Konferencja dotycząca projektu ustawy
o ochronie danych osobowych

blog-123

15 stycznia 2018r. w Sejmie odbyła się konferencja dotycząca projektu ustawy o ochronie danych osobowych. Przedstawiciele Ministerstwa Cyfryzacji odnieśli się do wielu, zasugerowanych w trybie konsultacji społecznych poprawek, jednocześnie rozwiewając wiele wątpliwości dotyczących kształtu nowej ustawy. Dodatkowo na spotkaniu padła ważna informacja dotycząca terminu skierowania ustawy do Sejmu – ma być ona gotowa w przeciągu dwóch miesięcy.

Poniżej prezentujemy najważniejsze, naszym zdaniem zagadnienia z powyższej konferencji.

Inspektor Ochrony Danych

Główne wątpliwości w prezentowanym projekcie ustawy budziła kwestia powołania inspektora ochrony danych. Zdaniem wielu osób zgromadzonych na sali ograniczenie formy powołania IOD’a jedynie do formy elektronicznego wniosku jest zbyt wąska i poniekąd dyskryminuje osoby niepełnosprawne nie mogące skorzystać z komputera.

Ministerstwo Cyfryzacji w odpowiedzi stwierdziło, iż elektroniczna forma pozwoli lepiej zarządzać zgłoszeniami, zwłaszcza, że można też go dokonać za pomocą darmowego profilu zaufanego. W planach Ministerstwa Cyfryzacji jest również wprowadzenie dodatkowego systemu pozwalającego zarejestrować IOD’a. Ponadto w ustawie ma zostać dodany przepis, który wprost wskaże możliwość zgłoszenia IOD’a za pomocą pełnomocnika, co będzie dużym ułatwieniem dla osób niepełnosprawnych.

Warto również wspomnieć, iż do zawiadomienia nie mają zastosowania przepisy kpa, gdyż nie zapada w tym procesie żadna decyzja administracyjna.

Sprawy związane z postepowaniem przed Urzędem Ochrony Danych Osobowych (UODO)

Bardzo istotną zmianą jest zrezygnowanie z nadawania decyzjom Prezesa UODO rygoru natychmiastowej wykonalności, samo postępowanie ma zostać jednak w dalszym ciągu jednoinstancyjne. W dalszym ciągu ma ono mieć kształt audytu, wiele wątpliwości budził brak wyznaczonych ram czasowych, w jakich kontrolerzy mogą przeprowadzać swoje czynności w siedzibie administratora danych osobowych, niemniej takie ramy czasowe mają zostać ustalone i uregulowane w ustawie.

Bez zmian pozostaje wysokość kar dla administracji publicznej. Zdaniem Ministerstwa Cyfryzacji w sektorze państwowym kara pochodzi ze środków publicznych stąd też zmiana jej wysokości byłaby zabiegiem pozornym. Warto jednak wspomnieć, że na organy administracji nałożony zostanie obowiązek sprawozdawczy z wykonywania decyzji Prezesa UODO.

Z projektu ustawy usunięto art. 76 nadający Prezesowi UODO możliwość wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień związanych z ochroną danych osobowych. Prawodawca również zrezygnował z możliwości samowolnego decydowania przez Prezesa UODO o tym czy dana informacja pozyskana w trakcie postepowania jest tajemnicą przedsiębiorstwa.

Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego

Zgodnie z założeniami projektu wiek dziecka w przypadku oferowaniu mu usług społeczeństwa informacyjnego, bez potrzeby wyrażania zgody jego opiekuna prawnego pozostaje dalej ustanowiony na 13 lat. Ministerstwo Cyfryzacji uzasadnia powyższe rozwiązanie faktem, iż większość państw członkowskich Unii Europejskiej przyjęło podobną klasyfikacje wiekową. Dodatkowo za powyższym rozwiązaniem przemawia też zapewnienie spójności z przepisami kodeksu cywilnego.

