Obecnie w Sejmie znajduje się uchwalony przez Radę Ministrów projekt ustawy o ochronie danych osobowych, który to ma zastąpić dotychczasową regulację i dostosować nasz porządek prawny do przepisów unijnych. Wprowadzenie nowej ustawy o ochronie danych osobowych wynika z konieczności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej Rozporządzeniem.
W związku bowiem z bezpośrednim stosowaniem Rozporządzenia od dnia 25 maja 2018 r., polskie przepisy muszą zapewniać skuteczne stosowanie jego przepisów, nie powielając przedstawionych tam rozwiązań oraz przede wszystkim – nie pozostając w sprzeczności z przepisami unijnymi.
W świetle z art. 1 ust. 1 projektu ustawy o ochronie danych osobowych – ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 Rozporządzenia. Ochrona ta (zgodnie z motywem 14 Preambuły do Rozporządzenia) obowiązywać ma niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych.
Wśród zmian należy wskazać m.in. na likwidację dwuinstancyjnej procedury odwoławczej. Zachowano, co prawda, generalną zasadę, iż do postępowań toczących się w przedmiocie kontroli przestrzegania ochrony danych osobowych stosuje się przepisy kodeksu postępowania administracyjnego z tym jednak zastrzeżeniem, że od decyzji Prezesa Urzędu Ochrony Danych Osobowych przysługuje bezpośrednio skarga do WSA, a nie wniosek o ponowne rozpoznanie sprawy (jak ma to miejsce obecnie w razie wydania decyzji przez GIODO).
Jak wynika z uzasadnienia projektu ustawy, za wprowadzeniem jednoinstancyjności postępowania przemawia konieczność zapewnienia osobie, której prawa zostały naruszone, ostatecznego rozstrzygnięcia (ostatecznej decyzji administracyjnej), które będzie mogło być skutecznie i szybko egzekwowalne. Ochrona danych osobowych osoby fizycznej wymaga zatem, by zasadą była natychmiastowa wykonalność takich decyzji. Ochrona wartości, jaką są dane osobowe osoby fizycznej, wymaga natychmiastowego działania, inaczej często traci swój sens, gdyż z upływem czasu naruszenia mogą mieć miejsce na wielką skalę, a ich skutki nieodwracalny charakter.
Powyższe nie uszczupli ochrony podmiotu wobec którego wydano decyzję, albowiem rozstrzygnięcia wydawane przez Prezesa Urzędu jako organ właściwy w sprawie ochrony danych osobowych będą podlegały zaskarżeniu do sądu administracyjnego i skargi w tych sprawach będą podlegały dwuinstancyjnemu postępowaniu sądowoadministracyjnemu. Nie zostaje również wyłączone prawo strony takiego postępowania do żądania wstrzymania wykonalności decyzji lub postanowienia.
Kolejne zmiany dotyczą kontroli przestrzegania ochrony danych osobowych oraz centralnego nadzoru w tym zakresie. Projekt przewiduje bowiem ustanowienie nowego, niezależnego organu zajmującego się sprawami ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Zastąpi on Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Istotnym novum jest upoważnienie wspomnianego PUODO lub bezpośrednio kontrolującego do wspomagania się przy czynnościach kontrolnych asystą Policji. W świetle bowiem art. 85 ust. 1 i 2 projektu ustawy Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do przeprowadzenia czynności kontrolnych (na pisemne wezwanie przedstawione, co najmniej 7 dni przed terminem tych czynności). Nie wyklucza to możliwości doraźnej, pilnej pomocy, w szczególności, gdy kontrolujący trafi na opór uniemożliwiający lub utrudniający przeprowadzenie czynności kontrolnych – wówczas udzielenie pomocy następuje również na ustne wezwanie Prezesa Urzędu lub kontrolującego, po okazaniu upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej kontrolującego.
Z drugiej strony jednak wprowadzono czasowy limit trwania kontroli w zakresie przestrzegania ochrony danych osobowych. Zgodnie z treścią projektowanego art. 89 ust. 1 kontrolę prowadzi się nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Do powyższego terminu nie wlicza się jednak terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu lub podpisanie i doręczenie protokołu przez kontrolowanego.
Ostatecznym terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania protokołu.
Praktyka pokaże, czy przyjęte przez polskiego ustawodawcę rozwiązania z jednej strony – zapewnią skuteczną egzekucję należytej ochrony danych osobowych, zaś z drugiej – faktycznie przyspieszą rozpoznawanie spraw z zakresu ochrony danych osobowych. Powyższe jest aktualne zwłaszcza mając na względzie powszechność i kompleksowy charakter ochrony danych osobowych. Pojawiają się bowiem głosy o możliwym zaistnieniu zjawiska tzw. „RODO trollingu” polegającego na masowym zgłaszaniu naruszeń ochrony danych osobowych przez określone podmioty czy organizacje, podobnie jak miało to miejsce w przypadku klauzul niedozwolonych w regulaminach sklepów internetowych czy też masowych wniosków o udostępnienie informacji publicznej. Będzie to zatem swoisty test zarówno dla instytucji kontrolujących, jak też i samych kontrolowanych..
Z chwilą wejścia w życie nowej ustawy utraci moc dotychczasowa ustawa o ochronie danych osobowych z 29 sierpnia 1997 r.