Ostatni etap konsultacji społecznych pakietu zmian legislacyjnych związanych z RODO

Cyprian Gutkowski
W dniu 15 stycznia odbyło się w gmachu Sejmu RP, spotkanie zorganizowane przez przedstawicieli Ministerstwa Cyfryzacji, będące podsumowaniem całego procesu konsultacji społecznych pakietu zmian legislacyjnych, wdrażających przepisy Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych (RODO).

 

Spotkanie cieszyło się dużym zainteresowaniem, kolejka przed wejściem do gmachu Sejmu RP. Fot. Cyprian Gutkowski

 

Podczas spotkania przedstawione zostało stanowisko projektodawcy, co do uwag zgłoszonych podczas konsultacji do wyżej wspomnianego projektu przepisów. Spotkanie cieszyło się dużym zainteresowaniem i wypełniło całą salę, wzięli w nim udział przedstawiciele podmiotów zgłaszających uwagi do projektu. Poniżej przedstawiamy najistotniejsze ustalenia.

KARY ADMINISTRACYJNE DLA PODMIOTÓW ADMINISTRACJI PUBLICZNEJ

Zdecydowano się na pozostawienie kar administracyjnych na poziomie 100 tysięcy złotych, dla podmiotów z sektora administracji publicznej. Jednocześnie nałożono na organy administracji publicznej obowiązek sprawozdawczy. Nie odniesiono się do uwag zgłaszanych przez Fundację Bezpieczna Cyberprzestrzeń na temat możliwości wprowadzenia kar dla podmiotów z tego sektora opartych na procencie z budżetu podmiotu. Brak zmiany w wysokości stawek kar uzasadniano publicznym finansowaniem tych podmiotów.

PROCEDURY POWOŁYWANIA PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH I JEGO ZASTĘPCÓW

Zdecydowano się na utrzymanie treści przepisów o powoływaniu PUODO przez Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów.

Zniesiono wymóg, by kandydat na PUODO legitymował się tytułem naukowym doktora, dodane zostanie natomiast kryterium posiadania przez niego nieposzlakowanej opinii.

Zdecydowano się natomiast na wprowadzenie zmian w przypadku powoływania zastępców PUODO. Powoływani będą oni przez samego Prezesa UODO, ale na wniosek ministrów odpowiedzialnych za resort cyfryzacji i spraw wewnętrznych.

INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Nie przewidziano możliwości powoływania zastępców IOD, ale podkreślono możliwość upoważnienia na zasadach ogólnych innych osób działających na zasadach i w imieniu IOD w sytuacji, kiedy jest on z jakiegoś powodu nieobecny.

Wprowadzono obowiązek umieszczenia w zgłoszeniu IOD do organu nadzorczego miejsca siedziby przedsiębiorcy lub prowadzenia działalności gospodarczej.

WIEK DZIECKA

Utrzymano granicę wieku dziecka, które może samodzielnie wyrazić zgody na przetwarzanie danych na 13 lat. Decyzję tę uzasadniono tym, że zdecydowana większość państw członkowskich przyjęła analogiczne rozwiązanie, nie odniesiono się do uwagi Fundacji Bezpieczna Cyberprzestrzeń, czy wiek dziecka podlegał również konsultacją z ekspertami od stopnia rozwoju dziecka, czy psychologami dziecięcymi. Odpowiedzią na nasze pytanie było jedynie stwierdzenie, że rozwiązanie takie zostało zaakceptowane przez ZNP.

Podkreślono, że w przepisach nastąpi zmiana, która wyraźnie odniesie się do tego, iż w przypadku zgody dziecka, przetwarzane będą mogły być wyłącznie dane zwykłe z wykluczeniem danych sensytywnych/wrażliwych.

PODMIOT CERTYFIKUJĄCY

Podtrzymano, że podmiotem certyfikującym pozostanie Prezes Urzędu Ochrony Danych Osobowych, akredytować natomiast będzie Polskie Centrum Akredytacji.

Certyfikacja zastosowana ma być do podmiotów prywatnych, z wyłączeniem sektora publicznego, choć nie wykluczono pewnych sytuacji wyjątkowych.

