Z dniem 24 maja 2016 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.  Rozporządzenie zacznie obowiązywać od dnia 25 maja 2018 r. Oznacza to, że wszystkie operacje przetwarzania danych, które są obecnie prowadzone w państwach członkowskich UE od dnia 25 maja 2018 r. będą musiały być zgodne z tym Rozporządzeniem.

W Polsce instytucją odpowiedzialną za koordynację procedur związanych z wdrożeniem rozporządzenia 2016/679 jest Ministerstwo Cyfryzacji. Ministerstwo to opracowało i opublikowało na swoich stronach projekty dwóch ustaw dotyczących ochrony danych osobowych, które zostały poddane konsultacjom społecznych. Są to:

1) ustawa z dnia …. 2017 r. o ochronie danych osobowych oraz
2) ustawa z dnia …. 2018 r. Przepisy wprowadzające ustawę o ochronie danych osobowych.

A) Projekt ustawy o ochronie danych osobowych - omówienie

Zakres zastosowania

Projektowana ustawa o ochronie danych osobowych będzie miała zastosowanie do ochrony osób fizycznych, w związku z przetwarzaniem ich danych osobowych. Wobec powyższego, przepisy ustawy nie znajdą zastosowania do ochrony innych podmiotów w związku z przetwarzaniem ich danych osobowych. Takie ujęcie zakresu podmiotowego projektu ustawy o ochronie danych osobowych odpowiada zakresowi podmiotowemu rozporządzenia 2016/679. Niniejsze rozporządzenie nie dotyczy bowiem przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Jednocześnie, projekt ustawy nie zawiera przepisów o przetwarzaniu danych osobowych osób zmarłych. W tym zakresie instrumentem ochrony będą przepisy o ochronie dóbr osobistych przewidziane w kodeksie cywilnym (np. w ramach kultu pamięci osoby zmarłej).

Zakres przedmiotowy projektowanej ustawy będzie odpowiadał zakresowi przedmiotowemu rozporządzenia 2016/679, co oznacza, że ustawa będzie miała zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych.  

Ustawa nie będzie dotyczyła przetwarzania danych osobowych:

1) w ramach działalności nieobjętej zakresem prawa Unii;
2) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 Traktatu o funkcjonowaniu Unii Europejskiej;
3) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
4) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Ustawa znajdzie zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Będzie miała zastosowanie także do przetwarzania danych osób przebywających w Unii przez administratora lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Nowa ustawa będzie też stosowana do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.

W nowej ustawie wyłączono stosowanie niektórych regulacji rozporządzenia 2016/679. Dotyczyć to ma:

- działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych (w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe),
- działalności literackiej,
- działalności artystycznej,
- wypowiedzi akademickiej.

Możliwość dokonania takich wyłączeń wynika z przepisu art. 85 rozporządzenia 2016/679. Zgodnie z tym przepisem, państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych na mocy rozporządzenia 2016/679 z wolnością wypowiedzi i informacji, w tym do przetwarzania dla potrzeb dziennikarskich oraz do celów wypowiedzi akademickiej, artystycznej lub literackiej. Przewidywane wyłączenia stosowania przepisów rozporządzenia 2016/679 uznano za niezbędne dla pogodzenia prawa do ochrony danych osobowych z prawem do wolności wypowiedzi i informacji. Wyłączenia te mają pierwszeństwo, o ile korzystanie z nich nie narusza istotnie praw lub wolności podmiotu danych, np. poprzez wykorzystanie tych danych faktycznie w innym celu niż twórczość dziennikarska, artystyczna lub literacka (np. w celu zniesławienia).

Projekt ustawy zakłada, zatem wyłączenie następujących obowiązków administratora lub podmiotu przetwarzającego:

- informowanie osoby, której dane dotyczą o danych pozyskanych od tej osoby,
- dostarczania osobie, której dane dotyczą kopii danych,
- ograniczenia przetwarzania na wniosek osoby, której dane dotyczą,
- wyznaczania swojego przedstawiciela w UE w przypadku, o którym mowa w art. 3 ust. 2 rozporządzenia 2016/679,
- powierzenia przetwarzania danych osobowych podmiotowi przetwarzającemu na podstawie umowy lub innego instrumentu prawnego,
- prowadzenia rejestru czynności przetwarzania danych osobowych.

