Dane Osobowe


Przypominamy jak kształtowały się przepisy o ochronie danych osobowych na przestrzeni ostatnich lat?

Pod szumną nazwą IV Pakietu Deregulacyjnego Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. 2014 poz. 1662) rzekomo wprowadziła około 40 ułatwień w prowadzeniu własnej firmy, w tym rzekomo zniosła zbędne obowiązki biurokratyczne w prawie gospodarczym.

A jak było faktycznie? W praktyce od 1 stycznia 2015 r., weszła w życie kolejna nowelizacja ustawy o ochronie danych osobowych, która istotnie zmieniła obowiązki firm oraz osób odpowiedzialnych za ochronę danych osobowych,  obowiązywała ona do 24 maja 2018 r.

W związku ze sprzecznymi informacjami podawanymi przez różne podmioty na temat zmian jakie nastąpiły z dniem 1.01.2015 r., w zakresie ochrony danych osobowych informowaliśmy, że nieprawdziwe były informacje zarówno o obowiązku zgłoszenia przez każdy podmiot ABI do rejestru GIODO jak i konieczności posiadania przez ABI certyfikatu, żeby nie polemizować z oferentami różnych szkoleń, prowadzonych w imię hasła „szkolić każdy może ….” podawalismy linki do komunikatów GIODO w związku z tego typu nieprawdziwymi informacjami przekazywanymi przez różne podmioty:

W dniu 25 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „rozporządzeniem 2016/679” lub “RODO”. Rozporządzenie 2016/679 zaczęło być aktem bezpośrednio stosowanym od dnia 25 maja 2018 r. i do tego czasu to każde z państw członkowskich zobowiązane było do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcia właściwych przepisów wewnętrznych. Tym samym, począwszy od tej daty,  polskie przepisy powinny zapewniać skuteczne stosowanie przepisów rozporządzenia 2016/679, nie powielając rozwiązań rozporządzenia ani nie będąc z nim sprzecznymi. [Źródło: Ministerstwo Cyfryzacji, www.mc.gov.pl]

W procesie legislacyjnym coraz wyraźniej rysowały się rozbieżności w stanowisku Generalnego Inspektora Ochrony Danych Osobowych i Ministerstwa Cyfryzacji, np.:

Bezpieczeństwo danych w rejestrze PESEL do poprawy, GIODO nakazał Ministrowi Cyfryzacji usunięcie naruszeń dotyczących przetwarzania danych w rejestrze PESEL: http://www.giodo.gov.pl/pl/1520301/10145

Oświadczenie dot. komunikatu GIODO w sprawie bezpieczeństwa danych w rejestrze PESEL, Odnosząc się do opublikowanego dziś stanowiska GIODO Ministerstwo Cyfryzacji informuje, że wnioski w nim zawarte są nieprawdziwehttps://mc.gov.pl/aktualnosci/oswiadczenie-dot-komunikatu-giodo-w-sprawie-bezpieczenstwa-danych-w-rejestrze-pesel

Organem właściwym do przygotowania nowej regulacji prawnej w zakresie ochrony danych osobowych był minister właściwy do spraw informatyzacji, gdyż do jego zadań, zgodnie z art. 12a ust. 1 pkt 8 ustawy z dnia 4 września 1997 r. o działach administracji rządowej (Dz.U. z 2016 r., poz. 2260, z późn. zm.) należą sprawy kształtowania polityki państwa w zakresie ochrony danych osobowych. Natomiast organem odpowiedzialnym za stosowanie nowych regulacji jest Prezes Urzędu Ochrony danych Osobowych [PUODO].

W celu zapewnienia skutecznego stosowania RODO konieczne jest poza uchwaleniem nowej ustawy o ochronie danych osobowych także dokonanie licznych zmian w innych 168 ustawach zapewniających dostosowanie krajowego porządku prawnego do nowych norm prawnych.

Co powinniśmy jeszcze wiedzieć? Co jest konieczne żeby podjąć ostateczne i racjonalne działania w zakresie zakończenia wdrażania RODO?

  • Poznać Ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 – ostatni projekt z dnia 22 października 2018 r., przewidujący zmiany w 168 innych ustawach.
  • Opracowanie przez Prezesa Urzędu kryteriów certyfikacji (Art. 7 Nowej Ustawy ODO).
  • Opracowanie przez Prezesa Urzędu standardowych klauzul umownych o których mowa w art. 28 ust. 8 RODO oraz zatwierdzonych kodeksów postępowania, o których mowa w art. 40 RODO (Art. 38 Nowej Ustawy ODO).
  • Opracowanie przez Prezesa Urzędu wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 RODO (Art. 39 Nowej Ustawy ODO). Pierwszy wykaz rodzajów operacji przetwarzania wymagających oceny skutków opracowany przez UODO został zakwestionowany przez Europejską Radę Ochrony Danych. Prezes UODO został zobowiązany do poprawienia polskiego wykazu w terminie dwóch tygodni.
  • Opracowanie przez Prezesa Urzędu rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych z uwzględnieniem specyfiki danego rodzaju działalności (Art. 43 Nowej Ustawy ODO).

Kiedy administratorzy danych będą mieli dostęp do krajowych aktów prawnych pozwalających na skuteczne stosowanie przepisów rozporządzenia 2016/679?

Czy bez powyższego mamy podstawy prawne do podejmowania racjonalnych i uzasadnionych merytorycznie decyzji?

Czy zanim prawidłowo “wdrożysz” RODO jesteś pewien, że spełniasz aktualnie obowiązujące wymagania?

Czy chcesz legalnie funkcjonować do RODO?

Jesteśmy na naszym rynku pierwszą spółką, która została utworzona po to by specjalizować się w problematyce ochrony danych osobowych i do dziś jedyną, która przed rozpoczęciem działalności (14.05.2003r.) zarejestrowała swoje zbiory danych osobowych.


Robert Gadzinowski

Prezes Zarządu

r.gadzinowski@polguard.pl

Zapraszamy do kontaktu: Kontakt

PolGuard e-GIODO