W Dz.U. z 24 maja 2018 r. pod poz. 1000 opublikowano Ustawę z 10 maja 2018 r. o ochronie danych osobowych. Ma ona zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 4 maja 2016 r. nr 119 s. 1); dalej: RODO.

Ustawa określa:

  • podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
  • warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji, podmiotu monitorującego kodeks postępowania oraz certyfikacji;
  • tryb zatwierdzenia kodeksu postępowania;
  • organ właściwy w sprawie ochrony danych osobowych (Prezes Urzędu Ochrony Danych Osobowych zastąpił GIODO);
  • postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
  • tryb europejskiej współpracy administracyjnej;
  • kontrolę przestrzegania przepisów o ochronie danych osobowych;
  • odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;
  • odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

Ustawa wprowadza też bardzo ważne, także dla instytucji kultury, przepisy przejściowe, z których wynika m.in., że:

  • osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji staje się inspektorem ochrony danych (IOD) i pełni swoją funkcję do 1 września 2018 r., chyba że przed tym dniem administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO) o wyznaczeniu innej osoby na IOD;
  • osoba, która stała się w ten sposób IOD, pełni swoją funkcję także po 1 września 2018 r., jeśli do tego dnia administrator zawiadomi Prezesa UODO o jej wyznaczeniu na IOD (ponadto, osobę tę administrator może odwołać bez zawiadomienia Prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy administrator nie ma obowiązku wyznaczenia IOD);
  • administrator, który przed 25 maja 2018 r. nie powołał administratora bezpieczeństwa informacji, ma obowiązek wyznaczyć IOD na podstawie art. 37 RODO i zawiadomienia Prezesa UODO o jego wyznaczeniu do 31 lipca 2018 r. (w tym samym terminie podmiot przetwarzający, zobowiązany do wyznaczenia IOD na podstawie art. 37 RODO, wyznacza IOD i zawiadamia Prezesa UODO o jego wyznaczeniu).

Co ważne, utraciła moc Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2016 r. poz. 922 ze zm.) z wyjątkiem art. 1, art. 2, art. 3 ust. 1, art. 4–7, art. 14–22, art. 23–28, art. 31 oraz rozdziałów 4, 5 i 7, które zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach o działaniu służb i organów uprawnionych do realizacji zadań w tym zakresie, do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L z 4 maja 2016 r. nr 119, s. 89).

Warto też wspomnieć o przepisach dotyczących monitoringu, które wprowadzono w kilku ustawach. W Ustawie z 8 marca 1990 r. o samorządzie gminnym dodano art. 9a, z którego wynika, że gmina w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring):

  • w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru albo
  • na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także
  • na terenie wokół takich nieruchomości i obiektów budowlanych

– jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej.

Monitoring ten nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni oraz obiektów socjalnych. Nagrania obrazu zawierające dane osobowe przetwarza się wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania, o ile przepisy odrębne nie stanowią inaczej. Po upływie tego okresu uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, z wyjątkiem sytuacji, w których nagrania zostały zabezpieczone, zgodnie z odrębnymi przepisami.

Nieruchomości i obiekty budowlane objęte monitoringiem oznacza się w sposób widoczny i czytelny informacją o monitoringu, w szczególności za pomocą odpowiednich znaków. Monitoring, w ramach którego dochodzi do przetwarzania danych osobowych, wymaga stosowania środków zabezpieczających przetwarzanie tych danych, w szczególności uniemożliwiających ich utratę lub bezprawne rozpowszechnienie, a także uniemożliwienie dostępu do danych osobom nieuprawnionym.
Podobne przepisy wprowadzono też w ustawach z:

  • 5 czerwca 1998 r. o samorządzie powiatowym (tekst jedn. Dz.U. z 2018 r. poz. 995) — art. 4b;
  • 5 czerwca 1998 r. o samorządzie województwa (tekst jedn. Dz.U. z 2018 r. poz. 913) — art. 60a;
  • 26 czerwca 1974 r. — Kodeks pracy (tekst jedn. Dz.U. z 2018 r. poz. 917) — art. 222 i art. 223;
  • 14 grudnia 2016 r. — Prawo oświatowe (tekst jedn. Dz.U. z 2018 r. poz. 996) — art. 108a.

Ustawa obowiązuje od 25 maja 2018 r.