Zaznaczono, że posiadanie certyfikatu może być jednym z kryteriów możliwości przystąpienia do zamówień publicznych.

Podkreślono, że opłata jest pobierana za złożenie wniosku czyli przystąpienie do procedury certyfikacyjnej, a nie za uzyskanie certyfikatu. Od braku otrzymania certyfikatu nie będzie się można nawet odwołać w związku z brakiem procedury odwoławczej.

Kodeksy dobrych praktyk będą miały wyłącznie charakter fakultatywny, jednak fakt ich posiadania będzie brany pod uwagę przy wysokości wymierzenia kary.

JEDNOINSTANCYJNOŚĆ POSTĘPOWANIA

Utrzymano zasadę jednoinstancyjności postępowania. Po raz kolejny argumentami za takim staniem rzeczy był czas i ekonomika postępowania.

WYŁĄCZENIE NIEKTÓRYCH PODMIOTÓW

W związku z uwagami zgłoszonymi do Ministerstwa Cyfryzacji przez Ministerstwo Rozwoju, zdecydowano się na wyłączenie szeregu obowiązków wynikających z RODO w stosunku do małych i średnich przedsiębiorstw, które zatrudniają mniej niż 250 osób (liczone są zarówno osoby zatrudnione na umowę o pracę jak i poprzez inne umowy cywilno-prawne), a przetwarzają dane osobowe będące niezbędne do wykonywania swojej działalności gospodarczej. Wyłączenie takie jest zdaniem projektodawcy niezbędne i proporcjonalne dla ochrony ważnego interesu gospodarczego państwa jakim jest rozwój sektora małych i średnich przedsiębiorstw. Projektodawca korzysta tu z uprawnień wynikających z art. 23 rozporządzenia RODO. Wyłączenie to dotyczyć ma przede wszystkim obowiązku informacyjnego.

OGRANICZENIE PRZETWARZANIA

Projektodawca zdecydował się w wyniku uwag zgłaszanych podczas konsultacji o wprowadzeniu możliwości złożenia skargi na postanowienie o ograniczeniu przetwarzania.

RYGOR NATYCHMIASTOWEJ WYKONALNOŚCI

Usunięto z projektu rygor natychmiastowej wykonalności decyzji Prezesa Urzędu Ochrony Danych Osobowych, ze względu na możliwość wykorzystania istniejących przepisów Kodeksu Postępowania Administracyjnego.

PRZEBIEG KONTROLI

Projektodawca poinformował o wpisaniu do projektu możliwości nagrywania dźwięku w trakcie czynności kontrolnych.

Podkreślono jednocześnie, że istotnym zmianom ulegnie również udział Policji podczas czynności kontrolnych.

Projektodawca zdecyduje się na wprowadzenie przepisów umożliwiających przeprowadzenie postepowania kontrolnego bez wcześniejszego zawiadomienia o zamiarze jego wszczęcia, ma to związek z charakterem danych osobowych, które podlegać powinny specyficznej ochronie.

PENALIZACJA

Projektodawca zdecydował się by w projekcie zachować penalizację jedynie dwóch czynów, takich jak udaremnianie lub utrudnianie kontrolującemu przeprowadzania kontroli, oraz przetwarzanie danych osobowych bez podstawy prawnej.

PODSUMOWANIE

Wszystkie wymienione powyżej aspekty, to naszym zdaniem najistotniejsze ustalenia przekazane na spotkaniu przez przedstawicieli Ministerstwa Cyfryzacji. Należy zwrócić uwagę, że nie zostały na spotkaniu poruszone kwestie zmian w przepisach wprowadzających m.in. w Kodeksie Pracy, jak przekazali organizatorzy spotkania uwagi dotyczące powyższego, muszą najpierw zostać dokładnie skonsultowane z innymi resortami, których uwagi pojawiające się podczas konsultacji społecznych dotyczą. Zgodnie z zapowiedziami przyjęcie ustawy planowane jest w kwietniu.

 

Share Button