Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Kraje członkowskie UE miała 2 lata na dostosowanie swoich przepisów o ochronie danych osobowych do wymagań rozporządzenia RODO. W Polsce, przepisy były przyjmowane o przysłowiowej godzinie „za pięć dwunasta”, czyli na ostatnią chwilę. Nowa ustawa o ochronie danych osobowych została podpisana przez prezydenta na 3 dni przed wejście w życie RODO. Inne ustawy zmieniono jednak dopiero 9 miesięcy później.
Odnosząc się do kwestii ochrony danych osobowych w polskim porządku prawnym niewątpliwie należy zacząć od Konstytucji RP. W artykule 47 jest zapisana gwarancja „do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”. Z kolei w artykule 51 Konstytucji RP zawarte zostały bezpośrednie gwarancje ochrony danych osobowych, a wśród nich między innymi prawo do samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji oraz dostępu do dotyczących jej urzędowych zbiorów danych.
Do czasu wejścia w życie RODO najważniejszym krajowym dokumentem w przedmiotowym zakresie była ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Reforma ochrony danych odbyła się jednak przez akt prawny będący rozporządzeniem, a nie (jak dotychczas) dyrektywą. Dyrektywy w prawie UE zobowiązują państwa członkowskie do wdrożenia opisanych w nich przepisów. Nie ma jednak ściśle określonego sposobu ich implementacji – dla przykładu Dyrektywa 95/46/WE weszła do polskiego prawa za sprawą zmian polskiej ustawy z 1997 roku (aczkolwiek z dwiema istotnymi nowelizacjami, dokonanymi w 2001 i 2004 r.). Z kolei rozporządzenia europejskie można porównać do polskich ustaw, które mają charakter wiążący i obowiązują bezpośrednio. Przepisy niezgodne z treścią rozporządzenia powinny zostać uchylone. Formuła rozporządzenia sprawia, że na terenie całej Unii zaczną obowiązywać bezpośrednio te same przepisy.
RODO obowiązuje zatem w polskim porządku prawnym bezpośrednio, ale nie oznacza to, że całkowicie zastąpiło prawo krajowe. Preambuła rozporządzenia przewiduje pewien zakres lokalnych regulacji, gdyż dopuszcza doprecyzowanie lub zawężenie przepisów przez prawo państw członkowskich. Możliwym jest ograniczenie zakresu obowiązków i praw, a dookreśleniu mogą podlegać pewne pojęcia – między innymi:
Istnieje także możliwość doprecyzowania przepisów w zakresie tzw. danych wrażliwych, czy też niższej granicy wiekowej dla sytuacji w których niezbędna jest zgoda rodzica lub opiekuna do przetwarzania danych dziecka (według RODO taka zgoda jest konieczna, gdy dziecko nie ukończyło 16 lat). Państwa członkowskie mogą także ustanowić przepisy dotyczące danych osób zmarłych, gdyż RODO nie ma do nich zastosowania. Na poziomie krajowym można też określić status, zadania i kompetencje organu nadzorczego w kwestii ochrony danych, którym na mocy krajowej ustawy z 1997 roku był Generalny Inspektor Ochrony Danych Osobowych. W gestii krajowych przepisów może być także kwestia sankcji za naruszenie RODO oraz przepisów przyjętych na jego mocy i w jego granicach.
W czerwcu 2016 roku ówczesny sekretarz stanu w Ministerstwie Cyfryzacji, W. Kołodziejski, na spotkaniu w senacie deklarował, że „dokument kierunkowy planujemy przygotować do końca tego roku i wtedy będziemy poddawać go szerokim konsultacjom”. Ostatecznie, rządowy projekt ustawy o ochronie danych osobowych wpłynął do sejmu dopiero 5 kwietnia 2018. Procedowanie nad nim było jednak bardzo szybkie – podpis Prezydenta miał miejsce 22 maja 2018, natomiast data wejścia w życie ustalona była na zaledwie 3 dni później. Tym samym, razem z RODO, od 25 maja 2018 w Polsce obowiązuje nowa ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. Akt ten zmienił 49 innych ustaw oraz uchylił łącznie 8 (3 uchylone i 5 uznanych za uchylone).
Równolegle Ministerstwo Cyfryzacji pracowało nad projekt zmian przepisów sektorowych obejmujący pierwotnie ponad 130 ustaw (źródło: https://www.gov.pl/cyfryzacja/nowe-prawo-ochrony-danych-osobowych). Tak duży zakres określono „jednym z największych w ciągu ostatnich lat” pod względem ilości zmienianych aktów prawnych. Pierwotnie projekt ten nosił nazwę Przepisy wprowadzające ustawę o ochronie danych osobowych, jednak jego pełna nazwa ostateczna to: Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Jako projekt, dokument ten wpłynął do sejmu 26 listopada 2018. Przyjęcie przez Sejm miało miejsce 21 lutego 2019 (wynik głosowania: 420 za, 0 przeciw, 1 głos wstrzymujący). 3 kwietnia 2019 podpis pod ustawą złożył Prezydent, a data wejścia w życie to 4 maja 2019. Finalnie, zakres jest jeszcze większy niż zakładano, bowiem zmiana dotyczy nie 130, a 162 ustaw (jedna uznana za uchyloną).
W tym miejscu warto wspomnieć, iż pomiędzy ustawą o ochronie danych osobowych, a ustawą o zmianie niektórych ustaw… miało miejsce również wejście w życie istotnego z punktu widzenia przedsiębiorców-pracodawców aktu normatywnego – Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. Weszło ono w życie 1 stycznia 2019 r.
Nowa ustawa o ochronie danych osobowych z 2018 roku stanowi uzupełnienie RODO, w zakresie w jakim ustawodawca unijny dopuścił doprecyzowanie pewnych zagadnień wprowadzonych przez Rozporządzenie, na porządek prawny na poziomie państw członkowskich UE. Jedną z podstawowych zmian jest zmiana nazwy organu nadzoru – dotychczasowy Generalny Inspektor Ochrony Danych Osobowych (GIODO) zyskał nową nazwę: Prezes Urzędu Ochrony Danych Osobowych (PUODO). Motyw 120 Rozporządzenia głosi Każdy organ nadzorczy powinien zostać wyposażony w zasoby finansowe i kadrowe, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań – można zatem przypuszczać, że struktury wcześniejszego GIODO, a aktualnego PUODO zostaną rozbudowane.
Nowy organ ma w obowiązku przyjmowanie i rozpatrywanie skarg wnoszonych przez osoby, których dane dotyczą. Przedsiębiorcy mogą zatem spodziewać się, że PUODO upodobni się nieco do Urzędu Ochrony Konkurencji i Konsumentów. Jako, że większość kontroli jest efektem postępowań skargowych, można domniemywać, że po zapewnieniu „zasobów finansowych i kadrowych” wzrośnie liczba kontroli w zakresie ochrony danych osobowych.
Co szczególnie istotne dla przedsiębiorców, Prezes Urzędu Ochrony Danych ma obowiązek udostępniać na swojej stronie internetowej między innymi standardowe klauzule umowne oraz rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Ponadto nowa ustawa określa możliwy zakres roszczeń z tytułu naruszenia przepisów. Informuje także o potencjalnych karach grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech.
Najistotniejszą, z punktu widzenia pracodawców-przedsiębiorców, wydaje się być zmiana ustawy Kodeks Pracy, a na szczególną uwagę zasługują zmiany w zakresie legalności monitoringu. Regulacje mają zastosowanie zarówno systemów telewizji przemysłowej monitorujących zakład pracy i teren wokół niego, jak również kontrolę służbowej poczty elektronicznej pracownika, a także inne formy monitoringu, jak na przykład systemy GPS (Global Positioning System – sprawdzanie informacji o położeniu geograficznym)