Unijne rozporządzenie dotyczące ochrony danych osobowych będzie obowiązywać bezpośrednio we wszystkich krajach członkowskich, a więc i w Polsce, jednak czeka nas konieczność dostosowania wielu przepisów. Wstępny rekonesans Ministerstwa Administracji i Cyfryzacji wskazał na setki aktów prawnych wymagających przeglądu.

Chociaż tzw. trilog, czyli uzgodnienia między Parlamentem Europejskim, Komisją Europejską i Radą nad projektem rozporządzenia nie posuwają się zbyt szybko, to wciąż zakłada się, że zacznie ono obowiązywać wiosną 2018 r., po dwuletnim vacatio legis. Taki przynajmniej scenariusz przedstawił europoseł Jan Philipp Albrecht na piątkowej konferencji zorganizowanej w Warszawie przez Generalnego Inspektora Ochrony Danych Osobowych.
Wydawać by się mogło, że czasu na przygotowanie się do nowych regulacji jest sporo.
– Tak naprawdę reforma prawa krajowego rozpoczyna się teraz i już jest opóźniona w stosunku do dyskusji toczącej się w Unii Europejskiej – podkreśliła jednak dr Edyta Bielak-Jomaa, GIODO.
– Jeśli chodzi o ochronę danych osobowych, mamy do czynienia, nie boję się użyć tego słowa, z rewolucją – dodała.
We współpracy z kierowanym przez nią biurem MAiC prowadzi już przegląd prawa pod kątem konieczności dostosowania go do nowego rozporządzenia.
– Rozesłaliśmy pytania do wszystkich zainteresowanych urzędów i instytucji. Na razie otrzymaliśmy 12 odpowiedzi i tylko one wskazują na konieczność przeglądu 250 aktów prawnych – stwierdził Jurand Drop, podsekretarz stanu w MAiC.
Może to jednak być wierzchołek góry lodowej, bo część zapytanych odpowiada, że ich kwestia ochrony danych osobowych nie dotyczy.
– Takie odpowiedzi zawsze wzbudzają nasze zainteresowanie i zaczynamy dociekać, czy rzeczywiście np. w sektorze zdrowia nie ma żadnych regulacji wymagających sprawdzenia – zaznaczył Jurand Drop.
Nowe rozporządzenie ma zastąpić obowiązującą dzisiaj dyrektywę 95/46/WE Parlamentu Europejskiego i Rady WE.
– Tak naprawdę dzisiaj jest tyle systemów ochrony danych osobowych, ile jest państw członkowskich. A będzie jeden – wyjaśniała Karolina Mojzesowicz z Komisji Europejskiej.
Zdaniem dr. Wojciecha Wiewiórowskiego, zastępcy Europejskiego Inspektora Ochrony Danych, jednolite prawo obowiązujące w całej UE będzie z jednej strony dużym osiągnięciem, ale z drugiej oznaczać będzie spore wyzwania. Jako przykład podał obowiązującą w Polsce opłatę od skargi wnoszonej do GIODO. Choć wynosi ona symboliczne 10 zł, pozwala nie rozpoznawać tych skarg, które nie zostały opłacone.
– Jeżeli rozporządzenie przesądzi, że od skarg nie pobiera się opłat, ich liczba z obecnych 2,5 tys. nagle wzrośnie do 8 tys. rocznie, co może stanowić olbrzymie wyzwanie dla polskiego organu – zauważył.
– Inny przykład to wyjątki pozwalające instytucjom publicznym nie stosować przepisów o ochronie danych. Nie wiem, czy wszyscy mają świadomość, że są one dopuszczalne wyłącznie wtedy, gdy w kraju dane są chronione na wyższym poziomie, niż wynikać to ma z rozporządzenia. Tymczasem już na podstawie lektury artykułów prasowych odnośnie Polski można mieć co do tego wątpliwości – podkreślił, nawiązując do czwartkowej publikacji DGP, w której opisaliśmy, że Ministerstwo Sprawiedliwości przez całe lata otrzymywało z pominięciem wymaganych procedur pełną kopię bazy PESEL („Rejestr PESEL bezprawnie kopiowany?” – DGP 181/2015).