Ministerstwo Cyfryzacji, opierając się na przepisach kodeksu cywilnego, przyjęło w art. 3 projektowanej ustawy, że w przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła 13 lat i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę.

Inspektorzy danych osobowych

W Rozdziale 2 projektowanej ustawy uregulowano tryb notyfikacji inspektorów ochrony danych osobowych, oraz podmioty obowiązane w polskim porządku prawnym do wyznaczenia inspektora ochrony danych osobowych.

Zgodnie z przepisami rozporządzenia 2016/679 administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze, gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W innych przypadkach niż te wskazane powyżej wyznaczenie inspektora jest dobrowolne. Polski ustawodawca nie zdecydował się na rozszerzenie katalogu sytuacji obligatoryjnego wyznaczania inspektora, utrzymując ten wymieniony w art. 37 ust. 1 rozporządzenia 2016/679, jako zapewniający dostateczną ochronę danych, a jednocześnie uwzględniający koszty powołania inspektora. Nie zdecydował się także na dookreślenie kwalifikacji, jakie powinien spełniać inspektor, wychodząc z założenia, że każda próba doprecyzowania tych przesłanek - np. w zakresie długości praktyk - mogłaby narazić go na zarzut nakładania ograniczeń, niewystępujących w innych państwach członkowskich UE, a tym samym barierę w swobodzie świadczenia usług. Kwalifikacje, jakie powinien posiadać inspektor, określone zostały bezpośrednio w rozporządzeniu 2016/679.

Wynika z niego, iż inspektor powinien dysponować wiedzą fachową na temat prawa oraz odbyć praktyki w dziedzinie ochrony danych, a także posiadać umiejętność wypełniania zadań, o których mowa w art. 39 rozporządzenia. Generalnie, poziom wiedzy fachowej, który nie jest, co prawda nigdzie jednoznacznie określony, musi być jednak współmierny do charakteru, skomplikowania i ilości danych, przetwarzanych w ramach jednostki.
Obowiązek wyznaczenia inspektorów ciąży na „organach lub podmiotach publicznych”. W związku z tym Ministerstwo Cyfryzacji zdecydowało się wprowadzić do projektu szerokie rozumienie takich podmiotów publicznych, odsyłając w tym zakresie do dwóch ustaw, jako regulacji o podstawowym znaczeniu dla interpretacji pojęć: „organ publiczny” i „podmiot publiczny” tj.: do ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego oraz ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.

Zasady certyfikacji i akredytacji

W projekcie ustawy przewidziano, że certyfikacji będzie dokonywał wyłącznie Prezes Urzędu Ochrony Danych Osobowych. W projekcie nie było więc konieczne uregulowanie procedury akredytacji podmiotów certyfikujących. Certyfikacji dokonuje się na wniosek administratora lub podmiotu przetwarzającego. Certyfikacji dokonuje się na podstawie kryteriów określonych przez Prezesa Urzędu i udostępnionych w BIP. Postępowanie w sprawie udzielenia certyfikacji może zakończyć się czynnością materialno-techniczną, jaką jest zawiadomienie wnioskodawcy o udzieleniu lub odmowie udzielenia certyfikacji. Natomiast odmowa udzielenia certyfikacja wiązała się będzie z obowiązkiem wydania decyzji administracyjnej. Wydając decyzję o odmowie udzielenia certyfikacji Prezes Urzędu obowiązany będzie wskazać kryteria, których niespełnienie było powodem odmowy. W przepisie art. 15 projektu wskazano sytuacje, kiedy cofa się certyfikację. Cofnięcie certyfikacji następowało będzie w drodze decyzji administracyjnej. Certyfikacji udziela się na maksymalny okres 3 lat, co wynika wprost z art. 42 ust. 7 rozporządzenia 2016/679.

Przez cały ten okres administrator lub podmiot przetwarzający są obowiązani spełniać kryteria certyfikacji. W celu zapewnienia skutecznych narzędzi weryfikacji, czy kryteria certyfikacji są spełniane, przewidziano uprawnienie dla Prezesa Urzędu do przeprowadzania czynności sprawdzających.

