Przepisy wprowadzające ustawę o ochronie danych osobowych cz. 1

Dostosowanie polskiego środowiska prawnego do Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: RODO) wymaga, poza uchwaleniem nowej ustawy o ochronie danych osobowych, znowelizowania licznych przepisów branżowych.

Dostosowanie polskiego środowiska prawnego do Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: RODO) wymaga, poza uchwaleniem nowej ustawy o ochronie danych osobowych, znowelizowania licznych przepisów branżowych.

Prawodawca chcąc jak najlepiej przygotować się do obowiązywania RODO przygotował projekt ustawy „Przepisy wprowadzające ustawę o ochronie danych osobowych”. W niniejszym tekście przedstawiamy najistotniejsze zmiany w przepisach sektorowych zaproponowane przez ustawodawcę. Projekt ustawy liczy ponad 170 stron i obejmuje zmiany w 133 ustawach. Z racji objętości omawianego tekstu zastosowaliśmy podział nowelizowanych ustaw na trzy grupy.

  1. Ustawy „zawodowe” – opisujących zmiany w kodeksie pracy oraz innych ustawach związanych z grupami zawodowymi.
  2. Ustawy istotne dla infrastruktury państwa.
  3. Ustawy istotne z punktu widzenia obywateli.

I. Ustawy „zawodowe”

Rewolucja w Kodeksie Pracy

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Nowelizacja ustawy kodeks pracy przewiduje wzmocnienie pozycji pracodawcy w zakresie żądania od potencjalnego pracownika podania, wskazanych w ustawie, danych osobowych. Poprzednio miał on „prawo żądać”, po zmianie zapis będzie brzmiał następująco: „Art. 221 § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących(…)”. Zmianie ulegnie również zakres przetwarzanych przez pracodawcę danych. Znikną z niego imiona rodziców oraz miejsce zamieszkania (zastąpi je adres do korespondencji), dodane natomiast zostaną dane takie jak: adres e-mail lub numer telefonu. Zbiór danych, którego pracodawca będzie mógł żądać od pracownika wyglądać więc będzie następująco:

  1. imię (imiona) i nazwisko,
  2. data urodzenia,
  3. adres do korespondencji,
  4. adres poczty elektronicznej albo numer telefonu,
  5. wykształcenie,
  6. przebieg dotychczasowego zatrudnienia.

Zmienia się również brzmienie Art. 221 § 2. Pracodawca będzie mógł, poza powyższymi, żądać od pracownika następujących danych:

  1. adresu zamieszkania,
  2. numeru PESEL (a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość),
  3. innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Ważne
Powyższe dane przekazywane mają być w formie oświadczenia, jednak jeśli pracodawca uzna to za konieczne, może zażądać udokumentowania ich autentyczności.

Powyższe dane mogą być przetwarzane przez pracodawcę jedynie w celach niezbędnych do realizacji obowiązku świadczenia pracy. Ustawodawca wyłącza jednak z tego katalogu adres do korespondencji, numer telefonu albo e-mail, te dane mogą być przez niego przetwarzane jedynie po wyrażeniu uprzednio pisemnej zgody w postaci papierowej lub elektronicznej.

Rewolucyjnym i długo oczekiwanym zapisem jest natomiast art. 222§ 2, który odnosi się do danych biometrycznych.

Uwaga
W myśl propozycji ustawodawcy pracodawca będzie miał prawo przetwarzać dane biometryczne pracownika, jeśli ten wyrazi na to zgodę.

Zgoda ta nie może być jednak dorozumiana, musi być ona złożona w formie pisemnej – papierowej lub elektronicznej.

Ustawodawca bezwzględnie zakazał pracodawcy przetwarzania danych sensytywnych pracowników dotyczących:

  1. nałogów,
  2. informacji o stanie zdrowia,
  3. życiu seksualnym,
  4. orientacji seksualnej.

