W dniu 15 stycznia 2018 r. w Sejmie odbyła się konferencja podsumowująca prace związane z przygotowaniem projektu ustawy o ochronie danych osobowych przez Ministerstwo Cyfryzacji. Ustawa o ochronie danych osobowych ma na celu doprecyzowywanie i uzupełnienie w niezbędnym zakresie regulacji wynikających z RODO. Dzięki zagwarantowaniu przez Ministerstwo Cyfryzacji transparentności prowadzonych prac, radca prawny Danuta Gogolińska-Gajda miała okazję brać bezpośredni udział w konsultacjach w Sejmie.

Poniżej podsumowanie najważniejszych zagadnień jakie zostały poruszone na konferencji.

Ograniczenie obowiązków dla małych i średnich przedsiębiorstw

Zasadniczą zmianą jaka ma zostać wprowadzona do projektu ustawy jest ograniczenie obowiązków jakie wynikają z RODO w stosunku do małych i średnich przedsiębiorstw. Jeśli przedsiębiorca zatrudnia mniej niż 250 pracowników, a także wykaże, że nie przetwarza danych wrażliwych i ich nie udostępnia podmiotom trzecim, nie będzie zobowiązany do realizacji niektórych obowiązków (m.in. informowania, o którym mowa w art. 13 RODO (to największe zaskoczenie!) oraz zawiadomienia o naruszeniu danych osobowych osób, których te dane dotyczą z art. 34 RODO). Jeśli zaproponowaną zmianę uda się uchwalić to oszczędzi ona znacznie pracy przy wdrażaniu RODO w przypadku części przedsiębiorstw.

Możliwość uzyskania certyfikatu zgodności z RODO

Przedsiębiorcy będą mogli ubiegać o wydanie certyfikatu poświadczającego spełnienie wymogów dotyczących ochrony danych osobowych wynikających z RODO i przepisów krajowych. Koszt takiego certyfikatu będzie wynosił około 12 tysięcy złotych. Podczas konferencji przedmiotem dyskusji było ustalenie czy certyfikat powinien być przyznawany na rzecz konkretnego podmiotu (przedsiębiorcy) czy raczej procesu/produktu. Kwestia ta będzie przedmiotem dalszych analiz.

Akredytacja podmiotów prywatnych

Certyfikaty, o których mowa powyżej będą mogły być wydawane nie tylko przez Prezesa Urzędu Ochrony Danych Osobowych, ale także przez podmioty prywatne. W rozmowach kuluarowych dyrektor Maciej Kawecki z Ministerstwa Cyfryzacji wyjaśnił, że opłata oraz warunki akredytacji dla podmiotów prywatnych zostaną ustalone przez Polskie Centrum Akredytacji, któremu zostanie przyznana kompetencja do ustalania kryteriów.

Obecnie projekt ma trafić do Komisji do Spraw Europejskich, a na początku marca do Sejmu. Ministerstwo Cyfryzacji zakłada, że ustawa o ochronie danych osobowych wejdzie w życiu najpóźniej w dniu 25 maja 2018 r., czyli w dniu rozpoczęcia stosowania RODO.

Relacja wideo z konferencji jest dostępna tu.