Nowa ustawa o ochronie danych osobowych już w Dzienniku Ustaw

Krótko i na temat: w Dzienniku Ustaw ukazała się nowa ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) — czyli akt „przenoszący” RODO do polskiego systemu prawnego (cudzysłów nieprzypadkowy, bo przecież rozporządzenie EU nie wymaga transpozycji, jest bezpośrednio skuteczne dla nas wszystkich).


nowa ustawa ochronie danych osobowych 2018

Ciekawe jak potoczy się dalsza kariera takich świstków wywieszanych w miejscach publicznych (fot. Olgierd Rudak, CC-BY-SA 3.0)


Nowe prawodawstwo zapewne nie raz zagości jeszcze na łamach „Czasopisma”, zatem dziś tylko z kronikarskiego obowiązku, wyłuskuję kilka tematów.
A mianowicie:

  • nowa ustawa o ochronie danych osobowych przynosi wyłączenia, na które RODO zezwoliło, a polski ustawodawca w swej łaskawości zdecydował się na uchwalenie, m.in. dotyczące twórczej działalności prasowej, literackiej i artystycznej oraz dostępu do informacji publicznej, zwolnienia administratorów wykonujących zadania publiczne z obowiązków informacyjnych;
  • ustawa określa sposób wyznaczenia inspektora ochrony danych osobowych, warunki i sposób certyfikacji sposobu przetwarzania danych osobowych przez administratora, a także postępowanie przy zatwierdzaniu kodeksu postępowania i certyfikacji podmiotów akredytowanych do monitorowania przestrzegania kodeksów postępowania (nie da się ukryć, że RODO jest pożywką dla super-biurokracji w korporacjach…);
  • administratorzy i podmioty przetwarzające (procesorzy) mają obowiązek powołania inspektora ochrony danych najpóźniej do 31 lipca 2018 r. (art. 158 ust. 4-5 uodo), chyba że jest już powołany ABI (poniżej więcej o przejściowym statusie ABI);
  • ustawa tworzy urząd Prezesa Urzędu Ochrony Danych Osobowych — w miejsce starego dobrego GIODO — organu nadzorczego w rozumieniu GDPR oraz określa procedurę powołania Prezesa UODO (powołuje i odwołuje Sejm za zgodą Senatu na 4-letnią kadencję, maksymalnie funkcję można pełnić dwie kadencje) oraz określa warunki sprawowania funkcji (immunitet, etc.);
  • wprowadza kontrowersyjną (?) zasadę, iż postępowanie administracyjne przed PUODO jest postępowaniem jednoinstancyjnym (art. 7 ust. 2 uodo);
  • przy PUODO będzie funkcjonowała Rada do Spraw Ochrony Danych Osobowych — 8-osobowe gremium opiniodawczo-doradcze, o składzie wybieranym przez PUODO na 2-letnią kadencję spośród kandydatów wskazanych m.in. przez premiera, Rzecznika Praw Obywatelskich, izby gospodarcze oraz organizacje społeczne, które statutowo zajmują się tematyką ochrony danych osobowych;
  • pierwszym PUODO ex lege staje się obecna GIODO (aż do upływu swojej kadencji, art. 166 uodo);
  • nowa ustawa o ochronie danych osobowych określa tryb postępowania w sprawach o naruszenie zasad ochrony danych osobowych, tryb kontroli przestrzegania przepisów, a także zasady odpowiedzialności cywilnej i karnej (w tym nakłada na sąd obowiązek powiadomienia PUODO o wniesieniu powództwa i prawomocnym orzeczeniu w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, art. 94 ust. 1 uodo);
  • ustawa ogranicza wysokość administracyjnych kar pieniężnych nakładanych na niektóre jednostki budżetowe (jednostki sektora finansów publicznych, instytuty badawcze i NBP — do 100 tys. złotych, zaś instytucje kultury — do 10 tys., art. 102 uodo; przypomnijmy, że w myśl art. 83 ust. 5 RODO maksymalna wysokość kary to „20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego”;
  • oraz wprowadza przepisy karne — „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony” (max. 2 lata pozbawienia wolności, tyle samo za udaremnianie lub utrudnianie kontroli), ale już w przypadku przetwarzania danych wrażliwych do lat 3 (art. 107-108 uodo);
  • nowa ustawa wprowadza zasadę, że ABI sprawujący tę funkcję przed jej wejściem w życie staje się inspektorem ochrony danych i pełni funkcję do 1 września 2018 r. (art. 158 ust. 1 uodo);
  • jest też kilka ciekawych zmian w przepisach szczegółowych — części z nich poświęcę odrębne teksty.

