Opublikowano: 10 października 2017 przez Jan Nawrot

Kategoria: rodo

Lemlock Lemlock logo

Powstanie nowy urząd

12 września Ministerstwo Cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych. Ustawa ma doprecyzować rozwiązania zawarte w unijnym Rozporządzeniu 2016/679, które wejdzie w życie 25 maja 2018 r. Jakie przewiduje on zmiany dla NGO?

W artykule znajdziesz:

  1. informacje o nowym organie rządowym związanym z RODO,
  2. informację o rządowym i społecznym udziale w projekcie ustawy,
  3. dane na temat poufnosci i karach finansowych,
  4. zasady kontroli,
  5. wiadomosci na temat odpowiedzialności cywilnej i karnej.

Na podstawie RODO / GDPR, w miejsce Generalnego Inspektora Ochrony Danych Osobowych powstanie Urząd Ochrony Danych (UDO), na czele którego będzie stał Prezes. Nowy organ ochrony danych osobowych będzie miał znacznie szerszy zakres uprawnień niż dzisiejszy Generalny Inspektor Ochrony Danych Osobowych (GIODO), w tym kontrolny oraz będzie mógł nakładać znacznie dotkliwsze kary. W uzasadnieniu projektu wskazuje się, że wzrośnie liczba pracowników nowego urzędu.

Zmiany w postępowaniu przed UDO

Średni czas trwania postępowań przed GIODO wynosi 437 dni. Dlatego ustawodawca zdecydował się na wprowadzenie rozwiązań mających przyspieszyć postępowanie. Po pierwsze będzie ono prowadzone według znowelizowanego Kodeksu postępowania administracyjnego (o przyspieszeniu KPA TUTAJ). Po drugie postępowanie będzie jednoinstancyjne, to znaczy że od decyzji Prezesa UDO będzie przysługiwać skarga do sądu. Po trzecie nie przewiduje się zażaleń na postanowienia jako odrębnych środków odwoławczych. To znaczy, że wszystkie postanowienia, na przykład o odrzuceniu dowodu, będą zaskarżane łącznie w skardze do sądu

Możliwość udziału organizacji społecznych

Projekt ustawy przewiduje aktywną rolę NGO w działaniach przed Prezesem UDO. Organizacja społeczna może występować z żądaniem wszczęcia postępowania lub dopuszczenia jej do udziału w postępowaniu jeżeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes osoby, której prawa zostały naruszone. Pozwoli to na wsparcie osób poszkodowanych w dochodzeniu ich praw.

Zastrzeżenie poufności

Organizacje, które prowadzą działalność gospodarczą będą mogły skorzystać z możliwości zastrzeżenia poufności dokumentów przekazywanych Prezesowi Urzędu. Będzie to dotyczyło informacji chronionych tajemnicą przedsiębiorstwa. Ma to zapobiec wyciekowi informacji i chronić ważne zasoby przedsiębiorstwa.

Rozstrzygnięcia i wysokość kar

RODO / GDPR przewiduje maksymalną karę za naruszenie przepisów o ochronie danych osobowych wysokości 20 000 000 EUR lub 4 % jego całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku. Ustawa łagodzi niektóre rozwiązania:

  • Po pierwsze w przypadku, gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes Urzędu może w drodze decyzji udzielić upomnienia.
  • Po drugie, choć decyzje wydane przez Prezesa Urzędu podlegają natychmiastowemu wykonaniu, to wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.
  • Po trzecie Prezes Urzędu może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.

Zasady kontroli

Ustawa reguluje też zasady prowadzenia kontroli przez Prezesa UDO. Postępowanie kontrolne może być prowadzone zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz. W pierwszym przypadku będzie dotyczyło wytypowanych wcześniej kategorii podmiotów np. przedszkoli czy szkół językowych. W drugim mogą być to kontrole ad hoc na przykład na podstawie doniesień medialnych lub donosu.

Urzędnicy dostaną szerokie uprawnienia. Na przykład prawo wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń, wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli oraz przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Ponadto będą mogli żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać świadków. Co ważne do przeprowadzanych kontroli nie stosuje się przepisów o swobodzie działalności gospodarczej w zakresie jej trwania i zasady jednej kontroli w jednym czasie.

Odpowiedzialność cywilna i karna

Projekt ustawy, oprócz kar nakładanych przez Prezesa UDO, przewiduje sankcje cywilne i karne. W pierwszym przypadku zastosowanie będą miały ogólne zasady Kodeksu cywilnego. To znaczy, że granicą odpowiedzialności jest wyrządzona szkoda. Należy jednak pamiętać, że dane osobowe są chronione jako dobra osobiste (więcej o dobrach osobistych TUTAJ). Dlatego sąd w pewnych przypadkach może przyznać zadośćuczynienie. Dodatkowo każda osoba, której prawa zostały naruszone, może żądać zaniechania tego działania, a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. Inaczej mówiąc nie tylko Urząd Ochrony Danych, ale też sąd może zakazać przetwarzania danych osobowych

W projekcie ustawy przewidziane są też przepisy karne. Ustawodawca jednak odchodzi od tej metody pozostawiając tylko dwa czyny karalne. Pierwszy utrudnianie lub udaremnianie kontroli, drugi zaś przetwarzanie danych bez podstawy prawnej, które będzie zagrożone karą do roku pozbawienia wolności. Więcej informacji od Lemlock o ochronie danych osobowych znajdziesz w artykułach o RODO

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej grzegorz.makosa@lemlock.com. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: grzegorz.makosa@lemlock.com.

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: