Nowa regulacja dotycząca ochrony i przetwarzania danych osobowych - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE- przyjęta została 27 kwietnia 2016 roku. Od 25 maja 2018 roku ma być bezpośrednio stosowana przez wszystkie podmioty, których dotyczy, w tym przedsiębiorców i instytucje w Polsce. Podmioty z sektora prywatnego i publicznego mają dokładnie rok na przystosowanie do wymogów Rozporządzenia, zwanego potocznie RODO lub ang. GDRP – General Data Protection Regulation.

Rozpoczęcie obowiązywania GDPR oznacza także konieczność zmian w setkach aktów prawnych. Rewizji wymagają przepisy regulujące najrozmaitsze dziedziny życia: nie tylko ochrona danych jako taka. Zadecyduje się m.in. jakie dane i w jaki sposób będą mogli pozyskiwać pracodawcy na temat kandydatów do pracy i pracowników; co będą o nas wiedziały instytucje publiczne; do jakich danych dostęp będą miały banki przy sprawdzaniu zdolności kredytowej czy ubezpieczyciele przy wyliczaniu kosztu polisy; i wreszcie, co zmieni się, jeśli chodzi o uprawnienia służb. Przed administracją rządową stoi wielkie wyzwanie, by nie tylko zrobić to na czas, ale także zadbać o zachowanie wysokich standardów ochrony praw obywateli w różnych sferach życia.

Na poziomie rządowym resortem odpowiedzialnym za ochronę danych osobowych jest Ministerstwo Cyfryzacji. Resort cyfryzacji koordynuje również prace dotyczące dostosowania sytuacji w Polsce do unijnych wymogów przetwarzania danych. Celem Ministerstwa jest zadbanie o spójność kierunku zmian i zachowanie wysokich standardów ochrony praw obywateli w aktach prawnych przygotowywanych w poszczególnych resortach.

Najbardziej oczywistą zmianą będzie nowa ustawa dotycząca ochrony danych osobowych. Ministerstwo Cyfryzacji opublikowało już roboczy projekt ustawy.Odoserwis.pl opublikował oddzielny wpis zawierający treść proponowanej ustawy o ochronie danych osobowych. Jak podkreśliło Ministerstwo, zmiany wymagała całość dotychczasowej ustawy.

Mimo wcześniejszych obietnic roboczy projekt ustawy o ochronie danych osobowych nie zawiera żadnych zmian w przepisach szczególnych, które miały pojawić się w samej ustawie w formie przepisów zmieniających.

W jakich aktach prawnych możemy spodziewać się zmian, w związku z wdrożeniem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych? Na podstawie uzyskanych przez fundację Panoptykon odpowiedzi od ministerstw, postanowiliśmy przedstawić przykłady aktów prawnych wymagających zmian.

Bardzo istotne zmiany mogą dotknąć całą gałąź prawa pracy. W ustawie z dnia 26 czerwca 1974 r. – kodeks pracy, wskazuje się w szczególności na uregulowane w art. 22¹ zasady dotyczące tego, jakich informacji może żądać pracodawca od kandydatów do pracy i sposobów ich udostępniania. W pozostałym zakresie zmiany dotkną sposób funkcjonowania administracji publicznej, która zbiera i przetwarza dane osobowe obywateli w celu potwierdzenia, weryfikacji, przyznania lub odebrania rozmaitych świadczeń społecznych, aktywizacyjnych i rodzinnych. Dlatego też, w ocenie Ministerstwa Pracy i Polityki Społecznej, zmiany dotkną ustawę z dnia 20.04.2004 r. o promocji zatrudnienia i instytucjach rynku pracy, w zakresie regulującym prowadzenie tzw. rejestrów centralnych dotyczących funkcjonowania rynku pracy, a także funkcjonowanie agencji zatrudnienia. Dla przykładu, jeden z takich rejestrów został wprowadzony ustawą z dnia 27.08.1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych. W związku z tym, w celu szczegółowego dostosowania zabezpieczeń przetwarzania danych w tym systemie informatycznym, może wymagać zmiany wprowadzające go rozporządzenie. To jednak tylko jedna z wielu ustaw i wprowadzających je rozporządzeń wykonawczych, które we fragmentarycznym zakresie regulują przetwarzanie danych osobowych. Wiele takich regulacji znajdziemy chociażby w ustawie z dnia 09.06.2011 r. o wspieraniu rodziny i systemie pieczy zastępczej, czy ustawie z dnia 28.11.2003 r. o świadczeniach rodzinnych. W sumie zmiany o różnym zakresie mają dotyczyć 16 różnych aktów prawnych z dziedziny prawa pracy i systemu zabezpieczenia społecznego.

W ocenie MSWiA zmianie będzie musiała ulec ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną w zakresie rozdziału 4 regulującego zasady ochrony danych osobowych w związku ze świadczeniem usług drogą elektroniczną, w szczególności dozwolony cel, zakres i sposoby udostępniania danych osobowych przez dostawców takich usług.

Ministerstwo wskazało również na konieczność dostosowania treści ustawy z dnia 16 lipca 2004 r. - prawo telekomunikacyjne. Zmiany mogą dotyczyć w szczególności art. 174a- 174d (dotyczących m.in. zawiadamiania GIODO o naruszeniu danych osobowych, prowadzenia rejestru naruszeń danych osobowych).

Kolejnym przykładem koniecznych zmian jest nowelizacja przepisów ustawy z dnia 11.09.2015 r. o działalności ubezpieczeniowej i reasekuracyjnej. Przepisy art. 39, 41 dotyczące zasad udostępniania i zbierania danych osobowych przez zakłady prowadzące działalność ubezpieczeniową, będą wymagały rewizji.

Wskazuje się także na szereg przepisów ustawy z dnia 12.12.2013 r. o cudzoziemcach, których może dotyczyć nowelizacja.

Z kolei Ministerstwo Sprawiedliwości wskazuje na konieczność weryfikacji zasadniczych przepisów proceduralnych w zakresie regulującym współpracę międzynarodową w zakresie doręczania pism sądowych i pozasądowych, a także przeprowadzania dowodów oraz dokonywania innych czynności postępowania. Niektóre bowiem informacje przesyłane w ramach tej współpracy stanowią dane osobowe. Wymaga więc uściślenia, czy taka wymiana informacji stanowi „przetwarzanie danych osobowych” i wchodzi w zakres rozporządzenia. Chodzi tu przede wszystkim o kodeks postępowania cywilnego i kodeks postępowania karnego. Wspomniane ustawy normują również wymaganą treść pism sądowych – w tym w zakresie oznaczeń stron, jawności rozprawy czy też sposobów dopuszczalnego udostępniania akt sprawy. Również te regulacje będą musiały ulec weryfikacji w kontekście rozporządzenia GDRP.

Organizacja wymiaru sprawiedliwości, opisana w ustawie z dnia 27.07.2001 r. prawo o ustroju sądów powszechnych, również jest materią odnoszącą się do postępowania z danymi osobowymi. Ustawa dotyczy m.in. sposobu obsadzania wolnych stanowisk sędziowskich, prowadzenia kont w systemach informatycznych, składania oświadczeń majątkowych przez sędziów, a także ramowo odnosi się do całego procesu informatyzacji sądów.

Podobnie ustawa z dnia 24.05.2000 r. o krajowym rejestrze karnym wraz z rozporządzeniami wykonawczymi, w całości poruszająca problematykę danych osobowych, prawdopodobnie będzie wymagała noweli, przynajmniej na poziomie wykonawczym.

Ministerstwo wskazało również na ustawę z dnia 29.08.1997 r. o komornikach sądowych i egzekucji, czy też ustawę z dnia 14.02.1991 r. prawo o notariacie. Akty te, ze względu na regulowanie sposobów prowadzenia akt spraw przez zawody regulowane, ewidencji, postępowania z archiwaliami, również ulegną weryfikacji.

Powyższe informacje odnoszą się wciąż jedynie do wycinka koniecznych działań na poziomie legislacyjnym. Samo Ministerstwo Rolnictwa i Rozwoju Wsi wskazuje aż na 77 aktów prawnych pod swoją merytoryczną opieką, które mogą wymagać nowelizacji. Chodzi tu o szeroki zakres zagadnień, od regulacji odnoszących się do lekarzy weterynarii, poprzez ewidencje rolne, dopłaty, organizacje rynków produktów rolnych etc. Z kolei Ministerstwo Środowiska wytypowało do weryfikacji ustawę z dnia 27 kwietnia 2001 r. – prawo ochrony środowiska, ustawę z dnia 14.12.2012 r. o odpadach i 14 innych aktów prawnych.

Skala koniecznych działań na poziomie legislacyjnym jest ogromna.

Do tej pory nie pojawił się projekt żadnych zmian w przepisach prawa uwzględniający obowiązywanie od 25 maja 2018 r. ogólnego rozporządzenia o ochronie danych.

Podkreślenia wymaga, iż działania legislacyjne mają bezpośrednie znaczenie dla wdrożenia ogólnego rozporządzenia o ochronie danych przez przedsiębiorców i podmioty publiczne, bowiem w większości przypadków to właśnie regulacje szczególne stanowią podstawę legalności przetwarzania danych osobowych, określają zakres danych, które można przetwarzać, a także udostępniać. Niekiedy regulacje te określają również bardzo szczegółowo kwestie związane z zabezpieczeniem danych osobowych, w szczególności w przypadku przetwarzania danych w systemach informatycznych np. w sektorze medycznym.

Warto także wskazać, iż sama ustawa o ochronie danych osobowych będzie miała charakter regulacji proceduralnej a nie materialnej.

Mamy nadzieję, iż w najbliższym czasie  nastąpi znaczące przyśpieszenia prac legislacyjnych, w związku ze zbliżającym się okresem bezpośredniego stosowania rozporządzenia GDRP. Zapraszamy do śledzenia odoserwis.pl, gdzie postaramy się na bieżąco monitorować ten proces.

Zachęcamy do zapoznania z publikacjami na temat wdrożenia Rozporządzenia RODO, aktualnościami, a także 12 krokami do wdrożenia RODO m.in:

Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679

Wytyczne dotyczące prawa do przenoszenia danych

Wytyczne dotyczące inspektorów ochrony danych DPO

Test na zgodność zgody z Rozporządzeniem GDPR

Analiza ryzyka w Rozporządzeniu Parlamentu Europejskiego i Rady (UE)2016/679

12 kroków do wdrożenia RODO

 i wiele innych publikacji...

r.pr. Jakub Gosz, r.pr. Julia Kamińska-Kasjaniuk