Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego RODO lub z ang. GDPR. Przepisy rozporządzenia będą stosowane bezpośrednio, więc nie muszą być specjalnie implementowane do krajowych porządków prawnych. Z drugiej strony, aby nie zachodziła kolizja przepisów, konieczne jest uchylenie obecnie obowiązujących przepisów polskiej ustawy o ochronie danych osobowych. Ponadto RODO pozostawia kilka kwestii do decyzji władzy ustawodawczej poszczególnych krajów członkowskich UE.
28 marca br. Ministerstwo Cyfryzacji (minister tego resortu odpowiada za sprawne wdrożenie przepisów RODO w Polsce) opublikowało projekt nowej ustawy o ochronie danych osobowych. Jeżeli niektóre firmy w naszym kraju zwlekały z przygotowaniem organizacji do nadchodzącej rewolucji pod postacią RODO, z powodu oczekiwania na polską ustawę, to niestety czas ten został zmarnowany. Zgodnie z przypuszczeniami wielu ekspertów nowa ustawa o ochronie danych osobowych nie wprowadza zmian treści RODO (robić tego nie może), a jedynie stanowi dopełnienie jego przepisów i stanowi niejako instrukcję postępowania z RODO, poprzez m.in. ustalenie proceduralnych ram działalności polskiego organu nadzorczego.
Jedną z kwestii, którą RODO pozostawiło do ewentualnej decyzji na szczeblu krajowym jest możliwość obniżenia wieku dziecka, które samodzielnie będzie mogło wyrazić zgodę na przetwarzanie danych osobowych w przypadku korzystania z usług społeczeństwa informacyjnego (każda usługa normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług). Projektodawca zdecydował się na maksymalnie dopuszczalne obniżenie tego wieku i polskie dzieci już od 13 roku życia będą mogły samodzielnie wyrażać zgodę na przetwarzanie ich danych osobowych w tym celu. Argumentacja idąca w ślad za obniżeniem wieku (RODO określa pułap na poziomie 16 lat) opiera się m.in. na przepisach polskiego Kodeksu cywilnego, który daje osobom powyżej 13 roku życia ograniczoną zdolność do czynności prawnych. Ministerstwo wyszło zatem z założenia, iż skoro polskie przepisy dają osobom powyżej 13 roku życia możliwość kreowania, w ograniczonym zakresie, stosunków prawnych to takie osoby będą również mogły samodzielnie wyrażać zgodę na przetwarzanie ich danych osobowych. Co ciekawe podczas szerokich konsultacji GIODO zapytał nauczycieli o opinię w tej sprawie i aż 89% z biorących udział w konsultacjach uznało, że 13 lat to zbyt mało na podejmowanie samodzielnej decyzji w tej sprawie.
Projekt ustawy rozstrzyga ponadto kwestię nazwy polskiego organu ochrony danych osobowych. Zdecydowano się na określenie Prezes Urzędu Ochrony Danych Osobowych. Z jednej strony chodziło o to, aby nazwa była przejrzysta dla obywateli i wpisywała się w katalog innych tego typu organów, np. Prezes Urzędu Komunikacji Elektronicznej, Prezes Urzędu Ochrony Konkurencji i Konsumentów. Z drugiej, konieczne było uniknięcie ewentualnych nieporozumień związanych ze słowem „inspektor”. Obecnie obowiązująca ustawa określa Generalnego Inspektora Ochrony Danych Osobowych (GIDOO), natomiast RODO w miejsce administratorów bezpieczeństwa informacji (ABI) wprowadza inspektorów ochrony danych (IOD). Bez zmiany mogło powstać wrażenie, iż mamy dwie kategorie inspektorów ochrony danych: urzędowi, podlegający pod Generalnego Inspektora oraz niezależni, odpowiadający za przestrzeganie przepisów w firmach.
