RODO: zmiany w ustawach sektorowych od 4 maja 2019r.

21 lutego 2019 r. Sejm Rzeczypospolitej Polskiej uchwalił ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – tzw. ustawę sektorową, a 03 kwietnia 2019 roku Prezydent RP podpisał ww. ustawę.

Zmiany weszły w życie 04 maja 2019 r.

Pomimo tego, iż RODO wiąże państwa członkowskie w całości i jako rozporządzenie jest wystarczająco precyzyjne, aby móc być stosowanym bezpośrednio, to regulacja tak ogromnej sfery w jednym akcie nie jest możliwa i wymaga wprowadzenia zmian w już obowiązujących regulacjach.

Co istotne, Rozporządzenie wprost pozostawia państwom członkowskim możliwość decyzji co do niektórych aspektów, np. co do tego w jakim zakresie administracyjne kary pieniężne będą miały zastosowanie do organów administracji publicznej czy zdecydowanie, że niektóre podmioty będą współadministratorami. Taka decyzja może być podjęta przez państwa jedynie w akcie rangi ustawowej.

Ustawa jest bardzo obszernym aktem liczącym ponad 200 stron. Zmiany poprzez nią wprowadzane nie są sobie równe, niektóre wprowadzają istotne nowości, inne są raczej kosmetyczne. Głównym celem ustawy sektorowej jest wyeliminowanie z polskiego systemu prawnego przepisów sprzecznych lub powielających regulacje RODO.

Zmienione zostały m. in. przepisy ustaw:

I. Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm)

W pierwszej kolejności zmianie ulega zakres danych, które osoba ubiegająca się o zatrudnienie ma obowiązek podać na żądanie pracodawcy – z dniem wejścia w życie ustawy zmieniającej od kandydata można żądać:

– imienia i nazwiska

– datę urodzenia

– danych kontaktowych wskazanych przez taką osobę

Gdy jest to niezbędne do wykonywania określonej pracy, pracodawca może żądać również danych dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia.

Sygnalizujemy, że w Kodeksie pracy nie przewidziano dla pracodawcy uprawnienia do przetwarzania danych osobowych w postaci wizerunku, zatem może się to odbywać wyłącznie za zgodą pracownika.

W Kodeksie pracy został dodany art. 221a, który zakazuje niekorzystnego traktowania lub wyciągania jakichkolwiek negatywnych konsekwencji z powodu braku zgody (lub jej wycofania) pracownika lub kandydata na przetwarzanie innych danych, niż te, do których podania zobowiązuje Kodeks Pracy. Dotyczy to zwłaszcza wypowiedzenia umowy, odmowy zatrudnienia lub rozwiązania umowy przez pracodawcę.

Ponadto, zgoda na przetwarzanie danych wrażliwych przez pracodawcę może być podstawą do ich przetwarzania jedynie z inicjatywy pracownika / osoby ubiegającej się o zatrudnienie.

Wcześniej, Kodeks pracy wprowadził również dodatkowe wymogi dotyczące prowadzenia monitoringu wizyjnego w miejscu pracy.

II. O świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123)

Zmiany ustawy o świadczeniu usług drogą elektroniczną polegają na zastąpieniu szczególnych przepisów dotyczących danych osobowych poprzez odwołanie do ogólnych zasad RODO – dotyczy to w szczególności zasad uzyskiwania zgody i zasad przetwarzania danych usługobiorcy.

III. Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354)

Ustawa – prawo telekomunikacyjne została zmieniona w podobnym zakresie – część przepisów została zastąpiona odwołaniem do RODO, dodano zapis określający minimalne środki ochrony danych oraz określono sankcję w sytuacji niewypełniania obowiązków w zakresie ochrony danych w wysokości 3% przychodu podmiotu ukaranego osiągniętego w poprzedzającym roku kalendarzowym.

