Od 4 maja 2019 r. (w większości) zaczęła obowiązywać w Polsce ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Ustawa ta określana często mianem „sektorowego RODO” zmienia przepisy w sumie 168 ustawach. Nowe przepisy mają na celu ostatecznie wdrożyć w pełni zmiany jakie narzucone zostały przez RODO.
W tym wpisie przygotowałem najważniejsze w mojej opinii zmiany, jakie dotyczą przedsiębiorców. Zakres zmian jest bardzo szeroki, do tego stopnia, że szczegółowe ich omówienie w jednym wpisie jest po prostu niemożliwe. Szczegółowa analiza poszczególnych ustaw znajdzie się w kolejnych wpisach, póki co podsumowanie najważniejszych zmian.
- Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy.
Zmiany dotyczą danych osobowych jakie przedsiębiorca może pobierać od kandydatów na pracowników, a także osób zatrudnianych na umowę o pracę. Zmiany określają w jakich przypadkach i kiedy mogą być pobierane od pracowników dane wrażliwe, w tym sytuacje, w których mogą być pobierane dane biometryczne. Zmiany w Kodeksie pracy dodatkowo dotyczą badań lekarskich oraz wyłączeń dotyczących kierowania na badania lekarskie. Ponadto w nowelizacji ustawodawca przewidział konieczność stosowania pisemnych upoważnień dla pracowników kadr, płac i HR, którzy przetwarzają dane wrażliwe zatrudnionych pracowników, a także wprowadził zmiany dotyczące stosowania monitoringu wizyjnego przez pracodawców. - Ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych.
Ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych.
Zmiany dotyczą tych przedsiębiorców, u których funkcjonuje zakładowy fundusz świadczeń socjalnych. W takim przypadku nowelizacja określa sposób udostępniania danych osobowych, formy upoważnień do dostępu do nich (w tym w szczególności do danych dotyczących zdrowia) dla pracowników kadr i płac, a także środki zabezpieczenia tych danych w tym stosowania zasady minimalizacji oraz zasady ograniczenia przechowywania danych osobowych. - Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
Zmiany dotyczą konieczności jasnego oznaczania niezbędnych wymaganych danych do świadczenia usług drogą elektroniczną, określa zasady pozyskiwania zgody na przetwarzanie danych osobowych (o ile taka potrzeba zachodzi), dopuszcza możliwość pobierania innych danych osobowych wymaganych na potrzeby usługodawcy w celach reklamy, badania rynku, badania zachowań, preferencji etc. uzależniając wykorzystanie tych danych od posiadanej zgody na ich przetwarzanie. - Ustawa z dnia 29 stycznia 2004 r. Prawo zamówień publicznych.
Zmiany dotyczą spełnienia obowiązku informacyjnego przez zamawiającego, czy też umożliwienia dostępu do danych osobowych przetwarzanych przez Zamawiającego. Ponadto zmiany określają możliwości przetwarzania przez zamawiającego danych dotyczących wyroków skazujących, określonych zasad zabezpieczenia tych i innych danych oraz formy upoważnień dla pracowników zamawiającego do przetwarzania tych danych osobowych. Zmiany w ustawie dotyczą ograniczenia niektórych praw osób których dane dotyczą, a które wynikają z RODO, udostępniania danych w Biuletynie Informacji Publicznej oraz zasad związanych z przetwarzaniem danych w związku z przeprowadzaniem postępowań dotyczących zamówień publicznych. - Ustawa z dnia 30 maja 2014 r. o prawach konsumenta.
Zmiana dotyczy spełniania obowiązku informacyjnego przez mikro przedsiębiorcę (tj. firmy zatrudniające w ciągu ostatnich dwóch lat mniej niż 10 pracowników i mające obrót netto nieprzekraczający 2 mln euro rocznie) wobec osób, które mają status konsumenta – obowiązek ten może być spełniany poprzez udostępnienie wszystkich niezbędnych informacji na stronie internetowej przedsiębiorcy lub w jego siedzibie, chyba że konsument nie będzie miał możliwości zapoznać się z obowiązkiem informacyjnym upublicznionym w ten sposób. Wyjątki w tym zakresie dotyczą również danych wrażliwych dotyczących konsumentów, jeżeli są one pobierane przez przedsiębiorcę. - Ustawa z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy.
Zmiana polega na uchyleniu przepisu według którego do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się ustawy o ochronie danych osobowych. Zmiana ta sprawia, że dane z CEIDG traktowane są na równi z innymi danymi osób fizycznych, a co za tym idzie podlegają RODO i ochronie z niego wynikającej. - Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
Zmiana polega na zwolnieniu ze spełnienia obowiązku informacyjnego przez administratora, który otrzymał dane osobowe od podmiotu realizującego zadania publiczne w celu zapobiegania lub wykrywania przestępczości czy też w ramach ochrony interesów gospodarczych i finansowych państwa obejmującą realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności, wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych etc. Ponadto zmiany dotyczą możliwości wyznaczenia zastępcy inspektora ochrony danych osobowych, a także nakładają na ukaranego obowiązek dostarczenia informacji na temat danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej. - Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny.
Zmiana polega na wprowadzeniu nowego przestępstwa w postaci bezprawnej groźby wszczęcia postępowania w celu nałożenia na dany podmiot administracyjnej kary pieniężnych, co dotyczy również kar przewidzianych w RODO. Jedynym wyjątkiem, gdy takie działanie nie będzie uznane za bezprawne jest sytuacja, w której doszło do naruszenia przepisów, które mogą spowodować nałożenie takiej kary.
Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Sp.j.
Jeżeli potrzebujesz pomocy w zakresie ochrony danych osobowych, skontaktuj się ze mną: https://ensiskancelaria.com/jakub-szajdzinski/
Jeżeli chcesz pozostawać na bieżąco z nowymi przepisami zapraszamy do dołączenia do naszej grupy na Facebook