Na przepisy towarzyszące RODO przyjdzie jeszcze poczekać

W dniu 12 lutego 2018 r. rozpoczęto procedowanie kolejnej wersji projektu nowej ustawy o ochronie danych osobowych w Komitecie do Spraw Europejskich Rady Ministrów. Zaproponowano w nim m.in. kontrowersyjne wyłączenie czterech przepisów unijnego ogólnego rozporządzenia 2016/679 (RODO) dla małych i średnich przedsiębiorstw. Tymczasem do zainicjowania prac legislacyjnych nad nową ustawą w Sejmie jeszcze długa droga.

 

Ministerstwo Cyfryzacji skierowało projekt nowej ustawy o ochronie danych osobowych, która zastąpi obecnie obowiązujący akt normatywny w całości, do Komitetu do Spraw Europejskich. Po etapie konsultacji społecznych, opiniowania, a także po zorganizowaniu konferencji uzgodnieniowej, następne gremium otrzymuje możliwość zaopiniowania projektu i wyrażenia rekomendacji.

 

W kolejnej już wersji projektu ustawy zaproponowano m.in. wyłączenie kilku przepisów RODO dla małych i średnich przedsiębiorstw, czyli firm zatrudniających nie więcej niż 250 osób. Jeżeli aktualne brzmienie projektu ostanie się w finalnym tekście ustawy, przedsiębiorstwa takie, zgodnie z polską ustawą, nie miałyby obowiązku podawania kilku informacji – np. o tym jak długo będą przetwarzać dane, o prawie żądania dostępu do danych, oraz o prawie do ich sprostowania czy usunięcia.

 

Chociaż RODO umożliwia polskiemu prawu ograniczenie zakresu niektórych obowiązków, jest to uzasadnione tylko wtedy, gdy takie ograniczenie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym celom wyszczególnionym w katalogu art. 23 ust. 1 RODO.

 

Po pierwsze, trudno ocenić, że wyłączenie wyżej wymienionych obowiązków dla MŚP służy ważnemu interesowi gospodarczemu lub finansowemu Polski, na co wskazuje uzasadnienie projektu. Resort cyfryzacji tłumaczy, że faktycznym powodem jest trudność realizacji tych obowiązków w praktycznej działalności przedsiębiorców, co nie jest argumentem wystarczającym. Po drugie, projektowany przepis całkowicie wyłącza stosowanie niektórych przepisów RODO wobec MŚP, co z punktu widzenia techniki prawodawczej należy ocenić jednoznacznie negatywnie. Akt normatywny niższego rzędu (ustawa) nie może bowiem po prostu wyłączyć stosowania przepisów aktu rzędu wyższego (rozporządzenie unijne ma pierwszeństwo obowiązywania i stoi wyżej w hierarchii norm). Po trzecie, całkowite wyłączenie obowiązków przez polskiego projektodawcę należy postrzegać jako ingerencję w istotę tych obowiązków i praw, a nie tylko jako ich ograniczenie.

 

Wątpliwości związane z polskim procesem legislacyjnym nie występują jedynie po stronie administratorów danych. W ramach konferencji pt. „Aktualny stan przygotowania polskiego systemu prawnego do bezpośredniego stosowania RODO”, która odbyła się we Wrocławiu 21 lutego 2018 r., wyrażono obawy co do wpływu polskiej regulacji na organ nadzorczy (obecnie GIODO, a po reformie: UODO). Jej przepisy konstytuują bowiem Urząd Ochrony Danych Osobowych oraz postępowanie przed nim, i dlatego zdają się mieć większe znaczenie dla organu nadzorczego, aniżeli dla przedsiębiorców – administratorów danych. Jak wskazywali przedstawiciele GIODO, projektodawca niechętnie uwzględnia uwagi zgłaszane w toku procesu legislacyjnego, co może mieć wpływ na finansowe, organizacyjne i kadrowe możliwości urzędu związane z wykonywaniem nadzoru, już po wejściu w życie ogólnego rozporządzenia. Pełna efektywność będzie najprawdopodobniej możliwa dopiero po kilku miesiącach.

 

Jak informuje Ministerstwo Cyfryzacji, życzeniem resortu jest to, by projekt ustawy trafił do Sejmu na początku kwietnia. Parlament miałby niecałe dwa miesiące na kontynuowanie prac legislacyjnych zanim ogólne rozporządzenie wejdzie w życie. Nie oznacza to jednak, że do tego czasu przedsiębiorcy nie są w stanie przygotować się na wejście w życie nowych przepisów. Wręcz przeciwnie – treść obowiązków jest jasna i wynika wprost z RODO. Na ten moment nie można zakładać, że polskie przepisy, które powinny ułatwić interpretację rozporządzenia, będą zgodne z prawem Unii Europejskiej. Ich przyjęcie w obecnym brzmieniu może poskutkować sytuacją, w której przedsiębiorcy będą postępować wbrew nałożonym na nich obowiązkom, w błędnym przekonaniu, że mają na to przyzwolenie.

 

Jeżeli są Państwo zainteresowani uzyskaniem szczegółowych informacji prosimy o kontakt z Dorianem Dudą – adwokat@keller.pl, tel. + 48 71 781 84 70.

 

Powyższe materiały mają wyłącznie charakter informacyjny i nie stanowią porady prawnej. Jeżeli są Państwo zainteresowani uzyskaniem szerszych informacji, prosimy o kontakt z Kancelarią.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

^