25 wrz

Czy warto dostosowywać się do RODO skoro jeszcze nie ma nowelizacji krajowej ustawy?

Takie pytanie padło na moim ostatnim szkoleniu. Trudno odmówić mu racji bytu oraz zasadności. Właściwie jak to powinno być: czy należy jak najszybciej wdrażać RODO nie znając właściwego kształtu nowej ustawy o ochronie danych osobowych, czy to w ogóle ma sens? Dla przypomnienia, nowelizacja ustawy jest przygotowywana przez Ministerstwo Cyfryzacji. Aktualna wersja ustawy wraz z uzasadnieniem (szczególnie polecam uzasadnienie, bo wskazuje na intencje ustawodawcy, tzn. co autor miał na myśli) jest dostępna na stronie Ministerstwa Cyfryzacji. Obecnie obowiązuje kilkukrotnie nowelizowana ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, która jest implementacją dyrektywy unijnej z 1995 roku. Ogólne rozporządzenie o ochronie danych osobowych, w odróżnieniu od dyrektywy, zgodnie z prawem unijnym ma bezpośrednie zastosowanie, tzn. jest stosowane wprost, we wszystkich krajach UE. Mówiąc najprościej, dyrektywa stanowiła wytyczne, które trzeba było dostosować do prawa krajowego (a właściwie dostosować do niej prawo krajowe). Dawało to pewne możliwości interpretacyjne. Rozporządzenie obowiązuje bezpośrednio w ogłoszonej treści. Rozporządzenie jest najwyższym aktem prawnym obowiązującym w Unii Europejskiej i musi być stosowane bezpośrednio. Od kiedy obowiązuje RODO? Zgodnie z motywem 171:

(171)

Niniejszym rozporządzeniem należy uchylić dyrektywę 95/46/WE. Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia.

Czyli RODO już obowiązuje i już należy je stosować. Administrator danych musi wdrożyć wymagania określone w ogólnym rozporządzeniu o ochronie danych osobowych, jak najszybciej, jednak nie później niż dwa lata od wejścia w życie RODO, tzn. 25 maja 2018 roku. W takim razie, skoro RODO zastępuje obecnie obowiązujące przepisy o ochronie danych osobowych, po co jest tworzona nowa, krajowa ustawa o ochronie danych osobowych? Rozporządzenie w niektórych kwestiach pozostawia decyzję lub wymaga decyzji krajowego ustawodawcy, np. w kwestii wieku dziecka, które może skutecznie wyrazić zgodę na przetwarzanie danych osobowych (w ramach usług społeczeństwa informacyjnego).  Nowelizacja ustawy, nad którą pracuje Ministerstwo Cyfryzacji ma za zadanie dopełnić unijne przepisy. Warto także podkreślić, że do skutecznego stosowania RODO konieczne jest podjęcie prac legislacyjnych zmierzających do reformy wielu innych, obowiązujących w Polsce aktów prawnych. To także jest zadanie MC.

Podsumowując: administrator danych nie powinien czekać na uchwalenie nowej ustawy o ochronie danych osobowych, ponieważ RODO już go obowiązuje w ogłoszonej treści. Warto śledzić prace legislacyjne nad nową, krajową ustawą, jednak należy pamiętać, że będą to jedynie przepisy uzupełniające do RODO. W ogólnym rozporządzeniu jest wprost i wyraźnie wskazane, kiedy krajowy ustawodawca może lub powinien podjąć działania legislacyjne, więc administrator danych nie powinien mieć obaw, że będzie źle stosował jego przepisy lub że zmieni się coś, czego się nie spodziewał. Dwa lata na dostosowanie się do nowych, unijnych przepisów to przywilej, z którego warto skorzystać. Bardzo ryzykowne jest pozostawienie wdrażania zmian na ogłoszenie krajowej ustawy lub bezwzględne obowiązywanie RODO (tzn. maj 2018).


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie


Data aktualizacji: 3 czerwca 2018