Prezydent podpisał nową ustawę o ochronie danych osobowych 2018

Celem ustawy jest zapewnienie stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „Rozporządzeniem”. Rozporządzenie będzie obowiązywało w polskim porządku prawnym bezpośrednio i będzie miało zastosowanie od dnia 25 maja 2018 r.

Wobec tego, iż przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawierają regulacje odmienne od przewidzianych w Rozporządzeniu lub regulacje nieprzewidziane w Rozporządzeniu, konieczne stało się opracowanie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie Unii Europejskiej.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Rozporządzenie posiada zasięg ogólny, wiąże w całości, co do wszystkich zawartych w nim postanowień i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W konsekwencji staje się ono częścią krajowych systemów prawnych bez potrzeby dokonywania jakichkolwiek czynności transpozycyjnych i wywiera skutki bezpośrednie w stosunku do jednostek. Jednakże, w pewnym zakresie, Rozporządzenie przewiduje uzupełnienie własnych regulacji przepisami krajowymi. Zawarte odesłania do prawa krajowego mają na celu przede wszystkim doprecyzowanie lub ograniczenie stosowania w tymże prawie krajowym przepisów Rozporządzenia. Do grupy obligatoryjnych przepisów krajowych, uchwalonych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, zaliczyć można przepisy dotyczące organu nadzorczego, środków ochrony prawnej, odpowiedzialności i sankcji, zagadnień proceduralnych, a także przepisy odnoszące się do certyfikacji i akredytacji w zakresie ochrony danych osobowych.

Ustawa będzie miała zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w Rozporządzeniu, co oznacza, że będzie miała zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych.

Ustawodawca zdecydował się wprowadzić do ustawy przepis wyłączający stosowanie Rozporządzenia do przetwarzania danych przez niektóre jednostki sektora finansów publicznych (organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej oraz inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, o ile przewidziane są niezbędne środki ochrony praw i wolności osoby, której dane dotyczą.

Zobacz: RODO w firmie

Uwzględniając, że ustawa służy zapewnieniu skutecznego stosowania w polskiej przestrzeni prawnej Rozporządzenia, będzie ona miała zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Nowa ustawa będzie miała zastosowanie także do przetwarzania danych osób przebywających w Unii, przez administratora lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty, lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii. Nowa ustawa będzie też stosowana do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.

Ponadto wyłączono stosowanie niektórych przepisów Rozporządzenia do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, wypowiedzi w ramach działalności literackiej, wypowiedzi w ramach działalności artystycznej oraz wypowiedzi akademickiej.

Przepisy ustawy ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych - Prezesa Urzędu Ochrony Danych Osobowych. Z dniem wejścia w życie nowej ustawy GIODO staje się Prezesem Urzędu, Biuro Generalnego Inspektora Ochrony Danych Osobowych staje się Urzędem Ochrony Danych Osobowych, a pracownicy zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych stają się pracownikami tego Urzędu.

Prezes Urzędu Ochrony Danych Osobowych będzie organem kadencyjnym, odwołalnym w wyjątkowych, wynikających z RODO przypadkach. Kadencja będzie trwała 4 lata, licząc od dnia złożenia ślubowania. Jednocześnie utrzymana zostanie pozycja ustrojowa organu, jako podlegającego wyłącznie ustawie, kadencyjnego i nienależącego od administracji rządowej. W ustawie przewidziano możliwość powołania do trzech zastępców Prezesa Urzędu. Nową instytucją powoływaną przez Prezesa Urzędu będzie Rada do Spraw Ochrony Danych Osobowych. Rada stanowić będzie organ opiniodawczo-doradczy, składający się z 8 członków.

Ustawodawca, mając na względzie sprawność działania systemu ochrony danych osobowych postanowił, iż do kontroli wszczętych na podstawie dotychczasowej ustawy o ochronie danych osobowych i niezakończonych przed dniem wejścia w życie nowej ustawy zastosowanie będą miały przepisy dotychczasowe. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone będą przez Prezesa Urzędu.

Ustawa nadaje Prezesowi Urzędu uprawnienie do opiniowania założeń i projektów aktów prawnych dotyczących danych osobowych. Prezes Urzędu będzie mógł również kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów, wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Ponadto, będzie uprawniony do występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Wzmocnieniu pozycji organu nadzorczego służyć mają takie instrumenty jak przyznanie organowi prawa do przeprowadzania kontroli naruszenia zasad ochrony danych osobowych czy możliwość korzystania z pomocy funkcjonariuszy Policji w toku przeprowadzanej kontroli.

Ustawa reguluje również sposób postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Postępowanie będzie prowadzone przez Prezesa Urzędu jako organ właściwy w sprawie ochrony danych osobowych. Ustawodawca przewidział jednoinstancyjność postępowania administracyjnego. Rozstrzygnięcia wydawane przez Prezesa Urzędu będą jednak podlegały zaskarżeniu do sądu administracyjnego i skargi w tych sprawach będą podlegały dwuinstancyjnemu postępowaniu sądowoadministracyjnemu. Wniesienie przez stronę skargi do sądu administracyjnego wstrzyma wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

Ponadto ustawa odnosi się do odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych, w zakresie nieuregulowanym przez Rozporządzenie. Zgodnie z przyjętymi regulacjami, do roszczeń oraz postępowań z tytułu naruszenia przepisów o ochronie danych osobowych, stosuje się przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny oraz przepisy ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego.
W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, właściwy będzie sąd okręgowy.

Zgodnie z nową ustawą, traci moc ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z wyjątkiem art. 1, art. 2, art. 3 ust. 1, art. 4–7, art. 14–22, art. 23–28, art. 31 oraz rozdziałów 4, 5 i 7 które zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.

Ustawa ma wejść w życie z dniem 25 maja 2018 r.