Pracodawca nie może przetwarzać tych danych nawet po uprzednio wyrażonej przez pracownika zgodzie. Zastanawiające jest jednak, dlaczego w kategorii tej nie znalazły się inne dane wrażliwe takie jak np. przekonania religijne czy poglądy polityczne. Z powyższego zapisu wynika więc, że pracodawca po uprzedniej zgodzie pracownika, może przetwarzać jego dane na temat przynależności do partii politycznej, ale nie może przetwarzać danych dotyczących jego orientacji seksualnej.

Godnym pochwały jest próba uregulowania prawnie monitoringu wizyjnego w miejscu pracy. Zgodnie z Art. 224.§ 1 pracodawca może stosować nadzór kamer w celu zapewnienia:

  1. bezpieczeństwa pracownikom,
  2. ochrony mienia,
  3. zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Warto zauważyć, iż nie może być on stosowany w celu „środka kontroli wykonywania pracy przez pracowników”. Prawodawca wyznaczył wyraźnie pomieszczenia w których nie może być stosowany monitoring, wśród których znalazła się: palarnia, pomieszczenia sanitarne, stołówki oraz inne pomieszczenia które nie są przeznaczone do wykonywania pracy.

Uwaga
O monitoringu pracownik musi zostać poinformowany nie później niż 14 dni przed uruchomieniem monitoringu. Nowo zatrudnieni pracownicy , muszą po prostu zostać poinformowani o nim w chwili dopuszczenia do pracy.

Zmiany w innych ustawach „zawodowych”. Poza kodeksem pracy nowelizacji ulegną też:

1) Karta Nauczyciela

Ustawodawca wyraźnie określił katalog danych osobowych jakie mogą być przetwarzane w:

  • sprawach dotyczących awansu zawodowego nauczyciela,
  • sprawach nadzoru nad awansem nauczyciela,
  • sprawach dyscyplinarnych oraz komisji dyscyplinarnych.

Kolejną zmiana jest ograniczenie obowiązku informacyjnego oraz prawa dostępu osoby do danych w powyższych sprawach do bezpłatnego dostępu raz na sześć miesięcy. W pozostałych przypadkach administrator danych ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych.

Ciekawym zabiegiem stosowanym przez ustawodawcę, jest konstrukcja instytucji zwolnienia administratora danych od obowiązku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO), w chwili gdy zamieści on w terminie 72h od stwierdzenia naruszenia komunikat o naruszeniu na swojej stronie w BIP lub na własnej stronie internetowej.

Ustawa DODO - zadbałeś o zgodność?

2) Prawo o adwokaturze. Prawo o radcach prawnych. Prawo o Notariacie. Prawo o komornikach sądowych i egzekucji

W zasadzie we wszystkich wymienionych ustawach zostały wprowadzone bardzo podobne regulacje prawne, dlatego zostały one omówione w sposób zbiorczy. Nowe rozwiązania jak i wyłączenia są praktycznie identyczne dla wszystkich czterech grup zawodowych i obejmują one:

  • ustalenie administratorów danych, zarówno w kontekście wewnętrznej organizacji powyższych zawodów, jak i osób, których dane są przetwarzane przez przedstawicieli tych grup zawodowych,
  • wyłączenie w pewnych przypadkach stosowania niektórych przepisów RODO.

Przykładowo, za ADO w prawie o adwokaturze uznamy:

  • Ministra Sprawiedliwości (w sprawach dotyczących kontroli i nadzoru oraz działań zespołu przygotowującego pytania na egzamin wstępny dla kandydatów na aplikantów adwokackich),
  • Naczelną Radę Adwokacką (w sprawach postepowań m.in. w zakresie skarg i wniosków, administracyjnych oraz dyscyplinarnych; realizacji zadań publicznych wynikających z ustawy),
  • Okręgowe Rady Adwokackie (w sprawach prowadzonych przez nie postepowań oraz realizacji zadań publicznych)
  • Komisje egzaminacyjne do spraw aplikacji przy Ministrze Sprawiedliwości (w sprawach związanych z dopuszczeniem i odwołaniem od prowadzonych przez nie egzaminów)
  • Adwokatów (w przypadku danych osobowych przetwarzanych w ramach wykonywania zawodu).

