Projekt ustawy o ochronie danych osobowych

11 kwietnia 2018 r. do I czytania na posiedzeniu Sejmu skierowano rządowy projekt ustawy o ochronie danych osobowych przygotowany przez Ministerstwo Cyfryzacji (projekt wpłynął do Sejmu w dniu 05 kwietnia 2018 r. – druk nr 2410).

Nadzwyczajne tempo prac spowodowane jest koniecznością wdrożenia do krajowego porządku prawnego postanowień ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Mimo bezpośredniej skuteczności rozporządzenia pociągnie ono za sobą konieczność rozpoczęcia prac legislacyjnych nad szeregiem ustaw tak, aby w pełni dostosować polski system prawny do nowych regulacji (wchodzących w życie już w dniu 25 maja 2018 r.).

Najistotniejsze zmiany obejmą m.in.:

 • ustanowienie nowego, niezależnego organu właściwego w sprawie ochrony danych osobowych (Prezesa Urzędu Ochrony Danych Osobowych);
 • postępowanie w sprawie naruszenia przepisów o ochronie danych,
 • wyznaczanie inspektora ochrony danych.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) zastąpi obecnego Generalnego Inspektora Ochrony Danych Osobowych. Niezależny organ powoływany będzie przez Sejm za zgodą Senatu, a możliwość jego odwołania została ograniczona do wyjątkowych przypadków. Prezes uzyska szereg kompetencji wzmacniających jego autonomiczny charakter, takich jak możliwość kierowania wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych, wniosków o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych czy wydawania rekomendacji w zakresie sposobów zabezpieczania danych osobowych. Organem opiniodawczo-doradczym Prezesa będzie Rada do Spraw Ochrony Danych Osobowych. Ponadto PUODO zyska możliwość korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub policji w trakcie przeprowadzanej kontroli (zgodnie z projektem kontrola taka nie będzie mogła trwać dłużej niż 30 dni od dnia od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach upoważnienia do przeprowadzenia kontroli).

Postępowanie w sprawach o naruszenie przepisów o ochronie danych osobowych, dotychczas dwuinstancyjne, zgodnie z projektowanymi zmianami ma zostać ograniczone do jednej instancji. Jak podkreśla Ministerstwo Cyfryzacji dzięki temu rozwiązaniu obywatel będzie miał możliwość szybszego uzyskania sądowej ochrony swoich praw[1]. Od 25 maja 2018 r. każdy obywatel zyska również prawo do „bycia zapomnianym”, które wiąże się z usunięciem danych z określonych baz czy rejestrów.

Ponadto projekt szczegółowo reguluje tryb zawiadamiania o wyznaczeniu inspektora ochrony danych. Administratorzy i podmioty przetwarzające określone w art. 37 ust. 1 lit. a rozporządzenia 2016/679 (RODO), tejże gdy:

 • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego
  i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
 • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO [pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, danych biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby] oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO [przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa];

oraz organy i podmioty publiczne (art. 9 projektu) takie jak:

 • jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r.
  o finansach publicznych;
 • instytuty badawcze, o których mowa w ustawie z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz. U. z 2017 r. poz. 1158, 1452 i 2201);
 • Narodowy Bank Polski;

obowiązane są do wyznaczenia inspektora i zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o tym fakcie w terminie 14 dni od dnia wyznaczenia wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora.
Jak wskazano w uzasadnieniu projektu[2] w związku z bezpośrednim stosowaniem rozporządzenia unijnego (RODO) konieczne stało się kompleksowe opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE. Przewiduje się, że ustawa wejdzie w życie z dniem 25 maja 2018 r. i pociągnie za sobą utratę mocy obowiązującej  obecnej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138).

Dostosowanie przepisów wewnętrznych przedsiębiorstw do nowych regulacji wiąże się z szeregiem nowych obowiązków oraz koniecznością wdrążenia odpowiednich środków technicznych i organizacyjnych przez  wszystkie podmioty, które zbierają i przetwarzają dane osobowe. Co istotne RODO przewiduje wysokie kary administracyjne (do 20 000 000,00 €) w przypadku naruszenia postanowień rozporządzenia.

Jeżeli potrzebujesz profesjonalnego doradztwa w zakresie zagadnień związanych z ochroną danych osobowych nasz zespół ekspercki  wskaże Ci możliwe rozwiązania oraz zapewni kompleksowe doradztwo w zakresie dostosowania wewnętrznych przepisów do nowych regulacji.

[1] https://www.gov.pl/cyfryzacja/dane-osobowe-obywateli-beda-lepiej-chronione

[2] Uzasadnienie i projekt ustawy dostępne są na stronie internetowej Sejmu Rzeczypospolitej Polskiej pod adresem http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=2410.