fbpx
+48 32 479 10 50

28 maja 2019

Ustawa wprowadzająca RODO

Z dniem 4 maja 2019 r. weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO).

Celem ustawy wdrażającej RODO jest zharmonizowanie przepisów poszczególnych ustaw z regulacjami wynikającymi z ogólnego rozporządzenia o ochronie danych. Zmiany wprowadzone wspomnianą ustawą obejmują m.in. prawo pracy, prawo administracyjne, prawo budowlane, przepisy dotyczące banków i ubezpieczycieli, prawo telekomunikacyjne oraz oświatowe. Nowelizacje przewidziane w ustawie wdrażającej zmierzają przede wszystkim do usunięcia przepisów, które są sprzeczne z RODO, jak również takich, które powielają rozwiązania zawarte w RODO. Jednocześnie u podstaw nowelizacji leży dostosowanie rozwiązań przewidzianych w RODO do specyfiki polskiego porządku prawnego.

Ustawa wdrażająca RODO liczy aż 173 artykułu. Nadto, zakres i charakter oraz ostateczny efekt zmian wprowadzanych przez ustawę wdrażającą RODO jest niejednolity i wymaga odrębnej analizy w odniesieniu do charakteru działalności prowadzonej przez każdy podmiot podlegający takim regulacjom. Wobec powyższego dzisiaj skupimy się jedynie na zmianach wpływających wprost na działalność prowadzoną przez przedsiębiorców.

W pierwszej kolejności warto wskazać, iż w omawianej ustawie zostały przewidziane pewne ułatwienia w spełnianiu obowiązku informacyjnego przez mikroprzedsiębiorców. Za sprawą dodania art. 4a do ustawy o prawach konsumentów – firmy, które zatrudniają nie więcej niż 10 pracowników i nie mają obrotu większego niż 2 mln euro netto rocznie nie będą musiały bezpośrednio informować każdego, że przetwarzają jego dane osobowe. Wystarczy, że informację o tym jak długo przetwarzają dane, na jakiej podstawie prawnej itp. wywieszą w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnią na swojej stronie internetowej. Wskazane powyżej wyłączenie nie znajdzie zastosowania w przypadkach gdy osoba, której dane dotyczą nie ma możliwości zapoznania się z wywieszonymi informacjami lub wówczas gdy administrator przetwarza lub udostępnia dane szczególnej kategorii.

W praktyce taka regulacja kreuje możliwość wyboru formy spełnienia obowiązku informacyjnego – pomiędzy aktywnym działaniem (np. przesyłając klauzulę informacyjną bezpośrednio do konsumenta/kontrahenta) a czynnością ograniczającą się do udostępnienia informacji w lokalu lub na stronie internetowej.

Jednocześnie warto przestrzec, iż pierwsza administracyjna kara pieniężna za naruszenie przepisów RODO w wysokości blisko miliona złotych została nałożona właśnie za niespełnienie obowiązku informacyjnego, przez co wskazuje się na formalistyczne i rygorystyczne rozumienie przepisów dotyczących obowiązku informacyjnego. Ponadto, art. 13 RODO przewiduje tylko jeden wyjątek w zakresie wykonania obowiązku informacyjnego, a mianowicie w sytuacji i w zakresie, w jakim osoba, której dane dotyczą, dysponuje już informacjami objętymi obowiązkiem informacyjnym. Na obecnym etapie nieznane jest oficjalne stanowisko oraz interpretacje stosowane przez Urząd Ochrony Danych Osobowych w odniesieniu do nowych regulacji prawnych.

Ustawa wdrażająca RODO wprowadza również zmiany w prawie pracy. W nowelizacji wskazano m.in., że dane biometryczne mogą być pobierane od pracownika i przetwarzane, o ile ich podanie będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony. Jednocześnie ustawodawca wykluczył możliwość monitorowania pomieszczeń zakładowej organizacji związkowej. Z kolei instalacja monitoringu wizyjnego w pomieszczeniach sanitarnych wymaga dodatkowo uzyskania przez pracodawcę uprzedniej zgody zakładowej organizacji związkowej (a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy).

Na podstawie nowych przepisów pracodawca będzie mógł żądać podania danych osobowych, gdy jest to niezbędne do wykonywania określonego rodzaju pracy lub ich podanie jest wymagane na określonym stanowisku. Niemniej jednak, pracodawca nadal będzie zobowiązany do dokonania oceny danych, pod kątem ich niezbędności do sfinalizowania zatrudnienia. Natomiast, zgodnie z przyjętą nowelizacją przetwarzanie danych osobowych kandydata do pracy lub pracownika następuje wyłącznie na podstawie udzielonej zgody. Ponadto, dane osobowe szczególnych kategorii będą mogły być przetwarzane tylko w przypadku, gdy zostaną przekazane z inicjatywy kandydata bądź pracownika.

Przepisy ustawy wdrażającej RODO weszły w życie z dniem 4 maja 2019 r. Wobec tego, od tej daty administratorzy i podmioty przetwarzające dane osobowe mają obowiązek dostosować się do nowych regulacji. Jednocześnie, ustawa wdrażająca zmienia blisko 170 innych ustaw. Wobec szerokiej skali wprowadzonych zmian nie sposób omówić wszystkich w jednym artykule. Dlatego jeśli już teraz masz pytania lub wątpliwości co do wpływu ustawy wdrażającej na prowadzoną przez Ciebie działalność to skontaktuj się z nami.

 

autor: Paulina Grzybczyk
Senior Associate / Aplikant Radcowski

 

28 maja 2019

Zobacz więcej
Wróć do bloga
Copyright GLC

Strategia, realizacja, wsparcie Tomczak | Stanisławski