Ministerstwo Cyfryzacji opublikowało wstępny projekt ustawy o ochronie danych osobowych. Z projektu można dowiedzieć się między innymi, że GIODO zostanie zastąpione przez Urząd Ochrony Danych Osobowych. Na czele Urzędu Ochrony Danych Osobowych (UODO) ma stać Prezes. Oznacza to, że funkcja Generalnego Inspektora Danych Osobowych zostanie zlikwidowana.
Akredytacja podmiotów certyfikujących
Z projektu wynika, że Prezes Urzędu Ochrony Danych Osobowych będzie dokonywał akredytacji podmiotów certyfikujących. Same kryteria akredytacji będzie określał Prezes Urzędu i będą one publikowane w Biuletynie Informacji Publicznej. Dokonując akredytacji, Prezes Urzędu Ochrony Danych Osobowych będzie wystawiał certyfikat akredytacyjny. Podmiot, który otrzymał certyfikat akredytacyjny będzie zobowiązany do spełniania warunków akredytacyjnych przez cały okres obowiązywania ważności akredytacji. Za udzielenie akredytacji będzie pobierana opłata, której wysokość projekt na razie nie określa.
Certyfikat ochrony danych osobowych tylko na wniosek
Zgodnie z projektem, podmiot chcący uzyskać certyfikat ochrony danych osobowych będzie musiał złożyć wniosek do akredytowanego podmiotu certyfikującego. Podmiot certyfikujący rozpatruje wniosek o certyfikację w terminie 3 miesięcy od dnia złożenia kompletnego wniosku, zawiadamia o udzieleniu lub odmowie udzielenia certyfikacji. W tym czasie powinny przeprowadzić się również audyt przetwarzania danych osobowych, które projekt nazywa „czynnościami sprawdzającymi”.
Prawo kontroli przetwarzania danych osobowych
Urząd Ochrony Danych Osobowych będzie uprawniony do przeprowadzania kontroli zgodności z prawem przetwarzania danych osobowych. UODO będzie miało możliwość wprowadzenia planu kontroli, które będą mogły objąć różne branże lub sektory. W czasie kontroli pracownicy UODO będą uprawnieni m.in. do:
1. wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przetwarzanymi danymi osobowymi,
2. przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych.
Pracownicy podmiotu podlegającemu kontroli będą mogli być przesłuchiwani w charakterze świadków. Z czynności kontrolnych będzie sporządzany protokół. . Przed podpisaniem protokołu będzie można, w terminie 7 dni od przedstawienia protokołu, złożyć na piśmie zastrzeżenia do protokołu. Będzie to ważne na etapie w ewentualnego postępowania prowadzonego w celu nałożenia kary pieniężnej.
Projekt jest na dzień 29 marca 2017 r. wersją roboczą. Nie mniej jednak stanowi on ważną informację, o tym, w którą stronę idą prace nad wdrożeniem RODO.
