Ab 25. Mai 2018 werden die Vorschriften der DSGVO EU-weit Anwendung finden. Polen arbeitet an dem Entwurf des neuen Datenschutzgesetzes, der die Regelungen der DSGVO ergänzen wird.
Mit dem Entwurf des Datenschutzgesetzes [1] befasst sich derzeit das polnische Parlament. Es wird jedoch vermutet, dass das Gesetz bis zum 25. Mai 2018 nicht verabschiedet wird [2]. Obwohl der Gesetzesentwurf die Vorschriften der DSGVO nur ergänzt, wird das Gesetz die Durchführung einiger Pflichten nach DSGVO ermöglichen und das Verfahren aufgrund der neuen datenschutzrechtlichen Vorschriften regeln.
Neue polnische Aufsichtsbehörde
Derzeit funktioniert in Polen der sog. Generalinspektor für Datenschutz (Generalny Inspektor Ochrony Danych Osobowych (GIODO)). Die bisherige Aufsichtsbehörde wird durch den Präsidenten der Datenschutzbehörde ersetzt. Das Verfahren vor dem Präsidenten der Datenschutzbehörde soll nur eine Instanz umfassen. Die Entscheidungen des Präsidenten der Datenschutzbehörde können jedoch bei dem Verwaltungsgericht angefochten werden.
Verfahren zu den Verletzungen des Schutzes personenbezogener Daten
Für Verfahren wegen Verletzungen personenbezogener Daten wird der Präsident der Datenschutzbehörde zuständig sein. Die Befugnisse der Behörde werden umfangreich sein. Der Präsident der Datenschutzbehörde wird u.a. die Einschränkung der Verarbeitung auch während des laufenden Verfahrens und eine Kontrolle im Unternehmen anordnen können.
Mitteilung der Daten des Datenschutzbeauftragten
Der Verantwortliche oder Auftragsverarbeiter, die einen Datenschutzbeauftragten benannt haben, sind verpflichtet, seine Daten (Namen, E-Mail-Adresse und Telefonnummer) der Aufsichtsbehörde innerhalb von 14 Tagen ab Benennung mitzuteilen. Auch einige Angaben des Verantwortlichen oder des Auftragsverarbeiters wie Firma, Adresse und statistische Nummer (sog. REGON-Nummer) müssen mitgeteilt werden. Darüber hinaus sind die Kontaktdaten des Datenschutzbeauftragten auch auf der Webseite des betroffenen Unternehmens anzugeben. Die Mitteilung kann nur elektronisch erfolgen, wobei der Verantwortliche oder der Auftragsverarbeiter durch einen Bevollmächtigten vertretet werden können.
Einige Organisationen in Polen haben nach bisheriger Rechtslage einen sog. Informationssicherheitsbeauftragten (Administrator Bezpieczeństwa Informacji (ABI)) benannt. Die Personen, die am 24. Mai 2018 als Informationssicherheitsbeauftragte fungieren, werden ab dem 25. Mai 2018 automatisch Datenschutzbeauftrage sein. Die Daten des „alten“ Informationssicherheitsbeauftragten (bzw. des neuen Datenschutzbeauftragten) müssen jedoch bis zum 1. September 2018 bei der Aufsichtsbehörde wie oben beschrieben mitgeteilt werden.
Zertifizierungsverfahren
Gemäß der DSGVO können die Mitgliedstaaten ein Zertifizierungsverfahren einführen. Die in diesem Verfahren erteilten Zertifikate sollen nachweisen, dass die DSGVO bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Nach dem Gesetzesentwurf können die Zertifikate entweder durch den Präsidenten der Datenschutzbehörde oder private Zertifizierungsstellen ausgestellt werden. Ein Zertifikat wird entweder der Verantwortliche, Auftragsverarbeiter oder ein anderes Unternehmen (z.B. Hersteller oder Anbieter einer Dienstleistung) beantragen können. Der Präsident der Datenschutzbehörde soll die Kriterien der Zertifizierung festlegen und im Internet veröffentlichen. Der Antrag auf Zertifizierung soll innerhalb von 3 Monaten geprüft werden. Der Preis für die Zertifizierung wird den Vierfachen der durchschnittlichen Vergütung für das Vorjahr der Antragstellung nicht überschreiten (die durchschnittliche Vergütung im 2017 betrug 4.271,51 PLN, der maximale Preis für eine im 2017 beantragte Zertifizierung kann etwa 17.000 PLN betragen).
[1] Entwurf des Datenschutzgesetzes, Quelle: http://orka.sejm.gov.pl/Druki8ka.nsf/0/8CCAC91A3C6BBF62C125826C0033588C/%24File/2410.pdf [letzter Zugang: 1.05.2018]
[2] So: Mirosław Sanek (der Stellvertretende General Inspektor für Datenschutz) in einem Interview für den Rundfunksender „Zet”, Quelle: http://www.radiozet.pl/Radio/Programy/Gosc-Radia-ZET/Miroslaw-Sanek-z-GIODO-Bedzie-opoznienie-w-dostosowaniu-polskiego-prawa-do-unijnego-rozporzadzenia-o-ochronie-danych-osobowych [letzter Zugang: 1.05.2018]
