RODO w Polsce i w całej Unii Europejskiej zacznie obowiązywać 25 maja 2018 roku. Tymczasem prace nad przepisami dostosowującymi nasze prawo do unijnego rozporządzenia trwają w najlepsze. Poznaj najnowsze informacje o postępie prac legislacyjnych dotyczących RODO w Polsce.
RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) jest co do zasady bezpośrednio stosowanym aktem prawa unijnego i nie wymaga wdrożenia do prawa krajowego.
Mimo to, w aby w polskim porządku prawnym RODO było stosowane w sposób pełny i skuteczny, niezbędne jest wydanie i przyjęcie szeregu przepisów. Za działania legislacyjne w tym obszarze odpowiada Ministerstwo Cyfryzacji, które przygotowało projekt nowej ustawy o ochronie danych osobowych oraz projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych.
Podobnie, jak w poprzednich artykułach o RODO w Polsce i ePrivacy, poprosiliśmy o wpis gościnny i obszerny komentarz Panią Joannę Swaryczewską-Dede z kancelarii Porębski i Wspólnicy, specjalizującą się między innymi w zagadnieniach związanych z przetwarzaniem danych osobowych, oraz zajmującą się przygotowywaniem dokumentacji wewnętrznej dla przedsiębiorców, prowadzeniem audytów, a także doradztwem z zakresu ochrony danych osobowych.
Obecny stan dostosowania polskiego prawa do RODO
Projekt nowej ustawy o ochronie danych osobowych reguluje instytucjonalne i proceduralne aspekty ochrony danych osobowych. Projekt ten normuje m.in. następujące kwestie:
- podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o wyznaczaniu,
- organ właściwy w sprawie ochrony danych osobowych, tryb jego powołania i odwołania, zadania organu ochrony danych osobowych, organizację urzędu przy pomocy którego organ ochrony danych osobowych wykonuje swoje zadania,
- postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,
- postępowanie kontrolne,
- odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych.
Natomiast, projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych wprowadza zmiany w ponad 130 ustawach, aby były one zgodne z RODO.
Projekt ten wprowadza istotne zmiany m.in. do Kodeksu pracy, ustawy o swobodzie działalności gospodarczej oraz ustawy o świadczeniu usług drogą elektroniczną.
RODO w Polsce – konsultacje publiczne
Projekty obu ww. ustaw przeszły przez etap konsultacji publicznych, których celem było zebranie opinii dotyczących projektowanych rozwiązań. Swoje uwagi do projektów zgłosiły liczne podmioty, a w tym: Konfederacja Lewiatan, Krajowa Izba Gospodarcza, Polskie Towarzystwo Informatyczne, Związek Banków Polskich, Naczelna Izba Lekarska, czy Izba Gospodarki Elektronicznej.
Zgłoszone uwagi były bardzo obszerne i uwzględniały przede wszystkim zastrzeżenia do przepisów dotyczących branży, którą reprezentował zgłaszający.
Następnie, projekt ustawy o ochronie danych osobowych oraz projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych zostały przekazane do opiniowania podmiotom publicznym objętym projektowaną regulacją.
Projekt ustawy o ochronie danych osobowych – z dnia 3 marca 2018 r., został rozpatrzony przez Komisję Prawniczą.
Ministerstwo Cyfryzacji dąży do tego, aby projekt jak najszybciej trafił na posiedzenie Rady Ministrów, a następnie do parlamentu. Projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych znajduje się aktualnie na wcześniejszym etapie legislacyjnym.
RODO będzie miało zastosowanie od dnia 25 maja 2018 r. i od tego dnia polskie przepisy zapewniające skuteczność rozporządzenia unijnego muszą wejść w życie. Polskiemu ustawodawcy nie zostało zatem zbyt wiele czasu na zakończenie procesu legislacyjnego.
Warto zwrócić uwagę, że projekt ustawy o ochronie danych osobowych został już kilkukrotnie zmieniony. Do pierwotnej wersji projektu wprowadzono istotne zmiany, które mają doniosłe znaczenie dla przedsiębiorców.
Ostatnie wersje projektu przewidują m.in.:
1) Znaczące ograniczenia obowiązków administratorów danych będących mikroprzedsiębiorcami
(tj. podmiotami, które w co najmniej jednym z dwóch ostatnich lat obrotowych zatrudniały średniorocznie mniej niż 10 pracowników oraz osiągnęły roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro).