Problematyczny jest zapis stanowiący, iż adwokaci i radcy prawni są administratorami danych osobowych. Warto pamiętać, ze często radcowie prawni i adwokaci wykonują swój zawód nie tylko w indywidualnych kancelariach ale i np. w ramach umowy cywilnej lub (w wypadku radców prawnych) umowy o pracę. W powyższych przypadkach błędnym wydaje się uznanie radców prawnych czy adwokatów za administratorów danych – gdyż o celach i środkach przetwarzania decyduje podmiot, dla którego świadczą oni pracę lub usługi.

Ważne
W stosunku do przetwarzanych danych przez powyższych administratorów nie stosuje się przepisów RODO dotyczących obowiązku informacyjnego, częściowo prawa dostępu do danych osobowych, prawa do ograniczenia przetwarzania, obowiązku poinformowania o usunięciu danych oraz prawa do sprzeciwu.

Wyłączeniu podlegają również przepisy art. 58 ust. 1 lit e i f RODO – stanowiące uprawnienia organu nadzorczego do uzyskiwania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji oraz uzyskiwania dostępu do wszystkich pomieszczeń, w tym do sprzętu i środków służących do przetwarzania danych w zakresie danych uzyskanych w wyniku działania obowiązku zachowania tajemnicy zawodowej.

3) Prawo o swobodzie działalności gospodarczej

Zamiany zaproponowane przez ustawodawcę mimo, iż wyglądają na niewielkie mogą prowadzić do wielu zmian dotyczących jednoosobowych działalności gospodarczych.

Ważne
Przede wszystkim, po upływie 10 lat od dnia wykreślenia przedsiębiorcy z CEIDG usunięciu mają podlegać też dane wpisane do CEIDG przed dniem tego wykreślenia.
Po wtóre, uchylony ma również zostać art. 39b dotyczący wyłączenia stosowania ustawy o ochronie danych osobowych wobec danych osób fizycznych prowadzących działalność gospodarczą a ujawnionych w CEIDG.

Mimo, iż zapisy te wydają się w dużej mierze logiczne, to jednak po skonfrontowaniu ich z rzeczywistością sytuacja ochrony danych osobowych osób prowadzących jednoosobową działalność gospodarczą wydają się nie do końca słuszna, gdyż może narazić przedsiębiorstwa współpracujące z osobami prowadzącymi jednoosobową działalność na duże koszty (np. związane z wdrożeniem odpowiednich zabezpieczeń i dopełnienie obowiązku informacyjnego).

4) Ustawa o lekarzu sądowym

Ustawodawca w propozycji nowelizacji określił administratorów danych osobowych lekarzy sądowych oraz kandydatów na lekarzy sądowych w zakresie nabywania i utraty przez nich prawa do uprawiania tego zawodu.

5) Ustawa o licencji doradcy restrukturyzacyjnego i tłumaczach przysięgłych

Proponowane zapisy bardzo przypominają te zastosowane w ustawach: prawo o adwokaturze, prawo o radcach prawnych, prawo o notariacie, prawo o komornikach sądowych i egzekucji. Zarówno w ustawie o licencji doradcy restrukturyzacyjnego jak i ustawie o tłumaczach sądowych określono w administratorów danych. Zastosowano też wyłączenie takich samych artykułów RODO jak w przypadku wyżej opisywanych ustaw dotyczących „zawodów prawniczych” (art. 13-15 ust. 1 i 3, 18, 19 i 21). Jedyna różnicą jest ustalenie czasu przechowywania danych. Ma być on ustalany przez administratorów zgodnie z „odrębnymi przepisami dotyczącymi terminów”.

6) Ustawa o zawodzie fizjoterapeuty

Zamianie ulega jedynie treść art. 12 ust. 9, gdzie znika zapis o ustawie o ochronie danych osobowych i zostaje zastąpiony szeroko rozumianym zapisem „zachowaniem przepisów o ochronie danych osobowych”. Mimo, ze jest to zmiana wyglądająca bardzo niewinnie, to pojęcie „przepisy o ochronie danych osobowych” jest pojęcie znacznie szerszym niż poprzedni zapis dotyczący przestrzegania ustawy.

