Ustawa dostosowująca przepisy krajowe do RODO nadal w fazie projektu

22 października została opublikowana aktualizacja projektu ustawy dostosowującej przepisy krajowe do RODO – ogólnego rozporządzenia o ochronie danych osobowych. Przepisy krajowe sprzeczne z RODO powinny zostać zmienione, a w niezbędnym zakresie również uzupełnione. Prawodawca unijny przewidział dla państw członkowskich 2 lata na to dostosowanie się do nowych standardów ochrony danych osobowych.

Ustawa dostosowująca przepisy krajowe do RODO nadal w fazie projektu

Rafał Stępniewski

6 listopada 2018

22 października została opublikowana aktualizacja projektu ustawy dostosowującej przepisy krajowe do RODO – ogólnego rozporządzenia o ochronie danych osobowych. Przepisy krajowe sprzeczne z RODO powinny zostać zmienione, a w niezbędnym zakresie również uzupełnione. Prawodawca unijny przewidział dla państw członkowskich 2 lata na to dostosowanie się do nowych standardów ochrony danych osobowych.

W Polsce lista ustaw, które wymagają zaktualizowania okazała się bardzo długa. Mimo, że nowe przepisy krajowe powinny wejść w życie w dniu rozpoczęcia obowiązywania RODO, a więc 25 maja 2018 roku, ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 nadal pozostaje w fazie projektu.

Około dwustu ustaw do zmiany

Na początku dostosowywania przepisów krajowych do RODO Ministerstwo Cyfryzacji zapowiadało, że około dwustu ustaw będzie wymagało zmiany. Z dniem 25 maja 2018 roku weszła w życie nowa ustawa o ochronie danych osobowych, która reguluje kwestie, w których RODO dopuszcza możliwość przyjęcia własnej regulacji przez państwo członkowskie, np. w zakresie przetwarzania danych osobowych w procesie zatrudnienia. W ustawie przewidziane zostały przepisy nowelizujące około 40 aktów prawnych, w szczególności zakresie, który nie mógł pozostawać dłużej bez regulacji. Przykładem był tu monitoring wizyjny, który dotychczas nie doczekał się unormowania w odrębnej ustawie, a który od 25 maja 2018 roku musiał być unormowany. Wciąż jednak pozostaje blisko 160 ustaw czekających na nowelizację w kontekście wymogów RODO. Na przestrzeni już ponad roku projekt uległ dużym zmianom, a jego tworzeniu wciąż towarzyszą szeroko zakrojone konsultacje, w których prym wiedzie Ministerstwo Cyfryzacji oraz Prezes Urzędu Ochrony Danych Osobowych.

Jakie zmiany wprowadza projekt ustawy?

Często powtarzającą się nowelizacją jest wprowadzenie do ustaw (w tym do kodeksu pracy) obowiązków w zakresie odpowiedniego zabezpieczenia danych osobowych poprzez:

  1. dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych,
  2. pisemne zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

Ma to zapobiegać w szczególności sytuacjom, w których dostęp do danych mogłyby uzyskać osoby nieuprawnione.

Innym przykładem jest wskazanie okresu przechowywania danych, których gromadzenie jest wymagane lub możliwe na podstawie przepisów ustawy. Często ustawy zawierają jednak braki co do maksymalnego okresu przetwarzania danych, co skutkowało dość dużą swobodą administratorów w tym zakresie. W praktyce – najczęściej ich zbyt długim archiwizowaniem, pomimo że cel ich przetwarzania już dawno wygasł.

Wielokrotnie powtarzającą się w projekcie planowaną aktualizacją poszczególnych ustaw sektorowych jest też wskazanie sposobu wykonywania obowiązku informacyjnego zgodnie z art. 13 i 14 RODO. Jest to o tyle istotne, że ujednolicenie sposobu realizacji tego wymogu, w szczególności przez podmioty publiczne, w przepisach rangi ustawowej pozwoli uniknąć wielu wątpliwości, jakie rodzą się w praktycznym stosowaniu RODO.

Co może czekać przedsiębiorców, jeżeli ustawa zostanie uchwalona w obecnym kształcie?

Ustawa o prawach konsumenta

Nie mogło zabraknąć projektu wytycznych dla przedsiębiorców w zakresie spełniania obowiązku informacyjnego, które mają być wprowadzone do ustawy o prawach konsumenta. Jeżeli projekt nowelizacji w zakresie prawa konsumenckiego zostanie przyjęty w obecnym kształcie, przedsiębiorca będzie miał ustawowy obowiązek podania informacji wskazanych w art. 13 RODO przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Będzie to dotyczyło umów zawieranych poza lokalem przedsiębiorstwa lub na odległość. Projekt przewiduje wyjątek od tej zasady, zgodnie z którym obowiązek nie będzie miał zastosowania jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami. I tak na przykład wobec osoby niewidomej obowiązek informacyjny trzeba będzie spełnić podając wymagane informacje ustnie.

