Ministerstwo Cyfryzacji opublikowało wstępny projekt ustawy o ochronie danych osobowych, który ma dostosować polskie regulacje do unijnego rozporządzenia o ochronie danych RODO. Nowa regulacja ma ujednolicić przepisy we wszystkich 28 państwach członkowskich Unii Europejskiej i wejdzie w życie 25 maja 2018 roku.
Nowością w przepisach unijnych jest możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Polska chce skorzystać jednak z uprawnienia, jakie przysługiwało ustawodawcy krajowemu, i obniżyć tę barierę do 13 lat. Zgodnie z Kodeksem cywilnym osoba, która ukończyła 13 lat, ma ograniczoną zdolność do czynności prawnych, może więc wyrazić zgodę na przetwarzanie danych, zwłaszcza że zawsze będzie można ją cofnąć.
Standardy UE Impact Assessment nakładają na stronę rządową obowiązek prezentowania oceny skutków regulacji do projektów ustaw. Obowiązku takiego nie ma w przypadku wstępnych projektów regulacji.
http://branden.biz/index.php/2017/02/01/rodo-nowe-obowiazki-administratora-danych/
– Ministerstwo Cyfryzacji odpowiedzialne za wdrożenie rozporządzenia o ochronie danych osobowych w polskim systemie prawnym przedstawiło roboczy, tzn. niekompletny projekt polskiej ustawy o ochronie danych osobowych. Wyrazy uznania dla resortu, że dotrzymało terminu i na rok przed początkiem obowiązywania przepisów mamy projekt – podkreśla Maciej Kaczmarski, prezes ODO24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji.
projekt-rozporzadzenia-pe-i-rady
Wstępny projekt ustawy RODO bez OSR
Eksperci oceniający projekt ustawy podnoszą pewne ułomności zaproponowanej regulacji. Warto przypomnieć, że projekty rządowe sa obłożone obowiązkiem przeprowadzenia procedury oceny skutków regulacji wg standardu UE Impact Assessment. Dopiero pełny rachunek kosztów i korzyści społecznych oraz ekonomicznych aplikowanych do wszystkich obszarów wpływu może odpowiedzieć na wątpliwości formułowane przez ekspertów. Te uwagi są również prezentowane kontekstowo i nie są całością oceny zaproponowanej regulacji.
Wg ekspertów, opublikowany przez resort cyfryzacji wstępny projekt ustawy o ochronie danych osobowych ma pewne braki. Nie uwzględnia np. sposobu powołania nowego organu ochrony danych osobowych. Projekt różnicuje wysokość kar za naruszenie danych – są one znacznie niższe w przypadku instytucji publicznych niż firm. To budzi kontrowersje wśród ekspertów. Resort chce obniżyć do 13 lat wiek dzieci, które będą mogły samodzielnie wyrażać zgodę na przetwarzanie danych osobowych, np. w serwisach społecznościowych.
http://branden.biz/index.php/2017/03/10/eu-firmy-nie-spelniaja-warunkow-regulacji-gdpr/
Projektowane jest zastąpienie Generalnego Inspektora Ochrony Danych Osobowych przez prezesa Urzędu Ochrony Danych Osobowych (UODO). Wiąże się to z zapisem w unijnej dyrektywie, że inspektor ochrony danych ma być osobą fizyczną wyznaczaną przez administratora lub podmiot przetwarzający i zobowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów RODO.
Nowością w przepisach unijnych jest możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Polska chce skorzystać jednak z uprawnienia, jakie przysługiwało ustawodawcy krajowemu, i obniżyć tę barierę do 13 lat. Zgodnie z Kodeksem cywilnym osoba, która ukończyła 13 lat, ma ograniczoną zdolność do czynności prawnych, może więc wyrazić zgodę na przetwarzanie danych, zwłaszcza że zawsze będzie można ją cofnąć.
Parlament Europejski do decyzji państw członkowskich zostawił też kwestię kar administracyjnych nakładanych na instytucje publiczne. Zgodnie z rozporządzeniem może sięgnąć 20 mln euro lub 4 proc. ubiegłorocznego globalnego przychodu.
– W projekcie polskiej ustawy o ochronie danych osobowych pojawiła się informacja, że instytucje publiczne będą mogły zostać ukarane karą pieniężną do wysokości 100 tys. zł, znacznie niższą niż przedsiębiorstwa państwowe. Zgodnie z przytaczaną argumentacją niższa kara ma służyć temu, żeby urząd przypadkiem nie został doprowadzony do sytuacji, kiedy nie może wypełniać swoich statutowych obowiązków, co byłoby ze szkodą dla społeczeństwa – mówi Maciej Kaczmarski.
– Pracodawcy odbierają nową regulację jako groźną dla siebie nie tylko z uwagi na wysokie kary, lecz także z uwagi na pojawiający się obowiązek autodonosu, czyli konieczności poinformowania UODO o wycieku danych osobowych, który u nas wystąpił. Jeśli pracodawca poinformuje organ, to będzie miał u siebie kontrolę i wcale go to nie zwolni z odpowiedzialności. Jeśli zaś tego nie zrobi, jest zagrożony karą do 10 mln euro. Jak na polskie warunki są to sumy astronomiczne, więc to ogniskuje bardzo uwagę przedsiębiorców na szczegółowych regulacjach dotyczących rozporządzenia – tłumaczy Maciej Kaczmarski.
Jak informuje resort, projekt ustawy o ochronie danych osobowych może trafić do Sejmu na jesieni tego roku, aby proces legislacyjny zakończył się na początku 2018 roku. Zostanie wówczas kilka miesięcy na przygotowanie się do wejścia w życie nowych przepisów.