Blog PrawoMówni miał dłuższą przerwę, ale niniejszym powracamy. W ostatnim czasie pojawiło się sporo nowych, ciekawych tematów zasługujących na omówienie. Na pierwszym planie: przyjęte niedawno unijne ogólne rozporządzenie o ochronie danych osobowych (RODO). Będzie ono stosowane wprawdzie dopiero od 25 maja 2018 r., ale już można zaobserwować ogromne zainteresowanie wynikającymi z niego obowiązkami, a także karami grożącymi za ich niewykonywanie. W kolejnych wpisach przeanalizujemy niektóre nowości - dziś parę słów wstępu podsumowującego kilka lat pracy nad projektem RODO. Powodów przyjęcia rozporządzenia jest wiele. Tu wymienię tylko kilka.
Po pierwsze, obecnie obowiązująca Dyrektywa 95/46 była tworzona w pierwszej połowie lat 90. XX w. W tamtych czasach nie było jeszcze mowy o portalach społecznościowych czy innych e-usługach. Dziś mamy do czynienia z nowymi zjawiskami i nowymi zagrożeniami. Jednym z celów rozporządzenia ma być więc wzmocnienie zaufania konsumentów do e-usług, a to można osiągnąć między innymi poprzez zapewnienie bezpieczeństwa danych osobowych.
Po drugie, podkreśla się zróżnicowany sposób implementacji Dyrektywy w poszczególnych państwach. Instrument w postaci rozporządzenia ma temu zapobiec, bo rozporządzenie – w przeciwieństwie do dyrektywy – ma bezpośrednie zastosowanie w całej UE.
Mam tu jednak pewne obawy.
Po pierwsze, rozporządzenie zawiera różnego rodzaju wyrażenia nieostre, np. zgodnie z art. 37 inspektora ochrony danych (następcę obecnego administratora bezpieczeństwa informacji) trzeba będzie powołać, gdy „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”. Nie dość, że „regularne” i „systematyczne” to jeszcze „na dużą skalę”, czyli określenia, które prawnicy bardzo lubią… Jest oczywiste, że przepisy nie mogą opisywać szczegółowo każdej sytuacji, niemniej w RODO takich przykładów jak ten powyżej jest zbyt dużo.
Po drugie, państwa członkowskie będą mogły wprowadzić odstępstwa od niektórych obowiązków, co być może zniweczy trud ujednolicenia zasad ochrony danych w Unii.
Nie wspomnę już o tym, że niektóre wyrażenia będą z całą pewnością różnie interpretowane w różnych państwach. Trzymając się przykładu obowiązku powołania inspektora ochrony danych: objęte będą nim również „organy i podmioty publiczne” (ang. public authorities or bodies). Wątpię, czy pojęcie „podmiotu publicznego” jest rozumiane wszędzie tak samo.
Ogromną rolę odegra więc teraz przewidziana w RODO współpraca organów nadzorczych, w tym tzw. mechanizm spójności, oraz powołany Rozporządzeniem nowy organ: Europejska Rada Ochrony Danych.
W Polsce, podobnie jak w innych państwach Unii, czeka nas ogromna praca: w ciągu najbliższych dwóch lat powinniśmy przejrzeć i znowelizować nie tylko ustawę o ochronie danych osobowych, ale szereg innych aktów prawnych (ich liczba idzie w dziesiątki, jeśli nie w setki), pod kątem dostosowania do RODO. Na szczeblu administracji centralnej prac jeszcze nie rozpoczęto, więc w niektórych sektorach przedsiębiorcy wzięli sprawy w swoje ręce: nie tylko szkolą się z nowych przepisów, ale analizują, co w aktach prawnych dotyczących ich branży powinno ulec zmianie. Niedługo możemy spodziewać się pierwszych propozycji zmian legislacyjnych.
Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę.
- Komentarze nt. bieżących wydarzeń związanych z ochroną danych osobowych i dostępem do informacji, telekomunikacją i szeroko rozumianym prawem administracyjnym.
- Omawianie orzecznictwa polskiego i europejskiego oraz propozycji zmian w przepisach w tych dziedzinach.
- Opinie dotyczące działań takich organów jak GIODO, UKE czy ULC.
