Obowiązujące od 4 maja zmiany w około 160 ustawach, które miały dostosować polskie przepisy do unijnego rozporządzenia o ochronie danych osobowych, po kilku tygodniach od wejścia ich w życie zaczynają budzić poważne wątpliwości. Chodzi o to, że część tych regulacji wykracza poza unijne przepisy, wszyscy zastanawiają się więc, czy traktować je jako uzupełnienie unijnych norm obowiązujących bezpośrednio w Polsce, czy też jak równoległą do nich regulację.

Czytaj też:

RODO: co się zmieni od 4 maja 2019

RODO w Polsce: dyskusje na temat wątpliwości dotyczących rozporządzenia

Pierwsza kara za RODO – milion złotych

Kłopot z nowym prawem

Niektóre rozwiązania, np. te dotyczące ułatwień dla mikro- i małych przedsiębiorców (zatrudniających do dziewięciu pracowników), budzą wątpliwości co do ich zgodności z bezwzględnie obowiązującymi unijnymi regulacjami.

– Chodzi o to, że w RODO nigdzie nie jest przewidziana możliwość ograniczania obowiązków informacyjnych w stosunku do przedsiębiorców ze względu na ich wielkość – mówi Paweł Litwiński, adwokat z kancelarii Barta Litwiński. – Jest więc duże prawdopodobieństwo, że tymi przepisami zajmie się Komisja Europejska.

Ale wątpliwości co do stosowania unijnych regulacji w Polsce jest więcej.

– Przykładem mogą być regulacje dotyczące ograniczeń dostępu do informacji o przetwarzaniu danych – mówi Katarzyna Kos z Katedry Prawa Konstytucyjnego na Uniwersytecie Jagiellońskim. – Art. 5 i 5a polskiej ustawy o ochronie danych osobowych mają bowiem szerszy zakres niż art. 11 RODO.

Z kolei polskie przepisy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych preferują osoby prowadzące działalność gospodarczą, które jako osoby fizyczne mają prawo do jednorazowego uzyskania informacji z rejestru dłużników za darmo. Takie prawo gwarantuje bowiem art. 15 RODO. Tymczasem przedsiębiorcy działający w formie spółek prawa handlowego już takiego prawa nie mają.

Będą nowe regulacje

Niemałe wątpliwości ma branża teleinformatyczna, dla której zmiany w przepisach na nowo postawiły pytanie o potrzebę zbierania od milionów klientów zgód na przetwarzanie ich danych osobowych.

– Pewne poprawki zostały wprowadzone w Sejmie w ostatnim momencie i teraz od tego, jak zostaną one wyłożone przez urząd, zależy, czy firmy działające w branży teleinformatycznej będą miały uciążliwe obowiązki do wykonania, czy też nie – mówi Xawery Konarski, adwokat z kancelarii Traple, Konarski, Podrecki.

Ta branża może być jedną z pierwszych, które jeszcze w tym roku doczekają się własnego kodeksu dobrych praktyk. Taki kodeks, zawierający sposób postępowania w niejednoznacznych obecnie sytuacjach, stanowiłby ogromne ułatwienie dla firm działających w tej branży.

Opinia dla „Rzeczpospolitej"

Piotr Drobek, dyrektor zespołu analiz i strategii Urzędu Ochrony Danych Osobowych

Po roku bezpośredniego stosowania nowego unijnego rozporzą dzenia o ochronie danych do urzędu wpłynęło 4487 zgłoszeń od administratorów ws. naruszenia ochrony danych osobowych i ponad 8 tys. skarg od osób fizycznych ws. naruszenia ochrony ich danych. W tym czasie urząd wydał ponad 700 decyzji, w tym tylko dwie nakładające administracyjną karę pieniężną za złamanie nowych przepisów. RODO nie przewiduje obowiązku automatycznego nałożenia kary w każdym przypadku, gdy Urząd stwierdzi naruszenie przepisów o ochronie danych osobowych. Po nowelizacji przepisów sektorowych, które weszły w życie od 4 maja 2019 r., pojawiło się sporo nowych wyzwań. Przede wszystkim wyjaśnienia wymaga kwestia upoważnień do przetwarzania danych osobowych i formy ich wystawiania, a także zakres i charakter ułatwień, jakie nowe przepisy przewidują dla mikro i małych firm.