Wykaz prac legislacyjnych i programowych Rady Ministrów


Numer projektuUC101
Tytuł
Rodzaj dokumentuprojekty ustaw
Informacje o przyczynach i potrzebie wprowadzenia rozwiązań planowanych w projekcie

1. W dniu 25 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „rozporządzeniem 2016/679”. Rozporządzenie 2016/679 zacznie być aktem bezpośrednio stosowanym od dnia 25 maja 2018 r. i do tego czasu każde z państw członkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcia właściwych przepisów wewnętrznych. Tym samym, począwszy od tej daty,  polskie przepisy muszą zapewniać skuteczne stosowanie przepisów Rozporządzenia, nie powielając rozwiązań Rozporządzenia ani nie będąc z nim sprzecznymi.

2. Przepisy obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r, poz. 922), zwanej dalej „Ustawą”, z jednej strony zawierają regulacje analogiczne do regulacji  Rozporządzenia, np. w zakresie definicji danych osobowych, z drugiej zaś zawierają regulacje odmienne niż te, które przewiduje Rozporządzenie, choćby w zakresie definicji zgody osoby, której dane dotyczą. Wreszcie zawierają też regulacje, których nie przewiduje Rozporządzenie, np. w zakresie rejestracji zbiorów danych, ale także brak w obowiązującej ustawie przepisów dotyczących choćby akredytacji, czy certyfikacji. W świetle powyższego konieczne stało się opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE.

3. Ministerstwo Cyfryzacji jako resort odpowiedzialny za zapewnienie skutecznego stosowania rozporządzenia w polskiej przestrzeni prawnej, podjęło pracę nad zapewnieniem stosowania rozporządzenia 2016/679 poprzez  opracowanie nowej ustawy o ochronie danych osobowych  zastępującej obowiązującą obecnie ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 poz. 922) oraz zmianę ponad 100 przepisów zawartych w ustawach znajdujących się we właściwości prawie wszystkich resortów i zawartych w projekcie ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych.  

4. Podjęte działania legislacyjne zgodnie z zasadami prawa Unii Europejskiej opierały się na założeniu, że nowa ustawa o ochronie danych osobowych będzie zawierała wyłącznie przepisy, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym oraz takich, w których rozporządzenie 2016/679 pozostawiło pewną swobodę regulacyjną poszczególnym państwom członkowskim. W szczególności  przedmiotem nowej ustawy o ochronie danych osobowych są więc kwestie dotyczące krajowego organu nadzorczego, postępowania przed tym organem, postępowania kontrolnego, wieku dziecka wymaganego do samodzielnego wyrażania zgody na przetwarzanie danych osobowych w odniesieniu do usług społeczeństwa informacyjnego, podmiotu właściwego do akredytacji podmiotów certyfikujących, sądowej ochrony praw przysługujących.

Istota rozwiązań ujętych w projekcie

1. W projekcie ustawy o ochronie danych osobowych określono zakres podmiotowy, przedmiotowy i terytorialny projektowanej ustawy. Ustawą będzie miała zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Wobec powyższego przepisy ustawy nie znajdą zastosowania do ochrony innych podmiotów w związku z przetwarzaniem ich danych osobowych. W projekcie ustawy przyjęto, że przedmiotowy zakres jej zastosowania będzie odpowiadał zakresowi zastosowania Rozporządzenia.  Stosowanie ustawy będzie wyłączone w odniesieniu do przetwarzania danych osobowych:

1)  w ramach działalności nieobjętej zakresem prawa Unii;

2)  przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 Traktatu o funkcjonowaniu Unii Europejskiej;

3)  przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

4)  przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

2. Projektu ustawy w celu zapewnienia stosowania art. 8 ust. 1 rozporządzenia 2016/679 obniża granicę wieku dziecka wskazaną w tym przepisie na oferowanie usług społeczeństwa informacyjnego. Zgodnie z projektem samodzielnie zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. zgodę na przetwarzanie danych osobowych w celu marketingu bezpośredniego administratora danych) będzie mogła samodzielnie wyrazić osoba, która ukończyła lat 13.

3. Uregulowano tryb notyfikacji inspektorów ochrony danych osobowych oraz podmioty obowiązane w polskim porządku prawnym do wyznaczenia inspektora ochrony danych osobowych.

