Nowe kary dla przedsiębiorców telekomunikacyjnych w ustawie wprowadzającej RODO
Zaproszenie na urodziny MIŚOT
Wrzesień 20, 2018
POPC a udzielanie zamówień i wybór wykonawcy
Wrzesień 26, 2018
Pokaż wszystko

Projekt ustawy wprowadzającej RODO, a posługując się językiem ustawodawcy, ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 doczekał się kolejnej wersji. Najnowszy projekt pochodzi z 21 sierpnia 2018 roku.

Przypomnijmy, że RODO ze względu na swoją rangę wśród aktów prawa europejskiego stosowane jest w krajach członkowskich bezpośrednio, bez potrzeby wydawania aktów implementacyjnych. Ustawa wprowadzająca RODO ma jednak za cel dostosowanie ponad 170 krajowych aktów prawnych rangi ustawowej pod kątem zgodności z unijnym rozporządzeniem. W grupie ustaw, których przepisy mają podlegać zmianie znalazła się również ustawa Prawo telekomunikacyjne.

Chociaż w dalszym ciągu mówimy o fazie prac projektowych nad ustawą to warto już teraz przyjrzeć się kilku zmianom, które przewiduje ustawodawca w przypadku przedsiębiorców telekomunikacyjnych.

Wśród dotychczas stosowanych kar pieniężnych, o których mowa w art. 210 PT, projekt ustawy przewiduje dodanie art. 210a z następującą grupą nowych kar z tytułu niewypełniania obowiązków z zakresu ochrony danych osobowych:

  • niewypełniania obowiązku wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 1741 PT,
  • niewypełnienia obowiązku informacyjnego, względem Prezesa UODO, o którym mowa w art. 174a ust. 1 PT,
  • niewypełnienia obowiązku informacyjnego, względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3 PT,
  • niewypełniania obowiązku prowadzenia rejestru naruszeń danych osobowych, o których mowa w art. 174d ust. 1 PT.

Obowiązek wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 1741 PT

O technicznych i organizacyjnych środkach ochrony zapewniających bezpieczeństwo przetwarzania danych jest już mowa w RODO. Środki ochrony przykładowo wymienione w art. 32 RODO sformułowane są w sposób ogólny. Zbliżony stopień szczegółowości da się również zauważyć w przepisach projektu art. 1741 PT.

Jest tam mowa m.in. o obowiązku ochrony przechowywanych lub przekazywanych danych przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem.

Jak widać, trudno nie dostrzec tutaj wpływu europejskiego ustawodawcy w dość ogólnym formułowaniu przepisów o krajowym zasięgu 🙂

Innym wymogiem, jaki przepisuje art. 1741 PT jest z kolei zapewnienie wdrożenia, dobrze nam znanej z przepisów ustawy o ochronie danych osobowych z 1997 r., polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Obowiązek notyfikacji Prezesa UODO oraz abonenta i użytkownika końcowego o naruszeniu ochrony danych

Obowiązek notyfikacji względem organu nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych znany już był przedsiębiorcom telekomunikacyjnym. Dość powiedzieć, że do momentu stosowania RODO, obowiązek ten kojarzyli praktycznie wyłącznie przedsiębiorcy telekomunikacyjni.

Wraz z nadejściem RODO, obowiązek zawiadomienia o naruszeniu ochrony danych nałożony został na wszystkie podmioty przetwarzające dane.

Przedsiębiorcy telekomunikacyjni mogą jednak po raz kolejni czuć się wyróżnieni. Projektowane zmiany w PT przewidują, że Prezes UODO będzie zawiadamiany o naruszeniu danych osobowych w terminie i na zasadach określonych nie w RODO, ale w przepisach rozporządzenia Komisji (UE) nr 611/2013. Termin na zawiadomienie zgodnie z rozporządzeniem Komisji wynosi 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne. Jest to zatem termin krótszy niż określony w RODO, który wynosi 72 godziny.

Obowiązek prowadzenia rejestru naruszeń danych osobowych

Obowiązek prowadzenia rejestru naruszeń jest obecnie przewidziany w art. 174d PT. Natomiast za sprawą planowanych zmian, brak prowadzenia takiego rejestru będzie w przyszłości sankcjonowany karą pieniężną. Na rejestr powinny składać się opisy i informacje szczegółowo wyliczone w punktach 1-6 art. 174d PT.

Wysokość kar bez zmian

Kary pieniężne w ww. przypadkach będzie bezpośrednio nakładał Prezes Urzędu Ochrony Danych Osobowych. Ich wysokość ma być ustalona na poziomie do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku.

Autorem wpisu jest Jarosław Straś. Specjalista z zakresu prawa handlowego i problematyki dotyczącej ochrony danych osobowych, a także obowiązków przedsiębiorców telekomunikacyjnych na rzecz obronności i bezpieczeństwa oraz realizacji przez nich projektów dotowanych ze środków UE. W Kancelarii zajmuje się głównie obsługą prawną przedsiębiorców, w tym tworzeniem i restrukturyzacją firm. Prowadzi szkolenia i audyty dotyczące stosowania przepisów RODO oraz zarządzania systemem ochrony danych osobowych. Uczestnik konsultacji społecznych projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO). Posiada certyfikat kompetencji Inspektora Ochrony Danych (luty 2018).

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*