Przepisy wprowadzające ustawę o ochronie danych osobowych nie będą gotowe na czas. To zaś oznacza m.in., że adwokaci powinni informować przeciwników procesowych o przetwarzaniu ich danych.
ikona lupy />
Dziennik Gazeta Prawna
Patrząc na kalendarz posiedzeń Sejmu, trudno mieć nadzieję, że przepisy wprowadzające ustawę o ochronie danych osobowych zostaną uchwalone do 25 maja, czyli dnia, w którym zacznie być stosowane unijne rozporządzenie 2016/679 o ochronie danych osobowych (RODO). O ile projekt ustawy o ochronie danych osobowych trafił już do Sejmu i przy sprawnym procedowaniu ma szansę przejść ścieżkę legislacyjną, o tyle przepisy wprowadzające są jeszcze przed posiedzeniem Komitetu do Spraw Europejskich. Odbędzie się ono 18 kwietnia, a więc projekt zostanie skierowany do Sejmu nie wcześniej niż w maju. Z nieoficjalnych informacji, jakie udało nam się uzyskać, realne szanse na jego przyjęcie są w lipcu. O tym, że z pewnością nie nastąpi to do 25 maja, publicznie powiedział zresztą jeden z przedstawicieli Ministerstwa Cyfryzacji na piątkowym kongresie RODO.
Przez co najmniej dwa–trzy miesiące RODO będzie więc stosowane bez zmian w polskich aktach prawnych. A chodzi o dostosowanie do niego aż 204 ustaw dotyczących zarówno administracji publicznej, jak i poszczególnych branż czy zawodów.
– Osobiście wolałbym chyba, żeby na czas uchwalono przepisy wprowadzające, a opóźnienia dotyczyły ustawy o ochronie danych osobowych. Brak przepisów wprowadzających może nieść ze sobą większą niepewność niż głównej ustawy – ocenia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Konflikt norm
Jak brak przepisów wprowadzających odbije się na administratorach danych? Może choćby prowadzić do konfliktu norm prawnych podczas wykonywania zawodu adwokata czy radcy prawnego. Nie będzie bowiem bezpośrednich przepisów, które zwalniałyby ich z obowiązku informowania o przetwarzaniu danych osobowych. Teoretycznie więc, jeśli do kancelarii przyjdzie klient w sprawie rozwodowej, to adwokat natychmiast po poznaniu danych współmałżonka powinien go powiadomić o przetwarzaniu danych. Podobna sytuacja może mieć miejsce w każdym innym postępowaniu przeciwko konkretnej osobie. Z oczywistych względów działałoby to na niekorzyść klientów adwokatów i radców prawnych.
„Dochodzenie swoich praw przez obywateli wiąże się także z koniecznością przetwarzania przez ich pełnomocników danych osób trzecich, które w te prawa godzą. W tym kontekście jedynie przykładowo można wskazać, że nie do przyjęcia byłoby informowanie sprawcy przestępstwa oszustwa o celu przetwarzania jego danych w momencie uzyskania tych danych od pokrzywdzonego klienta” – można przeczytać w projekcie uzasadnienia ustawy.
Ale do czasu wejścia jej w życie nie będzie podstawy prawnej zwalniającej adwokatów i radców prawnych z obowiązku stosowania niektórych przepisów RODO.
– Nie sądzę, by prawnicy w tym okresie przejściowym zaczęli wypełniać obowiązek informacyjny, gdyż najczęściej oznaczałoby to działanie na niekorzyść klientów i naruszenie tajemnicy zawodowej. Ale formalnie do momentu, gdy ustawa wprowadzająca nie wejdzie w życie, będą mieli taki obowiązek, którego ignorowanie może skutkować karą pieniężną nawet do 4 proc. rocznego przychodu kancelarii – zauważa dr Paweł Litwiński.
Okres, w którym będzie już stosowane RODO, a nie zostaną jeszcze uchwalone przepisy wprowadzające, mógłby też – przynajmniej w teorii – zostać wykorzystany przez kierowców chcących wyczyścić historię swych wypadków. Projekt przewiduje bowiem, że Ubezpieczeniowy Fundusz Gwarancyjny nie będzie musiał przestrzegać wszystkich przepisów RODO, w tym chociażby prawa do bycia zapomnianym. Natomiast w okresie przejściowym, powołując się na to ostatnie, kierowca mógłby zniknąć z rejestru i wykupić tańszą polisę u innego ubezpieczyciela.
„Prawo do bycia zapomnianym, prawo sprzeciwu oraz prawo do ograniczenia przetwarzania danych mogłoby stanowić przyczółek przestępczości ubezpieczeniowej, gdzie podmioty danych, korzystając z ww. uprawnień, będą dążyły do wyłudzenia świadczenia w postaci niższej składki ubezpieczeniowej, jak również mogłoby skutkować zaburzeniem informacji niezbędnych do oceny ryzyka ubezpieczeniowego, co będzie godzić w interes ekonomiczny podmiotów rynku finansowego” – można przeczytać w uzasadnieniu projektu.
Wątpliwy monitoring
Przykłady świadczące o ryzyku chaosu prawnego można mnożyć.
– Z jednej strony znane są kierunkowe zamysły prawodawcy co do nowelizacji obowiązujących przepisów, z drugiej jednak, jak długo nie ma obowiązującego prawa, nie ma podstaw do podejmowania określonych zachowań doregulowanych przez RODO. Dotyczyć to może między innymi istotnych zmian kodeksu pracy, które mają usankcjonować możliwość wyrażania przez pracowników zgody na przetwarzanie danych. Obecnie zgody takie są zasadniczo niedopuszczalne, a w świetle nowelizowanych przepisów kodeksu pracy miałyby być w szeregu przypadków akceptowalne – zwraca uwagę dr Bartosz Marcinkowski, partner w kancelarii Domański Zakrzewski Palinka.
Przepisy wprowadzające mają też uregulować status monitoringu wizyjnego w zakładach pracy.
– Można postawić pytanie, na jakich zasadach i w oparciu o jakie przepisy np. naczelnik urzędu skarbowego ma usankcjonować wideomonitoring petentów i pracowników, dbając przecież tylko o ich bezpieczeństwo – zastanawia się Witold Masionek z kancelarii prawnej KOLS.