4. Uregulowano zasady akredytacji i certyfikacji oraz tryb postępowania w tych sprawach. W projekcie ustawy zaproponowano by w polskim systemie prawnym certyfikacji udzielał organ nadzorczy, a więc Prezes Urzędu Ochrony Danych Osobowych wg kryteriów określonych przez Prezesa Urzędu, z uwzględnieniem art. 43 ust. 2 Rozporządzenia, i opublikowanych w Biuletynie Informacji Publicznej. Zaproponowano również by certyfikacji nie  dokonywał organ nadzorczy (taką możliwość daje art. 42 ust. 5 Rozporządzenia) a podmioty certyfikujące, które dysponują odpowiednim poziomem wiedzy fachowej w dziedzinie ochrony danych osobowych i uzyskały akredytację Prezesa Urzędu. Rozważając, jaki podmiot byłby najwłaściwszy do dokonywania certyfikacji uznano, że nałożenie tego zadania na Prezesa Urzędu obciąży go dodatkowo, przy i tak znacznie większym zakresie zadań niż ma choćby dzisiaj Generalny Inspektor Ochrony Danych Osobowych, a poza tym przekazanie uprawnienia do certyfikacji podmiotom spoza administracji przyczyni się do zwiększenia liczby miejsc w których będzie można dokonać certyfikacji, swoistej konkurencji pomiędzy podmiotami certyfikującymi i wreszcie sprawi, że podmioty, które będą ubiegały się o status podmiotu certyfikującego same również będą musiały spełniać kryteria certyfikacji niejako dając dobry przykład podmiotom ubiegającym się o certyfikację.

5. Projekt ustawy ustanawia nowy organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych. Nowy organ ochrony danych osobowych będzie miał znacznie szerszy zakres uprawnień niż dzisiejszy GIODO. Będzie on nie tylko organem nadzorczym w rozumieniu Rozporządzenia ze znacznie szerszym zakresem uprawnień i obowiązków niż dzisiejszy GIODO, ale będzie również organem nadzorczym w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.

6. W projekcie ustawy uregulowano tryb postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Warto wskazać, że według informacji uzyskanych przez Ministra Cyfryzacji w związku a analizą wyroków wydawanych przez Naczelny Sąd Administracyjny w 2015 r. spośród spraw które trafiły do sądów, średni czas trwania postępowania w sprawach dotyczących zasad naruszenia ochrony danych osobowych wynosi w Polsce 295 dni do czasu wydania przez Generalnego Inspektora Ochrony Danych Osobowych decyzji w I instancji, a do decyzji w II instancji – 437 dni. Założeniem przyświecającym Ministrowi Cyfryzacji jest więc przyśpieszenie trwających postępowań poprzez utrzymanie terminów wynikających z ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, zasadą jest więc wydanie rozstrzygnięcia niezwłocznie. Celem przyśpieszenia postępowania projekt znosi dwuinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Zniesienie dwuinstancyjności ma zapewnić obywatelom możliwość szybszego uzyskania sądowej ochrony swoich praw. Organowi przyznane zostanie jednak uprawnienie do autokontroli wydanej decyzji. Celem przyśpieszenia postępowań prowadzonych w związku z naruszeniami przepisów o ochronie danych osobowych projekt przewiduje również wprowadzenie do przepisów ustawy przepisu, w świetle którego postępowanie kontrolne w sprawach naruszenia ochrony danych nie może trwać dłużej niż miesiąc.

7. Projekt ustawy reguluje również kwestie odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych. Art. 79 ust. 1 rozporządzenia 2016/679 wymaga od państw członkowskich, aby w ich systemach prawnych istniały skuteczne środki ochrony prawnej przed sądem w przypadku gdy podmiot danych uzna, że prawa przysługujące mu na mocy Rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem rozporządzenia.

8. W projekcie ustawy uregulowano również kwestie dotyczące administracyjnych kar pieniężnych. Należy wskazać, iż przesłanki nakładania kar jak również ich maksymalne wysokości wynikają wprost z Rozporządzenia (art. 83 ust. 1 – 6). Prawodawca unijny wprowadził jednak możliwość szczególnego uregulowania przez państwa członkowskie kwestii nakładania kar na organy i podmioty publiczne, każde państwo członkowskie może bowiem określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim. Polski prawodawca skorzystał z możliwości jaką daje art. 83 ust. 7 Rozporządzenia i w przepisie art. 75 postanowił, że kary mogą być nakładane jedynie na podmioty wymienione w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych i wysokość kar nie może przekroczyć 100 000 zł.

Organ odpowiedzialny za opracowanie projektuMC
Osoba odpowiedzialna za opracowanie projektuAnna Streżyńska Minister Cyfryzacji
Organ odpowiedzialny za przedłożenie projektu RMMC
Planowany termin przyjęcia projektu przez RMIV kwartał 2017 r.
Informacja o rezygnacji z prac nad projektem (z podaniem przyczyny)-
Data modyfikacji 31 sierpnia 2017, 17:10
Rejestr zmian