Uchwalenie nowej ustawy o ochronie danych osobowych związane jest z wprowadzeniem do polskiego porządku prawnego unijnego rozporządzenia ogólnego o ochronie danych osobowych (RODO, ang. GDPR). Zacznie ono obowiązywać od 28 maja przyszłego roku. Każdy z krajów członkowskich Unii Europejskiej musi przygotować swój system prawny do nowych, europejskich wymogów w zakresie ochrony danych osobowych.

Projekt nowej, polskiej ustawy przewiduje powołanie nowego organu państwowego odpowiedzialnego za nadzór nad przestrzeganiem przepisów o ochronie danych osobowych. Będzie nim Prezes Urzędu Ochrony Danych Osobowych, który zastąpi obecnego Generalnego Inspektora Ochrony Danych Osobowych. Będzie powoływany na czteroletnią kadencję przez sejm na wniosek premiera. Będzie posiadał immunitet i będzie go można odwołać tylko w szczególnych, wskazanych w ustawie przypadkach.

Prezes Urzędu Ochrony Danych Osobowych będzie miał nie tylko uprawnienia kontrolne. Jego zadaniem będzie także wydawanie rekomendacji dotyczących sposobów zabezpieczania danych osobowych. Będą w nich określone środki techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa przetwarzania danych osobowych. Rekomendacje będą uwzględniały specyfikę danego rodzaju działalności a ich opracowanie będzie konsultowane z zainteresowanymi podmiotami z poszczególnych środowisk.    

Prezes Urzędu będzie również zatwierdzał i udostępniał standardowe klauzule umowne, wiążące reguły korporacyjne oraz kodeksy postępowań w sprawach związanych z ochroną danych osobowych. W ramach swoich uprawnień będzie zatwierdzał zasady i prowadził certyfikację procesów ochrony danych osobowych oraz wydawał akredytacje podmiotom zajmującym się monitorowaniem przestrzegania zatwierdzonych kodeksów postępowania. Będzie miał również prawo opiniowania założeń i projektów aktów prawnych dotyczących ochrony danych osobowych. W jego gestii będzie prowadzenie systemu teleinformatycznego umożliwiającego administratorom dokonywanie zgłoszenia naruszeń ochrony danych osobowych.

Nowością w przygotowywanej ustawie jest określenie zasad przetwarzania danych biometrycznych, zarówno w obszarze zatrudnienia jak i w sektorze bankowym oraz ubezpieczeniowym. Dane takie będą mogły być pozyskiwane przez banki oraz ubezpieczycieli w celu weryfikacji tożsamości klientów. Przetwarzanie przez pracodawcę danych biometrycznych obejmować może dane osobowe pracownika, tylko jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę.

Projekt nowej ustawy o ochronie danych osobowych zawiera jednocześnie propozycje zmian przepisów sektorowych w ponad 130 ustawach. Został obecnie skierowany do konsultacji. Otrzymało go ponad dwieście podmiotów typu izby gospodarcze i organizacje pozarządowe z prośbą o uwagi i wnioski. Konsultacje mają jednak charakter otwarty, może wziąć w nich udział każdy zainteresowany. Opinie można przesyłać do 13 października br. Projekt ustawy wraz z informacjami o trybie konsultacji znajduje się na stornie: mc.gov.pl/konsultacje.