Podmioty te nie będą musiały podawać w tzw. klauzuli informacyjnej wielu istotnych informacji m.in. o: profilowaniu, okresie retencji danych oraz informacji o większości praw przysługujących osobie, której dane dotyczą.
Co więcej, w odniesieniu do tych podmiotów wyłączono obowiązek przekazania kopii danych, jak również obowiązek powiadomienia o sprostowaniu lub o usunięciu danych osobowych, bądź o ograniczeniu przetwarzania.
Powyższe ograniczenie nie będzie mieć jednak zastosowania do administratorów udostępniających dane osobowe innym administratorom, z wyjątkiem sytuacji gdy osoba, której dane dotyczą wyraziła zgodę na udostępnienie swoich danych osobowych lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze, oraz do administratorów, którzy w ramach przetwarzania danych przetwarzają dane osobowe szczególnie chronione, o których mowa w art. 9 RODO.
2) Rozszerzenie przepisów karnych
Projekt ustawy początkowo przewidywał, że odpowiedzialnością karną zagrożone jest przetwarzanie danych szczególnych kategorii (danych wrażliwych) bez podstawy prawnej.
Do projektu wprowadzono poprawkę, zgodnie z którą odpowiedzialności karnej podlega zarówno przetwarzanie danych „zwykłych”, jak i danych wrażliwych, które jest niedopuszczalne, lub wykonywane przez podmiot nieuprawniony.
Ponadto, znacznie zwiększono karę ograniczenia i pozbawienia wolności za przetwarzanie danych wrażliwych (z 1 do 3 lat). Dodatkowo, ustanowiono karę ograniczenia i pozbawienia wolności do lat 2 za utrudnianie wykonywania kontroli organowi nadzorczemu (początkowo czyn ten zagrożony był wyłącznie karą grzywny).
RODO w Polsce – komentarz prawnika
Niewykluczone, że podczas prac parlamentarnych nad ustawą o ochronie danych osobowych do projektu zostaną wprowadzone kolejne zmiany. Projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych jest bardzo obszerny i tu też należy spodziewać się wprowadzenia poprawek do treści projektu.
Pomimo, że prace nad powyższymi ustawami w ostatnim czasie znacząco przyspieszyły, należy się spodziewać, że od ich uchwalenia do daty, w której powstanie obowiązek stosowania RODO w Polsce pozostanie niewiele czasu.
Tymczasem brak uchwalonych przepisów krajowych w obszarze danych osobowych uniemożliwia właściwe wdrożenie RODO przez podmioty zobowiązane do stosowania tej regulacji. Większość przedsiębiorców aktualnie prowadzi intensywne czynności mające na celu dostosowanie ich organizacji do rozporządzenia unijnego.
Bez ostatecznej treści przepisów krajowych podmioty zobowiązane do stosowania RODO nie są w stanie określić niezbędnych procedur, klauzul informacyjnych oraz klauzul zgody, które powinny być stosowane w ich organizacjach od 25 maja 2018 r.
Polski ustawodawca postawił zatem podmioty objęte RODO w trudnej sytuacji.
Należy mieć nadzieję, że nowy organ ochrony danych – Prezes Urzędu Ochrony Danych Osobowych, nie rozpocznie kontroli dostosowania przedsiębiorców do nowej regulacji w początkowych tygodniach obowiązku stosowania RODO.
Chcesz wiedzieć więcej o RODO/GDPR? Przeczytaj te artykuły:
Wstępne informacje o RODO/GDPR, a także kilka słów o założeniach niniejszego cyklu artykułów, znajdziesz we wpisie pilotowym, który przeczytasz tu.
Wpis pierwszy, o podstawowych założeniach RODO/GDPR, oraz ustaw dostosowujących nasze prawo do nowych przepisów, przeczytasz tu.
Wpis drugi, o prawach osób, których dane są przetwarzane i obowiązkach przedsiębiorców w ramach nowych przepisów, przeczytasz tu.
Wpis trzeci, o karach, jakie grożą za nieprzestrzeganie RODO, przeczytasz tu.
Przeczytaj też dwa wpisy o ePrivacy, czyli rozporządzeniu towarzyszącemu RODO. Są tu: wpis 1 i wpis 2