“Niektórych ustaw” jest aż ponad 160 i dotyczą one właściwie wszystkich: przedsiębiorców, administrację publiczną i nas samych, dlatego warto zapoznać się z najważniejszymi zmianami.

Chyba nikt już nie ma wątpliwości, że przepisy unijnego rozporządzenia należy traktować serio. Z biegiem czasu poznajemy nowe wytyczne i przepisy prawa uzupełniające rozporządzenie. Przyszedł czas na ustawę, której zadaniem jest dostosowanie ustaw branżowych do przepisów RODO. Największe zmiany zawarte zostały m. in. w kodeksie pracy, przepisach dotyczących banków, czy służby zdrowia.

Zmiany to owoc dwuletniej pracy Ministerstwa Cyfryzacji, uzgodnień międzyresortowych i konsultacji społecznych. Pomimo rocznego opóźnienia, Polska jest w czołówce krajów Unii Europejskiej, które dostosowały przepisy sektorowe do RODO:
Polska jest jednym z pierwszych krajów w Unii Europejskiej, który zdołał w pełni dostosować krajowe ramy prawne do zapisów rozporządzenia – mówi Marek Zagórski, minister cyfryzacji – To sukces, który zdołaliśmy osiągnąć dzięki ścisłej współpracy resortu cyfryzacji z wszystkimi uczestnikami procesu legislacyjnego m.in.: Kancelarią Premiera, agencjami rządowymi, jednostkami samorządu terytorialnego, jak i dzięki szerokim konsultacjom społecznym – podkreśla szef resortu cyfryzacji.

Nowa ustawa wprowadza przepisy do ponad 160 aktów prawnych, dlatego potocznie nazywana jest Wielką Nowelizacją. Nie przewiduje ona okresu pozwalającego na wdrożenie nowych przepisów. Treść projektu dokumentu dostępna była od listopada 2018 roku i przedsiębiorcy mieli wystarczająco dużo czasu, żeby przygotować się na 4 maja 2019.

4 maja 2019 – najważniejsze zmiany w ochronie danych osobowych

Nowe wytyczne związane z danymi kandydatów do pracy oraz pracownikami, większa prawa dla starajacych się o kredyt oraz nowe prawa pacjentów to tylko niektóre, ale z pewnością jedne z najważniejszych, zmian jakie niesie nowa ustawa. Obywatele zyskują więcej uprawnień wzmacniających ochronę prywatności i umożliwiających dostęp do swoich danych osobowych.
Nowa ustawa staje również na straży przedsiębiorców, którzy np. w epoce RODO często są nękani i szantażowani przez firmy wdrażające przepisy o ochronie danych osobowych.

Prawo pracy a ochrona danych osobowych

Pracodawcy: muszą dostosować zasady przetwarzania danych osobowych swoich pracowników oraz kandydatów do pracy zgodnie nowymi przepisami:

W czasie rekrutacji…
Pracodawca może żądać od kandydatów konkretnych informacji:
a. imię (imiona) i nazwisko kandydata
b. data urodzenia
c. dane kontaktowe wskazane przez kandydata
d. wykształcenie
e. kwalifikacje zawodowe
f. przebieg dotychczasowego zatrudnienia

Uwaga! Danych dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia można żądać tylko, jeśli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Każdorazowo pracodawca musi zastanowić się, które dane są dla niego niezbędne i w przypadku dodatkowych informacji prosić o wyrażenie zgody przez kandydata. Należy jednak pamiętać, że taka zgoda może być w każdym momencie wycofana i nie może stanowić przyczyny odmowy zatrudnienia kandydata.

W czasie zatrudnienia…
Pracodawca może żądać od pracowników dodatkowych informacji:

  • a. adresu zamieszkania,
  • b. numeru PESEL, w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość,
  • c. innych danych osobowych pracownika, a także jego dzieci i innych członków najbliższej rodziny, jeżeli podanie takich informacji jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
  • d. wykształcenia i przebiegu dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie,
  • e. numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Wywiad o pracowniku
Pracodawca nie ma prawa samodzielnie gromadzić informacji dotyczących własnego personelu. Zbieranie wiadomości na temat pracownika może odbywać się tylko i wyłącznie na podstawie zgody od zainteresowanego. Pracownik może odmówić udzielenia zgody lub podania informacji, jeśli w jego ocenie, nie są one niezbędne do wykonywania obowiązków określonych w umowie o pracę.

Badania wstępne lub okresowe
Pracodawca może żądać od kandydata do pracy aktualnego orzeczenia lekarskiego oraz skierowania na badania, który wydał poprzedni zakład pracy, jeśli:

  • orzeczenie jest aktualne,
  • nowy etat jest nawiązany nie później niż 30 dni od wygaśnięcia poprzedniego stosunku pracy,
  • orzeczenie dotyczy pracy, która odpowiada nowym warunkom. (Wyłączenie stanowią prace szczególnie niebezpieczne).

