Na stronie Rządowego Centrum Legislacji pojawił się nowy projekt ustawy o ochronie danych osobowych z dnia 12 lutego 2018 r. W stosunku do pierwotnej wersji został znacznie uszczegółowiony; projektodawca zdecydował się na uwzględnienie części ze zgłoszonych podczas konsultacji społecznych uwag. Niemniej, pomimo wprowadzenia poprawek, pewne zagadnienia wzbudzające szerokie dyskusje pozostały niezmienione.
Podstawowym celem nowej ustawy będzie dopełnienie szczegółowych zapisów RODO. Na tej podstawie można więc ogólnie określić nową ustawę, jako akt prawny regulujący instytucjonalne i proceduralne aspekty ochrony danych osobowych. Nowy projekt określa podmioty obowiązane do wyznaczenia inspektora ochrony danych (IOD) oraz tryb zawiadamiania o wyznaczaniu, warunki i tryb udzielania certyfikacji i akredytacji, powołanie i kompetencje nowego organu, jakim będzie Prezes Urzędu Ochrony Danych Osobowych (PUODO), postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, europejską współpracę administracyjną, postępowanie kontrolne, odpowiedzialność cywilną i karną oraz administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Zaczynając od końca, nowy projekt zawiera rozdział dotyczący przepisów przejściowych i dostosowujących, którego nie było w projekcie pierwotnym. Podczas konferencji podsumowującej konsultacje społeczne, zorganizowanej 15 stycznia 2018 r. w Sejmie, Ministerstwo Cyfryzacji stało na stanowisku, że kwestia przepisów intertemporalnych zostanie uregulowana w odrębnym akcie prawnym. Niemniej znalazły się one w przedmiotowym projekcie, zgodnie z którym do kontroli wszczętej przed dniem 25 maja 2018 r. zastosowanie znajdą dotychczasowe przepisy. Administrator, który do dnia wejścia w życie ustawy nie powołał ABI, a na którym będzie ciążył obowiązek powołania IOD, powinien wyznaczyć go do 31 lipca 2018 r. oraz zawiadomić o tym PUODO. Z kolei postępowania wszczęte i niezakończone przed GIODO, będą kontynuowane przez PUODO – wszystkie czynności przeprowadzone w tych postępowaniach pozostaną skuteczne.
Pozostając w temacie PUODO, ustawodawca nie zdecydował się na oparcie postępowania przed Prezesem Urzędu o procedurę cywilną i wprowadzenie dwuinstancyjności, co stanowiło jeden z głównych postulatów zgłaszanych podczas konsultacji. Art. 6 nowego projektu wskazuje wprost na jednoinstancyjność postępowania, a w kwestiach nieuregulowanych w tym zakresie w ustawie, odsyła do przepisów k.p.a. PUODO ma być powoływany przez Sejm na wniosek premiera na czteroletnią kadencję i chroniony immunitetem – analogicznie jak wskazano na gruncie pierwotnego projektu. Resort nie zdecydował się również na wycofanie zmiany wieku dziecka, do którego konieczne będzie uzyskanie zgody rodzica na przetwarzanie jego danych w Internecie. Tak, jak w pierwotnej wersji projektu ustawodawca skorzystał z uprawnienia przysługującego państwom członkowskim przy dostosowaniu przepisów krajowych do RODO i obniżył z wspomniany wyżej wiek dziecka z 16 do 13 lat. Warto zaznaczyć, że kwestia podwyższenia proponowanego w pierwotnym projekcie wieku do 16 lat (czyli granicy wskazanej na gruncie RODO) była jedną z szerzej dyskutowanych podczas konsultacji.
Wracając do wprowadzonych zmian, na gruncie aktualnego projektu UODO dodano nowy rozdział dotyczący postępowania w sprawie zatwierdzenia kodeku postępowania. Organem uprawnionym do zatwierdzania wspomnianego kodeksu będzie PUODO. Znacznie rozszerzono i uszczegółowiono także zagadnienia dotyczące akredytacji i certyfikacji, regulując je w dwóch osobnych rozdziałach ustawy. Zwiększono również opłatę za czynności związane z postępowaniem o udzielenie certyfikacji, pobieraną przez Prezesa Urzędu: z trzykrotności do czterokrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej.
Zmianie uległa także odpowiedzialność karna, której w pierwotnym projekcie ustawy nie uwzględniono. Warto mieć na uwadze, że o ile obowiązująca ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną (do 3 lat pozbawienia wolności za nieuprawnione przetwarzanie danych sensytywnych), o tyle postanowienia RODO nie zawierają przepisów karnych. Zgodnie z nowym projektem ustawy karane będzie nie tylko naruszenie danych wrażliwych (do 3 lat pozbawienia wolności), ale również naruszenie tzw. zwykłych danych osobowych (do 2 lat pozbawienia wolności; z tym, że projekt mówi ogólnie o „przetwarzaniu danych osobowych”, natomiast obecny przepis o „przetwarzaniu w zbiorze danych osobowych”) – treść art. 101 projektu jest więc zbieżna z aktualnie obowiązującym art. 49 UODO.
Nowy projekt UODO w dalszym ciągu znajduje się na etapie prac legislacyjnych; został już przekazany do Komitetu do Spraw Europejskich. Zgodnie z art. 158, ustawa ma wejść w życie w ciągu 14 dni od dnia jej ogłoszenia.