Kolejny etap reformy przepisów o ochronie danych osobowych

Dodano: 26 czerwca 2019
Bez tytułu

Reforma przepisów związanych z ochroną danych osobowych trwa. Należy zauważyć, że składają się na nie tylko przepisy kluczowego aktu prawnego, jakim jest RODO, lecz także setki regulacji zawartych w polskich ustawach i rozporządzeniach wykonawczych.

21 lutego 2019 r. Sejm przyjął ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Została ona opublikowana w Dzienniku Ustaw w połowie kwietnia, a zaczęła obowiązywać na początku maja.

Celem ustawy jest niezbędne zharmonizowanie przepisów poszczególnych aktów prawnych z RODO. Dokonuje ona nowelizacji aż w 162 ustawach (w tym m.in. w Kodeksie postępowania administracyjnego, Kodeksie pracy, Prawie bankowym) w celu uregulowania zagadnień związanych z przetwarzaniem danych osobowych, wynikających z RODO. Tak dużej jednorazowej nowelizacji przepisów sektorowych nie było od lat. Podmioty z sektora zarówno publicznego, jak i prywatnego muszą śledzić zmiany oraz nowe obowiązki, ponieważ dotkną one prawie każdego z nich.

Zmiany w kodeksie pracy

Szczególnie kilka zmian jest bardzo istotnych, dlatego warto je omówić. Zalicza się do nich szeroka nowelizacja Kodeksu pracy, w związku z którą pojawią się nowe wyzwania dla pracodawcy już na etapie rekrutacji pracowników. Należy tutaj zwrócić uwagę na zamknięty katalog danych osobowych, jakich pracodawca może żądać od kandydata. Te dane to: imię, nazwisko, data urodzenia i dane kontaktowe wskazane przez osobę ubiegającą się o pracę. Natomiast informacji dotyczących wykształcenia, kwalifikacji zawodowych czy przebiegu dotychczasowego zatrudniania pracodawca może żądać wyłącznie wtedy, gdy są one niezbędne do wykonywania pracy. Po stronie pracodawcy powstał także obowiązek pisemnego upoważnienia pracowników mających dostęp do danych szczególnej kategorii (np. dotyczących zdrowia) do przetwarzania takich danych osobowych.

Zmiany w Zakładowym Funduszu Świadczeń Socjalnych

Kolejną ważną zmianą jest wskazanie formy udostępnienia danych osobowych pracownika i jego rodziny w przepisach dotyczących zakładowego funduszu świadczeń socjalnych. Udostępnienie danych osobowych powinno odbyć się przez przekazanie pracodawcy oświadczeń pracownika zamiast dostarczania kopii dokumentów zawierających szeroki zakres danych wrażliwych. Nowe przepisy przewidują także możliwość udokumentowania konkretnych twierdzeń pracownika przez przedłożenie odpowiedniego zaświadczenia potwierdzającego stan faktyczny. Takie działanie wzmocni ochronę danych osobowych nie tylko pracownika, lecz także jego rodziny, gdyż pracodawcy powinni odejść od praktyki kopiowania dokumentów zawierających np. historię choroby.

Obowiązek informacyjny spełniany przez mikroprzedsiębiorców

Nowym elementem, który wprowadza ustawa z 21 lutego 2019 r., jest wskazanie sposobu spełnienia obowiązku informacyjnego przez mikroprzedsiębiorców. Przepisy ustawy o prawach konsumenta pozwalają mikroprzedsiębiorcy spełnić obowiązek informacyjny przez wywieszenie niezbędnych informacji w widocznym miejscu w jego lokalu lub ich udostępnienie na jego stronie internetowej. Należy zauważyć, że nie wyłączono stosowania obowiązku informacyjnego wobec takich przedsiębiorców, a jedynie wskazano możliwy sposób jego spełnienia.

W zakresie obowiązku informacyjnego przewidziano też możliwość odroczenia jego wykonania przez organy administracji publicznej (np. centralne organy administracji rządowej, organy jednostek samorządu terytorialnego). Tacy administratorzy danych mogą spełnić obowiązek informacyjny przez przekazanie stosownych informacji przy pierwszej czynności skierowanej do strony postępowania, np. w pierwszym piśmie czy wezwaniu.

Zmiany w Kodeksie Karnym

Dla każdego przedsiębiorcy ważna jest nowelizacja definicji groźby bezprawnej. Jej rozszerzony katalog będzie dotyczył także groźby spowodowania postępowania, w którym może zostać nałożona administracyjna kara pieniężna. Ta zmiana ukróci działania wszystkich oszustów wykorzystujących zamieszanie związane z RODO, którzy przesyłali w ostatnich miesiącach informacje reklamowe wskazujące, że niewykupienie drogiego audytu czy gotowych polityk ochrony danych osobowych spowoduje nałożenie wielomilionowych kar przez Urząd Ochrony Danych Osobowych.

Pozostałe, liczne zmiany w poszczególnych ustawach mają na celu m.in. wskazanie wprost podmiotu będącego administratorem danych (w wielu przypadkach wskazanie administratora było problematyczne), wyznaczenie okresów przechowywania danych osobowych przez administratorów czy uregulowanie problematyki ochrony danych, odnoszącej się do przedstawicieli samorządów zawodowych.

Autor: Piotr Liwszic

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel