25 maja 2018 r. jest kluczowym dniem dla polskich przedsiębiorców. Od dziś zaczęły obowiązywać unijne przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz przepisy nowej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. przygotowanej przez rząd.

Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. jest konsekwencją nałożonego na Polskę obowiązku implementacyjnego ww. rozporządzenia do polskiego systemu prawnego.

Co się zmieniło?

Powstał nowy organ – Prezes Urzędu Ochrony Danych Osobowych, który zastąpił Generalnego Inspektora Ochrony Danych Osobowych. Jego kompetencje zbliżone są do kompetencji Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Powoływany jest na czteroletnią kadencję przez Sejm za zgodą Senatu. Zamiast jednego będzie go wspierało aż trzech zastępców, a organem opiniodawczo-doradczym będzie Rada ds. Ochrony Danych Osobowych powoływana na dwuletnią kadencję spośród kandydatów zgłoszonych m.in. przez Radę Ministrów, fundacje i stowarzyszenia, Rzecznika Praw Obywatelskich i izby gospodarcze.

Kary pieniężne- Prezes Urzędu Ochrony Danych Osobowych został wyposażony w możliwość nakładania kar finansowych w stosunku do administracji publicznej w przypadku stwierdzenia naruszeń w zakresie ochrony danych osobowych w granicach od 10 000 zł do 100 000 zł.

Jednoinstancyjność postępowania w sprawach naruszeń przepisów o ochronie danych osobowych - zniesiono dotychczasową dwuinstancyjność postępowania oraz wprowadzono ograniczenie czasowe trwania kontroli prowadzonej przez organ do 30 dni. Organem uprawnionym do prowadzenia postępowania kontrolnego jest Prezes Urzędu. Od jego decyzji można się odwołać, ale już wprost do sądu administracyjnego. Wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

Wprowadzono możliwość uzyskania certyfikatu – Prezes Urzędu lub podmiot certyfikujący na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek ma prawo do wydania certyfikatu w myśl przepisu art. 42 RODO, świadczącego o zgodności przetwarzania danych przez posiadającego certyfikat przedsiębiorcę z RODO.

Kogo nie obejmie ustawa i unijne rozporządzenie?

Ustawodawca, zdecydował się skorzystać z przyznanego mu w unijnym rozporządzeniu prawa do wyłączenia niektórych podmiotów spod jej regulacji.

W związku z powyższym RODO oraz omawiana ustawa nie obejmie niektórych jednostek sektora finansów publicznych (organów władzy publicznej, w tym organów administracji rządowej, organów kontroli państwowej i ochrony prawa oraz sądów i trybunałów, jednostek budżetowych, agencji wykonawczych, instytucji gospodarki budżetowej oraz innych państwowych lub samorządowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego), w zakresie, w jakim przetwarzanie danych osobowych jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, o ile przewidziane są niezbędne środki ochrony praw i wolności osoby, której dane dotyczą.

Jednocześnie spod niektórych przepisów RODO ustawodawca wyłączył działalność polegającą na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, wypowiedzi w ramach działalności literackiej, wypowiedzi w ramach działalności artystycznej oraz wypowiedzi akademickiej.

Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. została podpisana przez Prezydenta RP 22 maja 2018 r., ogłoszenie jej w Dzienniku Ustaw RP nastąpiło w dniu wczorajszym (Dz.U. z 2018 r. poz. 1000), natomiast wejście w życie w dniu dzisiejszym.