Prezes Urzędu Ochrony Danych Osobowych

Przepisy projektowanej ustawy ustanawiają nowy organ państwowy, właściwy w sprawie ochrony danych osobowych, którym będzie Prezes Urzędu Ochrony Danych Osobowych. Stanie się on następcą prawnym Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Nowy organ ochrony danych osobowych będzie miał znacznie szerszy zakres uprawnień niż dzisiejszy tj. GIODO. Będzie on nie tylko organem nadzorczym w rozumieniu rozporządzenia 2016/679 ze znacznie szerszym zakresem uprawnień i obowiązków niż dzisiejszy GIODO, ale będzie również organem nadzorczym w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (czyli Decyzja ramowa Rady 2008/977/WSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych). Zasadnicze kompetencje Prezesa UODO nie ulegną zmianie w porównaniu do kompetencji GIODO. Zyska on jednak takżedodatkowy status – będzie organem nadzorczym w rozumieniu RODO. Ponadto to na Prezesie UODO będą spoczywały takie obowiązki, jak:

• prowadzenie współpracy międzynarodowej,

• podejmowanie działań certyfikacyjnych,

• podejmowanie działań edukacyjnych,

• prowadzenie postępowań w sprawach o naruszenie przepisów o ochronie danych,

• nadzór nad wykonywaniem RODO i dyrektywy 2016/680,

• opiniowanie założeń i projektów aktów prawnych dotyczących ochrony danych osobowych,

• coroczne przedstawianie sprawozdań ze swojej działalności.

Prezes UODO będzie powoływany i odwoływany przez Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów. Nie zostały zmienione przesłanki odwołania Prezesa UODO w porównaniu do przesłanek odwołania GIODO. Bez zmian pozostanie także długość kadencji Prezesa UODO (4 lata) oraz nadal będzie obowiązywała zasada, że ta sama osoba nie może piastować funkcji przez dłużej niż dwie kadencje.

Nowością jest to, że statut Urzędowi Ochrony Danych Osobowych nadawać będzie sam Prezes UODO w drodze zarządzenia. Do tej pory statut Biura GIODO nadawał Prezydent RP rozporządzeniem, jedynie po zasięgnięciu opinii GIODO. Oznacza to wzrost samodzielności i znaczenia organu ochrony danych osobowych, który sam będzie decydował o organizacji urzędu, zakresie zadań zastępców Prezesa UODO oraz o zakresie zadań i trybie pracy komórek organizacyjnych Urzędu Ochrony Danych Osobowych.

Nowością jest to, że na stronie internetowej prowadzonej przez Prezesa UODO w ramach Biuletynu Informacji Publicznej będą zamieszczane tzw.:
standardowe klauzule umowne, zatwierdzone kodeksy postępowania oraz zmiany tych kodeksów.

Postępowanie w sprawach o naruszenie ochrony danych osobowych

Przepisy Rozdziału 5 projektu ustawy regulują sposób postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Mówiąc o naruszeniu przepisów o ochronie danych osobowych, projektodawca odnosi się nie tylko do naruszeń ustawy, ale również do przepisów rozporządzenia 2016/679, z których w sposób bezpośredni wynikają określone prawa i obowiązki podmiotów danych osobowych, administratorów lub podmiotów przetwarzających. Postępowanie w sprawach naruszenia przepisów o ochronie danych osobowych prowadzone będzie według przepisów Kodeksu postępowania administracyjnego, które zapewniają kompletny, a zarazem sprawdzony w praktyce mechanizm postępowania.

Postępowanie prowadzone będzie przez Prezesa Urzędu. Będzie to postępowanie jednoinstancyjne, gdyż, jak założył projektodawca, przemawia za tym konieczność zapewnienia osobie, której prawa zostały naruszone, ostatecznego rozstrzygnięcia (ostatecznej decyzji administracyjnej), które będzie mogło być skutecznie i szybko egzekwowalne. W postępowaniu prowadzonym przez Prezesa Urzędu nie będzie odwołania składanego do organu wyższego stopnia, lecz będzie to wniosek o ponowne rozpatrzenie sprawy, który ma być rozpatrywany przez ten sam organ. Rozstrzygnięcia wydawane przez Prezesa Urzędu Ochrony Danych Osobowych będą podlegały zaskarżeniu do sądu administracyjnego.

