Autor: Magdalena Bęza, radca prawny
Przepisy GDPR wprowadzają szereg wymogów kierowanych do państw członkowskich, m.in. zobowiązują do ustanowienia niezależnego organu nadzorczego, sprawującego kontrolę nad przetwarzaniem danych osobowych, powoływanego przez parlament, rząd, głowę państwa lub niezależny organ, uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego.
W Polsce, w dotychczasowym stanie prawnym, funkcję organu nadzorczego (organu ochrony danych osobowych) pełni Generalny Inspektor Ochrony Danych Osobowych (GIODO), powoływany przez Sejm za zgodą Senatu, na czteroletnią kadencję.
Będzie nowy organ – Prezes UODO
Projekt krajowych przepisów wdrażających GDPR (dalej „Projekt”), przewiduje zmianę nazwy organu nadzorczego, który od będzie funkcjonował jako Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”). Okres jego kadencji pozostanie bez zmian (4 lata), natomiast Prezes UODO będzie powołany przez Sejm na wniosek Prezesa Rady Ministrów (w procedurze nie będzie zatem udziału Senatu).
Nowe kompetencje
Zgodnie z postanowieniami GDPR (których uszczegółowienie jest zawarte w Projekcie) organ nadzorczy będzie wyposażony w szereg kompetencji umożliwiających mu wykonywanie swojej funkcji. Podkreślenia wymaga, że część uprawnień Prezesa UODO, przewidzianych w GDPR i w Projekcie, ma charakter zupełnie nowy; nie były one przewidziane w przepisach dotychczasowych (ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku, dalej „u.o.d.o.”).
W szczególności, należy wskazać na rolę Prezesa UODO w mechanizmach certyfikacji, o których mowa w GDPR. Uzyskanie formalnego certyfikatu, przyznawanego po przejściu procesu certyfikacji, ma stanowić potwierdzenie przestrzegania przez administratorów lub podmioty przetwarzające dane osobowe przepisów GDPR. Zgodnie z Projektem, opracowanie kryteriów certyfikacji oraz dokonywanie i ewentualne cofnięcie certyfikacji ma należeć właśnie do obowiązków Prezesa UODO.
Kolejnym nowym uprawnieniem Prezesa UODO, przewidzianym w GDPR, jest akredytacja podmiotów, które będą zajmowały się monitorowaniem przestrzegania przez administratorów/przetwarzających dane osobowe tzw. kodeksów postępowania, stanowiących zasady postępowania w zakresie ochrony danych osobowych, opracowywane przez zrzeszenia/inne podmioty reprezentujące kategorie administratorów (w szczególności poszczególne branże/sektory przemysłu). Wykaz podmiotów, które uzyskały akredytację Prezesa UODO, będzie umieszczany na stronie podmiotowej BIP przypisanej Prezesowi UODO.
Projekt przewiduje również, że Prezes UODO będzie opracowywał i publikował w BIP rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Takie rekomendacje będą istotne ze względu na fakt, że planowane jest uchylenie dotychczasowego Rozporządzenia z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rekomendacje Prezesa UODO mogą zatem dopomóc administratorom i podmiotom przetwarzającym w zapewnieniu zgodności stosowanych środków technicznych i organizacyjnych (polityki, instrukcje bezpieczeństwa IT, itp.) z przepisami GDPR.
Do nowych uprawnień Prezesa UODO, bardzo istotnych z punktu widzenia administratorów i podmiotów przetwarzających będzie należało również nakładanie wysokich kar pieniężnych za nieprzestrzeganie przepisów o ochronie danych osobowych (takiego uprawnienia nie przewiduje dotychczasowa u.o.d.o.). Zgodnie z GDPR, wysokość kar, w zależności od rodzaju naruszenia, może wynieść nawet 20 mln EUR lub (w przypadku przedsiębiorców) 4% rocznego obrotu. Natomiast w Projekcie zaproponowano ograniczenie wysokości kar pieniężnych nakładanych na podmioty publiczne - do kwoty 100 000 złotych.
W celu minimalizacji ryzyka poniesienia tak wysokich kar, warto aby administratorzy i podmioty przetwarzające dane osobowe już dziś podjęli kroki zmierzające dostosowanie ich działalności, w tym procesów przetwarzania danych osobowych i posiadanej dokumentacji, do przepisów GDPR. Tym bardziej, że do okresu pełnego stosowania GDPR pozostaje już coraz mniej czasu, a pełne dostosowanie działalności do wymogów GDPR może okazać się pracochłonne.