USTAWA O OCHRONIE DANYCH OSOBOWYCH PROJEKT 12.09.2017 Magdalena Gąsior Zastępca Administratora Bezpieczeństwa Informacji w Warmińsko-Mazurskim Urzędzie Wojewódzkim w Olsztynie
ORGAN NADZORCZY Nowy organ - Prezes Urzędu Ochrony Danych Osobowych Prezesa Urzędu powołuje i odwołuje Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów Prezesem Urzędu może zostać osoba: będąca obywatelem polskim, posiadająca tytuł naukowy doktora, posiadająca wiedzę i doświadczenie z zakresu ochrony danych (powinna co najmniej 5 lat wykonywać czynności bezpośrednio związane z ochroną danych osobowych), korzystająca z pełni praw publicznych i nie była skazana prawomocnym wyrokiem za umyślne przestępstwo (lub umyślne przestępstwo skarbowe). Kadencja Prezesa urzędu trwa 4 lata, Prezes Urzędu posiada immunitet Ta sama osoba może sprawować funkcję tylko przez dwie kadencje
ZADANIA PREZESA URZĘDU Prowadzenie współpracy międzynarodowej Podejmowanie działań certyfikacyjnych, akredytacyjnych i edukacyjnych Prowadzenie postępowań w sprawach o naruszenie przepisów o ochronie danych Prowadzenie postępowań kontrolnych Nadzór nad wykonywaniem RODO i dyrektywy policyjnej Opiniowanie założeń i projektów aktów prawnych dotyczących ochrony danych osobowych Coroczne przedstawianie sprawozdań ze swojej działalności Nadawanie statutu Urzędu
ZASTĘPCY PREZESA URZĘDU 1 zastępca Minister ds. informatyzacji Prezes Rady Ministrów 2 zastępca Minister ds. wewnętrznych (opinia MS+ MON + MF + Prokurator Generalny) 3 zastępca
RADA DO SPRAW OCHRONY DANYCH OSOBOWYCH NOWY ORGAN Opiniowanie projektów dokumentów organów i instytucji UE dotyczących spraw ochrony danych osobowych Opiniowanie przekazanych przez prezesa urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych Opracowywanie propozycji kryteriów certyfikacji Opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych Inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie prezesowi urzędu propozycji zmian prawa w tym obszarze Wyrażanie opinii w sprawach przedstawionych radzie przez prezesa urzędu Wykonywanie innych zadań zleconych przez prezesa urzędu
UPRAWNIENIA PREZESA UODO wydawanie ostrzeżeń i udzielanie upomnień w przypadku możliwości naruszenia przepisów RODO nakazanie spełnienia żądania osoby, której dane dotyczą nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych nakazanie dostosowania operacji przetwarzania do przepisów rozporządzenia; wskazanie sposobu i terminu; wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania zastosowanie administracyjnej kary pieniężnej (oprócz lub zamiast powyżej wskazanych środków)
KARY PIENIĘŻNE Podmioty publiczne - administracyjna kara pieniężna w wysokości do 100 000 zł. Nakładane na warunkach RODO Wyjątek: instytucje kultury 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego Środki z kar stanowią dochód budżetu państwa Fundusz Ochrony Danych Osobowych 1 % kar pieniężnych
POSTĘPOWANIE PRZED ORGANEM NADZORCZYM Postępowanie prowadzi Prezes Urzędu na zasadach określonych w KPA Postępowanie jednoinstancyjne Wniosek o ponowne rozpatrzenie sprawy Postępowanie sądowoadministracyjne (skarga) Decyzje wydane przez prezesa urzędu podlegają natychmiastowemu wykonaniu, a wniesienie skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej
NARUSZENIA OCHRONY DANYCH NARUSZENIE PODSTAWOWYCH ZASAD PRZETWARZANIA: warunki wyrażenia zgody brak podstawy prawnej do przetwarzania danych nieprzestrzeganie zasad rzetelności, przejrzystości, ograniczenia czasowego NARUSZENIE PRAW WŁAŚCICIELI DANYCH: obowiązek informacyjny przejrzysta komunikacja prawo dostępu do danych, ograniczenia przetwarzania, przenoszenia danych, usunięcia danych NIESTOSOWANIE ZASAD PRIVACY BY DEFAULT I PRIVACY BY DESIGN NIEPROWADZENIE REJESTRU CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH NIEZGŁOSZENIE NARUSZEŃ ORGANOWI NADZORCZEMU NIEWYZNACZENIE IOD
ODPOWIEDZIALNOŚĆ CYWILNA Każda osoba, której dane zostały naruszone może żądać, zaniechania tego działania oraz usunięcia jego skutków Możliwość wystąpienia z innymi roszczeniami (np. odszkodowawczymi) Niezależnie od prowadzonego postępowania przed Prezesem Urzędu lub przed sądem administracyjnym ODPOWIEDŹ KARNA Udaremnianie lub utrudnianie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych grzywna Przetwarzanie szczególnych kategorii danych bez podstawy prawnej - grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku
NAJWAŻNIEJSZE ZMIANY W PROJEKCIE NOWY ORGAN NADZORCZY JEDNOINSTANCYJNE POSTEPOWANIE KARY DO 100 TYS. ZŁOTYCH Z WYJĄTKIEM INSTYTUCJI KULTURY DECYZJE Z RYGOREM NATYCHMIASTOWEJ WYKONALNOŚCI ODPOWIEDZIALNOŚĆ CYWILNA ODPOWIEDZIALNOŚĆ KARNA