Ustawa wprowadzająca (rok po) RODO. Co się zmienia?
Marek Porzeżyński
06 maja 2019, 11:41·4 minuty czytania
Publikacja artykułu: 06 maja 2019, 11:41Mimo faktu, że mija niemalże rok od wejścia w życie RODO, w życie wchodzi drugi z zaplanowanych elementów dostosowania polskiego systemu prawnego do odpowiedniego wypełniania obowiązków przewidzianych we wskazanym akcie prawnym. Co w takim razie się zmienia?
RODO (zwane również z jęz. ang. GDPR) czyli właściwie Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE jest stosowane od 25 maja 2018 r. Data ta była powtarzana w zeszłym roku niemalże tak często jak dzień rozpoczęcia 8 sezonu Gry o Tron. Z jednej strony to bardzo dobrze ponieważ podstawowe informacje w tym zakresie powinny dotrzeć do najszerszej grupy odbiorców. Z drugiej jednak, podobnie jak w przypadku innych „gorących” tematów, tak i w tym przypadku, pojawiło się wiele podmiotów próbujących w niemoralny, a często również nieuczciwy, sposób wykorzystać to zainteresowanie.
Choć czas największej koncentracji na RODO już minął to w trakcie majówki (dokładniej 4 maja) weszła w życie
ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zwana ustawą wprowadzającą lub wdrażającą. Jest to druga ustawa związana bezpośrednio z RODO w naszym systemie prawnym ponieważ bardzo szybko, jeszcze przed 25 maja zeszłego roku, Sejm uchwalił ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych, która była niezbędna dla możliwości zapewnienia stosowania RODO w Polsce.
Ustawa wprowadzająca, zgodnie z planami władz, miała również być uchwalona w zeszłym roku. Początkowo miała wejść w życie łącznie z ustawą o ochronie danych osobowych w dniu rozpoczęcia stosowania RODO w Polsce tj. 25 maja 2018 r. Ten termin nie został dotrzymany jednakże niezwłocznie wskazano, że zostanie ona uchwalona jeszcze przed okresem wakacyjnym. Terminy były jeszcze wielokrotnie zmieniane a prace trwały.
W ramach ustawy wdrażającej wprowadzono do polskiego systemu prawnego wiele zmian, które mają na celu zapewnienie pełniejszego i sprawniejszego stosowania przepisów RODO. Powyższe stwierdzenie doskonale obrazuje jedna statystyka – zmiany wprowadzono do ponad 160 aktów prawnych. Wiele z nich jest oczywiście zmianami o charakterze porządkującym lub dostosowującym do nowych warunków np. poprzez zmianę odwołań do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Najważniejszą, jak się wydaje, zmianą jest wprowadzeni ułatwienia dla najmniejszych przedsiębiorstw. Jeżeli zatrudniają bowiem do 10 pracowników (i jednocześnie nie mają obrotu większego niż 2 mln euro netto rocznie czyli ponad 8,5 mln zł) będą korzystały z pewnych ułatwień. W szczególności należy wskazać brak obowiązku bezpośredniego informowania każdej osoby, której dane osobowe przetwarzają. Aby jednak spełnić obowiązek informacyjny zgodnie z RODO przedsiębiorcy Ci będą mogli zamieścić jego najważniejsze elementy w widocznym i dostępnym miejscu np. w lokalu lub na stronie internetowej. Jest to znaczące i niezwykle ważne ułatwienie.
Do najszerzej komentowanych zmian należą modyfikacje wprowadzane do Kodeksu pracy. W przypadku tego aktu, w ramach art. 4 ustawy wprowadzającej, wskazano zmiany do szeregu przepisów dotyczących stosunku pracy i przetwarzanych przez pracodawców danych osobowych. W ramach rzeczonych przepisów wskazano chociażby katalog danych, które pracodawca może przetwarzać na temat swojego pracownika (i kandydata do pracy) oraz uporządkowano kwestie monitoringu. Pracodawcy spodziewali się tych zmian od pewnego czasu dlatego nie są one jakimkolwiek zaskoczeniem. Doczekały się one również szeregu opracowań dlatego bezcelowe jest ich szczegółowe omawianie w tym miejscu.
W przypadku innego aktu prawnego - ustawy Prawo zamówień publicznych zwrócić należy uwagę na szybkie i sprawne działanie Urzędu Zamówień Publicznych. Zmian w tym akcie nie będzie wiele ponieważ w ramach art. 72 ustawy wdrażającej wprowadzono pewne uproszczenia do procesu zamówieniowego. W szczególności wprowadzono obowiązek przetwarzania danych osobowych przez zamawiającego zarówno na etapie jego udzielania, jak również po jego zakończeniu, co jest niezwykle ważne dla uproszczenia organizacji całej procedury zamówieniowej. Zmiany zostały jasno wytłumaczone przez
Urząd Zamówień Publicznych, co zasługuje na uznanie.
Jak należało stosować RODO do 4 maja 2019 r.?
RODO jest aktem rangi rozporządzenia UE. Oznacza to, że jest ono stosowane bezpośrednio i nie wymaga jakiegokolwiek aktu prawnego aby to zapewnić. W szczególności należy takie akty odróżnić od dyrektyw UE kierowanych do państw członkowskich, które należy implementować w każdym z tych państw dla zapewnienia możliwości ich stosowania przez obywateli. Oznacza to, że dla stosowania RODO bez znaczenia jest fakt uchwalenia jakiegokolwiek aktu prawa wewnętrznego (lub jego brak). Ustawodawcy udało się uchwalić ustawę ustawę o ochronie danych osobowych, która była priorytetowa. W drugim przypadku - ustawy wdrażającej - prace trwały niemalże rok dłużej. W tym czasie należało zatem stosować przepisy obowiązujące w danej chwili. Nie zwalniało to oczywiście nikogo z obowiązku monitorowania zmian wprowadzanych w kolejnych wersjach projektowanego aktu prawnego i odpowiedniego przygotowywania się do ich stosowania.