Celem spotkania jest przedstawienie stanowiska resortu, wypracowanego po analizie licznych uwag, zgłoszonych do projektu nowej ustawy o ochronie danych osobowych. 
Ministerstwo Cyfryzacji uwzględniło m.in. uwagi, które zgłosiła Kancelaria Prawna Urbanek i Wspólnicy, Konfederacja Lewiatan i kilka innych organizacji. Do ustawy wprowadzone zostanie rozwiązanie, w świetle której Polskie Centrum Akredytacji będzie podmiotem akredytującym podmioty certyfikujące.

Wydawanie certyfikatów
Projektodawca przychylił się do licznych pojawiających się stanowisk, że przyznanie certyfikacji wyłącznie Prezesowi Urzędu (nowemu GIODO) będzie stanowiło jego poważne obciążenie administracyjne. Do ustawy wprowadzone zostanie więc rozwiązanie, w świetle której Polskie Centrum Akredytacji będzie podmiotem akredytującym podmioty certyfikujące.

Czytaj też: Sekwencja obowiązków wynikających z RODO>>

Przy ogromnej liczbie nowych obowiązków nałożonych na organ, certyfikacja może się wtedy znacznie wydłużyć co będzie wpływało negatywnie na funkcjonowanie rynku. Jednocześnie wymóg posiadania certyfikatu może być jednym z elementów specyfikacji istotnych warunków zamówień podmiotów międzynarodowych, a długie postępowania certyfikacyjne mogą doprowadzić do dyskryminacji polskich przedsiębiorców względem pozostałych. Projektodawca dostrzega również możliwość zaistnienia konfliktu interesów, gdy jedynym podmiotem certyfikującym byłby organ prowadzący postępowania w sprawie naruszeń przepisów o ochronie danych osobowych. Przedsiębiorcy wiedząc o tym, że w razie jakichkolwiek naruszeń, organ może wszcząć postępowanie z urzędu oraz możliwość ujawnienia nieprawidłowości w trakcie podejmowanych przez organ czynności sprawdzających w ramach certyfikacji, mogą obawiać się podejmowania czynności certyfikacyjnych. Przy podjęciu powyższej decyzji uwzględniono również międzynarodowy wymiar podejmowanej certyfikacji. Nie można wyeliminować sytuacji, w której o uzyskanie certyfikacji w Polsce ubiegały będą się podmioty zagraniczne, uwzględniając wysokość opłat certyfikacyjnych w innych państwach członkowskich UE.

Zgłaszanie nielegalnych treści
W przepisach wprowadzających autorzy projektu ustawy o ochronie danych osobowych uwzględni propozycje NASK (Instytut Badawczy podległy MC, zapewnienia bezpieczeństwo internetu).

Czytaj też>> RODO – coraz mniej czasu na przygotowanie się do nowych zasad ochrony danych osobowych
 

W strukturze Państwowego Instytutu Badawczego NASK działać będzie punkt kontaktowy do zgłaszania nielegalnych i szkodliwych treści. Nielegalne treści zgłaszać się będzie poprzez formularz na stronie internetowej dyzurnet.pl.  Dlatego proponuje się wyłączenie zespołu Dyżurnet.pl  z niektórych obowiązków nałożonych przez ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku o ochronie danych.

Propozycja rektorów - przyjęta
Konferencja Rektorów Akademickich Szkół Polskich zauważyła, ze ochrona danych powinna mieć zastosowanie do osób fizycznych, bez względu na obywatelstwo czy miejsce zamieszkania. Należy zauważyć, że ochrona danych nie będzie dotyczyła osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie. Zakres przedmiotowy obejmuje przetwarzanie danych w sposób całkowicie zautomatyzowany, częściowo zautomatyzowany, a także dotyczy przetwarzania w sposób inny niż zautomatyzowany.
Ustawa będzie miała także zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii czy poza Unią. Nowa ustawa pozwala także na przetwarzanie danych osobowych przez administratora niemającego siedziby w UE.


Jawność rejestru
Prezes Urzędu prowadził będzie ewidencję zawiadomień i udostępnieniu podlegały będą dane w zakresie imienia i nazwiska inspektora ochrony danych. Przepis w tym zakresie zostanie doprecyzowany. Taki był wniosek m.in Stowarzyszenie ABI i Polskiej Sieci Szpitali.

Wszczęcie postępowania bez zgody
Ministerstwo przychyliło się także do uwag Stowarzyszenia Notariuszy RP. Opowiedzieli się oni przeciwko możliwości występowania przez organizacje społeczne z żądaniem wszczęcia postępowania i dopuszczenie ich do udziału w postępowaniu bez zgody osoby, której dane zostały naruszone. Zwłaszcza, że Rozporządzenie unijne nie nakłada takiego obowiązku, a jedynie daje możliwość takiej regulacji w prawie krajowym.
Nadużycia, działania contra legem występowały w ostatnich latach np. w prawie konkurencji i prawie budowlanym.

Przepisy przejściowe
Konfederacja Lewiatan zwraciła uwagę, że w projekcie oraz przepisach wprowadzających brak jest regulacji intertemporalnej, pozwalającej zagwarantować, że w momencie wejścia w życie ustawy systemy internetowe będą działać, a zatem możliwe będzie dokonywanie przez zainteresowanych odpowiednich zawiadomień i zgłoszeń. W sytuacji, gdyby nastąpiło zatem jakiekolwiek opóźnienie w zakresie uruchomienia tych systemów, podmioty nie miałyby zapewnionej możliwości realizacji obowiązków określonych Ustawą.

Dlatego MC umożliwi podmiotom dokonywania zawiadomień lub zgłoszeń w formie pisemnej, do czasu uruchomienia odpowiednich systemów informatycznych. Analogicznie, art. 39 Ustawy przewiduje ogłoszenie przez Prezesa Urzędu w komunikacie wykazu rodzajów operacji przetwarzania danych osobowych, o których mowa w art. 35 ust. 4 Rozporządzenia.

Więcej>>Dr Gryszczyńska: nie będzie karnorprawnej odpowiedzialności za nielegalne przetwarzanie danych osobowych