Pamiętaj! Skierowanie na badanie wstępne lub okresowe powinno być sporządzone w 3 egzemplarzach (do akt osobowych, do medycyny pracy oraz dla osoby kierowanej na badania)

Dane biometryczne pracowników

Pierwszy raz w Polsce Kodeks pracy wprowadza regulacje dotyczące danych biometrycznych:

  • a. pracodawca może żądać od pracownika, jeśli są one niezbędne ze względu na kontrolę dostępu do pomieszczeń, w których chronione są informacje objęte tajemnicami prawnie chronionymi, np. niektóre pomieszczenia w bankach,
  • b. w pozostałych przypadkach tylko i wyłącznie za zgodą pracownika.

Uwaga! Pracownicy mogą przetwarzać szczególne kategorie danych osobowych (w tym dane biometryczne) tylko na podstawie pisemnego upoważnienia wydanego przez pracodawcę.

Pod okiem kamery, czyli monitoring w miejscu pracy

  1. Monitoring nie może obejmować pomieszczeń udostępnianych zakładowej organizacji związkowej. Pracodawca nie może monitorować wejścia do obszarów związków zawodowych, nawet w przypadku powoływania się na konieczność zapewnienia bezpieczeństwa w miejscu pracy
  2. Monitoring w pomieszczeniach sanitarnych, szatniach, stołówkach oraz palarni tylko za wcześniejszą zgodą związków zawodowych lub przedstawicieli pracowników.

Uwaga! Zawsze należy mieć zgodę związków zawodowych lub reprezentantów pracowników. Powołanie się pracodawcy na konieczność ochrony mienia nie jest wystarczającym argumentem.

Nowe przepisy Kodeksu pracy dają bardzo dużo uprawnień kandydatom do pracy oraz pracownikom. Kończą się czasy, kiedy pracodawca miał nieograniczoną władzę nad pracownikiem.

Pamiętaj! Brak zgody kandydata do pracy lub pracownika nie może być podstawą niekorzystnego traktowania tej osoby, a także nie może powodować wobec niej jakichkolwiek negatywnych konsekwencji i co ważne: nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę.

Fundusz świadczeń socjalnych a ochrona danych osobowych

Osoba uprawniona do korzystania z Funduszu w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości udostępnia pracodawcy dane osobowe na podstawie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (również zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.
Pamiętaj! Pracownicy dopuszczeni do przetwarzania tych danych muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych i muszą pamiętać o obowiązku do zachowania ich w tajemnicy.

Banki muszą informować o operacjach na danych osobowych

Od 4 maja banki mają obowiązek udzielać informacji, które dane osobowe miały wpływ na ostatecznie dokonaną ocenę zdolności kredytowej. Obowiązek ten będzie dotyczył zarówno sytuacji, w której decyzja została podjęta w pełni zautomatyzowanym procesie, jak również w sytuacji, kiedy w podjęciu decyzji brał udział pracownik banku. Ubiegający się o pożyczkę mają prawo poznać prawdziwą przyczynę odrzucenia ich wniosku. Nie oznacza to jednak, że banki nie mogą prowadzić operacji polegających na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Mogą i nie potrzebują na to zgody kredytobiorców – zgodę stanowi fakt złożenia wniosku kredytowego. Banki muszą jednak pamiętać, że na żądanie starającego się o kredyt, muszą powiedzieć o rzeczywistej przyczynie podjętej decyzji. To duża zmiana dla kredytobiorców oraz samych banków, które muszą być przygotowane na tego typu zapytania. Do tej pory takie prawo przysługiwało tylko przedsiębiorcom.

Kodeks karny kontra RODO oszuści

W kodeksie karnym została poszerzona definicja groźby karalnej:

§ 12. Grożbą bezprawną jest zarówno groźba, o której mowa w art. 190, jak i groźba spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jak również rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub jego osoby najbliższej; nie stanowi groźby zapowiedź spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem lub zachowaniem zagrożonym administracyjną karą pieniężną.

Jest to odpowiedź na coraz częstsze próby wyłudzeń pod pretekstem ochrony danych osobowych, czyli twz. szantaż “na RODO”. Administratorzy coraz częściej zgłaszają przypadki otrzymania wiadomości, które wymuszają na nich podjęcie działań związanych z RODO. Ochrona przed oszustwami “na RODO” i próbami wyłudzeń, czy też wymuszania zamówienia usługi związanej z ochroną danych osobowych od 4 maja są traktowane są jak przestępstwo i podlegają karze.

Adwokaci zachowają tajemnice swoich klientów

Przepisy wdrażające RODO doprecyzowują obowiązujące już zasady w kwestii ochrony tajemnicy zawodowej. Osoby korzystające z pomocy kancelarii prawnej mogą spać spokojnie – informacje o nich są bezpieczne. Uprawnienia z unijnego rozporządzenia zostały wyłączone w sytuacjach, w których naruszają obowiązek zachowania przez adwokata / radcę prawnego tajemnicy zawodowej. Konkretnie chodzi o art. 15 (prawo dostępu przysługujące osobie, której dane dotyczą), 18 (prawo do ograniczenia przetwarzania), 19 (obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania) RODO, natomiast nie stosuje się przepisów art. 21 (prawo do sprzeciwu) w przypadku danych pozyskanych przez adwokata / radcę prawnego w związku z udzielaniem pomocy prawnej. Ponadto, obowiązek zachowania tajemnicy nie ustaje w przypadku, gdy z żądaniem występuje Urzęd Ochrony Danych Osobowych – adwokaci czy radcowie prawni nie mają prawa pokazywać treści akt spraw.

