Ustawa wdrażająca RODO – niebawem kolejne zmiany w PT [aktualizacja 23.04.]
Pożyczka szerokopasmowa – pięć faktów
8 kwietnia, 2019
Co dalej z 1.1 POPC?
22 kwietnia, 2019

Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znana szerzej pod nazwą ustawy wdrażającej RODO, doczekała się podpisu Prezydenta RP. Oznacza to, że niebawem zacznie obowiązywać, a przedsiębiorcy muszą być świadomi, że czekają ich kolejne zmiany w wielu ustawach sektorowych. Zmiany nie oszczędzą również ISP, gdyż ustawa wdrażająca RODO dotyka również przepisów Prawa telekomunikacyjnego.

[Aktualizacja: Ustawę opublikowano w Dzienniku Ustaw RP tuż przed świętami, w Wielki Piątek.  Oznacza to, że gros przepisów, jakie zmienia Ustawa, w tym PT, czy kodeksu pracy, będzie obowiązywać w nowym brzmieniu po upływie 14. dniowego terminu vacatio legis, czyli od 4 maja 2019 roku]

Niezależne od RODO środki ochrony danych

ISP staną niebawem po raz kolejny przed wdrożeniem środków ochrony zapewniających bezpieczeństwo przetwarzania danych osobowych. Ustawa wdrażająca RODO przewiduje, że niezależnie od środków, które już przewiduje RODO w tym zakresie, przedsiębiorca wdrożyć ma środki ochrony co najmniej zapewniające, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora, aby chroniły przechowywanie lub przekazywanie danych przed bezprawnym dostępem oraz środki zapewniające wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Szczególnie ten ostatni środek bezpieczeństwa może niektórym z przedsiębiorców kojarzyć się z poprzednio obowiązującą ustawą o ochronie danych osobowych. Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych składały się na dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych.

Krótszy termin na zawiadomienie o naruszeniu

W zakresie obowiązku zawiadomienia Prezesa UODO o naruszeniu ochrony danych osobowych, RODO przewiduje termin 72 godzin. Ustawa wdrażająca RODO wprowadza w tym zakresie uregulowanie odmienne, mające swoje źródło w unijnym rozporządzeniu nr 611/2013 z dnia 24 czerwca 2013 r., zgodnie z którym, „dostawca powiadamia właściwy organ krajowy o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne.”

Załącznik nr 1 do ww. rozporządzenia zawiera treść powiadomienia krajowego organu nadzoru o wykrytym naruszeniu danych osobowych.

Zmienione przepisy PT stanowią zatem, że dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia.

Treść powiadomienia zasadniczo odpowiada zawartości formularza, który obecnie jest stosowany do zawiadamiania Prezesa UODO o naruszeniu ochrony danych, ale zapewne doczekamy się komunikatu ze strony PUODO o tym, czy w związku ze zmianami w PT, przedsiębiorcy telekomunikacyjni powinni w dalszym ciągu posługiwać się formularzem głównym i w jakiej formie organ nadzoru będzie zawiadamiany o naruszeniu (obecnie organ nadzoru przewiduje kilka możliwości, w tym w formie elektronicznej oraz tradycyjnej).

Wszystkie naruszenia powinny być odnotowane w prowadzonym obowiązkowo przez przedsiębiorcę telekomunikacyjnego rejestrze naruszeń ochrony danych. Brak prowadzenia takiego rejestru może stanowić podstawę do wymierzenia kary pieniężnej przez Prezesa UODO.

Kara również od Prezesa UODO

Kary pieniężne za nieprzestrzeganie przepisów PT nakładać będzie mógł nie tylko Prezes UKE. Znowelizowane przepisy PT przewidują kilka przypadków, gdzie wprost o taką kompetencję wzbogacił się Prezes UODO. Za brak wypełniania obowiązku prowadzenia rejestru naruszeń danych osobowych, obowiązku informacyjnego względem Prezesa UODO i abonenta o naruszeniu danych osobowych, jak również za niewdrożenie technicznych i organizacyjnych środków ochrony, o których pisaliśmy na samym początku, Prezes UODO nałoży karę pieniężną w wysokości 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym.

Autorem wpisu jest Jarosław StraśSpecjalista z zakresu prawa handlowego i problematyki dotyczącej ochrony danych osobowych, a także obowiązków przedsiębiorców telekomunikacyjnych na rzecz obronności i bezpieczeństwa oraz realizacji przez nich projektów dotowanych ze środków UE. W Kancelarii zajmuje się głównie obsługą prawną przedsiębiorców, w tym tworzeniem i restrukturyzacją firm. Prowadzi szkolenia i audyty dotyczące stosowania przepisów RODO oraz zarządzania systemem ochrony danych osobowych. Uczestnik konsultacji społecznych projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO). Posiada certyfikat kompetencji Inspektora Ochrony Danych (luty 2018).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*