3 miesiące stosowania RODO

24.08.2018

Autor: Alicja Dzienisik

Dnia 25 sierpnia 2018 roku miną 3 miesiące, od kiedy rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”), ma zastosowanie. Poniżej przedstawiamy krótkie podsumowanie związane ze stosowaniem RODO.

Odbyły się dwa spotkania Europejskiej Rady Ochrony Danych Osobowych

25 maja 2018 roku miało miejsce pierwsze posiedzenie plenarne Europejskiej Rady Ochrony Danych Osobowych (EROD) w Brukseli. Członkami EROD, która zastąpi Grupę Roboczą Artykułu 29, są Europejski Inspektor Ochrony Danych (EIOD) oraz organy nadzorcze państw członkowskich. W pierwszym spotkaniu uczestniczyła również Prezes Urzędu Ochrony Danych Osobowych. Podczas tego spotkania, Rada wybrała na 5-letnią kadencję Przewodniczącego (Andrea Jelinek, Austria) oraz dwóch wiceprzewodniczących (Ventsislav Karadjov, Bułgaria, oraz Willem Debeuckelaere, Belgia). Na kolejnym spotkaniu, w dniach 4-5 lipca 2018 roku, omówiono procedury współpracy i spójności w zakresie wymiany informacji na rynku wewnętrznym (IMI), omówiono zmiany dotyczące drugiej dyrektywy w sprawie usług płatniczych, m.in. sposoby wyrażenia i wycofania zgody, regulacyjne zabezpieczenia techniczne, współpracę pomiędzy bankami a Komisją Europejską i EIOD. Trzecie spotkanie EROD planowane jest na 25-26 września 2018 roku.

Minister Cyfryzacji zainaugurował prace Grupy ds. Ochrony Danych Osobowych

2 lipca 2018 roku Minister Cyfryzacji zorganizował pierwsze spotkanie Grupy ds. Ochrony Danych Osobowych. Grupa ma służyć wymianie doświadczeń i omawianiu problemów związanych z wdrażaniem RODO, a efektem jej pracy ma być przygotowywanie wytycznych, przewodników, odpowiedzi na najczęściej zadawane pytania czy opracowanie klucza postępowań w najbardziej spotykanych sytuacjach nadinterpretowania przepisów RODO. Grupa jest podzielona na podzespoły i każdy podzespół będzie odpowiedzialny za określony sektor – np. dotyczący edukacji czy zdrowia. W pierwszym spotkaniu Grupy uczestniczyło ponad 90 osób, m.in. przedstawiciele UODO.

Konsultacje społeczne Prezesa UODO

Prezes UODO prowadzi szereg konsultacji społecznych. 15 lipca 2018 roku Prezes UODO zakończył konsultacje dotyczące monitoringu wizyjnego pracowników. Do Prezesa UODO wpłynęło 50 zgłoszeń, pochodzących z głównie od podmiotów publicznych. Efektem tych konsultacji ma być przygotowanie przez UODO przykładowych klauzul informacyjnych spełniających wymogi RODO czy opracowanie odpowiedzi związanych z monitoringiem stosowanym w komunikacji zbiorowej. Zaktualizowane zostaną również Wskazówki Prezesa UODO dotyczące wykorzystywania monitoringu wizyjnego. Na stronie UODO nie ma na razie informacji, kiedy można spodziewać się aktualizacji.

Spodziewać się można również uwzględnienia postulatów m.in. związków zawodowych, które zgłaszają swój sprzeciw wobec art. 22(2) § 2 kodeksu pracy, który pozwala obecnie na stosowanie monitoringu pomieszczeń sanitarnych, szatni oraz pomieszczeń udostępnionych zakładowej organizacji związkowej. Ministerstwo Rodziny, Pracy i Polityki Społecznej przekazało odpowiednie uwagi Ministerstwu Cyfryzacji, celem uwzględnienia ich podczas przygotowywania ustawy wdrażającej RODO.

17 sierpnia 2018 roku Prezes UODO zakończył konsultacje dot. przetwarzania danych osobowych w związku z zatrudnieniem. Efektem konsultacji ma być rozszerzenie ostatnich wskazówek GIODO w tym zakresie, pt. „Dekalog rekrutera”, o dodatkowe zagadnienia dot. rekrutacji, samozatrudnienia, zatrudnienia na podstawie umów cywilnoprawnych czy zasady ochrony danych osobowych w związku z zatrudnieniem cudzoziemców.

Upłynął pierwszy termin na zawiadomienie o wyznaczeniu IOD

31 lipca 2018 roku minął pierwszy termin przejściowy, określony w ustawie o ochronie danych osobowych, do zgłaszania inspektorów ochrony danych (IOD). Zgodnie z ustawą, administratorzy oraz podmioty przetwarzające, którzy nie ustanowili administratora bezpieczeństwa informacji (ABI), a zgodnie z RODO mają taki obowiązek, powinni byli przesłać do 31 lipca 2018 zawiadomienie o jego wyznaczeniu. Kolejny termin, związany z wyznaczeniem inspektora ochrony danych, upłynie 1 września 2018 roku i odnosi się on do podmiotów, u których do 24 maja 2018 roku funkcjonował administrator bezpieczeństwa informacji, a który 25 maja 2018 roku z mocy ustawy stał się z mocy prawa inspektorem ochrony danych osobowych. Jedyną prawidłową i skuteczną możliwością zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych, jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

Wciąż oczekujemy na ustawę o zmianie ustaw szczegółowych w celu ich dostosowania do RODO (ustawę wdrażającą RODO). Komitet Stały Rady Ministrów przyjął 23 sierpnia 2018 roku projekt tej ustawy.

Podsumowanie

Jak widać, Ministerstwo Cyfryzacji oraz Urząd Ochrony Danych Osobowych wciąż podejmują wiele działań, które mają na celu wdrożenie RODO do polskiego systemu prawnego. Takie działania jak konsultacje społeczne czy stworzenie Grupy ds. Ochrony Danych Osobowych wynikają przede wszystkim z potrzeb zgłaszanych przez podmioty publiczne i przedsiębiorców – te podmioty nie są jeszcze przygotowane na RODO. Jak wynika ze strony UODO, do końca czerwca 2018 roku wpłynęło 750 skarg związanych z ochroną danych osobowych, przyjęto 500 zgłoszeń o naruszeniach ochrony danych i ponad 600 pytań dotyczących stosowania przepisów.