RODO - czyli co?

(fot. )

Dnia 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO).

O jakie unijne rozporządzenie chodzi?

Pełna nazwa RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

To akt prawny przyjęty przez Unię Europejską normujący zasady ochrony danych osobowych na całym jej obszarze.

Zastępuje on unijną dyrektywę nr 95/46/WE z 1995 r.

Jako rozporządzenie unijne, przepisy RODO (w odróżnieniu od przepisów dyrektywy), nie potrzebują implementowania do krajowych porządków prawnych państw członkowskich UE, a więc nie trzeba regulacji RODO wdrażać w krajowych ustawach. Rozporządzenia unijne, w tym RODO, bezpośrednio obowiązują w krajowych porządkacjh prawnych, ich przepisy są bezpośrednio stosowane oraz bezpośrednio skuteczne.

Oznacza to, iż niemal całe prawo ochrony danych osobowych będzie teraz zawarte w tekście RODO. Przewidziano bardzo szeroki zakres zastosowania unijnych przepisów o ochronie danych osobowych. RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne oraz publiczne, które przetwarzają dane osobowe, i w praktyce większość procesów przetwarzania danych.

RODO zastąpi również obowiązującą teraz w Polsce ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

Od kiedy RODO będzie stosowane?

RODO weszło w życie w dniu 25 maja 2016 r. Rozporządzenie to zacznie być aktem bezpośrednio stosowanym od dnia 25 maja 2018 r. i do tego czasu każde z państw członkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcia właściwych przepisów wewnętrznych. 

RODO będzie zatem stosowane od 25 maja 2018 r. Do tego dnia wszystkie podmioty, jakie podlegają RODO, winny przestrzegać przepisów RODO. Nie przewidziano bowiem żadnego dodatkowego okresu przejściowego. Nie należy zatem czekać z wdrożeniem RODO w swojej firmie czy instytucji na polskie przepisy o ochronie danych osobowych. Niemal całe prawo ochrony danych osobowych znajdziemy bezpośrednio w tekście RODO, oprócz niektórych tylko zagadnień dotyczących ochrony kadrowych danych osobowych. 

Polskie przepisy wykonawcze w przygotowaniu

Od dnia 25 maja 2018 r. polskie przepisy muszą zapewniać skuteczne stosowanie przepisów RODO, nie powielając rozwiązań tego rozporządzenia ani nie będąc z nim sprzecznymi.

Ministerstwo Cyfryzacji, jako resort odpowiedzialny za zapewnienie skutecznego stosowania RODO w polskiej przestrzeni prawnej, kończy już prace nad zapewnieniem stosowania rozporządzenia 2016/679 i dostosowaniem krajowych unormowań do RODO - poprzez opracowanie nowej ustawy o ochronie danych osobowych, zastępującej obowiązującą obecnie ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922, ze zm.) oraz zmianę ponad 100 przepisów zawartych w ustawach znajdujących się we właściwości prawie wszystkich resortów i zawartych w projekcie ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych.  

Podjęte działania legislacyjne, zgodnie z zasadami prawa Unii Europejskiej, opierały się na założeniu, że nowa ustawa o ochronie danych osobowych będzie zawierała wyłącznie przepisy, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym, oraz takie, w przypadku których rozporządzenie 2016/679 pozostawiło pewną swobodę regulacyjną poszczególnym państwom członkowskim. Polska ustawa o ochronie danych osobowych ma zatem uzupełniać i uszczegóławiać RODO. W szczególności przedmiotem nowej ustawy o ochronie danych osobowych są więc kwestie dotyczące krajowego organu nadzorczego, tj. zasady powoływania Prezesa Urzędu Ochrony Danych Osobowych (PUODO, który zastąpi GIODO), postępowania przed tym organem, procedury odwoławczej od decyzji PUODO, postępowania kontrolnego, wieku dziecka wymaganego do samodzielnego wyrażania zgody na przetwarzanie danych osobowych w odniesieniu do usług społeczeństwa informacyjnego, podmiotu właściwego do akredytacji podmiotów certyfikujących, sądowej ochrony praw przysługujących. W polskich przepisach o ochronie danych osobowych znajdzie się ponadto regulacja tego fragmentu zasad ochrony danych osobowych, który nie został uregulowany w RODO, czyli niektórych zasad przetwarzania danych kadrowych. 

Zob.:

• Projekt ustawy o ochronie danych osobowych
• Rewolucja w systemie ochrony danych osobowych

Podstawa prawna:

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).