IV. O prawach konsumenta (Dz. U. z 2019 r. poz. 134)

Zmiany dotyczą formy wykonania obowiązku informacyjnego wynikającego z art. 13 RODO – umożliwiają mikroprzedsiębiorcy wykonanie tego obowiązku poprzez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownej informacji. Z dniem wejścia w życie omawianej zmiany, przedsiębiorca który zatrudniają nie więcej niż 10 pracowników i nie maja obrotu większego niż 2 mln euro netto rocznie (ok. 8,6 mln zł) będzie mógł wybrać, czy chce dopełnić obowiązku informacyjnego w sposób tradycyjny – poprzez bezpośrednie udostępnienie danych, podczas pierwszej interakcji – lub w sposób „generalny”, poprzez wywieszenie odpowiednich informacji w widocznym miejscu, lub na stronie www. Co istotne, generalna forma wypełnienia obowiązku informacyjnego dotyczy jedynie sytuacji, gdy osoba której dane dotyczą, ma możliwość zapoznania się z informacjami udostępnionymi w tej formie. Jest to dosyć nieostra regulacja, która w przypadku kontroli UODO może zostać zinterpretowana na niekorzyść administratora – ta materia zostanie rozstrzygnięta „w praktyce” na gruncie orzecznictwa, przy czym możliwym jest, że Prezes UODO wyda interpretację tychże przepisów, tak jak dokonał tego w następstwie wejścia w życie RODO.

V. O ochronie danych osobowych (Dz. U. poz. 1000 i 1669)

Ustawodawca wprowadził wyjątek od obowiązku udostępnienia osobie, której dane dotyczą informacji dotyczących danych, które są przetwarzane przez administratora – dotyczy to przypadków, gdy dane osoby zostały przekazane podmiotowi publicznemu, wykonującemu zadania z zakresu m. in. zapobiegania przestępczości, realizacji i dochodzenia dochodów z podatków oraz kontroli celno-skarbowych. Administrator zobowiązany jest wówczas do odpowiedzi na żądanie osoby której dane dotyczą, w sposób uniemożliwiający ustalenie, że dane zostały przekazane podmiotowi publicznemu.

Ponadto, wraz z wejściem w życie ustawy zmieniającej, administratorzy będą mogli wyznaczać zastępcę inspektora ochrony danych – osoba ta powinna spełniać te same kryteria (wynikające z art. 37 ust. 5 i 6 RODO), a jej dane powinny zostać ujawnione Prezesowi UODO oraz osobom, których dane dotyczą.

Sankcja kary grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2, nakładana w przypadku udaremniania lub utrudniania przeprowadzenia kontroli, została rozszerzona na działania polegające na niedostarczaniu lub dostarczaniu błędnych danych, niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.

VI. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60)

Ustawa zmieniająca wprowadza do Kodeksu postępowania administracyjnego odrębny przepis dotyczący obowiązku informacyjnego (art. 13 RODO) – organ administracji publicznej wykonuje obowiązek przy pierwszej czynności skierowanej do strony, chyba że strona te informacje posiada i ich zakres oraz treść nie uległy zmianie.

VII. Kodeks karny (Dz.U. z 2018 r. poz. 1600 i 2077)

Do ustawowej definicji groźby bezprawnej dodano, iż stanowi ją także groźba spowodowania innego [niż postępowanie karne] postępowania, w którym może zostać nałożona administracyjna kara pieniężna oraz analogicznie, iż nie stanowi groźby zapowiedź spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem lub zachowaniem zagrożonym administracyjną karą pieniężną.

Kancelaria Radców Prawnych Stopczyk & Wspólnicy Sp. K.
Kancelaria zastrzega, że niniejsza informacja zawiera jedynie ogólny zarys poruszonych w niej zagadnień. Informacja nie stanowi porady prawnej, opinii prawnej, ani też analizy konkretnego stanu faktycznego. W razie jakichkolwiek pytań lub wątpliwości z Państwa strony, serdecznie zachęcamy do kontaktu z naszą Kancelarią.

Dodaj komentarz

Twój adres e-mail nie będzie publikowany. Zaznaczone pola są obowiązkowe *

*