Warto zauważyć, że problematyczne staje się, w tym wypadku odebranie zgody od opiekuna dziecka. Podczas konferencji dr Maciej Kawecki zaproponował następujące sposoby odebrania takiej zgody:

  • zastrzeżenie na danym portalu internetowym wskazujące, że zgodę może wyrazić tylko osoba dorosła,
  • uwierzytelnianie konta dziecka za pomocą konta osoby dorosłej, zastosowanie mechanizmu kont połączonych,
  • uwierzytelnianie konta za pomocą przelewów internetowych opiewających na symboliczne sumy (np. w wysokości 1 gr) z konta opiekuna dziecka,
  • kontakt z rodzicem np. za pomocą rozmowy telefonicznej.

Powyższy przepis ma wyłącznie zastosowanie w przypadkach gdy podstawą przetwarzania danych osobowych dziecka jest zgoda. Przykładowo rejestracja na portalu z grami internetowymi, zakup gry wideo czy utworzenia konta na stronie świadczącej usługi VOD odbywa się na podstawie umowy, w związku z czym dane rozwiązania nie mają tu zastosowania. Omawiany przepis ma przeciwdziałać głównie kwestią związanym z kierowaniem treści marketingowych do najmłodszych, gdyż są oni na nie najbardziej pogodni, oraz uregulować przetwarzanie danych dzieci przez portale społecznościowe.

Certyfikacja i podmiot akredytujący

Podmiotem certyfikującym nie będzie już tylko UODO. Ministerstwo Cyfryzacji dopuszcza możliwość dopuszczenia do wydawania certyfikatów również podmioty z sektora prywatnego. W związku z powyższym ma powstać odpowiednia procedura, zaś podmiotem akredytującym będzie Polskie Centrum Akredytacji. Opłata za certyfikację przez urząd pozostaje niezmienna tj. ma stanowić trzykrotność średniego wynagrodzenia – ok. 12 tys. złotych. Powyższa opłata ma być pobierana przy składaniu wniosku.

Ograniczenie obowiązków dla jednoosobowych przedsiębiorców

W trakcie konferencji poświęconej podsumowaniu Konsultacji Społecznych dotyczących zmian przepisów o ochronie danych osobowych Ministerstwo Cyfryzacji wstępnie uwzględniło uwagę Ministerstwa Rozwoju dotyczącą ograniczenia pewnych obowiązków wynikający z m.in. art. 13 i art. 14 RODO, a więc obowiązków informacyjnych, przez przedsiębiorców zatrudniających do 250 osób, nie przetwarzających danych szczególnej kategorii (danych wrażliwych) i nie przekazujących jakichkolwiek danych osobowych do państw trzecich. Taką możliwość daje państwu członkowskiemu art. 23 RODO, lecz z ograniczeniem do możliwości wyłączenia poszczególnego elementu obowiązku informacyjnego, a nie jego całkowitego działania.

Omawiane zwolnienie z obowiązku informacyjnego, będzie raczej dotyczyć tych firm jednoosobowych, które nie zatrudniają żadnych pracowników, bo przy ich zatrudnieniu zazwyczaj dochodzi do przetwarzania danych szczególnej kategorii (danych wrażliwych) w zakresie np. zwolnień lekarskich. Jeżeli omawiany przepis zostanie ostatecznie wprowadzony do ustawy to i tak skorzystać z niego będzie mogła grupa drobnych przedsiębiorców nie zatrudniających pracowników (samozatrudnienie, przedstawiciele wolnych zawodów).

Podsumowanie

Powyższe przykłady wskazują, że Ministerstwo Cyfryzacji stara się w dużym stopniu uwzględniać poprawki nanoszone w trybie konsultacji społecznych, co zapewnia dużą transparentność „nowej” ustawy o ochronie danych osobowych, co zapewni ułatwienia w zakresie interpretacji jej przepisów kiedy wejdzie ona już do obrotu prawnego.

Obejrzyj: relacja wideo

 

Sprawdź również:

Projekt ustawy o ODO w pigułce

Wsparcie we wdrożeniu RODO

Pobierz RODO NAWIGATOR


Maciej Kaczmarski
17 stycznia 2018
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.