Inspektor Ochrony Danych
Główne wątpliwości w prezentowanym projekcie ustawy budziła kwestia powołania inspektora ochrony danych. Zdaniem wielu osób zgromadzonych na sali ograniczenie formy powołania IOD’a jedynie do formy elektronicznego wniosku jest zbyt wąska i poniekąd dyskryminuje osoby niepełnosprawne nie mogące skorzystać z komputera.
Ministerstwo Cyfryzacji w odpowiedzi stwierdziło, iż elektroniczna forma pozwoli lepiej zarządzać zgłoszeniami, zwłaszcza, że można też go dokonać za pomocą darmowego profilu zaufanego. W planach Ministerstwa Cyfryzacji jest również wprowadzenie dodatkowego systemu pozwalającego zarejestrować IOD’a. Ponadto w ustawie ma zostać dodany przepis, który wprost wskaże możliwość zgłoszenia IOD’a za pomocą pełnomocnika, co będzie dużym ułatwieniem dla osób niepełnosprawnych.
Warto również wspomnieć, iż do zawiadomienia nie mają zastosowania przepisy kpa, gdyż nie zapada w tym procesie żadna decyzja administracyjna.
Sprawy związane z postepowaniem przed Urzędem Ochrony Danych Osobowych (UODO)
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Bez zmian pozostaje wysokość kar dla administracji publicznej. Zdaniem Ministerstwa Cyfryzacji w sektorze państwowym kara pochodzi ze środków publicznych stąd też zmiana jej wysokości byłaby zabiegiem pozornym. Warto jednak wspomnieć, że na organy administracji nałożony zostanie obowiązek sprawozdawczy z wykonywania decyzji Prezesa UODO.
Z projektu ustawy usunięto art. 76 nadający Prezesowi UODO możliwość wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień związanych z ochroną danych osobowych. Prawodawca również zrezygnował z możliwości samowolnego decydowania przez Prezesa UODO o tym czy dana informacja pozyskana w trakcie postepowania jest tajemnicą przedsiębiorstwa.
Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego
Zgodnie z założeniami projektu wiek dziecka w przypadku oferowaniu mu usług społeczeństwa informacyjnego, bez potrzeby wyrażania zgody jego opiekuna prawnego pozostaje dalej ustanowiony na 13 lat. Ministerstwo Cyfryzacji uzasadnia powyższe rozwiązanie faktem, iż większość państw członkowskich Unii Europejskiej przyjęło podobną klasyfikacje wiekową. Dodatkowo za powyższym rozwiązaniem przemawia też zapewnienie spójności z przepisami kodeksu cywilnego.
Warto zauważyć, że problematyczne staje się, w tym wypadku odebranie zgody od opiekuna dziecka. Podczas konferencji dr Maciej Kawecki zaproponował następujące sposoby odebrania takiej zgody:
- zastrzeżenie na danym portalu internetowym wskazujące, że zgodę może wyrazić tylko osoba dorosła,
- uwierzytelnianie konta dziecka za pomocą konta osoby dorosłej, zastosowanie mechanizmu kont połączonych,
- uwierzytelnianie konta za pomocą przelewów internetowych opiewających na symboliczne sumy (np. w wysokości 1 gr) z konta opiekuna dziecka,
- kontakt z rodzicem np. za pomocą rozmowy telefonicznej.
Powyższy przepis ma wyłącznie zastosowanie w przypadkach gdy podstawą przetwarzania danych osobowych dziecka jest zgoda. Przykładowo rejestracja na portalu z grami internetowymi, zakup gry wideo czy utworzenia konta na stronie świadczącej usługi VOD odbywa się na podstawie umowy, w związku z czym dane rozwiązania nie mają tu zastosowania. Omawiany przepis ma przeciwdziałać głównie kwestią związanym z kierowaniem treści marketingowych do najmłodszych, gdyż są oni na nie najbardziej pogodni, oraz uregulować przetwarzanie danych dzieci przez portale społecznościowe.
Certyfikacja i podmiot akredytujący
Podmiotem certyfikującym nie będzie już tylko UODO. Ministerstwo Cyfryzacji dopuszcza możliwość dopuszczenia do wydawania certyfikatów również podmioty z sektora prywatnego. W związku z powyższym ma powstać odpowiednia procedura, zaś podmiotem akredytującym będzie Polskie Centrum Akredytacji. Opłata za certyfikację przez urząd pozostaje niezmienna tj. ma stanowić trzykrotność średniego wynagrodzenia – ok. 12 tys. złotych. Powyższa opłata ma być pobierana przy składaniu wniosku.
Ograniczenie obowiązków dla jednoosobowych przedsiębiorców
W trakcie konferencji poświęconej podsumowaniu Konsultacji Społecznych dotyczących zmian przepisów o ochronie danych osobowych Ministerstwo Cyfryzacji wstępnie uwzględniło uwagę Ministerstwa Rozwoju dotyczącą ograniczenia pewnych obowiązków wynikający z m.in. art. 13 i art. 14 RODO, a więc obowiązków informacyjnych, przez przedsiębiorców zatrudniających do 250 osób, nie przetwarzających danych szczególnej kategorii (danych wrażliwych) i nie przekazujących jakichkolwiek danych osobowych do państw trzecich. Taką możliwość daje państwu członkowskiemu art. 23 RODO, lecz z ograniczeniem do możliwości wyłączenia poszczególnego elementu obowiązku informacyjnego, a nie jego całkowitego działania.
Omawiane zwolnienie z obowiązku informacyjnego, będzie raczej dotyczyć tych firm jednoosobowych, które nie zatrudniają żadnych pracowników, bo przy ich zatrudnieniu zazwyczaj dochodzi do przetwarzania danych szczególnej kategorii (danych wrażliwych) w zakresie np. zwolnień lekarskich. Jeżeli omawiany przepis zostanie ostatecznie wprowadzony do ustawy to i tak skorzystać z niego będzie mogła grupa drobnych przedsiębiorców nie zatrudniających pracowników (samozatrudnienie, przedstawiciele wolnych zawodów).
Podsumowanie
Powyższe przykłady wskazują, że Ministerstwo Cyfryzacji stara się w dużym stopniu uwzględniać poprawki nanoszone w trybie konsultacji społecznych, co zapewnia dużą transparentność „nowej” ustawy o ochronie danych osobowych, co zapewni ułatwienia w zakresie interpretacji jej przepisów kiedy wejdzie ona już do obrotu prawnego.
Obejrzyj: relacja wideo