Jak stosować RODO bez przepisów krajowych?
Rozporządzenie ogólne o ochronie danych osobowych zaczyna – jak wiemy – ma obowiązywać już za kilkanaście dni, tj. 25 maja 2018 roku. W Polsce, jak w zasadzie wszystkich innych państwach członkowskich trwają obecnie prace legislacyjne na poziomach krajowych, mające na celu zmiany niektórych przepisów krajowych, by umożliwić stosowanie RODO.
Zadajmy sobie pytanie, czym skutkować będzie sytuacja, w której dane państwo członkowskie nie zdąży uchwalić odpowiednich przepisów krajowych w takim terminie, by zaczęły one obowiązywać najpóźniej 25 maja 2018 roku.
RODO i tak obowiązuje od 25 maja
Trzeba sobie powiedzieć jasno: Rozporządzenie i tak będzie obowiązywało od 25 maja. Rozporządzenie Parlamentu Europejskiego i Rady jest aktem prawnym, który jest stosowany bezpośrednio i do swojej skuteczności nie wymaga wdrożenia poprzez uchwalenie właściwych przepisów krajowych. Inną sprawą jest, jak takie nowe rozporządzenie unijne będzie w stanie „wpasować” się do systemu krajowego w danym państwie członkowskim, ale to już inna dyskusja na temat m.in. spójności systemu prawnego o charakterze multicentrycznym.
Ponadto, nie można zapominać o tym, że przepisy prawa wtórnego Unii Europejskiej mają prymat nad ustawami krajowymi. To wskazówka interpretacyjna pozwalająca na wykładnię przepisów prawa. Oznacza to, że jeśli 25 maja jakiś przepis krajowy (załóżmy, że niezmieniony przez polskiego ustawodawcę na potrzeby stosowania RODO) będzie stał w sprzeczności z przepisami Rozporządzenia ogólnego o ochronie danych, to tego przepisu krajowego stosować nie wolno, a należy zastosować właśnie przepis RODO. Oczywiście, to dywagacje teoretyczne i wiemy dobrze, że w praktyce podjęcie decyzji o niezastosowaniu jakiegoś przepisu będzie wiązało się z ryzykiem, że organy administracyjne i sądy uznają naszą wykładnię prawa za błędną i nieuzasadnioną.
Warto uchwalić przepisy krajowe
Pamiętać należy, że RODO mimo iż jest aktem prawnym o charakterze horyzontalnym, w wielu miejscach pozwala państwom członkowskim UE na uzupełnianie bądź wyłączenia zakresu RODO na terenie danego państwa. Ten wyjątek od zasady całkowitej harmonizacji przepisów prawa ochrony danych osobowych wynikał po pierwsze z potrzeby zapewnienia odpowiedniego poziomu elastyczności przepisów, które mają obowiązywać wszystkich i wszędzie, a po drugie stanowił warunek, by RODO w ogóle zostało uchwalone.
Pamiętajmy, że prace legislacyjne nad tym obszernym aktem prawa UE trwały od stycznia 2012 roku do drugiego kwartału 2016, gdy w maju 2016 roku RODO weszło w życie. To też ważny szczegół – RODO weszło w życie już prawie dwa lata temu – prawodawca unijny dał podmiotom zobowiązanym do jego stosowania termin dwóch lat nad wdrożenie przepisów i stosowanie ich. Nie można zatem mówić, że jesteśmy teraz tym zaskakiwani.
Tytułem przykładu można wskazać możliwość wyłączenia niektórych przepisów RODO na podstawie art. 23 Rozporządzenia, czy możliwość rozszerzenia zasad ochrony danych osobowych pracowników w oparciu o art. 88 Rozporządzenia.
Z powyższych względów wynika gravitas prac legislacyjnych na poziomie krajowym w Polsce. Niestety, prace te są nieukończone. Określana jako podstawowa ustawa o ochronie danych osobowych – określająca m.in. zasady działania nowego organu nadzorczego oraz kwestii proceduralnych w postępowaniu przed organem – została już skierowana do prac parlamentarnych. Jest szansa, że przepisy te zostaną uchwalone przed dniem zero. Druga ustawa- Przepisy wprowadzające będzie długo procedowana na etapie rządowym.
Co to oznacza dla poszczególnych sektorów gospodarki takich jak bankowy czy ubezpieczeniowy?
RODO należy przestrzegać i wdrażać
Nie należy czekać na przepisy krajowe, które mogą być pewnym ułatwieniem, dającym większe bezpieczeństwo prawne. Jeśli jednak ich nie ma, to nie należy na nie czekać, lecz działać w oparciu o to, co mamy na stole. Pamiętajmy też o tym, że nowy organ nadzorczy również działa, jak dotąd, w sytuacji luki prawnej.