Mikroprzedsiębiorcy kontra obowiązek informacyjny

Od 4 maja mikroprzedsiębiorcy, którzy zatrudniają mniej niż 10 pracowników i nie mają obrotu większego niż 2 mln euro netto rocznie (ok. 8,6 mln zł) nie będą musieli bezpośrednio informować każdego, że przetwarzają jego dane osobowe. Obowiązek informacyjny będzie można spełnić poprzez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowe. Przepisu nie stosuje się jednak, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami związanymi z przetwarzaniem jej danych osobowych. Jest to zatem bardzo niebezpieczny przywilej dla mikroprzedsiębiorców, ponieważ to na nich spoczywa obowiązek udowodnienia, że osoby, których dane dotyczą miały możliwość zapoznania się z informacjami, np. poprzez dostęp do strony internetowej. Z udogodnienia nie mogą skorzystać przedsiębiorcy, którzy przetwarzają dane szczególnych kategorii, np. dotyczące stanu zdrowia.

Pacjenci mają prawo do własnej dokumentacji

Pacjenci lub jego ustawowi przedstawiciele (nie dotyczy to osób upoważnionych przez pacjenta) mają prawo do bezpłatnego otrzymania pierwszej kserokopii dokumentacji medycznej. Pacjenci mogą żądać kserokopii całej lub części dokumentacji. Co ważne, dotyczy to tylko pierwszej kopii. Placówki medyczne za kolejne kopie mogą pobierać opłatę. Do tej pory lecznice mogły pobierać opłatę za każdą kopię, co stanowiło ogólną praktykę. Niewątpliwie jest to duże udogodnienie dla pacjentów, którzy często za kserokopię obszernej dokumentacji musieli płacić całkiem wysokie kwoty, natomiast dla placówek medycznych będą to dodatkowe wydatki, ponieważ czasami dokumentacja medyczna pacjenta jest bardzo obszerna.

Tajemnica nauczycielska w prawie oświatowym

Przepisy dostosowujące Prawo oświatowe do RODO wprowadzają nowy obowiązek – zachowania poufności informacji uzyskanych od uczniów. Ustawa wprowadza przepis

do zachowania poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów

Nauczyciele są jednak zwolnieni z obowiązku stosowania przepisu w trzech sytuacjach:

  1. w przypadku zagrożenia zdrowia ucznia;
  2. jeżeli uczeń, aw przypadku ucznia niepełnosprawnego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;
  3. w przypadku, gdy przewidują to przepisy szczególne.

Ustawa wyraźnie precyzuje również, że to do obowiązków dyrektora należy wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych osobowych.

Nowe przepisy z ochrony danych osobowych od teraz!

Przepisy RODO i związane z nimi przepisy sektorowe wchodzą do polskiego życia na dobre. Wzrasta świadomość przedsiębiorców, którzy do niedawna nie przywiązywali dużej wagi do systemów ochrony danych osobowych w swoich firmach. Przez ostatni rok wzrosła również świadomość społeczeństwa – poznajemy swoje prawa związane z ochroną naszej prywatności i potrafimy z nich korzystać w życiu codziennym.

Pamiętajmy, że przepisy nie wprowadzają dodatkowego okresu przejściowego, dlatego od 4 maja 2019 roku wszyscy przedsiębiorcy muszą być zgodni z nowymi wytycznymi. Zmiany w przepisach, w zależności od branży, są bardzo zróżnicowane, np. w małym zakładzie produkcyjnym ograniczają się w zasadzie do Kodeksu pracy oraz zakładowego funduszu świadczeń socjalnych, natomiast w sektorze bankowym czy ubezpieczeniowym zmian jest znacznie więcej.

Dostosowanie polskich przepisów do unijnego rozporządzenia ułatwi przeprowadzanie kontroli przez Urząd Ochrony Danych Osobowych. Przypomnijmy, że trwają kontrole związane ze zgodnością z RODO oraz przepisami dotyczącymi ochrony. W Polsce, podobnie jak w wielu krajach europejskich, została nałożona pierwsza kara finansowa (pisaliśmy o niej tutaj). Milion złotych za brak prawidłowego informowania przedsiębiorców o przetwarzaniu ich danych osobowych zawartych w ogólnodostępnych rejestrach oraz konieczność zaprzestania naruszenia (szacowana na ok. 30 milionów złotych) mocno podziałała na wyobraźnię szefów firm. Tym samym wzrosła świadomość dotycząca budowania systemów ochrony danych osobowych.

Tekst: Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Ustawa podpisana przez Prezydenta RP w dniu 3 kwietnia br.