W Dzienniku Ustaw ukazała się nowa ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) — czyli akt „przenoszący” RODO do polskiego systemu prawnego (cudzysłów nieprzypadkowy, bo przecież rozporządzenie EU nie wymaga transpozycji, jest bezpośrednio skuteczne dla nas wszystkich).

Poniżej przedstawiam kilka najistotniejszych kwestii, które pojawiły się w nowym akcie prawnym, a mianowicie:

• nowa ustawa o ochronie danych osobowych przynosi wyłączenia, na które RODO zezwoliło, a polski ustawodawca w swej łaskawości zdecydował się na uchwalenie, m.in. dotyczące twórczej działalności prasowej, literackiej i artystycznej oraz dostępu do informacji publicznej, zwolnienia administratorów wykonujących zadania publiczne z obowiązków informacyjnych;
• ustawa określa sposób wyznaczenia inspektora ochrony danych osobowych, warunki i sposób certyfikacji sposobu przetwarzania danych osobowych przez administratora, a także postępowanie przy zatwierdzaniu kodeksu postępowania i certyfikacji podmiotów akredytowanych do monitorowania przestrzegania kodeksów postępowania (nie da się ukryć, że RODO jest pożywką dla super-biurokracji w korporacjach…);
• administratorzy i podmioty przetwarzające (procesorzy) mają obowiązek powołania inspektora ochrony danych najpóźniej do 31 lipca 2018 r. (art. 158 ust. 4-5 uodo), chyba że jest już powołany ABI (poniżej więcej o przejściowym statusie ABI);
• ustawa tworzy urząd Prezesa Urzędu Ochrony Danych Osobowych — w miejsce starego dobrego GIODO — organu nadzorczego w rozumieniu GDPR oraz określa procedurę powołania Prezesa UODO (powołuje i odwołuje Sejm za zgodą Senatu na 4-letnią kadencję, maksymalnie funkcję można pełnić dwie kadencje) oraz określa warunki sprawowania funkcji (immunitet, etc.);
• wprowadza kontrowersyjną (?) zasadę, iż postępowanie administracyjne przed PUODO jest postępowaniem jednoinstancyjnym (art. 7 ust. 2 uodo);
• przy PUODO będzie funkcjonowała Rada do Spraw Ochrony Danych Osobowych — 8-osobowe gremium opiniodawczo-doradcze, o składzie wybieranym przez PUODO na 2-letnią kadencję spośród kandydatów wskazanych m.in. przez premiera, Rzecznika Praw Obywatelskich, izby gospodarcze oraz organizacje społeczne, które statutowo zajmują się tematyką ochrony danych osobowych;
• pierwszym PUODO ex lege staje się obecna GIODO (aż do upływu swojej kadencji, art. 166 uodo);
• nowa ustawa o ochronie danych osobowych określa tryb postępowania w sprawach o naruszenie zasad ochrony danych osobowych, tryb kontroli przestrzegania przepisów, a także zasady odpowiedzialności cywilnej i karnej (w tym nakłada na sąd obowiązek powiadomienia PUODO o wniesieniu powództwa i prawomocnym orzeczeniu w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, art. 94 ust. 1 uodo);
• ustawa ogranicza wysokość administracyjnych kar pieniężnych nakładanych na niektóre jednostki budżetowe (jednostki sektora finansów publicznych, instytuty badawcze i NBP — do 100 tys. złotych, zaś instytucje kultury — do 10 tys., art. 102 uodo; przypomnijmy, że w myśl art. 83 ust. 5 RODO maksymalna wysokość kary to „20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego”;
• oraz wprowadza przepisy karne — „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony” (max. 2 lata pozbawienia wolności, tyle samo za udaremnianie lub utrudnianie kontroli), ale już w przypadku przetwarzania danych wrażliwych do lat 3 (art. 107-108 uodo);
• nowa ustawa wprowadza zasadę, że ABI sprawujący tę funkcję przed jej wejściem w życie staje się inspektorem ochrony danych i pełni funkcję do 1 września 2018 r. (art. 158 ust. 1 uodo);
• jest też kilka ciekawych zmian w przepisach szczegółowych — części z nich poświęcę odrębne teksty.

Dla jasności: nowa ustawa o ochronie danych osobowych wchodzi w życie 25 maja 2018 r. (czyli w dniu, od którego stosuje się rozporządzenie, por. art. 99 RODO); tego samego dnia traci moc ustawa z 1997 r. (z pewnymi wyjątkami, art. 175 uodo).