Uchwalona 10 maja br. ustawa o ochronie danych osobowych zapewnia warunki do stosowania przepisów RODO w Polsce. Jednym z efektów jej obowiązywania jest powołanie nowego organu nadzorczego w postaci Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Ustawa określa jego kompetencje, uprawnienia i obowiązki. Reguluje również zasady prowadzenia przez niego postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Z punktu widzenia przedsiębiorców istotne są także pozostałe zapisy ustawy.

Można wskazać kilka najważniejszych grup takich regulacji, które znajdą zastosowanie w zależności od konkretnej sytuacji związanej z wypełnianiem obowiązków dotyczących ochrony danych osobowych. Trzeba przy tym pamiętać, że wszystkie te przepisy obowiązują nie tylko administratorów, lecz także podmioty przetwarzające dane, a więc tzw. procesorów – mówi dr Joanna Łuczak-Tarka, prawnik w Kancelarii Radców Prawnych Lubasz i Wspólnicy, adiunkt na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego.

Podmioty prowadzące działalność gospodarczą, które muszą lub chcą powołać inspektora ochrony danych osobowych (IODO), powinny zwrócić uwagę na przepisy rozdziału drugiego ustawy o ochronie danych osobowych. Dotyczą one właśnie sposobu wyznaczania inspektora oraz powiadamiania Prezesa Urzędu Ochrony Danych Osobowych o jego powołaniu. Przypadki, w których administrator i podmiot przetwarzający dane mają obowiązek powołania inspektora, są określone w art. 37 RODO.

Z kolei dla firm, wobec których zostaną podjęte działania kontrolne, szczególne znaczenie będą miały przepisy rozdziału dziewiątego. Określają one m.in., kto może taką kontrolę prowadzić, w jaki sposób ma się ona odbywać, co powinien zawierać protokół pokontrolny.

Przedsiębiorcy, którzy myślą o uzyskaniu potwierdzenia zgodności swoich działań z RODO, będą zainteresowani przepisami dotyczącymi warunków i trybu udzielania certyfikatów (rozdział czwarty). Akredytacji podmiotom ubiegającym się o uprawnienia do prowadzenia certyfikacji będzie udzielać Polskie Centrum Akredytacji.

Ustawa zawiera również przepisy określające zasady opracowywania i zatwierdzania kodeksów postępowań zgodnych z RODO. Wskazuje przy tym warunki oraz tryb akredytacji podmiotów monitorujących przestrzeganie zatwierdzonych przez PUODO kodeksów.

Nie tylko ustawa

Ustawa o ochronie danych osobowych, chociaż wprowadza RODO do polskiego systemu prawnego, nie jest jedynym rodzimym aktem prawnym, który określa zasady postępowania w zakresie ochrony danych osobowych.

Regulacje krajowe inne niż ustawa o ochronie danych osobowych tworzą przede wszystkim szczegółowy katalog przypadków, w jakich przetwarzanie danych jest dopuszczalne – mówi Joanna Łuczak-Tarka.

Chodzi o wskazanie danych, których przetwarzanie jest niezbędne do wypełnienia obowiązków wynikających z przepisów prawa lub, jak w przypadku danych wrażliwych, do wypełnienia obowiązków i respektowania szczególnych praw w określonych dziedzinach życia (na przykład prawo pracy czy zabezpieczenie społeczne). RODO traktuje je jako dane szczególnej kategorii (art. 9) i zasady ich przetwarzania opiera na innych przesłankach legislacyjnych niż przetwarzanie danych zwykłych (art. 6). W konsekwencji obowiązki czy uprawnienia, w przypadku których niezbędne jest przetwarzanie danych, są określone w innych przepisach niż ustawa o ochronie danych osobowych.

Przykładem może być Kodeks pracy wprowadzony ustawą z dnia 26 czerwca 1974 r. Zawiera on katalog danych, jakie pracodawca może pozyskać od kandydata do pracy lub pracownika. Ich gromadzenie nie wymaga zgody osoby, której dotyczą. Chyba że firma zatrudniająca, będąca administratorem danych, chciałaby wykorzystać zebrane CV także na potrzeby kolejnych rekrutacji.