Dla jasności: nowa ustawa o ochronie danych osobowych wchodzi w życie 25 maja 2018 r. (czyli w dniu, od którego stosuje się rozporządzenie, por. art. 99 RODO); tego samego dnia traci moc ustawa z 1997 r. (z pewnymi wyjątkami, art. 175 uodo);

11 comments for “Nowa ustawa o ochronie danych osobowych już w Dzienniku Ustaw

  1. 24 maja 2018 at 20:15

    Z tego co wiem, dla niektórych najważniejsze w tej ustawie jest zmiana waluty kar :>

    • Olgierd Rudak
      24 maja 2018 at 20:25

      W sensie, że kurs?

      To dla jasności, art. 103 uodo

      Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

      • 24 maja 2018 at 23:42

        Bardziej mi chodziło o 100k zł.

        • Olgierd Rudak
          25 maja 2018 at 08:53

          No tak, właściwie to logiczne — trudno, żeby np. Skarb Państwa finansował Skarb Państwa. A nawet jeśli przywalą jednostce budżetowej (to byłby najciekawszy przykład), to pewnie braliby z jakieś rezerwy budżetowej.

  2. Anonim
    29 maja 2018 at 09:57

    Na jakiej podstawie uważa Pan że polski ustawodawca zwolnił administratorów wykonujących zadania publiczne z obowiązków informacyjnych? w ustawie jest tylko odwołanie do art 13 ust. 3 RODO, który mówi o zmianie celu przetwarzania.

    • Olgierd Rudak
      29 maja 2018 at 10:14

      To jest tekst informacyjno-sygnalizacyjny, bez wdawania się w szczegóły.
      Niemniej art. 4 ust. 1 uodo znacząco ogranicza ten obowiązek (tak interpretuję zdanie „w zakresie nieuregulowanym w art. 14 ust. 5”).

      • Anonim
        29 maja 2018 at 11:39

        Dziękuję za odpowiedź. Jest to niezaprzeczalnie pewne ustępstwo, tyle że tyczy się sytuacji gdy administrator wykonujący zadania publiczne pozyskuje dane w sposób inny niż od osoby, której dane dotyczą. Na przykład gdy otrzyma od innego podmiotu publicznego np. wykaz właścicieli nieruchomości czy też inne, w związku z wykonywaniem pewnych zadań administracyjnych. W takim wypadku za każdym razem jednostka musiałaby informować o takim fakcie osobę której dane dotyczą. Skutkowałoby to wieloma zbytecznymi powiadomieniami. Przynajmniej ja tak to rozumiem. Co innego obowiązek z art. 13 RODO. Tu zwolnione są wyłącznie podmioty wpisane w art. 2 UODO.

        • Olgierd Rudak
          29 maja 2018 at 12:18

          Niemniej obowiązek informacyjny odpada, to samo dot. art. 15 RODO (art. 5 uodo).

          • Anonim
            29 maja 2018 at 13:53

            Tak, to także jest duże ustępstwo dla podmiotów publicznych. Czy słyszał Pan coś o wyłączeniach ze stosowania UODO w związku z realizacją zadań z zakresu ochrony środowiska czy meldunków? Z tego co kojarzę była mowa o rozporządzeniu wprowadzającym takie wyłączenia ze stosowania ustawy o ochronie danych.

            • Olgierd Rudak
              29 maja 2018 at 14:56

              Wydaje mi się, że n. uodo nie przynosi podstawy do wydania jakiegokolwiek rozporządzenia wykonawczego (nie mam zdrowia do przeglądania tej ustawy na frazę „rozporządzenie”, natomiast fraza „minister” lub „właściwy do spraw” nie przynosi nic takiego).

  3. Olgierd Rudak
    30 maja 2018 at 11:42

    Celem odnotowania: ruszyła nowa strona UODO https://uodo.gov.pl/

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.