28 marca br. Ministerstwo Cyfryzacji opracowało nowy projekt ustawy o ochronie danych osobowych. Powodem powziętych przez Ministerstwo kroków jest zbliżający się termin wdrożenia RODO, czyli rozporządzenia unijnego o ochronie danych osobowych (dalej: „RODO” lub „Rozporządzenie”), które wejdzie w życie już 25 maja następnego roku. Za niecałe półtora roku zaczną więc obowiązywać przepisy, mające na celu wprowadzenie nowych – surowszych obowiązków wobec przedsiębiorców. Za niewywiązanie się z nich grozić będą wysokie kary finansowe. Ministerstwo Cyfryzacji wskazuje przy tym, ze opracowanie projektu nowej ustawy na tak wczesnym etapie ma służyć zapewnieniu całkowitej transparentności tworzenia przepisów o ochronie danych osobowych.
Jedną z najdonioślejszych zmian, jakie przewiduje projekt, jest wprowadzenie nowych zasad uzyskiwania zgody na przetwarzanie danych osobowych, z czym wiąże się szereg obowiązków wobec przedsiębiorców i administratorów. Zmiana ta wynika przede wszystkim z potrzeby zapewnienia ochrony danych osobowych już na etapie projektowania wprowadzanych rozwiązań. Mowa tu w szczególności o aplikacjach, portalach społecznościowych i konkursach. Chodzi więc o zastosowanie takich zabezpieczeń, które zapewnią ochronę od samego początku tworzenia nowych rozwiązań biznesowych. Instrumenty temu służące, to przede wszystkim: szyfrowanie, pseudonimowanie danych, czy tez wprowadzenie rozwiązań pozbawiających danych pewnych istotnych cech.
Co istotne, różnice odczują także konsumenci, którzy uzyskają m.in. prawo do bycia zapomnianym oraz prawo do uzyskania rzetelnych informacji o tym, jak przetwarzane są ich dane osobowe. Tym samym zwiększy to kontrolę potencjalnego konsumenta nad jego prywatnością w otoczeniu zarówno prywatnym i biznesowym.
Celem Rozporządzenia jest zagwarantowanie właściwej ochrony danych osobowych na terenie całej Unii Europejskiej. Jak wskazują ostatnie wyniki badań statystycznych, istnieje silna potrzeba znowelizowania dotychczasowego systemu. Potwierdza to m.in. fakt, że aż 75% Europejczyków przyznało się do „braku zaufania względem firm internetowych takich jak dostawcy wyszukiwarek, portali społecznościowych etc.[1]” Co więcej, połowa ankietowanych „obawia się, że stanie się ofiarą oszustwa polegającego na niewłaściwym wykorzystaniu ich danych.[2]”
Istotną zmianą ma być także programowanie systemów ochrony danych osobowych w sposób domyślny (ang. by default). Oznacza to, że ustawienia dostępności i zakresu pobierania przez firmy naszych danych osobowych, mają być domyślnie zaprogramowane na minimum. Przedsiębiorcy pozyskujący dane będą zatem musieli uwzględnić ową przesłankę niezbędności już na etapie tworzenia usług lub produktów.
Ministerstwo zapowiedziało również plany przyspieszenia postępowań w sprawach dotyczących łamania przepisów o ochronie danych, co znaleźć ma swoje literalne odzwierciedlenie w przepisach samej ustawy. W tym celu planowane jest m.in. zniesienie dwuinstancyjności postępowań w przypadkach związanych z naruszeniem przepisów ochrony danych osobowych. Zmiana w tym zakresie jest konieczna. Jak podaje bowiem Ministerstwo Cyfryzacji, tylko w 2015 r. rozpatrzenie spraw trwało bowiem niekiedy nawet ponad 3 lata.
Ponadto, warto również wskazać, iż w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych powołany zostanie nowy organ – Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO” lub „Prezes Urzędu”). Zmiana ta wynika z wymogów dostosowania prawa polskiego do prawa unijnego i stosowanej w RODO terminologii. Zachowanie obecnej nazwy organu mogłoby bowiem wprowadzać w błąd, w szczególności co do pozycji ustrojowej Generalnego Inspektora.
Najbardziej jednak istotną zmianą ma być wprowadzenie sankcji finansowych za nieprzestrzeganie przepisów nowej ustawy. Dotychczasowa regulacja przewiduje jedynie sankcje karne, natomiast od momentu wejścia w życie przepisów unijnych do polskiego porządku prawnego, Prezes UODO będzie mógł nałożyć kary finansowe na przedsiębiorców i administratorów. W przypadku przedsiębiorców, kary te będą mogły być nakładane aż do wysokości około 20 mln euro albo do 4 % obrotu przedsiębiorcy. Wyjątek ma stanowić nakładanie kar finansowych na podmioty publiczne. Prezes Urzędu może bowiem nałożyć na podmioty publiczne, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.
Podsumowując, warto już dziś zapoznać się z najważniejszymi zmianami, jakie przyniesie nowa regulacja, aby zabezpieczyć swoją firmę przed ryzykiem kar finansowych.