Przygotowanie nowego projektu ustawy o ochronie danych osobowych wynika z obowiązku zapewnienia poprawnego stosowania unijnego Ogólnego Rozporządzenia o Ochronie Danych Osobowych - RODO. Od dnia wejścia w życie RODO, polskie przepisy muszą zapewnić skuteczne stosowanie rozporządzanie. Aktualna ustawa o ochronie danych osobowych z 1997 roku, jest niedostosowana do obecnej sytuacji społecznej i technologicznej w kontekście przetwarzania danych osobowych. Dlatego konieczne było przygotowanie nowego projektu zgodnego ze standardami uchwalonymi na poziomie Unii Europejskiej.
Nowa ustawa o ochronie danych osobowych
Przyjęty przez rząd projekt ustawy jest wynikiem wielu miesięcy pracy zarówno po stronie Ministerstwa Cyfryzacji jak i przedstawicieli środowisk związanych z danymi osobowymi, którzy współtworzyli projekt na etapie konsultacji społecznych. Jest to jeden z najobszerniejszych projektów aktów prawnych, ponieważ oprócz nowej ustawy o ochronie danych osobowych, która zastąpi tą obowiązującą od 20 lat, zmiany muszą zostać wprowadzone również w ponad 130 innych ustawach, które w swojej treści traktują o danych osobowych.
Nowa ustawa wprowadza wiele zmian w prawie w kontekście ochrony danych osobowych. Jak zapewniają przedstawiciele Ministerstwa Cyfryzacji, nowe prawo ma zapewnić wyższy poziom bezpieczeństwa obywateli. Na nowy projekt ustawy w szczególności czekali przedsiębiorcy, którzy są odpowiedzialni za dostosowanie swoich organizacji do nowych przepisów.
Zakres odpowiedzialności karnej i kary finansowe
Ministerstwo Cyfryzacji jasno zaznacza, że zarówno RODO jak i nowa ustawa nie są wyłącznie o karach. Ale nie da się ukryć, że dla wielu głównym mobilizatorem, aby rozpocząć wdrażanie RODO były milionowekary finansowe. Zgodnie z rozporządzeniem na przedsiębiorstwo może zostać nałożona kara do 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa, a kary nakładane na podmioty publiczne - do 100.000 zł. Państwa członkowskie mają możliwość obniżenia maksymalnego wymiaru kary wobec sektora publicznego, z czego korzysta polski ustawodawca.
W projekcie ustawy znajdują się również przepisy określające zakres odpowiedzialności karnej za naruszenie przepisów o ochronie danych. Ta dotyczyć będzie nie tylko danych osobowych szczególnie chronionych, ale również danych osobowych zwykłych. W nowym projekcie ustawy objęto przepisami karnymi zarówno przetwarzanie danych zwykłych (kara więzienia do 2 lat), jak i znacznie zwiększono karę za przetwarzanie danych wrażliwych (z 1 do 3 lat kary więzienia), a jednocześnie zmniejszona została precyzyjność przepisu. Nowa ustawa mówi o przetwarzaniu niedopuszczalnym lub do którego administrator nie jest uprawniony, w zamian za przetwarzanie o braku podstawy. Dodatkowo ustanowiona została kara pozbawienia wolności do lat 2 za utrudnianie kontroli Prezesa UODO.
Prezes UODO zamiast GIODO - nowy organ nadzorczy
Przepisy ustawy powołują do życia nowy organ właściwy w kontekście ochrony danych osobowych, będzie nim Prezes Urzędu Ochrony Danych Osobowych.
Prezes Urzędu Ochrony Danych Osobowych (UODO) z prawnego punktu widzenia zastąpi dotychczasowy organ czyli Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Prezes Urzędu zyskał nowe uprawnienia, dzięki którym np. będzie mógł występować z wnioskami o podjęcie inicjatywy ustawodawczej w sprawach dotyczących ochrony danych osobowych. Wśród nowych uprawnień, jako organu nadzorczego, będzie należała możliwość nakładania kar finansowych bezpośrednio po stwierdzeniu naruszenia przepisów ustawy o ochronie danych osobowych. Prezes Urzędu ma być nie tylko egzekutorem prawa, ale także krajowym konsultantem w kwestii działania zgodnie z nowym prawem.
Ustawa o ochronie danych osobowych zobowiązuje Prezesa Urzędu do wydawania rekomendacji określających techniczne i organizacyjne sposoby zabezpieczenia danych, będących wskazówką dla przedsiębiorców w sprawach związanych ze skutecznym zabezpieczeniem danych osobowych.
Ulgi dla małych i średnich przedsiębiorstw
Nowe prawo dotyczące ochrony danych osobowych ma zapewnić realizację interesów nie tylko osób fizycznych, ale także przedsiębiorców. W związku z tym, wprowadzone zostaną ułatwienia dla małych i średnich przedsiębiorstw. Przede wszystkim ograniczony ma zostać zakres obowiązku informatycznego w przypadku zbierania danych od osoby. Przedsiębiorcy zatrudniający poniżej 250 osób nie będą musieli informować m.in. o: profilowaniu, okresie w jakim dane będą przetwarzane ani podawać informacji o większości praw przysługujących osobie, której dane są przetwarzane. Dodatkowo osoba ta, nie będzie miała prawa do uzyskania kopii danych, a administrator danych osobowych nie będzie musiał zawiadamiać o naruszeniach związanych z jej danymi osobowymi.