W dniu 25 maja 2018 r. wejdą w życie przepisy Rozporządzenia  Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, dalej RODO)[1]. Oznacza to, także dla uczelni, kolejną reformę ochrony danych osobowych.

Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych. Przemiany te wymagają stabilnych, spójniejszych ram ochrony danych w Unii oraz zdecydowanego ich egzekwowania, gdyż ważna jest budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce[2].

Kolejne zmiany

Administratorów danych osobowych czekają niewątpliwie ciekawe czasy. Nie wszyscy zdążyli jeszcze dostosować proces przetwarzania danych w swojej jednostce organizacyjnej do wymogów znowelizowanej ustawy o ochronie danych osobowych[3], obowiązujących od 1 stycznia 2015 r., a już powinni się przygotowywać do zmian w ochronie danych osobowych związanych z europejską reformą ochrony danych osobowych, której zwieńczeniem było przyjęcie tzw. pakietu ochrony danych, obejmującego RODO oraz dyrektywę w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych[4].

Zasięg obowiązywania

Stosownie do art. 288 TFUE[5] rozporządzenie ma zasięg ogólny, wiąże w całości, co do wszystkich zawartych w nim postanowień i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Rozporządzenie staje się częścią krajowych systemów prawnych bez potrzeby dokonywania jakichkolwiek czynności transpozycyjnych i wywiera skutki bezpośrednie w stosunku do jednostek. Taki właśnie charakter ma RODO. Uchyli ono obecnie obowiązującą dyrektywę 95/46/WE2, przejmując rolę aktu harmonizującego prawo ochrony danych osobowych w państwach członkowskich. W prawie polskim implementacją dyrektywy 95/46 jest wspomniana ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, dlatego też z dniem 25 maja 2018 r. jej przepisy przestana obowiązywać. Biorąc powyższe pod uwagę zakazane stanie się stosowanie rozwiązań nieprzewidzianych w RODO i niepozostawionych w nim wyraźnie do uregulowania w prawie krajowym[6].

Należy zaznaczyć, że RODO wprowadza harmonizację częściową, w której pozostawia się państwom członkowskim większą lub mniejszą aktywność w danej dziedzinie po wejściu w życie aktu harmonizującego. W ramach takiej harmonizacji częściowej pozostawia się państwom członkowskim w określonych sytuacjach[7] możliwość wyboru kierowania się w ustalonych kwestiach przedmiotowych regulacjami unijnymi lub regulacjami krajowymi. W RODO znajdują się liczne upoważnienia przewidujące możliwość wydania przepisów krajowych, które pełnią funkcję doprecyzowania lub zawężenia stosowania jego przepisów. Pamiętać warto, że nawet gdy państwo wybierze opcję wprowadzenia przepisów krajowych akt harmonizujący może ingerować w kształt tych przepisów. W przypadku RODO w zakresie, w jakim dopuszcza się doprecyzowanie lub zawężenie jego przepisów przez prawo państw członkowskich, mogą one – o ile jest to niezbędne, by krajowe przepisy były spójne i zrozumiałe dla osób, do których mają zastosowanie – włączyć elementy niniejszego rozporządzenia do swego prawa krajowego (pkt 8 Preambuły). Takie podejście pozwoli wykluczyć rozbieżności między zakresami ochrony danych w ramach Unii Europejskiej.

Zmiany wynikające z rozporządzenia

Rozporządzenie 2016/679 zmienia podejście do ochrony danych osobowych – z ochrony reaktywnej na aktywną, wprowadza model, w którym to przede wszystkim na administratorze danych ciąży odpowiedzialność za właściwą ocenę ryzyka związanego z przetwarzaniem danych osobowych i wdrożenie wewnętrznych procedur zapewniających zgodność takich operacji z przepisami o ochronie danych osobowych. Jednocześnie to właśnie administrator danych ma być w stanie wykazać, że właściwie spełnił wymogi określone przepisami. Mają temu służyć nowe instrumenty prawne i mechanizmy, które przewiduje RODO, takie jak ocena skutków dla ochrony danych, zapewnienie ochrony danych na etapie projektowania, domyślna ochrona danych czy zgłaszanie naruszeń ochrony danych osobowych. Wydaje się, że kluczową rolę w tym podejściu do ochrony danych osobowych będzie odgrywała instytucja inspektora ochrony danych, który ma stać się rzeczywistym gwarantem właściwego przestrzegania przepisów o ochronie danych osobowych.

Skala nadchodzących zmian jest znacząca. Polski ustawodawca stoi przed wyzwaniem dostosowania obowiązujących przepisów prawa krajowego do wejścia w życie przepisów RODO. Konieczny będzie również przegląd wielu aktów prawnych i ich nowelizacja, tak aby zapewnić warunki do pełnego stosowania przepisów RODO. Natomiast administratorzy danych osobowych powinni przeanalizować stosowane w swojej jednostce procedury przetwarzania danych osobowych zarówno pod katem obecnie obowiązującego prawa jak i nowych mechanizmów ochrony, które będą stosowane od 2018 r. Sprostanie wyzwaniom związanym z wdrożeniem europejskiego systemu ochron danych osobowych będzie nie lada wyzwaniem.


[1] Dz. Urz. UE, L 119/1.

[2] Punkt 6 i 7 Preambuły Rozporządzenia 2016/679.

[3] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. 2016, poz. 922, tekst jedn.

[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych, Dz. Urz., L 119/89.

[5] Traktat o funkcjonowaniu Unii Europejskiej (wersja skonsolidowana), Dz. Urz. z dnia 20 października 2012, C 326/49.

[6] W. Wiewiórowski, Nowe ramy ochrony danych osobowych w Unii Europejskiej [w:] Aktualne problemy ochrony danych osobowych 2012, G. Sibiga (red.), dodatek do „Monitora Prawniczego” Nr 7/2012, s. 3.

[7] Do grupy obligatoryjnie ustanawianych przepisów krajowych zaliczymy te przepisy, które są niezbędne do wykonywania przepisów ogólnego rozporządzenia. Będą to przepisy dotyczące: 1) organów nadzorczych, 2) środków ochrony prawnej, odpowiedzialności i sankcji, a w szczególności zagadnień proceduralnych. 3) przepisy ustanawiające relacje między ochroną danych osobowych oraz innymi prawami i wolnościami jednostki (art. 85 i 86 rozporządzenia 2016/679).