Wstęp - Ustawa z 10 maja 2018 r. o ochronie danych osobowych (cz. 1)

Od 25 maja 2018 r. system ochrony danych osobowych w Polsce uległ znaczącej zmianie. Dotychczasowa ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) została w znacznej części zastąpiona przez wchodzące w życie w tym dniu:

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L119 s.1; dalej: RODO);

• ustawę z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000; dalej: ustawa o.d.o.).

Wskazane regulacje prawne nie tworzą jeszcze kompletnego unormowania materii ochrony danych osobowych. Wynika to z faktu, że obecnie nadal trwają prace nad kolejnymi aktami prawnymi, które wprowadzą pewne zmiany w stosowaniu tychże przepisów. Mowa tutaj o: rozporządzeniu Parlamentu Europejskiego i Rady (UE) w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, tzw. rozporządzenie e-privacy, które ma być swoistą nadbudową nad RODO w zakresie ochrony użytkowników tzw. urządzeń końcowych, czyli najczęściej komputerów, smartfonów i tabletów. Z projektu tegoż aktu prawnego, który jak planowano pierwotnie miał wejść w życie również 25 maja 2018 r., wynika m.in., że:

• ma on mieć zastosowanie nie tylko do osób fizycznych, ale wszystkich kategorii użytkowników;

• wprowadzać będzie odmienne aniżeli RODO warunki wyrażania zgód, w szczególności marketingowych;

• ochrona nim wprowadzana ma obejmować także tzw. metadane,

• wprowadzać będzie kompleksową regulację w zakresie plików cookies i przetwarzania danych osobowych przy ich użyciu.

Z kolei jeśli chodzi o polskie regulacje, to nadal trwają prace nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Jest to regulacja, mocą której ma zostać znowelizowanych ponad 150 ustaw szczególnych. Zmiany będą miały na celu w szczególności ograniczenie bądź modyfikację zasad stosowania przepisów RODO w odniesieniu do różnego typu branż i postępowań. Projekt ustawy ma zatem urealnić stosowanie unijnego rozporządzenia przez przedsiębiorców i organy administracji publicznej we wszystkich tych przypadkach, gdzie stosowanie jego przepisów wprost naruszałoby uzasadnione interesy administratorów danych bądź podmiotów przetwarzających. Przykładowo, ustawa ma wyłączyć wykonywanie niektórych obowiązków informacyjnych, gdy ich wykonywanie naruszałoby tajemnicę zawodową (np. w przypadku adwokatów). Nadto dostosuje sposób stosowania RODO do realiów poszczególnych branż. Gwoli przykładu, zamawiający w procedurze zamówień publicznych będzie uprawniony do realizowania obowiązku informacyjnego poprzez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, w specyfikacji istotnych warunków zamówienia lub w regulaminie konkursu.

Oczekiwanie na uchwalenie i wejście w życie kolejnych dwóch aktów prawnych z zakresu ochrony danych osobowych nie oznacza, że istniejący obecnie system tworzony przez RODO oraz ustawy o.d.o. jest niekompletny. Nowe regulacje stanowić bowiem będą przepisy szczególne względem nich w zakresie niektórych branż bądź sposobów przetwarzania danych osobowych. Uznać zatem należy, że ogólny system ochrony danych osobowych obowiązuje w nowym kształcie od 25 maja 2018 r. Niezależnie zatem od planowanego uchwalenia przepisów szczególnych obecnie każdy z administratorów danych osobowych oraz procesorów zobowiązany jest do stosowania zasad wynikających z RODO oraz ustawy o.d.o., o ile te akty prawne nie stanowią wprost inaczej.

Komentarz poświęcony będzie praktycznemu omówieniu przepisów krajowej ustawy o ochronie danych osobowych. Przy czym w pierwszej części omówione zostaną ograniczenia oraz wyłączenia stosowania ww. aktów prawnych przez niektóre kategorie podmiotów krajowych. Poruszona zostanie także bardzo istotna kwestia wyznaczania inspektora ochrony danych, a także obowiązków administratora danych osobowych i procesora z tym związanych. Kolejnym zagadnieniem, które omówimy w tej części komentarza, będą warunki i tryb udzielania akredytacji podmiotom ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych. ©℗

Kolejna część komentarza 24 lipca

TYDZIEŃ Z KOMENTARZAMI – baza publikacji

W tygodniku Firma i Prawo komentowaliśmy ustawy:

• z 2 lipca 2004 r. o swobodzie działalności gospodarczej

• z 5 lipca 2001 r. o cenach

• z 29 sierpnia 1997 r. o ochronie danych osobowych

• z 16 września 1982 r. – Prawo spółdzielcze

• z 3 lutego 1995 r. o ochronie gruntów rolnych i leśnych

• z 8 marca 2013 r. o terminach zapłaty w transakcjach handlowych

• z 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym

• z 12 grudnia 2012 r. o ogólnym bezpieczeństwie produktów

• z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji

• z 14 grudnia 2012 r. o odpadach

• z 30 maja 2014 r. o prawach konsumenta

• z 6 września 2001 r. o transporcie drogowym

• z 15 maja 2015 r. – Prawo restrukturyzacyjne

• z 29 stycznia 2004 r. – Prawo zamówień publicznych

• z 20 lipca 2017 r. – Prawo wodne

• z 23 kwietnia 1964 r. – Kodeks cywilny (wyciąg dotyczący rękojmi i gwarancji)

Przeoczyłeś tygodnik? Znajdziesz go w wydaniach dgp na www.edgp.gazetaprawna.pl