Projektowana ustawa wprowadza narzędzia do natychmiastowej interwencji w sytuacji, gdy zostanie uprawdopodobnione, że dalsze przetwarzanie danych osobowych może spowodować poważne i trudne do usunięcia skutki. W takiej sytuacji, Prezes Urzędu, w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania. Przepis art. 56 projektu ustawy pozwala, w przypadku znikomej wagi naruszenia zasad przetwarzania danych osobowych oraz jego zaprzestania przez stronę, udzielić stronie, w drodze decyzji administracyjnej, upomnienia.

Przepisy Rozdziału 6 ustawy mają zapewnić skuteczne stosowanie rozdziału VII rozporządzenia 2016/679 regulującego zagadnienia europejskiej współpracy administracyjnej w sprawach ochrony danych osobowych. Zobowiązują one Prezesa Urzędu do wydawania środków tymczasowych, którym w polskim porządku prawnym nadana została forma postanowienia. Zastosowanie środków tymczasowych obwarowane jest w projekcie restrykcyjnymi wymogami. Musi dojść do uprawdopodobnienia naruszenia, naruszenie powinno powodować poważne i trudne do usunięcia skutki, środek powinien przewidywać dopuszczalny zakres przetwarzania i czas jego obowiązywania. Zastosowanie tych środków następować powinno więc wyjątkowo.

Postępowania kontrolne w zakresie danych osobowych

W przepisach Rozdziału 7 uregulowano postępowanie kontrolne. Przepisy tego rozdziału będą miały zastosowanie w przypadku czynności kontrolnych prowadzonych w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, w przypadku kontroli planowych, jak również kontroli doraźnych. Kontrole będą przeprowadzane przez upoważnionych pracowników Urzędu Ochrony Danych Osobowych. Do przeprowadzania kontroli będą również uprawnieni członkowie lub pracownicy organu nadzorczego innego państwa członkowskiego. Nową regulacją jest przepis art. 69 ust. 4, pozwalający kontrolującym korzystać z pomocy funkcjonariuszy innych organów kontroli lub Policji. Ustawodawca w projekcie przewidział dwie przyczyny przeprowadzania kontroli przez Urząd: po pierwsze, zgodnie z planem, po drugie na podstawie uzyskanych informacji lub przeprowadzonych analiz. Posiłkowo, znaleźć tu mają zastosowanie przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, a konkretnie rozdziału 5 dotyczącego kontroli działalności gospodarczej, jednakże z wyłączeniem przepisów artykułów 79, 82 i 83 tej ustawy. Oznacza to, że nie będą miały zastosowania do kontroli przestrzegania przepisów o ochronie danych osobowych przepisy dotyczące zawiadomienia o zamiarze wszczęcia kontroli, zakazu podejmowania i prowadzenia więcej niż jednej kontroli działalności przedsiębiorcy oraz ograniczeń w zakresie czasu trwania wszystkich kontroli organu kontroli u przedsiębiorcy w jednym roku kalendarzowym.

Przebieg przeprowadzonej kontroli kontrolujący przedstawi w protokole kontroli. Projekt ustawy przewiduje, że postępowanie kontrolne nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Przy czym za podjęcie czynności kontrolnych należy uznać moment, w którym kontrolujący okazuje kontrolowanemu, lub innej osobie wskazanej w przepisach, upoważnienie do przeprowadzenia kontroli oraz legitymację służbową lub inny dokument potwierdzający tożsamość.

Kontrolujący, po poinformowaniu o rozpoczęciu kontroli (nawet w formie ustnej informacji) może nagrywać cały proces kontroli, a kontrolowany nie może nie wyrazić zgody na jej nagrywanie.

