Nowa ustawa ma umożliwić wdrożenie unijnego rozporządzenia o ochronie danych osobowych (RODO, ang. GDPR), które w Polsce zacznie obowiązywać w maju 2018 r. Część propozycji Ministerstwa Cyfryzacji budzi jednak wątpliwości GIODO.

Po pierwsze ustawa powinna wejść w życie wcześniej – uważa Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych. Teraz projekt jest na etapie konsultacji,które potrwają 30 dni, czyli do połowy października.

RODO nakłada szereg nowych obowiązków na organizacje, które gromadzą i przetwarzają informacje o swoich klientach. Będą one musiały m.in. każdorazowo uzyskiwać ich zgodę na przetwarzanie danych osobowych, raportować każdy wyciek oraz wdrożyć szereg rozwiązań technicznych i organizacyjnych, które zagwarantują wysoki poziom bezpieczeństwa danych. Przewiduje się, że będzie to generować popyt na te rozwiązania.

Podmiotom, które nie dostosują się do nowych przepisów, grożą kary do 20 mln euro albo 4 proc. rocznych obrotów (w administracji publicznej – do 100 tys. zł).

GIODO uważa, że propozycje zawarte w nowej ustawie są korzystne dla przedsiębiorców i administracji, ale obniżają poziom ochrony danych obywateli poprzez różnego rodzaju wyłączenia z przepisów rozporządzenia. Ma wątpliwości, czy niektóre zapisy są zgodne z rozporządzeniem RODO.

Chodzi np. o dopuszczalność biometrii w miejscu pracy za zgodą pracownika. Generalny Inspektor stoi na stanowisku, że w stosunkach pracy o zgodzie jako przesłance przetwarzania danych osobowych trudno mówić, ponieważ zgoda musi być dobrowolna.

Edyta Bielak-Jomaa obawia się również o niezależność organu ochrony danych osobowych. GIODO ma zostać zastąpiony przez Urząd Ochrony Danych Osobowych. W jego kompetencji będzie nadzór i nakładanie kar na podmioty, które nie przestrzegają przepisów w tym zakresie. UODO będzie sam nadawać sobie statut (dotychczas robił to prezydent).

Zgodnie z projektem prezes UODO ma być powoływany przez Sejm na wniosek premiera na czteroletnią kadencję. Odwołanie go będzie możliwe tylko w szczególnych przypadkach, np. prawomocny wyrok sądu za umyślne przestępstwo.

W obecnym modelu GIODO jest powoływany przez Sejm na wniosek marszałka lub 35 posłów. Generalny Inspektor Ochrony Danych Osobowych ocenia, że nowy tryb powoływania UODO stwarza ryzyko upolitycznienia tego urzędu.

Rządowy harmonogram zakłada, że projekt ma trafić do Sejmu jeszcze w 2017 r. GIODO przypomina, że firmy i przedsiębiorcy muszą jak najszybciej zacząć przygotować się na nowe przepisy.

– W pierwszej kolejności wszyscy przedsiębiorcy powinni dokonać oceny stanu ochrony danych osobowych w podmiotach, którymi kierują pod kątem wymogów rozporządzenia. Następnie ocenić ryzyka, które występują w związku z przetwarzaniem danych i zacząć wdrażać instrumenty przewidziane w rozporządzeniu – radzi Edyta Bielak-Jomaa.

Źródło: Newseria