Ministerstwo Cyfryzacji opublikowało 28 marca br. projekt ustawy o ochronie danych osobowych, która ma dookreślić, w granicach dopuszczalnych przez ogólne rozporządzenie o ochronie danych (RODO), krajowy system ochrony danych osobowych.

Jak zaznaczył Maciej Kawecki, doradca w gabinecie politycznym Ministra Cyfryzacji, projekt ma charakter roboczy i może jeszcze ulec zmianie. Jego udostępnienie na tak wczesnym etapie prac legislacyjnych wynika z ogromnego zainteresowania tym tematem przez opinię publiczną, a także chęci zapewnienia pełnej transparentności procesu tworzenia przepisów o ochronie danych osobowych.

Projekt określa zarówno zagadnienia ogólne jak i kwestie związane z: postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych, europejską współpracą administracyjną, postępowaniem kontrolnym, administracyjnymi karami pieniężnymi, odpowiedzialnością cywilną oraz  inspektorami ochrony danych. Propozycja nie obejmuje jednak tak istotnych kwestii jak m.in.: pozycja ustrojowa nowego organu ochrony danych osobowych, przepisy przejściowe oraz  przepisy zmieniające regulacje sektorowe.

Jedną z najważniejszych zmian wynikającą z projektu ustawy jest  powołanie w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych – krajowego organu ds. ochrony danych osobowych –  nowego organu administracji publicznej – Prezesa Urzędu Ochrony Danych Osobowych. Komentowana zmiana wynika z faktu, iż na gruncie europejskiego rozporządzenia o ochronie danych osobowych (RODO) inspektor ochrony danych jest osobą fizyczną wyznaczaną przez administratora bądź podmiot przetwarzający i obowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów RODO. Należy zauważyć, że jednocześnie brak jest jakiegokolwiek związku ustrojowego pomiędzy takimi osobami (inspektorami ochrony danych) a organem ds. ochrony danych osobowych. Zachowanie obecnej nazwy organu (Generalny Inspektor Ochrony Danych), wprowadzałoby w tym zakresie w błąd – co do ich pozycji ustrojowej, bowiem zgodnie z art. 38 ust. 3 RODO, inspektorzy ochrony danych muszą być niezależni.

Tak jak już wcześniej zapowiadało Ministerstwo Cyfryzacji, projekt ustawy obniżył do 13 lat wiek dzieci, których przetwarzanie danych osobowych, w przypadku usług społeczeństwa informacyjnego, będzie wymagało zgody rodziców bądź opiekunów prawnych. Zgodnie z art. 15 ustawy z 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. z 2016 r. poz. 380, z późn. zm.) osoba, która ukończyła 13 lat ma ograniczoną zdolność do czynności prawnych, a zatem może zawierać umowy w drobnych bieżących sprawach życia codziennego, może także rozporządzać swoim zarobkiem. W ocenie projektodawcy w tym kontekście uzasadnione jest przyjęcie granicy lat 13 także dla skutecznego wyrażenia przez dziecko zgody na przetwarzanie dotyczących go danych osobowych w związku z kierowanymi bezpośrednio do dziecka usługami społeczeństwa informacyjnego. Nie ma powodu, aby przyjąć, że osoba mogąca rozporządzić swoim zarobkiem oraz zawierać drobne umowy, nie była jednocześnie uprawniona do wyrażenia zgody na przetwarzanie dotyczących jej danych osobowych, zwłaszcza że zgodnie z przepisami RODO zgodę można w każdym czasie wycofać.

Jednym z bardziej kontrowersyjnych zapisów projektu ustawy jest znaczne obniżenie maksymalnej granicy możliwej do nałożenia administracyjnej kary pieniężnej w stosunku do podmiotów publicznych – do 100 000 zł. W opinii Ministerstwa powyższe rozwiązanie podyktowane jest założeniem, że wymierzany wymiar kary nie powinien skutkować zaprzestaniem, a nawet ograniczeniem należytego wykonywania przez podmioty powierzonych im zadań publicznych, co w sposób oczywisty naruszałoby interes publiczny.

Według Macieja Kaweckiego projekt ustawy o ochronie danych osobowych powinien trafić do Sejmu jesienią tego roku, a proces legislacyjny zakończyć się na początku 2018 r., aby kwiecień i maj pozwoliły na przygotowanie się do wejścia w życie nowych przepisów. Sama ustawa powinna zacząć obowiązywać 25 maja 2018 r. – wtedy rozpoczyna się stosowanie rozporządzenia całej Unii Europejskiej, które przepisy krajowe dookreślają.

 

Autor: Tomasz Ochocki, ekspert ds. ochrony danych, ODO 24