25. listopada minęło 1,5 roku od wejścia w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych w życie. Przepisy i nieuchronność kary za ich łamanie wzbudzają szacunek Polaków, jak i innych Europejczyków. W naszym kraju wzrosła świadomość prawa do ochrony własnych danych. Czy europejskie RODO jest jednak jedynym źródłem prawa dla ochrony danych?
Obecne źródła prawa ochrony danych osobowych
Jak wiadomo wszelkie operacje na danych są unormowane zarówno w prawie polskim, jak i europejskim. Ich ochrona jest zapisana przede wszystkim w art. 51 Konstytucji Rzeczpospolitej Polskiej. O ochronie wszelkich zbiorów danych osobowych traktuje również nowa polska ustawa o ochronie danych osobowych z 10 maja 2018 roku. Zastąpiła ona starą ustawę z 29 sierpnia 1997 roku, która nie była dostosowana do RODO oraz do obecnych realiów związanych z postępem technologicznym, przenikaniem się rynków i zmianami zachodzącymi w związku z tymi procesami w społeczeństwie polskim. Z podobnych powodów w odniesieniu do całej wspólnoty europejskiej zostało ustanowione RODO. Akt rozporządzenia został włączony do Porozumienia EOG, dlatego obowiązuje również w Lichtensteinie, Norwegii i Islandii.
Co było przed RODO
„Poprzedniczką” RODO, jeżeli mowa o aktach prawnych o szczeblu europejskim, była zasadniczo dyrektywa 95/46/WE, która obowiązywała w Polsce od momentu wstąpienia do Unii Europejskiej. Implementacja do polskiego jej podstawowych przepisów była wymogiem przystąpienia Polski do UE[1]. Celem dyrektywy było zapewnienie wystarczającej ochrony danych osobowych w państwach Unii i swobody przepływu tych danych pomiędzy krajami UE i EOG. Warto jednak zwrócić uwagę, że nie wszystkie wytyczne dyrektywy zostały zaimplementowane od razu w polskim systemie prawnym, jak chociażby zwolnienie niektórych administratorów danych z obowiązku zgłaszania zbiorów danych.[2]
Zgodnie z zasadą pierwszeństwa prawa wspólnotowego[3], RODO ma prymat nad polską ustawą od chwili swego obowiązywania. Dlatego jest konieczne, by omówić zasady, które zostały w nim unormowane. W przeciwieństwie do sytuacji sprzed 25 maja 2018 r., polskie przepisy jedynie uzupełniają rozporządzenie w aspektach, w których państwom członkowskim została pozostawiona swoboda.[4] Omawiane tutaj przekazywanie danych osobowych do państw trzecich jest unormowane w akcie rozporządzenia.
Definicja danych osobowych na gruncie RODO
Poprzednia ustawa o ochronie danych osobowych dzieliła dane osobowe na dane zwykłe i dane wrażliwe[5]. RODO natomiast pozostawia dane zwykłe i wprowadza dwie kategorie danych wrażliwych:
Sama definicja danych osobowych umieszczona została w art. 4 rozporządzenia, który stanowi zbiór definicji na użytek aktu. Wyjaśnione zostaje w niej, że dane osobowe oznaczają „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”[8]. W stanie prawnym przed RODO definicja była w gruncie rzeczy ta sama. U.o.d.o. posiadało w art. 6 zaimplementowaną definicję z art. 2 lit. a dyrektywy 95/46/WE. Polski przepis stanowił jednak, że wskazana w definicji informacja nie umożliwia określenia tożsamości osoby, „jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań”[9].
Przypisy
[1] https://giodo.gov.pl/data/filemanager_pl/779.pdf – str. 2
[2] Piech Magdalena, Deregulacyjna nowelizacja i unijna reforma zasad ochrony danych osobowych z perspektywy administratora danych osobowych, [w:] Polska i europejska reforma ochrony danych osobowych, (red.) Bielak-Jomaa Edyta, Lubasz Dominik, Wolters Kluwer, Warszawa 2018, str. 31
[3] https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=LEGISSUM:l14548&from=PL
[4] Świerczyński Marek, Jurysdykcja krajowa w świetle ogólnego rozporządzenia o ochronie danych, [w:] Andrzej Krasuski (red.), Ochrona danych osobowych na podstawie RODO, Wolters Kluwer, Warszawa 2018
[5] https://www.pwc.pl/pl/wydarzenia/webinaria/wdrozenie-rodo-krok-po-kroku.html – Kobylańska Anna, Pusz Sylwia, Żużewicz-Masny Liliana, Webinarium: Wdrożenie RODO krok po kroku, PWC 2017
[6] Zob. art. 9 rozporządzenia 2016/79
[7] Zob. art. 10 rozporządzenia 2016/79
[8] Zob. art. 4 pkt. 1 rozporządzenia 2016/79
[9] Zob. art. 6 ust. 3 u.o.d.o.