GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

25-lecie prawa ochrony danych osobowych w Polsce

25 lat ochrony danych osobowych w Polsce

25 lat ochrony danych osobowych w Polsce

W roku 1998 swoją premierę w kinach miał Szeregowiec Ryan, Siedem lat w Tybecie i Armagedon. Na Hawajach przyszła na świat zebra mająca błękitne oczy i rude paski. W klinice w Cleveland odbył się pierwszy przeszczep krtani. W tym roku założona została również firma Google. W Polsce 30 kwietnia weszła w życie pierwsza w naszej historii ustawa o ochronie danych osobowych z 29 sierpnia 1997 r.

Pierwsze kroki

Polska nie była jeszcze wtedy w Unii Europejskiej (była już jednak od dość dawna w Europie, co umyka czasem uwadze publicystów mniej rozeznanych w ruchach płyt tektonicznych), jednak do Unii bardzo chciała dołączyć. Trwało więc dostosowywanie naszego prawa do tego dziejowego wydarzenia, a jego elementem była właśnie ustawa mająca wprowadzać w legislacyjny czyn postanowienia Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Krótko, acz treściwie

Sama ustawa była dosyć krótka (9 stron), co jest ciekawym kontrastem wobec dziś uchwalanych w twórczej pasji aktów prawnych konkurujących długością z „Władcą Pierścieni” Tolkiena.  Wprowadzała m.in. definicję danych osobowych, administratora, zbioru danych, przetwarzania oraz katalog danych „wrażliwych”. Określała przesłanki dopuszczalności przetwarzania oraz treść cztero lub piecio – punktowego obowiązku informacyjnego (w zależności od źródła pozyskania danych). Nie można także pominąć pierwszego katalogu praw osoby, której dane dotyczą. Przewidziano również powołanie stojącego na straży przepisów Generalnego Inspektora Ochrony Danych Osobowych, który mimo istotnych uprawnień (prowadzenie postępowań i kontroli, nakazanie usunięcia uchybień, udostępnienia danych, ich zabezpieczenia) nie mógł jednak nakładać administracyjnych kar pieniężnych. Wprowadzono obowiązek rejestracji zbiorów danych, co ku utrapieniu rzędu, skutkowało czasem przesyłaniem do niego kompletnych list i baz danych. Z czasem regulacja była rozbudowywana i tak np. w 2005 r. wprowadzono do niej instytucję ABI – administratora bezpieczeństwa informacji, protoplastę naszego IOD. I wydawało się, że taka ewolucja będzie nam towarzyszyła przez następne dziesięciolecia.

Omówienie ustawy o ochronie danych osobowych z 10 maja 2018 roku

Sukcesy i porażki 

Akt ten był z pewnością krokiem milowym, w którym wprowadzono a następnie rozwijano prawo do ochrony danych osobowych. Największymi wyzwaniami była niska świadomość tego prawa (a nawet istnienia organu, który stał na straży jego realizacji, którego czasem zwano „GIDO” a legitymacje pracowników były tak egzotyczne, że okazjonalnie okazane policji podczas kontroli drogowej mogły uchronić przed mandatem, bo ludziom „z resortu” bliżej do pouczenia). Podkreślano także długotrwałość postępowań przed Generalnym Inspektorem Ochrony Danych Osobowych (żartowano nawet, iż status skarżącego powinien być dziedziczny, tak by trzecie pokolenie mogło odebrać decyzję, a piąte doczekać rozpatrzenia odwołania).

Życie po RODO

Sytuację drastycznie, żeby nie powiedzieć dramatycznie, zmieniło rozpoczęcie obowiązywania Rozporządzenia Ogólnego o Ochronie Danych w 2018 r. Wzmocniło ono z jednej strony prawa osób i kompetencje nowego organu – Prezesa Urzędu Ochrony Danych Osobowych, wyposażonego teraz m.in. w możliwość nakładania administracyjnych kar pieniężnych, z drugiej strony na administratorów i podmioty przetwarzające nałożono szereg nowych obowiązków (nowe rejestry, nowe procedury) zmieniając przy tym istotnie kulturę przetwarzania danych osobowych z formalno – papierologicznej na prewencyjną, proaktywną i zakładającą podejście oparte na ryzyku. Nieco przyspieszyły też postępowania prowadzone przez Urząd, chociaż wciąż istnieją wątpliwości, czy kodeks postępowania administracyjnego jest właściwy do procedowania spraw o często kontradyktoryjnym charakterze (w równaniu: skarżący vs przetwarzający + organ rozstrzygający). Również piecza sądów administracyjnych ogranicza się do roli sądów prawa, bez możliwości merytorycznej ingerencji w decyzje Urzędu.

Mimo, że regulacja ta nie jest idealna (przekleństwo obowiązków informacyjnych, procedur i niepewności związanej z zabezpieczeniem przetwarzania), to z pewnością zwiększyła świadomość, stosowalność i egzekwowalność prawa ochrony danych osobowych. W sumie do dnia dzisiejszego  czuwało nad nami kolejno czworo Generalnych Inspektorów Ochrony Danych i dwoje Prezesów Urzędu Ochrony Danych Osobowych (przy czym ostatni GIODO był pierwszym Prezesem UODO).  Poprzednia ustawa przeżyła także dziewięciu premierów.

Na co więc czekamy?

A w międzyczasie bacznie obserwujemy ewolucję licznych branżowych regulacji, które ułatwiają lub utrudniają budowanie systemu ochrony danych w organizacji.