Fundamentem ochrony danych osobowych w Polsce są art. 47 i art. 51 Konstytucji RP stanowiące odpowiednio o zasadzie ochrony życia prywatnego oraz ochronie informacji o osobie. Prywatność odnosi się m.in. do ochrony informacji dotyczących danej osoby i gwarancji pewnego stanu niezależności, w ramach której człowiek może decydować o zakresie i zasięgu udostępniania i komunikowania innym osobom informacji o swoim życiu. 

      Ustawa zasadnicza używając formuły „informacji dotyczących osoby”, wskazuje, że informacja zachowuje swój osobowy charakter do momentu, dopóki możliwe jest ustalenie na jej podstawie tożsamości konkretnej osoby, której dotyczy. Postęp technologiczny w wykorzystywaniu mediów cyfrowych, internetu, przetwarzaniu danych osobowych przez różne podmioty w formie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, w tym profilowaniu (np. przy ocenie ryzyka w ubezpieczeniach, bądź zdolności kredytowej w bankach) oraz masowe przetwarzanie danych osobowych przez portale społecznościowe wymusił zmiany w prawie, które mają sprostać nowej cyfrowej rzeczywistości. Następstwem powyższych zmian są dwa akty prawne, które zaczęły obowiązywać od 25 maja 2018 r. a mianowicie:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO –
   (Dz. Urz. UE L 2016, Nr 119).
2. Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018,
   poz. 1000).

      Przepisy rozporządzenia (RODO) obowiązują w sposób bezpośredni, bez konieczności krajowej implementacji, innymi słowy ujmując stosujemy je wprost. Rozporządzenie upoważnia państwa członkowskie do przyjmowania przepisów szczegółowych w ściśle określonych obszarach (np. dane przetwarzane w kontekście zatrudnienia, tajemnica służbowa, itp.). Należy pamiętać, iż istotą rozporządzeń unijnych jest ich bezpośredni skutek, z czego wynika, że normy zawarte w rozporządzeniu są podstawą prawną załatwiania sprawy zawisłej przed organem państwa członkowskiego. W orzecznictwie podkreśla się wprost, że bezpośredni skutek przepisu prawa unijnego oznacza, iż jednostka odwołująca się do konkretnego przepisu ma prawo do powołania się na jego normę przed sądem państwa członkowskiego. Zgodnie z zasadą pierwszeństwa prawa unijnego, w razie sprzeczności prawa unijnego i krajowego zastosowanie będą znajdowały przepisy prawa unijnego (w tym przypadku RODO). Natomiast ustawa o ochronie danych osobowych służy zastosowaniu RODO w Polsce.

      W tym miejscu należy zastanowić się nad przesłankami  wprowadzenia zmian w ochronie danych osobowych oraz samym celem reform w tym obszarze? Niewątpliwie zwiększenie wykorzystania danych osobowych oraz wzrost świadczonych usług drogą elektroniczną i swoista utrata kontroli w tym obszarze wymusiły stosowne regulacje normatywne. Głównym celem zaś jest zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych na terenie UE i zapewnienie swobodnego przepływu danych osobowych przy uwzględnieniu nowych sposobów ich wykorzystania przez urzędy i przedsiębiorców. Dodatkowym celem jest pilna reakcja na wykorzystywanie danych osobowych do celów przestępczych czy nawet do prowadzenia wojen w cyberprzestrzeni.

      Obowiązek wdrożenia rozporządzenia (RODO) ma każdy przedsiębiorca, który przetwarza dane osobowe mieszkańców UE. Łączy się z nim także konieczność zmian przeszło 100 ustaw przez ustawę wdrażającą.

      RODO dzieli dane osobowe na dwie grupy. Podział na dane osobowe zwykłe i dane osobowe szczególne ma istotne znaczenie z punktu widzenia ich dalszego przetwarzania. Do danych osobowych zwykłych zaliczymy: adres, lokalizację, identyfikator internetowy, numer telefonu, adres e-mail oraz inne nie należące do kategorii danych szczególnych a umożliwiające identyfikację osoby fizycznej. Dane osobowe szczególne (zwane także wrażliwymi) to: stan zdrowia, pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, orientacja seksualna i informacje dotyczące wyroków skazujących.

      Artykuły 12 do 22 RODO wprowadzają nowe lub zreformowane przepisy dotyczące m.in.: prawa otrzymania kopii danych, prawa do bycia zapomnianym, ograniczenie przetwarzania/wykorzystania danych, prawo do przenoszenia danych. Z powyższymi danymi skorelowane jest prawo do uzyskania przejrzystej informacji i przejrzystej komunikacji  oraz obowiązek podania trybu wykonywania praw przez osobę, której dane dotyczą (art. 12 rozporządzenia).

      Nowa ustawa  o ochronie danych osobowych w art. 9 wskazuje organy i podmioty publiczne zobowiązane do wyznaczenia inspektora danych osobowych (IOD), o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679 RODO. Wymóg ten dotyczy wyłącznie: instytutów badawczych, NBP oraz jednostek sektora finansów publicznych. W związku z tym, iż PGL Lasy Państwowe nie są jednostką sektora finansów publicznych, finansują się same i pokrywają koszty z własnych przychodów a nie ze środków pochodzących z budżetu nie ma obowiązku wyznaczania osoby pełniącej funkcję inspektora ochrony danych. Nie zwalnia to jednak od obowiązku stosowania i przestrzegania w/w przepisów.

Andrzej Stec - spec. ds. ochrony danych osobowych

Pełny tekst artykułu, wraz z przypisami, został opublikowany w ostatnim nuemrze biuletynu "Lasy" RDLP w Szczecinku.