21 lutego 2019 r. Sejm przyjął ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Została ona opublikowana w Dzienniku Ustaw w połowie kwietnia, a zaczęła obowiązywać na początku maja.
Link do ustawy: http://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20190000730
Celem ustawy jest niezbędne zharmonizowanie przepisów poszczególnych aktów prawnych z RODO. Dokonuje ona nowelizacji aż w 162 ustawach (w tym m.in. w Kodeksie postępowania administracyjnego, Kodeksie pracy, Prawie bankowym) w celu uregulowania zagadnień związanych z przetwarzaniem danych osobowych, wynikających z RODO. Tak dużej jednorazowej nowelizacji przepisów sektorowych nie było od lat.
Podmioty z sektora zarówno publicznego, jak i prywatnego muszą śledzić zmiany oraz nowe obowiązki, ponieważ dotkną one prawie każdego z nich.
Zmiany w Kodeksie Pracy
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Zmiany w Zakładowym Funduszu Świadczeń Socjalnych
Kolejną ważną zmianą jest wskazanie formy udostępnienia danych osobowych pracownika i jego rodziny w przepisach dotyczących zakładowego funduszu świadczeń socjalnych. Udostępnienie danych osobowych powinno odbyć się przez przekazanie pracodawcy oświadczeń pracownika zamiast dostarczania kopii dokumentów zawierających szeroki zakres danych wrażliwych. Nowe przepisy przewidują także możliwość udokumentowania konkretnych twierdzeń pracownika przez przedłożenie odpowiedniego zaświadczenia potwierdzającego stan faktyczny. Takie działanie wzmocni ochronę danych osobowych nie tylko pracownika, lecz także jego rodziny, gdyż pracodawcy powinni odejść od praktyki kopiowania dokumentów zawierających np. historię choroby.
Obowiązek informacyjny spełniany przez mikroprzedsiębiorców
Nowym elementem, który wprowadza ustawa z 21 lutego 2019 r., jest wskazanie sposobu spełnienia obowiązku informacyjnego przez mikroprzedsiębiorców. Przepisy ustawy o prawach konsumenta pozwalają mikroprzedsiębiorcy spełnić obowiązek informacyjny przez wywieszenie niezbędnych informacji w widocznym miejscu w jego lokalu lub ich udostępnienie na jego stronie internetowej. Należy zauważyć, że nie wyłączono stosowania obowiązku informacyjnego wobec takich przedsiębiorców, a jedynie wskazano możliwy sposób jego spełnienia.W zakresie obowiązku informacyjnego przewidziano też możliwość odroczenia jego wykonania przez organy administracji publicznej (np. centralne organy administracji rządowej, organy jednostek samorządu terytorialnego). Tacy administratorzy danych mogą spełnić obowiązek informacyjny przez przekazanie stosownych informacji przy pierwszej czynności skierowanej do strony postępowania, np. w pierwszym piśmie czy wezwaniu.
Zmiany w Kodeksie Karnym
Dla każdego przedsiębiorcy ważna jest nowelizacja definicji groźby bezprawnej. Jej rozszerzony katalog będzie dotyczył także groźby spowodowania postępowania, w którym może zostać nałożona administracyjna kara pieniężna. Ta zmiana ukróci działania wszystkich oszustów wykorzystujących zamieszanie związane z RODO, którzy przesyłali w ostatnich miesiącach informacje reklamowe wskazujące, że niewykupienie drogiego audytu czy gotowych polityk ochrony danych osobowych spowoduje nałożenie wielomilionowych kar przez Urząd Ochrony Danych Osobowych.
Pozostałe, liczne zmiany w poszczególnych ustawach mają na celu m.in. wskazanie wprost podmiotu będącego administratorem danych (w wielu przypadkach wskazanie administratora było problematyczne), wyznaczenie okresów przechowywania danych osobowych przez administratorów czy uregulowanie problematyki ochrony danych, odnoszącej się do przedstawicieli samorządów zawodowych.