Było to pierwsze czytanie projektu, który jest efektem unijnego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie ich swobodnego przepływu (tzw. RODO). RODO ma zharmonizować prawo ochrony danych osobowych w Europie. Zacznie obowiązywać w całej UE 25 maja 2018 r. Rządowy projekt ma zapewnić skuteczne stosowanie RODO w Polsce.

Za skierowaniem projektu do dalszych prac w komisjach opowiedziała się większość klubów poselskich.

Szef resortu cyfryzacji Marek Zagórski podkreślił na posiedzeniu Sejmu, że projekt nowych przepisów o ochronie danych osobowych oraz unijne rozporządzenie są odpowiedzią na nowe realia, "w których uznano, że jako właściciele danych osobowych mamy pełne prawo do dysponowania nimi wedle własnego uznania".

Reklama

"Jest oczywiste, że dane osobowe są w dzisiejszym - cyfrowym świecie towarem jak każdy inny. Żyjemy w czasach, w których trudno o zachowanie prywatności, a nasze dane osobowe mogą trafiać w niepowołane ręce i być wykorzystywane niezgodnie z naszymi intencjami" - mówił Zagórski.

Przypomniał, że projekt ustawy o ochronie danych osobowych przewiduje powołanie prezesa urzędu ochrony danych osobowych (PUODO), który zastąpi funkcjonującego do tej pory generalnego inspektora ochrony danych osobowych (GIODO).

Reklama

PUODO, za zgodą Senatu ma być powoływany na czteroletnią kadencję przez Sejm, zaś w zakresie wykonywanych obowiązków bezpośrednio będzie podlegał ustawie. Jak zaznaczył Zagórski, prezesa urzędu będzie wspierało trzech zastępców (obecnie jest jeden), zaś organem doradczym będzie rada ds. ochrony danych osobowych. Według założeń rada będzie się składała z ośmiu członków, których będzie powoływał PUODO, kandydatów na członków rady będą mogły zgłaszać m.in.: rada ministrów oraz fundacje i stowarzyszenia. Rada będzie powoływana na dwuletnia kadencję.

PUODO będzie mógł kierować do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

W projekcie uszczegółowiona została kwestia wysokości kar finansowych dla organów publicznych, które nakładać będzie mógł PUODO. "Maksymalna kara dla organu publicznego w rozumieniu art. 9. Ustawy o finansach publicznych to zgodnie z projektem 100 tys. zł, zaś dla instytucji kultury jej maksymalna wysokość to 10 tys. zł" - podkreślił Zagórski.

W projekcie zaproponowano również rozwiązania mające przyspieszyć postępowanie w sprawach ochrony danych osobowych. Zniesiona zostanie dotychczasowa dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych.

Kolejnym rozwiązaniem, które ma przyspieszyć postępowanie, jest przepis, dzięki któremu podejmowana przez organ kontrola nie będzie mogła trwać dłużej niż miesiąc. W projekcie zapisano również ustanowienie certyfikacji w dziedzinie ochrony danych osobowych.

Za skierowaniem projektu do dalszych prac w komisjach była większość klubów poselskich. Edward Siarka (PiS) zwrócił uwagę, że RODO przyznaje osobom fizycznym prawo dostępu do danych oraz prawo do ich sprostowania, uzupełnienia, czy tzw. prawo do bycia zapomnianym, czyli do trwałego usunięcia danych.

Część posłów zwracała jednak uwagę na zbyt późne rozpoczęcie prac nad projektem. Arkadiusz Marchewka (PO), zaznaczył również, że "duże wątpliwości wzbudza zapis likwidujący organ odpowiedzialny za nadzór nad przestrzeganiem przepisów o ochronie danych osobowych" (GIODO) oraz powołanie na jego miejsce PUODO

"Żaden z przepisów rozporządzenia nie wymaga zmiany organu odpowiedzialnego za nadzór nad tymi danymi. Jak pokazały dotychczasowe doświadczenia, obecny model funkcjonowania GIODO pod względem statusu i gwarancji niezależności zapewnia bardzo wysokie standardy i spełnia wymogi stawiane organom nadzorczym przepisami rozporządzenia" - ocenił.

Bartosz Józwiak (Kukiz `15) podkreślił, że niezbędnym jest wprowadzenie "maksymalnie bezpiecznych systemów ochrony tych danych osobowych, które nie pozwolą nadużywać tych uprawnień, które dajemy bardzo różnym służbom, bo w ustawach o różnych innych służbach tych obostrzeń specjalnie nie ma".

Paweł Pudłowski (N) ocenił, że gotowość administracji publicznej do stosowania przepisów rozporządzenia jest niska "jeśli chodzi o przygotowanie systemowe, programistyczne, procesowe". Józwiak pytał również o prowadzenie szkoleń w tym zakresie wśród pracowników administracji publicznej

Jan Łopata (PSL- UED) także zwrócił uwagę, że przyznanie PUODO uprawnień autokontroli jest "pewną parodią dwuinstancyjności". Jego zdaniem, przepis budzi "znaczące wątpliwości prawne".

Posłowe pytali również o prowadzenie kampanii informacyjnej w zakresie zmieniających się przepisów.

Minister cyfryzacji Marek Zagórski odpowiadając na pytania posłów podkreślił, że RODO "zostało uchwalone dwa lata temu", dlatego państwa członkowskie Unii Europejskiej miały możliwość aby dostosować swoje przepisy "w takim zakresie, w jakim uznają to za stosowne".

"Postawiliśmy na bardzo szerokie konsultacje społeczne, które same w sobie miały element kampanii informacyjnej. (...) Długo dyskutowaliśmy z różnymi organizacjami, z przedsiębiorcami, ze stowarzyszeniami, to nie było tylko w zamkniętych gabinetach" - ocenił.

Zagórski dodał, że zastąpienie GIODO przez PUODO, m.in "podkreśli rangę i znaczenie urzędu", natomiast "nie zmieni w żaden sposób niezależności organu". Zaznaczył, że są prowadzone "bardzo intensywne szkolenia" przeznaczone dla pracowników administracji publicznej, które w ostatnim czasie "jeszcze bardziej zintensyfikowano".

Zagórski odniósł się także do kar finansowych, jakie RODO przewiduje za naruszenie prawa do ochrony danych. Wynoszą one do 20 mln euro lub 4 proc. całego obrotu firmy

"Wysokość tych kar (...) jest związana z faktem, że mówimy tutaj zarówno o przedsiębiorcy prowadzącym jednoosobową działalność gospodarczą jak i wielkiej firmie, międzynarodowej korporacji, która przetwarza dane" - mówił Zagórski.

Z chwilą wejścia w życie nowej ustawy o ochronie danych osobowych przestanie obowiązywać dotychczasowa z 29 sierpnia 1997 r.(PAP)

autor: Marcin Chomiuk