7) Prawo o prokuraturze

Nie ma głupich pytań RODO.
Są darmowe odpowiedzi

Skorzystaj z bezpłatnej porady prawnej lub IT.
MAM PYTANIE
Uchylony ma zostać w całości art. 191 § 2 dotyczący zniesienia obowiązku zgłaszania zbioru danych do GIODO, co nie jest dużym zaskoczeniem, gdyż RODO znosi ten obowiązek. Prokurator Generalny ma zostać administratorem danych przetwarzanych w ogólnokrajowych systemach teleinformatycznych jednostek organizacyjnych prokuratury.

8) Ustawa o zawodzie psychologa i samorządzie zawodowym psychologów

Do ustawy wprowadzono krótki, lecz istotny zapis zabezpieczający prawa osób korzystających z usług psychologów. Jeżeli wyniki badań mają służyć nie tylko do informacji klienta mają być wobec nich stosowane przepisy o ochronie danych osobowych. W związku z tym, w takich przypadkach, należy w domyśle uznać psychologów za administratorów danych osobowych.

9) Ustawa o kuratorach sądowych

Ustawodawca zaproponował, długo oczekiwane przez kuratorów sądowych, zmiany dotyczące ustawy o tym zawodzie. Po analizie przepisów można wywnioskować, iż kurator sądowy jest podmiotem przetwarzającym dane osobowe.
Jest to dosyć logiczne założenie, gdyż kurator nie decyduje o celu przetwarzania danych – decyduje o tym sąd oraz inne jednostki (Policja, ośrodek pomocy społecznej itp. ) przekazując mu dane osobowe skazanego. W znowelizowanym art. 9a ust. 2 zastosowano zapis „Administrator danych, o których mowa w ust. 1, jest obowiązany udostępnić dane osobowe również w zakresie dotyczącym stanu zdrowia, stanu majątkowego, sytuacji bytowej, zatrudnienia, nauki, nałogów lub życia rodzinnego oraz dane dotyczące przestrzegania porządku prawnego, skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”. Na uwagę zasługuje tu słowo „również”. Moim zdaniem nie zamykanie katalogu danych jakie mogą zostać przekazane kuratorowi jest słusznym postulatem, gdyż specyfika tego zawodu wymaga przetwarzania rozmaitych informacji dotyczących dozorowanego.

Ważne
Na pochwałę zasługuje również nadanie takich samych uprawnień do przetwarzania danych jak kuratorowi zawodowemu kuratorowi społecznemu.

Dodatkowo, w ustawie określono również podmioty będące administratorami danych osobowych kuratorów zawodowych oraz aplikantów kuratorskich. Na pochwałę zasługuje również nadanie takich samych uprawnień do przetwarzania danych jak kuratorowi zawodowemu kuratorowi społecznemu. Nie rozwiązano jednak dalej problemu wynikającego ze specyfiki pracy kuratora, mianowicie działania w terenie. Kurator bardzo często w celu zdobycia informacji na temat swoich dozorowanych przemieszcza się, gromadząc przy tym duże ilości danych, przez co niezmiernie trudne będzie nie zabezpieczenie ich zgodnie z wymogami RODO podczas swojej pracy terenowej, a dodatkowo możliwość wycieku danych podczas pracy kuratora wydaje się prawdopodobna (np. może dojść do kradzieży torby w której kurator przenosi papierowe dokumenty).

Powyżej przedstawiliśmy zmiany w ustawach „zawodowych”. RODO zmieni zasady funkcjonowania niektórych zawodów, czas pokaże czy będą to zmiany na lepsze czy też nie. Zachęcamy do lektury kolejnych wpisów dotyczących zmian: w ustawach istotnych dla instytucji państwa oraz ustaw istotnych dla obywateli.

W kolejnej części

Ustawy istotne dla infrastruktury Państwa.

Czytaj także:

-
4.57/5 (37) 1
Najczęstsze błędy przy zawieraniu umów powierzenia

"Jeden człowiek na etacie
może więcej niż zespół ekspertów"

Jesteś tego pewien?

Zoptymalizuj
koszty

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>