnę).
  5. PUODO będzie mógł nie tylko nakładać bardzo wysokie kary finansowe, ale przede wszystkim dokonywać rozstrzygnięć w postępowaniach na rzecz osoby, której dane dotyczą, której prywatność naruszono wraz z decyzją o uwzględnieniu jej żądania: Art. 26. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu, w drodze decyzji, nakazuje: 1) uwzględnienie żądań zawartych w skardze osoby, której dane dotyczą.
  6. W przypadku gdy waga naruszenia przepisów o ochronie danych osobowych będzie  znikoma Prezes UODO może zamiast kary finansowej udzielić upomnienia.
  7. Obecny ABI sam będzie mógł podjąć decyzję, czy będzie dalej będzie chciał pełnić swoje obowiązki jako Inspektor Ochrony Danych. Wynika to z faktu, że nowa rola narzuca nowe obowiązki.
  8. Znikną rejestry zbiorów oraz ABI prowadzone przez GIODO. Administrator danych będzie musiał powiadomić organ ochrony danych o tym kogo powołał na IOD, jednakże będą to informacje tylko do wiadomości organu.
  9. Prezes Urzędu będzie mógł przeprowadzić kontrolę doraźną w dowolnym momencie i u dowolnego ADO, a jeżeli ten będzie sprawiał trudności przy czynnościach kontrolnych, może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji. Czynności kontrolne mają być przeprowadzane niezwłocznie i muszą zostać zakończone najpóźniej po 30 dniach od momentu wszczęcia kontroli. Co ciekawe z wachlarza dostępnych kontroli zniknęła ta przeprowadzana na wniosek organu ochrony danych osobowych przez ABI (IOD).
  10. Prezes UODO będzie opracowywał i aktualizował dobre praktyki w zakresie ochrony danych osobowych, jednakże będą one miały charakter minimalnych wymagań, a nie wiążących przepisów. Dotychczasowa praktyka pokazuje jednak, że pewnie ze względu na brak dobrych specjalistów od analizy i szacowania ryzyka (lub oszczędzanie na tym przez ADO) sprowadzi do tego, że podmioty stosować je jako wiążące, uważając że w ten sposób wywiązują się należycie z obowiązków ochrony danych. MAiC podkreślił w komentarzu do ustawy, że najważniejsze będzie minimalizowanie ryzyka poprzez dobieranie środków właściwych do jego poziomu. Nie wystarczy zastosować wytyczne z dobrych praktyk.
  11. Ustawa określa także zasady certyfikacji kodeksów postępowania. Przyznam, że na obecnym etapie i po moich dotychczasowych doświadczeniach z kodeksami postępowania, czy certyfikowaniem wiążących reguł, jestem dosyć pesymistycznie nastawiona do samego projektu, gdyż tam gdzie miałam z podobnymi pomysłami do czynienia nie sprawdziły się w praktyce. Ale może tym razem będzie inaczej. Liczę na to, że się mylę 🙂

W przedstawionym projekcie zabrakło mi przede wszystkim informacji o trybie dokonywania zgłoszeń naruszeń bezpieczeństwa informacji oraz tego, które rodzaje naruszeń należy zgłaszać. Jest też więcej kwestii, które nie zostały omówione, ale MAiC informuje, że to dopiero wstępny projekt, który nie zawiera jeszcze wszystkim elementów.

Wszystkich zainteresowanych tym tematem odsyłam do bardzo ciekawego wywiadu radiowego z Maciejem Kaweckim, doradcą minister cyfryzacji.

Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie