Senacka Komisja Praw Człowieka, Praworządności i Petycji zarekomendowała przyjęcie ustawy o ochronie danych osobowych (UODO) bez poprawek. Za jej wnioskiem zagłosowało 54 senatorów, przeciw było 19, a jeden wstrzymał się od głosu - w sumie głosowało 74.

- Gdy Prezydent RP podpisze ustawę, Polska znajdzie się w czołówce – a nawet w pierwszej piątce państw UE, które przyjmą nowe prawo w tym zakresie - podkreśla Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji. - Temu prawie dwu letniemu procesowi legislacyjnemu towarzyszyły też setki spotkań konsultacyjnych. To co mogę powiedzieć z całą pewnością to to, że tworzenie ustawy wraz z jej całym pakietem konsultacyjnym było  dla wszystkich ogromną lekcją ochrony danych osobowych. Zwłaszcza, że RODO nie jest łatwym aktem prawnym - mówi Kawecki. I dodaje, że kilka dni temu Kanclerz Angela Merkel powiedziała, że niektóre z elementów RODO są dla przedsiębiorców zwyczajnie trudne.

Nastolatek zrobi e-zakupy za zgodą rodziców

Aleksander Pociej, senator PO, zgłosił poprawkę, aby dzieci już od 13 roku życia decydowały o swojej działalności w internecie. Jego wniosek jednak nie był głosowany. Zgodnie z nową ustawą serwisy internetowe przetwarzające dane osobowe będą musiały podczas rejestracji pytać o wiek użytkowników. W przypadku młodszych niż 16 lat zgodę na przetwarzanie będzie wyrażał rodzic. W interesie administratora serwisu będzie stworzenie systemu weryfikującego prawdziwość takich oświadczeń.

Związek Przedsiębiorców i Pracodawców, Konfederacja Lewiatan apelowały, by obniżyć ten wiek do 13 lat. - Przepisy unijnego rozporządzenia pozostawiają swobodę , w tym zakresie. Wiek nie mógł być określony poziomie  niższym niż 16 lat, choć nie mogło to być mniej niż 13. Dopiero w ostatecznej wersji rządowej ustawy wiek podniesiono do 16 lat, mimo iż od początku, pilotujące projekt Ministerstwo Cyfryzacji popierało wiek 13 lat – mówi dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Ministerstwo Cyfryzacji w uzasadnieniu do ustawy, przypomniało, iż zgodnie z kodeksem cywilnym osobom powyżej 13 roku życia przysługuje ograniczona zdolność do czynności prawnych. Może ona zwierać umowy w drobnych bieżących sprawach życia codziennego, czyli: kupić gazetę, jedzenie, ulubioną grę, bilet do kina/; kupować i sprzedawać na serwisach internetowych (z ograniczeniami poszczególnych kategorii); posiadać rachunek bankowy (otwarcie za zgodą opiekuna), korzystać z usług telekomunikacyjnych (po zawarciu umowy w obecności opiekuna).

- Tymczasem, podwyższenie wieku do lat 16 będzie oznaczało, iż mimo że taka osoba kupi sobie bilet do kina, to nie będzie mogła zapisać się na kinowy newsletter, będzie mogła skorzystać z map online, jednak nie będzie mogła zgodzić się na udostępnienie informacji o swojej lokalizacji, więc nie będzie mogła sprawdzić rozkładu jazdy komunikacji miejskiej z najbliższego przystanku, czy być adresatem informacji o korkach i opóźnieniach. Osoby takie będą mogły korzystać z serwisów streamingowych (np. wideo lub muzyki), ale serwisy te nie będą mogły wyświetlać im polecanych obok filmów czy utworów bazując na ich preferencjach – dodaje dr Aleksandra Musielak.

