Kilka miesięcy temu - pod koniec marca 2017 r. - na stronie nowego prawa ochrony danych osobowych Ministerstwa Cyfryzacji pojawiło się uzasadnienie do zarysu nowej ustawy o ochronie danych osobowych. Koordynatorem zmian w Ministerstwie jest młody doktor prawa - Maciej Kawecki.
We wprowadzeniu do zarysu nowej ustawy (bo tak trzeba nazwać ten bardziej niepełny, niż pełny akt prawny) jasno wyczytujemy, że po wejściu w życie ogólnego rozporządzenia o ochronie danych (RODO/GDPR) uchylona zostanie zarówno ustawa o ochronie danych osobowych, jak i przestanie działać Generalny Inspektor Ochrony Danych Osobowych. Z pewnością wynika to z rangi aktu prawnego jakim jest RODO. W odróżnieniu od dyrektyw rozporządzenia obowiązują wprost w porządkach prawnych państw członkowskich i nie wymagają implementacji. Biorąc to pod uwagę, do nowej rzeczywistości będą musieli dostosować się nie tylko administratorzy danych, ale także polskie organy władzy.
Bardzo szeroki i szczegółowy zakres uregulowania RODO powoduje, że uchwalona w 1997 r. ustawa o ochronie danych osobowych staje się zbędnym powieleniem zasad RODO, ale także źródłem nieporozumień i sprzeczności. Polska ustawa była pisana w 1997 r. w duchu dyrektywy 95/46/WE . RODO z jednej strony uchyla tę dyrektywę, a z drugiej strony wprowadza nowe, bardziej szczegółowe uregulowania. Ustawa więc słusznie staje się zbędna. Implikacją uchylenia ustawy będzie uchylenie również wszystkich aktów wykonawczych do ustawy, w tym najbardziej znanego rozporządzenia, dotyczącego sposobu zabezpieczania danych, ale i także mniej znanych rozporządzeń z ostatnich lat, nakładających na administratorów dodatkowe obowiązki ewidencyjne i operacyjne (roczne sprawdzenia). Biorąc pod uwagę fakt, że RODO nie nakłada tak wielu obowiązków ewidencyjnych (biurokracja) czy konkretnych rozwiązań technicznych (np. stopień komplikacji hasła) ten krok traktuję jako deregulacyjny krok w dobrą stronę. Oczywiście nie oznacza to, że RODO jest idealne - nie, nie jest i przysporzy administratorom, prawnikom nowych problemów ale i pracy. Poza tym ustawia nieosiągalne w praktyce cele i wymogi. Jak też wspomniałem na początku - powstaje projekt nowej ustawy o ochronie danych - w pewnym minimalnym stopniu akt prawny jest wymagany. RODO bowiem w wielu kwestiach zostawia państwom członkowskim swobodę regulacji: np. ustalenie granicy wieku dla nieletnich od którego samodzielnie będą mogli wyrażać zgodę bez zgody opiekuna; stworzenie ram proceduralnych dla nakładania wysokich kar; wprowadzenie zasady jednoinstancyjności postępowań itp. Biorąc pod uwagę, że uchylana ustawa posiadała bardzo rygorystyczne przepisy karne, wielu patrzy na zmiany z nadzieją, że te przepisy karne albo zostaną usunięte, albo racjonalnie dostosowane. Dziś bowiem administrator danych może wylądować w więzieniu nawet za przestępstwo wyrządzone z winy nieumyślnej, co w wielu sytuacjach powoduje obawy przy zgłaszaniu spraw organom ścigania i tworzy ewidentny konflikt.
Jak już wspomniałem w planach jest także likwidacja GIODO i powołanie nowego urzędu (Urząd Ochrony Danych Osobowych) - uzasadnieniem tu jest semantyczny konflikt, który wytworzyłby się po wejściu w życie RODO. Chodzi o pojęcie inspektorów ochrony danych (obecni ABI) i ich relację z pojęciem inspektora generalnego i inspektorów GIODO. Nazywanie wszystkich inspektorami wytworzyłoby zapewne nieporozumienia. O ile ten argument mnie przekonuje, to nie przekonuje mnie zapowiadana likwidacja GIODO i powołanie zupełnie nowego organu. Myślę że takie zmiany, to wyłącznie zagrywka polityczna. Działalność GIODO, szczególnie pod rządami Dra Wiewiórowskiego, oceniam w skali 0-10 na 7, może 8. Uważam, że warto zachować dorobek tego urzędu i pracujących tam urzędników. Jaki dokładnie los czeka GIODO? Może zostaną zmienione tylko władze? Być może przekonamy się jeszcze pod koniec wakacji, bo z tego co się dowiedziałem nowe informacje Ministerstwo Cyfryzacji ma opublikować właśnie sierpniu.
Pożyjemy, zobaczymy ;)