Według uzasadnienia projektu ustawy o ochronie danych osobowych (NUODO) celem przedmiotowej ustawy jest konieczność zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).
Na wstępie należy zwrócić uwagę, że zastosowanie rozporządzenia Parlamentu Europejskiego i Rady jako formy harmonizacji obszaru ochrony danych osobowych niesie za sobą daleko idące konsekwencje. Stosownie do treści art. 288 TFUE rozporządzenie ma zasięg ogólny, wiąże w całości, co do wszystkich zawartych w nim postanowień, i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Ze swej natury staje się ono częścią krajowych systemów prawnych bez potrzeby dokonywania jakichkolwiek czynności transpozycyjnych i wywiera skutki bezpośrednie w stosunku do jednostek. Rozporządzenia obejmują wertykalny i horyzontalny skutek bez wyjątku.
Ogólne rozporządzenie o ochronie danych uchyli dotyczącą ochrony danych osobowych w Unii Europejskiej – obecnie obowiązującą – dyrektywę 95/46/WE, przejmując jej rolę aktu harmonizującego prawo ochrony danych osobowych w państwach członkowskich. Rozpoczęcie obowiązywania rozporządzenia sprawi, że ustanie podstawa prawna dalszego obowiązywania polskiej ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (UODO) w jej dotychczasowym kształcie (jako ustawy wykonującej dyrektywę 95/46/WE), która w sposób całościowy reguluje zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób, których dane są przetwarzane.
Ogólne rozporządzenie nie wprowadza jednak pełnej harmonizacji rozumianej jako pełne (zupełne) ukształtowanie regulacji danego obszaru przedmiotowego, bez dopuszczalności stosowania regulacji krajowych. W enumeratywnie określonych w ogólnym rozporządzeniu sytuacjach przewidziano kompetencje prawodawcy krajowego do regulowania poszczególnych kwestii dotyczących ochrony danych osobowych, co sprawia, ze harmonizacja ma jedynie charakter częściowy.
Zawarte w ogólnym rozporządzeniu odesłania do prawa krajowego mają na celu przede wszystkim doprecyzowanie w prawie krajowym przepisów ogólnego rozporządzenia o ochronie danych (motyw 8 RODO). Ich charakter jest jednak niejednolity. Pod względem konsekwencji jakie wywołują dla działalności prawodawcy państwa członkowskiego można je podzielić na: 1. Odesłania określające obowiązkowy zakres regulacji prawnej niezbędny do dostosowania prawa krajowego do ogólnego rozporządzenia o ochronie danych. 2. Odesłania określające możliwy (fakultatywny) zakres krajowej regulacji dopuszczony w ogólnym rozporządzeniu o ochronie danych.
Właśnie taką rolę – uzupełniającą wobec ogólnego rozporządzenia – pełni projektowana ustawa o ochronie danych osobowych, szczególnie w kwestiach organu administracyjnego właściwego w sprawach ochrony danych (organu nadzorczego), jego kompetencji oraz przepisów procesowych stosowanych przed tym organem oraz przed sądami krajowymi. Dlatego też podstawowe uwagi przedstawione w niniejszym stanowisku będą dotyczyły zgodności projektu z przepisami ogólnego rozporządzenia, w tym poprawnego wykonania upoważnień zawartych w tym akcie do działania prawodawcy krajowego.
W załączeniu poniżej publikujemy Stanowisko Ośrodka Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych do projektu ustawy o ochronie danych osobowych z dnia 14 września 2017 r.
Stanowisko II z 13.11.2017 r. – projekt ustawy o ochronie danych osobowych