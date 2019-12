Dostosowanie do przepisów RODO to nie tylko obowiązek administratorów czy podmiotów przetwarzających. Swoją pracę w tym zakresie musiał wykonać sam ustawodawca, a polegać ona miała na harmonizacji wewnętrznych przepisów krajowych z wymogami unijnego rozporządzenia. Efektem tych działań była ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO (tzw. ustawa wdrażająca RODO).

Akt prawny, obowiązujący od 4 maja 2019 r., wprowadził modyfikacje w 162 ustawach z różnych obszarów, m.in. prawa pracy, prawa oświatowego, oraz przepisach istotnych dla takich branż jak ubezpieczeniowa, bankowa czy telekomunikacyjna. Przywołane zmiany wymusiły na administratorach weryfikację oraz niejednokrotnie zmianę przyjętych po 25 maja 2018 r. rozwiązań w zakresie przetwarzania danych dotyczących w szczególności podstaw prawnych przetwarzania danych oraz ich zakresu.

Dla części podmiotów zobowiązanych do przestrzegania przepisów z zakresu ochrony danych osobowych początek 2019 r. okazał się równie istotny jak maj 2018 r. Wszystko za sprawą wejścia w życie 6 lutego 2019 r. ustawy o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości (tzw. ustawy DODO).

- Prawie roczny okres obowiązywania ustawy DODO nie rozwiał wielu kontrowersji towarzyszących jej stosowaniu. Pomimo pojawiania się licznych głosów negatywnie oceniających m.in. nieprecyzyjne określenie kręgu podmiotów zobowiązanych do stosowania ustawy, zbyt szerokie wyłączenie w zakresie obowiązywania ustawy oraz podważających poprawność dokonania samej implementacji dyrektywy 2016/680, nie doczekaliśmy się jednoznacznego stanowiska prezesa Urzędu Ochrony Danych Osobowych (lub innych organów nadzorczych) w tym zakresie. Niezależnie od tego ustawa obowiązuje, organy i podmioty przetwarzające dane osobowe w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, oraz wykonywania tymczasowego aresztowania, kar, także porządkowych, i środków przymusu skutkujących pozbawieniem wolności stoją przed dylematem jak w praktyce stosować przepisy ustawy - wskazuje adwokat Łukasz Pociecha, ekspert ds. ochrony danych w ODO 24.

Aktywność prezesa UODO

Tylko w 2019 r. Urząd Ochrony Danych Osobowych wydał 94 decyzje (stan na grudzień 2019 r.). Jest to o tyle istotne, że przywołane decyzje stanowią cenne źródło informacji na temat interpretacji przepisów prawa z zakresu ochrony danych osobowych. W tym miejscu nie sposób pominąć pięciu nałożonych przez organ nadzorczy, w ramach wydanych decyzji, kar administracyjnych w przedziale od 40 tys. zł do 2 mln 200 tys. zł. Co ważne, działania organu nadzorczego wskazują, że nakierowane są one nie tylko na sektor prywatny, ale również podmioty publiczne, których dotknęła jedna z ostatnich kar administracyjnych.

- Należy wskazać, że polski urząd ochrony danych nie wybija się w swej aktywności ponad standardy organów z pozostałych państw europejskich. Niewątpliwy prym w tym zakresie wiodą organy z Niemiec i Hiszpanii, nakładające najwięcej kar administracyjnych. Co istotne, nie omijają one również wielkich graczy takich jak GOOGLE Inc. - francuski organ nadzorczy nałożył na spółkę karę w wysokości 50 mln euro. Najbardziej dotkliwe były jednak kary będące efektem działań brytyjskiego organu nadzorczego, który w 2019 roku wydał dwie decyzje na łączną kwotę około 315 mln euro. Ogółem, według informacji z grudnia 2019 r., europejskie organy wydały około 110 decyzji nakładających kary finansowe za naruszenie przepisów RODO - mówi Łukasz Pociecha.

Warto pamiętać, że każda decyzja niesienie ze sobą dodatkowe informacje dotyczące rozumienia przepisów unijnego rozporządzenia w zakresie m.in. realizacji podstawowych zasad przetwarzania danych, stosowanych podstaw prawnych przetwarzania danych osobowych, realizacji praw osób, których dane dotyczą, oraz stosowanych technicznych i organizacyjnych środków zapewniających bezpieczeństwo przetwarzania danych osobowych.

Co przyniesie 2020 rok?

Najbliższy rok nie upłynie pod znakiem tak spektakularnych zmian w przepisach krajowych odnoszących się do ochrony danych osobowych, jak miało to miejsce w 2018 czy też 2019 r. W dalszym ciągu z zaciekaniem będziemy jednak spoglądać na prace nad Rozporządzeniem w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (ePrivacy). Biorąc pod uwagę dotychczasowe tempo prac legislacyjnych w tym zakresie trudno wskazać datę finalizacji tego projektu.

- W 2020 r. oczy wszystkich osób zainteresowanych ochroną danych osobowych będą zwrócone na działania samego prezesa UODO. Wynika to w szczególności z faktu reorganizacji struktury samego urzędu, w ramach której 1 grudnia 2019 r. powołany został odrębny Departament Skarg oraz Departament Kontroli i Naruszeń. Ich pracownicy mają skupić się na przypisanych im zadaniach - odpowiednio rozpatrywaniu skarg związanych z naruszeniami przepisów o ochronie danych osobowych i prowadzeniu kontroli w imieniu prezesa UODO. Szczególnym zainteresowaniem praktyków może cieszyć się również Departament Orzecznictwa i Legislacji, odpowiedzialny m.in. za udzielanie odpowiedzi na pytania kierowane przez inspektorów ochrony danych - wskazuje Łukasz Pociecha.

2020 r. upłynie również na oczekiwaniu na orzeczenia sądów administracyjnych, które rozpatrywać będą skargi od decyzji wydanych przez prezesa Urzędu Ochrony Danych. Największą popularnością cieszyć się będą postępowania dotyczące nałożonych przez organ nadzorczy kar administracyjnych. Nie należy jednak tracić z pola widzenia orzeczeń krajowych sądów powszechnych, mogących dotyczyć roszczeń bazujących na naruszeniu przepisów o ochronie danych osobowych. Obok decyzji samego organu nadzorczego, orzeczenia sądów stanowić będą kolejne cenne źródło interpretacji przepisów.

- Należy pamiętać, że każda nowa decyzja lub orzeczenie oznaczać może zmianę w podejściu do przepisów z zakresu ochrony danych osobowych, a co za tym idzie możliwość lub konieczność wprowadzenia przez administratorów modyfikacji w poszczególnych procesach przetwarzania danych - podkreśla Łukasz Pociecha.