Od 25 maja 2018 r. będzie obowiązywało rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4 maja 2016 r., dalej ogólne rozporządzenie). Państwa członkowskie mają czas do 25 maja 2018 r., żeby dostosować swoje przepisy krajowe do tego aktu prawnego.
Co reguluje projekt polskiej ustawy
Ministerstwo Cyfryzacji opublikowało już projekt ustawy o ochronie danych osobowych. Zastrzeżono jednak, że zakres projektu może ulec zmianie.
Opublikowany projekt dotyczy następujących zagadnień:
- przepisy ogólne,
- akredytacja i certyfikacja,
- postępowanie w sprawie naruszeń,
- europejska współpraca administracyjna,
- postępowanie kontrolne,
- administracyjne kary pieniężne,
- odpowiedzialność cywilna oraz
- zasady dotyczące powoływania inspektorów ochrony danych.
Projekt ustawy przewiduje wiele zmian, jedną z ważniejszych jest zlikwidowanie instytucji Generalnego Inspektora Ochrony Danych Osobowych. W jego miejsce zostanie powołany nowych organ – Prezes Urzędu Ochrony danych Osobowych (dalej Prezes Urzędu).
Co istotne, Prezes Urzędu będzie publikował na swojej stronie internetowej dobre praktyki ochrony danych osobowych. Jest to ważna informacja, ponieważ wiele kwestii nieuregulowanych lub niejasnych zawartych w ustawie będzie dodatkowo zinterpretowanych i wyjaśnionych.
Dobre praktyki w szczególności będą zawierać informacje o rekomendowanych środkach technicznych i organizacyjnych stosowanych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. W projekcie ustawy określono, że projekt dobrych praktyk Prezes Urzędu będzie konsultował z zainteresowanymi podmiotami.
Jest to istotne z praktycznego punktu realizacji wymogów o ochronie danych osobowych przez administratorów danych. Dobre praktyki powinny uwzględniać specyfikę określonych sektorów działalności.
Przykładowo, nie wszystkie środki techniczne ochrony danych osobowych znajdą zastosowanie we wszystkich podmiotach. Inne środki techniczne zastosuje administrator, który przetwarza dwa zbiory danych osobowych i posiada kilka systemów informatycznych przetwarzających dane osobowe, a inne ten, który przetwarza kilkadziesiąt zbiorów w systemach informatycznych.
Projekt ustawy o ochronie danych osobowych przedstawiony przez Ministerstwo Cyfryzacji zawiera informacje na temat udzielania zgody na przetwarzanie danych osobowych do korzystania z usług społeczeństwa informacyjnego przez dzieci. Wiek podany w projekcie to 13 lat – w rozporządzeniu ogólnym zaproponowano 16 lat. Przetwarzanie danych takiej osoby będzie możliwe wyłącznie po uzyskaniu zgody jej rodziców bądź opiekunów prawnych.