Prezydent Andrzej Duda we wtorek 22 maja podpisał ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych, która wejdzie w życie już w piątek, a więc 25 maja. Szybko. Tak szybko, że na stronach Sejmowych nie dokonano jeszcze aktualizacji stanu procesu legislacyjnego. No ale trudno się dziwić.

Nowa ustawa o ochronie danych osobowych to oczywiście konsekwencja unijnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), a więc osławionego RODO.

Rozporządzenie unijne znajdzie bezpośrednie zastosowanie w polskim porządku prawnym właśnie 25 maja br. Do tej pory komentatorzy przewidywali, że polski ustawodawca nie zdąży z przygotowaniem nowej ustawy do tego momentu i przez jakiś czas opieralibyśmy się przede wszystkim na przepisach RODO, które wprowadziło szereg odmiennych instytucji, niż przewidziane w dotychczas obowiązującej polskiej ustawie. Ale nie, ustawodawca zdążył i określając vacatio legis, jak to ostatnio często bywało, na zaledwie kilka dni, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych wejdzie w życie tego samego dnia, w którym RODO nabierze bezpośredniej stosowalności.

RODO zawiera szereg przepisów, które muszą znaleźć zastosowanie w porządkach prawnych państw unijnych, a więc lokalne regulacje prawne muszą być w tym zakresie zgodne lub powinny odsyłać do RODO. Jednak Rozporządzenie wskazuje również pewne obszary, które mogą zostać uregulowane przez poszczególne państwa członkowskie w sposób odmienny. Właśnie w tym zakresie nowa ustaw ma znaczenie.

Polski ustawodawca, jak czytamy w informacji opublikowanej na stronie internetowej Kancelarii Prezydenta, zdecydował się wprowadzić do ustawy przepis wyłączający stosowanie Rozporządzenia do przetwarzania danych przez niektóre jednostki sektora finansów publicznych w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, o ile przewidziane są niezbędne środki ochrony praw i wolności osoby, której dane dotyczą.

Wyłączono również stosowanie niektórych przepisów RODO w zakresie działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, wypowiedzi w ramach działalności literackiej, wypowiedzi w ramach działalności artystycznej oraz wypowiedzi akademickiej. Ten wątek weźmiemy na tapet w następnym wpisie.

Przepisy nowej ustawy, w miejsce starego dobrego GIODO ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych. Z dniem wejścia w życie nowej ustawy dotychczasowy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu, a jego Biuro  staje się Urzędem Ochrony Danych Osobowych. Pracownicy biura nie muszą się obawiać bo z automatu stają się pracownikami tego nowego Urzędu. Trzeba jedynie wyrobić nowe pieczątki, nową identyfikację wizualną, nową stronę internetową itd. itp.

Można zatem przewidzieć, że przez pewien czas nowy Urząd będzie się organizował, co najpewniej da jeszcze troszkę czasu wszystkim Administratorom Danych, którzy nie podjęli wysiłku w zakresie dostosowania się do nowej rzeczywistości prawnej. 

Nie ma co udawać, znaczna liczba ADO w nosie miała dotychczas obowiązujące zobowiązania i pewnie wśród tej liczby wielu nie zmieni mentalności. Zobaczymy, czy nowy Urząd skutecznie ich do tego jednak przekona… O nowych narzędziach, w jakie został wyposażony ten organ niebawem napiszemy na blogu.

Sytuacja, jakkolwiek spodziewana, zmienia się dynamicznie, a my postaram się o niej nieco pisać na IP blogu.