RODO: Akty podstawowe źródłem obowiązku administratora

RODO nie przesądza jednoznacznie, jaka powinna być ranga aktu prawnego, będącego źródłem obowiązku administratora, o którym mowa w art. 6 ust. 1 lit. c RODO. Uzasadnione jest zatem przyjęcie, iż taki obowiązek prawny może być regulowany w aktach o różnej randze – nie tylko w ustawach i ratyfikowanych umowach międzynarodowych.

Jako podstawowy punkt odniesienia przyjąć należy art. 87 Konstytucji RP, który stanowi, iż źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (ust. 1).

Źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są na obszarze działania organów, które je ustanowiły, akty prawa miejscowego (ust. 2).

Zobacz: RODO 2018

Co prawda, zgodnie z motywem 41. RODO, w przypadku gdy w rozporządzeniu 2016/679 jest mowa o podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament. Jednakże, jak zastrzega dalej ustawodawca unijny, wymagania te wynikać muszą z porządku konstytucyjnego danego państwa członkowskiego. I tak, pojęcie podstaw prawnych rozpatrywać należy przez pryzmat źródeł prawa wskazanych w art. 87 ust. 1 i 2 Konstytucji RP, ze szczególnym naciskiem na charakter przepisów o ochronie danych osobowych i wymagań względem nich wynikających - przepisów art. 7 i 8 ust. 2 EKPC [Konwencja o ochronie praw człowieka i podstawowych wolności sporządzona w Rzymie 04.11.1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz.U. z 1993 r. poz. 284 ze zm.)] oraz art. 52 ust. 1 KPP [Karta praw podstawowych Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r.)], a dalej zasad wyrażonych w art. 31 ust. 3 i art. 51 ust. 1 i 5 Konstytucji RP. Co oznacza, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie prawa i nie naruszają istoty wolności i praw. Akty niższego rzędu, takie jak rozporządzenia, operować mogą więc wyłącznie w granicach delegacji ustawowej, która musi w sposób jasny i precyzyjny wskazywać cele przetwarzania danych tak, by zapewnić podmiotom danych świadomość i przewidywalność przetwarzania ich danych osobowych (art. 6 ust. 3 zd. 2 RODO). Z uwzględnieniem tych ograniczeń i zasad, jak wskazuje w dalszej części przywołanego przepisu ustawodawca unijny, fakultatywnie podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie rozporządzenia 2016/679, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX.

Źródło: Ministerstwo Cyfryzacji