W związku z planowanym wejściem w życie dniu 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej Nr 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanej potocznie RODO w Ministerstwie Cyfryzacji trwają prace nad nową ustawą o ochronie danych osobowych (nr projektu: UC101).

Aktualnie obowiązująca ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r., Poz. 922 t. j.) implementowała Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, która zostanie uchylona od dnia 25 maja 2018 r. Od tego dnia zamiast dotychczasowej ustawy bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej będzie RODO. Nowa ustawa krajowa o ochronie danych osobowych będzie uzupełniała postanowienia RODO w zakresie przez nie nieuregulowanym.

Najważniejsze zmiany, jakie przewiduje przedstawiony przez resort cyfryzacji projekt ustawy o ochronie danych osobowych to:

a) utworzenie Urzędu Ochrony Danych Osobowych w miejsce urzędu Głównego Inspektora Danych Osobowych,

b) zmiana zakresu kompetencji tego organu w zakresie przeprowadzania kontroli podmiotów przetwarzających dane osobowe, w tym uregulowanie procedury prowadzenia kontroli i postępowań w sprawie naruszeń przepisów o ochronie danych osobowych,

c) uprawnienie Urzędu Ochrony Danych Osobowych do wydawania rekomendacji wskazujących m.in. sposób zabezpieczania danych (w miejsce dotychczasowego Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych –Dz. U. z 2004 r. Nr 100, poz. 1024), rekomendacje te mają być okresowo aktualizowane,

d) wyposażenie Prezesa Urzędu w uprawnienie do nakładania kar finansowych, o których mowa w art. 83 RODO, wynoszących maksymalnie nawet 10.000.000 euro lub równowartość 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,

e) prowadzenie przez Prezesa Urzędu systemu teleinformatycznego, za pomocą którego będzie można zgłaszać naruszenia danych osobowych,

f) możliwość nakładania przez Prezesa Urzędu kar finansowych na organy administracji publicznej i jednostki sektora finansów publicznych,

g) ograniczenie katalogu czynów karalnych penalizowanych ustawą do dwóch: wykroczenia udaremnienia lub utrudniania kontroli prowadzonej przez Urząd oraz przestępstwa przetwarzania bez podstawy prawnej danych wrażliwych,

h) uprawnienie Prezesa Urzędu do certyfikacji zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające (na podstawie art. 42 RODO),

i) możliwość dochodzenia odszkodowań za naruszenia zasad ochrony danych osobowych przez sądem cywilnym (zastosowanie w tej mierze będzie miał kpc).

Mocą przepisów wprowadzających ustawę dotychczasowi Administratorzy Bezpieczeństwa Informacji automatycznie będą pełnili funkcje do 1 września 2018 r. Po tej dacie konieczne będzie zgłoszenie Inspektora Ochrony Danych (który zastąpi ABI) do Urzędu.

Inspektorzy Ochrony Danych będą musieli zostać wyznaczeni:

– w organach lub podmiotach publicznych,
– u administratorów lub podmiotów przetwarzających dane, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub

– u administratorów lub podmiotów przetwarzających dane, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (dane wrażliwe), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.