Jest projekt nowej ustawy o ochronie danych osobowych

Najistotniejszą wydaje się zmiana dotycząca procedury postępowania przed Prezesem Urzędu Ochrony Danych Osobowych (to on zastąpi Generalnego Inspektora Ochrony Danych Osobowych). Postępowanie przed UODO będzie jednoinstancyjne, co ma prowadzić do jego skrócenia. Obecnie przed zaskarżeniem decyzji GIODO do sądu administracyjnego konieczne jest złożenie wniosku o ponowne rozpoznanie sprawy (który rozpoznaje sam GIODO). Prawie zawsze oznacza to utrzymanie pierwotnej decyzji w mocy i przedłużenie postępowania o kilkanaście kolejnych miesięcy. Wprowadzenie postępowania jednoinstancyjnego wydaje się więc krokiem w dobrym kierunku. Utrzymano natomiast jurysdykcję sądów administracyjnych (zamiast wprowadzenia sądu specjalistycznego, na wzór Sądu Ochrony Konkurencji i Konsumentów), co może budzić wątpliwości.

Istotną nowością będzie także obniżenie do 13 lat granicy wieku, poniżej której zgodę na przetwarzanie danych osobowych na potrzeby usług społeczeństwa informacyjnego powinien wyrazić rodzic lub opiekun prawny (w RODO granica ta wynosi standardowo 16 lat). Nie zmienia to jednak faktu, że podmioty świadczące usługi elektroniczne będą zmuszone podejmować próbę weryfikacji, czy w danej sytuacji konieczne jest uzyskanie zgody od rodzica lub opiekuna, co może okazać się problematyczne.

Projekt nowej ustawy reguluje także uprawnienia kontrolne Prezesa UODO. Są one wyraźnie inspirowane uprawnieniami kontrolnymi Prezesa UOKiK, ale w niektórych aspektach idą znacznie dalej. Przykładowo, projekt upoważnia pracowników UODO do przesłuchiwania w toku kontroli pracowników kontrolowanego w charakterze świadków. W związku z tym z pewnością wzrośnie zapotrzebowanie na usługi typu stand-by (zapewniające obecność profesjonalnego doradcy na wypadek ewentualnej kontroli UODO).

Nowa ustawa będzie także regulowała procedurę certyfikacji przetwarzających (certyfikacja nie zwolni jednak przetwarzającego z jakichkolwiek obowiązków określonych w RODO) oraz procedurę akredytacji podmiotów certyfikujących. Co ciekawe, Ministerstwo planuje wprowadzenie maksymalnej opłaty za udzielenie certyfikacji (choć nie wskazano jeszcze proponowanej kwoty).

Projekt nie zawiera natomiast przepisów nowelizujących ustawy sektorowe. Zgodnie z zapewnieniami przedstawicieli Ministerstwa w finalnym projekcie takie przepisy się pojawią, co będzie miało istotne znaczenie dla działalności wielu podmiotów działających w sektorach regulowanych (np. dla ubezpieczycieli).

Nowa ustawa o ochronie danych osobowych będzie zatem regulowała głównie kwestie proceduralne. Z tego względu czekanie z wdrożeniem RODO (które stanie się skuteczne już 25 maja 2018 r.) na ustalenie ostatecznego kształtu polskich regulacji zdecydowanie nie jest rekomendowane (co podkreślają także przedstawiciele Ministerstwa Cyfryzacji).

Artykuł ukazał się w Dzienniku Gazecie Prawnej w ramach cyklu: Europejska Reforma Ochrony Danych osobowych (RODO) - Jak się do niej przygotować?