Kodeks pracy

Na mocy projektowanej ustawy zmianie ma ulec katalog danych zbieranych przez pracodawcę w toku rekrutacji oraz zatrudnienia pracownika. Od osoby ubiegającej się o zatrudnienie nie będzie można już żądać informacji o imionach rodziców oraz miejscu zamieszkania. Zamiast tego będzie trzeba posługiwać się danymi kontaktowymi wskazanymi przez taką osobę. Adresu zamieszkanie będzie można żądać dopiero na etapie zatrudniania pracownika. Z kodeksu pracy ma zniknąć możliwość przetwarzania imion rodziców, zbieranych dla celów zatrudnienia. Jednakże na podstawie przepisów projektowanej ustawy będzie możliwe przetwarzanie innych danych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Do kodeksu pracy ma zostać wprowadzona zasada, że inne dane osoby ubiegającej się o zatrudnienie lub pracownika, z wyjątkiem danych o jego karalności, pracodawca może przetwarzać na podstawie zgody. Warunkiem będzie jednak to, że brak takiej zgody lub jej wycofanie nie może stać się podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika. Nie może również powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej:

  • odmowę zatrudnienia,
  • wypowiedzenie umowy o pracę lub
  • jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Obostrzeniu mają ulec również przepisy kodeksu pracy dotyczące monitoringu. Zgodnie z aktualną wersją projektu monitoring w pomieszczeniach udostępnianych organizacji związkowej ma być całkowicie zakazany.

Ustawa o zakładowym funduszu świadczeń socjalnych (zfśs)

Uregulowana będzie kwestia udostępniania pracodawcy danych osobowych osób uprawnionych do korzystania zfśs, a pozyskiwania danych nie bezpośrednio od osoby, której dane dotyczą, a od samego pracownika. Takie działanie będzie dopuszczalne na podstawie oświadczeń pracownika. W zakresie niezbędnym do potwierdzenia uprawnień do ulgi lub świadczenia pracodawca będzie mógł żądać udokumentowania danych w formie oświadczenia lub zaświadczenia.

Dla celów realizowania zadań zakładowego funduszu świadczeń socjalnych dopuszczalne będzie również przetwarzanie danych osobowych dotyczących zdrowia, ale dane te powinny przetwarzać wyłącznie osoby posiadające pisemne upoważnienie nadane przez pracodawcę.

Przewiduje się wobec pracodawcy wymogi związane z okresowym przeglądem danych zgromadzonych w wyniku weryfikacji uprawnień do korzystania z zfśs. W projekcie wskazane zostało, że pracodawca będzie dokonywał przeglądu danych osobowych nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca będzie zobowiązany na gruncie przepisów ustawy do usunięcia danych osobowych, których dalsze przechowywanie jest zbędne do realizacji celu weryfikacji uprawnień do ulg, świadczeń i innych przysługujących korzyści, w tym danych o stanie zdrowia. Na mocy projektowanej ustawy, pierwszy taki przegląd za rok 2018 pracodawca będzie musiał wykonać do 31 marca 2019 roku.

Prawo zamówień publicznych

Zgodnie z projektem nowelizacji ustawy dopuszczalne będzie żądanie przez zamawiającego dokumentów potwierdzających zatrudnienie przez wykonawcę lub podwykonawcę osób wykonujących czynności w zakresie zamówienia. Ustawa będzie przewidywała tutaj możliwość żądania przez zamawiającego:

  • oświadczenia wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,
  • poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika,
  • innych dokumentów – zawierających informacje, w tym dane osobowe, niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności: imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę, zakres obowiązków pracownika.

Ustawa o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych

RODO w sposób szczególny traktuje przetwarzanie danych wrażliwych, w tym danych o stanie zdrowia. Przepisy w znaczący sposób mają ograniczyć sytuacje, w których pracodawca może przetwarzać dane medyczne dotyczące pracowników. Projektowana nowelizacja ustawy o rehabilitacji i zatrudnianiu osób niepełnosprawnych określa sytuacje, w których pracodawca będzie mógł nadal przetwarzać dane o stanie zdrowia. Przepis ma obejmować m.in. pracowników i byłych pracowników oraz członków ich rodzin, osoby niepełnosprawne, kandydatów do pracy, praktykantów i stażystów. W projektowanym przepisie wskazuje się na dobrowolność podania tych danych przez osobę, której dotyczą.

Projektowane obowiązki pracodawcy związane z przetwarzaniem danych o stanie zdrowia będą dotyczyć szczególnego ich zabezpieczenia, w tym poprzez umożliwienie dostępu do nich tylko osobom upoważnionym. Dane takie będą musiały być przechowywane przez okres 50 lat, a okresowy przegląd przydatności danych dokonywany przez administratora będzie musiał odbywać się nie rzadziej niż raz na 5 lat.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2020
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!