Powrót do wszystkich artykułówW dniu 4 maja 2019 r. weszły w życie przepisy ustawy z dnia 21 lutego 2019 r. (Dz. U. 2019 r., poz. 730) dostosowujące ponad sto sześćdziesiąt ustaw do regulacji europejskich. Przepisy te są kolejnym krokiem w implementacji rozporządzenia unijnego dotyczącego ochrony danych osobowych, tzw. „RODO”. Czy wiesz czego dotyczą zmiany? Czy wiesz, które z tych przepisów obejmą Twoją działalność bezpośrednio? Poniżej przedstawiamy informacje dotyczące zmian, które z punktu widzenia przedsiębiorców, jawią się jako najistotniejsze.
Kodeks postępowania administracyjnego
Pierwszą z nowelizowanych ustaw jest Kodeks Postępowania Administracyjnego. Główną zmianą dotyczącą działalności organów jest to, że od tej pory organ administracji publicznej, będący administratorem danych osobowych strony postępowania, musi przy poszczególnych czynnościach przedstawić obowiązek informacyjny, tj. wynikające z art. 13 ust. 1 i 2 RODO oświadczenie co do tego, kto jest administratorem danych – wraz z podaniem danych kontaktowych administratora, a także jakie są cele przetwarzania oraz uprawnienia dotyczące wniesienia skargi do organu nadzorczego, sprostowania lub usunięcia danych. Powyższy obowiązek zaktualizuje się przy okazji wezwania strony. Przy sprawach załatwianych milcząco oraz w przypadku skarg i wniosków, organ ma natomiast obowiązek przedstawienia wspomnianych wyżej informacji przy pierwszej czynności skierowanej do strony. Dzięki temu uczestnik postępowania administracyjnego od samego jego początku ma możliwość uzyskania informacji o tym, co dzieje się z dotyczącymi go danymi osobowymi. Nadto, nowelizacja przewiduje, że w przypadku spraw załatwianych milcząco, organ dodatkowo udostępnia owe oświadczenie na swojej stronie internetowej, w Biuletynie Informacji Publicznej oraz w widocznym miejscu, w siedzibie organu.
Kodeks pracy
Zmiany nie ominęły również sektora prywatnego. Omawiana ustawa nowelizuje także Kodeks Pracy w zakresie, w jakim reguluje on kategorie danych pracowników, którymi dysponuje pracodawca. Pierwsza różnica widoczna jest już na samym początku znowelizowanego art. 22 1 KP, bowiem od tej pory pracodawca będzie „żądał” podania przez osobę ubiegającą się o zatrudnienie określonych danych. Dotychczas pracodawca miał jedynie takie uprawnienie („mógł żądać”). Oznacza to, że będzie on dysponował takimi danymi pracowników jak: imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia, a także inne dane wymagane odrębnymi przepisami prawa, a owo „żądanie” będzie stanowiło podstawę przetwarzania danych tej osoby. Należy również wskazać, że – zgodnie z zasadą wyrażoną w RODO – osoba ubiegająca się o zatrudnienie będzie mogła wyrazić zgodę na przetwarzanie innych podanych przez nią danych, z wyłączeniem informacji dotyczących wyroków skazujących. Dzięki temu polski ustawodawca chce podkreślić, że to zgoda głównego dysponenta dobrem (tj. danymi osobowymi) jest, co do zasady, wartością nadrzędną w procesie przetwarzania danych. Następstwem takiej konstrukcji przepisów jest fakt, iż dane osobowe uzyskane na podstawie zgody osoby, której dane dotyczą, będą mogły być
w sposób legalny przetwarzane przez pracodawcę.
Kolejną zmianą w zakresie prawa pracy jest uregulowanie kwestii związanych z przetwarzaniem danych biometrycznych pracownika, które będzie możliwe jedynie wtedy, gdy będzie to wymagało kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę. Co istotne, w ramach Kodeksu pracy wprowadzony został również przepis zobowiązujący pracodawców do nadawania pracownikom pisemnych upoważnień do przetwarzania danych osobowych oraz zachowania ich w tajemnicy (dotychczas tego typu działanie uznawane było jedynie za dobrą praktykę).
Ustawa o świadczeniu usług drogą elektroniczną
Ustawa nowelizująca dotyka również usługodawców usług świadczonych drogą elektroniczną. Od 4 maja br., we wszystkich przypadkach, w których Ustawa o świadczeniu usług drogą elektroniczną wymaga odebrania od usługobiorcy zgody, zastosowanie znajdą przepisy o ochronie danych osobowych. Powyższe oznacza, że odbierane przez dostawców usług świadczonych drogą elektroniczną zgody będą musiały spełniać wymagania RODO.
Ustawa o radcach prawnych oraz Prawo o adwokaturze
Na zakończenie, warto zwrócić uwagę, że znowelizowano również ustawę o radcach prawnych oraz prawo o adwokaturze. Zgodnie z nowym brzmieniem tych aktów, przepisy RODO stosuje się
w zakresie, w jakim nie naruszają one obowiązku zachowania przez przedstawicieli tych profesji tajemnicy zawodowej i ma zastosowanie również w przypadku, gdy z żądaniem udzielenia informacji uzyskanych w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych. Dodatkowo, w stosunku do danych przetwarzanych w związku z wykonywaniem zawodu radcy prawnego bądź adwokata, ograniczone zostały przysługujące osobom fizycznym na gruncie RODO prawa, w szczególności prawo do wniesienia sprzeciwu wobec przetwarzania. Taka zmiana wynika z faktu, iż adwokaci i radcowie prawni wykonują zawody zaufania publicznego, w ramach których konieczne jest zachowanie tajemnicy zawodowej, która w przypadku braku wspomnianych wyżej ograniczeń mogłaby zostać naruszona. Dodatkowo, pozostawienie osobom fizycznym, których dane dotyczą, wszystkich uprawnień, w tym również prawa do wniesienia sprzeciwu, mogłoby znacząco utrudnić, a w niektórych przypadkach nawet uniemożliwić świadczenie usług prawnych.
***
Podsumowując, można zauważyć, że mimo faktu, iż ogólne rozporządzenie o ochronie danych osobowych weszło w życie prawie rok temu, to jednak z uwagi na jego rozległą materię konieczne było wprowadzenie dalszych zmian w niemalże wszystkich sektorach. W niniejszym artykule przedstawiliśmy jedynie ułamek zmian wprowadzonych przez ustawodawcę. Na chwilę obecną trudno jest ocenić jak duży wpływ będą one miały na praktyczne stosowanie przepisów o ochronie danych osobowych, już teraz możemy jednak z całą stanowczością stwierdzić, że wprowadzone zmiany stanowią dopiero początek dostosowywania polskiego systemu ochrony danych osobowych do standardów unijnych.