I dodaje, że przyjęty przepis będzie martwy, bo dostawcy usług nie mają możliwości technicznych, aby zweryfikować, kto siedzi przed monitorem i kto taką zgodę udzielił. Poza tym, ciężko oczekiwać, by osoba, której do osiągnięcia pełnoletniości brakuje 2 lata, korzystała z Internetu w permanentnej obecności rodziców, gotowych do wyrażenia w jej imieniu zgody na przetwarzanie danych osobowych.

Fundacja Panoptykon, która zajmuje się ochroną prywatności uważa, że określenie progu na 13 czy 16 lat to rzecz wtórna. Podkreśla, że najważniejsze jest, by dzieci zdawały sobie sprawę, że to, co wrzucą do internetu, może tam pozostać na zawsze i za wiele lat może być odczytane choćby przez ich potencjalnego pracodawcę.

Podczas prac w Senacie uwagi zgłosiło też jego Biuro Legislacyjne oraz Konfederacja Lewiatan. Najważniejsze dotyczyły przepisów o monitoringu, ale żadna nie została uwzględniona.
Czytaj więcej. Senat zajmie się we wtorek ustawą o ochronie danych osobowych >>





UODO ma wejść w życie 25 maja, czyli za 9 dni. Tego dnia zacznie być stosowane unijne rozporządzenie 2016/679 w sprawie ochrony danych osobowych (RODO).* A nowa ustawa dostosowuje do niego częsciowo polskie przepisy.
Czytaj więcej: RODO: przepisy wprowadzające powinny trafić do Sejmu w maju>>

To nie koniec zmian

Problem w tym, że UODO to nie jedyny akt wdrażający unijne przepisy. Na przyjęcie przez rząd czeka jeszcze liczący ponad 380 stron projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Zmienia on kilkadziesiąt ustaw po to, by usprawnić funkcjonowanie określonych branż, nie zaniżając jednocześnie poziomu ochrony prywatności obywateli. Jak poinformował Maciej Kawecki, w środę przyjął ją Komitet do Spraw Europejskich Rady Ministrów.  -  Cały czas pracujemy nad przepisami wprowadzającymi RODO, które zmieniają grubo ponad 100 ustaw. Chociaż ta liczba zmienia się w trakcie procesu legislacyjnego - mówi Kawecki. Jeszcze w kwietniu bowiem projekt dotyczył ponad 200 ustaw.
 

Do przyjęcia przez Radę Ministrów droga jednak jeszcze daleka. Musi ją jeszcze zaakcpetować m.in. Komitet Ekonomiczny RM, Stały Komitet RM oraz Komisja Prawnicza. A to oznacza, że te przepisy, ważne dla m.in. sektora ubezpieczeń, bankowego czy pracodawców nie będą gotowe na 25 maja

Dużo zadań dla firm

Co zmienia unijne rozporządzenie i uchwalona ustawa?  Dają m.in. prawo do bycia zapomnianym, umożliwiają usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, a także prawo do przenoszenia danych. Będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi.
Czytaj również: Po 25 maja ruszy RODO trolling  >>

Dla wszystkich firm i podmiotów przetwarzających dane oznacza jednak wiele pracy. Muszą one bowiem
•    przeprowadzić inwentaryzację:  ustalić kogo dane, jakie, jak, po co, na jakiej podstawie, kto (którzy zatrudnieni), na czym, u kogo przetwarzają;
•    przygotować dokumentację: opracować polityki/zasad ochrony danych, procedury informowania oraz rejestry odbiorców danych, zgód, żądań osób, których dotyczą czy naruszeń;
•    zaktualizować umówy powierzania przetwarzania danych i współpracy.

RODO nakładają  także obowiązek powiadomienia o wycieku danych osobowych i warto przygotować sposób postępowania w tym zakresie. Nowe przepisy stanowią też, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą. RODO przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. całego obrotu firmy. Będzie je nakładać prezes nowo powołanego Urzędu Ochrony Danych Osobowych.


  RODO. Przewodnik ze wzorami >>

* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.