Nowelizacja ustawy o ochronie danych osobowych wynika z konieczności zapewnienia stosowania ogólnego rozporządzenia o ochronie danych osobowych, szerzej znanego jako RODO. Rozporządzenie to ma zacząć funkcjonować już od 25 maja 2018. RODO jest rozporządzeniem unijnym, które ze swej istoty nie wymaga implementacji do krajowych porządków prawnych - rozporządzenia unijne są bezpośrednio stosowane w państwach członkowskich UE.
Rząd musi więc stworzyć odpowiednie środowisko prawne aby stosowanie RODO było skuteczne. W tym celu, należy stworzyć krajowy system ochrony danych osobowych z odpowiednim organem nadzorczym na czele. Od 20 lat zwierzchnikiem tego systemu jest Generalny Inspektor Ochrony Danych Osobowych (GIODO) - od 2018 r., zastąpić go ma Prezes Urzędu Ochrony Danych Osobowych (PUODO).
Nowelizacja znajduje się obecnie na etapie konsultacji, opiniowania i uzgodnień. Całą procedurę możesz śledzić tutaj.
Czy to tylko zmiana nazwy?
Na pierwszy rzut oka mogłoby się wydawać, że zmienia się tylko nazwa zwierzchnika systemu ochrony danych osobowych. Czy to prawda? - nie. Jak podaje ustawodawca oprócz zmiany nazwy zmieni się także to, że PUODO będzie miał szersze kompetencje od poprzednika, w tym możliwość nakładania wysokich kar administracyjnych. PUODO będzie organem nadzorczym co też wiąże się z pewnymi uprawnieniami.
Zobacz również: Prawa konsumenta
Zmiana nazwy wynika z konieczności doprecyzowania pewnych pojęć. RODO wprowadzi m.in. do polskiego porządku prawnego Inspektora Danych Osobowych (IDO). Funkcja Generalnego Inspektora Danych Osobowych z całą pewnością sugerowałaby, że jest on zwierzchnikiem IDO, tymczasem nie jest to prawdą ponieważ jak wynika z RODO IDO muszą być całkowicie niezależni. Nazwa PUODO nie sugeruje już tej zależności służbowej.
Jak zostać PUODO?
Projekt nowelizacji określa także procedurę wyboru PUODO - uregulowano to w rozdziale IV projektu. Zgodnie z przepisami tego rozdziału PUODO jest powoływany na stanowisko przez Sejm, za zgodą Senatu, na wniosek Prezesa Rady Ministrów. Sejm ma również możliwość odwołania go ze swojego stanowiska.
PUODO może zostać osoba, która:
- jest obywatelem polskim;
- posiada naukowy tytuł doktora;
- przez co najmniej 5 lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych;
- korzysta z pełni praw publicznych;
- nie była skazana prawomocnym wyrokiem za przestępstwo umyślne lub umyślne przestępstwo skarbowe.
PUODO będzie powoływany na 4-letnią kadencję i będzie mógł tylko raz powtórnie sprawować urząd. W trakcie sprawowania swojego urzędu podlegać ma tylko ustawom (tak jak sędziowie).
Zobacz też: Wyrok i kara
PUODO może zostać odwołany tylko w ściśle określonych przypadkach. Może to nastąpić wyłącznie gdy:
- zrzekł się stanowiska;
- stał się trwale niezdolny do sprawowania urzędu na skutek choroby;
- sprzeniewierzył się ślubowaniu;
- został skazany prawomocnym wyrokiem za popełnienie przestępstwa umyślnego lub umyślnego skarbowego.
W takim wypadku (oraz w przypadku wygaśnięcia kadencji) funkcję tą obejmie wskazany przez Premiera zastępca. PUODO nie może także być członkiem partii, związku zawodowego, ma immunitet, nie zajmować innego stanowiska (oprócz pracy naukowo-dydaktycznej).
PUODO działa przy pomocy Urzędu Ochrony Danych Osobowych. Przy Prezesie działać ma także 8-osobowa Rada Do Spraw Ochrony Danych Osobowych. Organ ten ma pełnić opiniodawczo-doradcze w stosunku do Prezesa.
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
Ten rodzaj postępowania ma być prowadzony właśnie przez PUODO. To postępowanie może zostać wszczęte zarówno z inicjatywy samego Prezesa jak i osoby pokrzywdzonej. Zastosowanie znajdują tu przepisy Kodeks postępowania administracyjnego jednak z pewnymi wyjątkami np. odstąpienie od zasady dwuinstancyjności.
W przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych PUODO może nałożyć karę finansową, udzielić upomnienia, a także nakazać ograniczenie przetwarzania danych przez administratora.
Rozstrzygnięcia Prezesa będą mogły być zaskarżane do sądu administracyjnego poprzez wniesienie skargi.
Postępowanie kontrolne + kary finansowe
Prezes może prowadzić kontrolę przestrzegania przepisów o ochronie danych osobowych. Kontrole będą przeprowadzane przez pracowników Urzędu Ochrony Danych Osobowych, a ich zakres określa art. 68 projektu.
Kontrola przybierze trzy formy:
- kontroli planowej;
- kontroli doraźnej;
- kontroli prowadzonej w toku postępowania administracyjnego.
Warto zaznaczyć, że postępowanie kontrolne nie będzie mogło trwać dłużej niż miesiąc.
Teraz o karach finansowych. Przesłanki ich nakładania zostały uregulowane w art. 83 ust. 1-6 RODO. PUODO może nałożyć karę finansową na podmiot prywatny, a także podmiot z sektora zarówno samorządowego jak i rządowego. W tym wypadku występuje jednak duża różnica w maksymalnej karze finansowej - na podmiot rządowy i samorządowy można nałożyć maks. 100 tys. zł kary, natomiast w przypadku innych podmiotów kara te będzie mogła zostać nałożona w znacznie większej wysokości.
Opracowano na podstawie:
Projekt ustawy z dnia 12 września 2017 r. ustawy o zmianie ustawy o ochronie danych osobowych