Odpowiedzialność cywilna za naruszenie przepisów o ochronie danych osobowych

Rozdział 8 (art. 78-81) projektu ustawy odnosi się do odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych. W art. 78 projektowana ustawa wdraża do polskiego porządku prawnego regulację art. 79 ust. 1 rozporządzenia 2016/679. Zgodnie z tym przepisem, wymagane jest od państw członkowskich, aby w ich systemach prawnych istniały skuteczne środki ochrony prawnej przed sądem w przypadku, gdy podmiot danych uzna, że prawa przysługujące mu na mocy rozporządzenia 2016/679 zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia.

Podmiot, którego prawa zostały naruszone będzie miał prawo do:

1) roszczenia o zaniechanie takiego działania,
2) roszczenia, aby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

Przepisy Rozdziału 9 projektu dotyczą administracyjnych kar pieniężnych. Na gruncie projektowanej ustawy, kary pieniężne nakładane będą przez organy administracji publicznej w rozumieniu Kodeksu postępowania administracyjnego, a więc m.in.: ministrów, centralne organy administracji rządowej, wojewodów, działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej), organy jednostek samorządu terytorialnego oraz organy i podmioty wymienione w art. 1 pkt. 2 Kodeksu.

Ministerstwo Cyfryzacji zaproponowało w projekcie, że kary mogą być nakładane jedynie na podmioty wymienione w art. 9 pkt. 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, a wysokość kar nie może przekroczyć 100 000 zł. Projektodawca zdecydował się również wprowadzić wyjątek w zakresie nakładania administracyjnych kar finansowych, wyłączając z możliwości objęcia takimi karami państwowe i samorządowe instytucje kultury.

Nową instytucją w polskim systemie prawnym jest Fundusz Ochrony Danych Osobowych będący państwowym funduszem celowym. Przychodami Funduszu ma być 1% administracyjnych kar pieniężnych, a wydatki Funduszu mają być przeznaczane na cele wskazane w art. 87 ust. 4 projektu. Celem powołania tej instytucji jest zapewnienie finansowania przedsięwzięć oraz udostępnianie wiedzy z zakresu ochrony danych osobowych.

Odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych

Rozdział 10 projektu ustawy wprowadza przepisy karne do regulacji dotyczących ochrony danych osobowych. Odpowiedzialność karna ma być jednak wyjątkiem przewidzianym wyłącznie dla najcięższych naruszeń przepisów. Będzie stanowiła uzupełnienie dla szeroko uregulowanej odpowiedzialności administracyjnej i cywilnej. Przyjęto więc, iż podstawowymi „sankcjami” za naruszenie przepisów o ochronie danych osobowych są nakładane na administratora lub podmiot przetwarzający obowiązki wynikające z prawa administracyjnego oraz administracyjne kary pieniężne. Tym niemniej, dla zapewnienia skuteczności systemu ochrony danych osobowych, przewidziano sankcję karną za udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. Ponadto, mając na względzie dobro podmiotów danych oraz wagę naruszenia, jakim jest przetwarzanie danych dotyczących, np. zdrowia, czy seksualności, uznano, że przetwarzanie ich bez podstawy prawnej, a więc nieuprawnione przetwarzanie, powinno być zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku. Tak, więc orzekanie w tych sprawach będzie odbywało się w trybie przepisów Kodeksu postępowania karnego.

Poza tym, naruszenie przepisów o ochronie danych może stanowić czyn realizujący znamiona określone w przepisach kodeksu karnego np. w ramach rozdziału XXXIII „Przestępstwa przeciwko ochronie informacji”.

Projektowana ustawa wejdzie w życie w terminie wskazanym w ustawie – Przepisy wprowadzające ustawę o finansach publicznych. Zapis w projekcie brzmi następująco: „Ustawa wchodzi w życie w terminie i na zasadach określonych w ustawie z dnia ……………….. 2017 r. - Przepisy wprowadzające ustawę o ochronie danych osobowych (Dz. U. ……. ).”

Projekt ustawy został zamieszczony w Biuletynie Informacji Publicznej na stronie Rządowego Centrum Legislacji, w serwisie „Rządowy Proces Legislacyjny” oraz w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra Cyfryzacji.

Radca Prawny Mateusz Romowicz

Beata Edyta Madejska - prawnik specjalizujący się w prawie UE

Więcej informacji znajdą Państwo na stronie kancelaria-gdynia.eu ,  www.prawo-korporacyjne.pl