W sobotę, 4 maja, weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Przygotowany przez Ministerstwo Cyfryzacji akt liczy 176 artykułów i zmienia 168 ustaw. Projekt wpłynął do Sejmu 26 listopada, posłowie uchwalili go 21 lutego, a senatorowie przyjęli bez poprawek 21 marca.
W Sejmie wprowadzono jednak wiele istotnych poprawek. Kontrowersje wywołują te dotyczące branż: cyfrowej i telekomunikacyjnej, a także małych firm. Z ostatecznego kształtu przepisów z pewnością zadowolony jest sektor bankowy i ubezpieczeniowy. Ustawa zmienia też dużo w ochronie zdrowia, administracji,  a także prawie pracy.

 


 

Małe i średnie firmy z wątpliwym udogodnieniem

Posłowie przewidzieli pewne ułatwienia dla mikroprzedsiębiorców w spełnianiu obowiązku informacyjnego. Za sprawą dodania do ustawy o prawach konsumentów art. 4a - od 4 maja firmy, które zatrudniają nie więcej niż 10 pracowników i nie mają obrotu większego niż 2 mln euro netto rocznie (ok. 8,6 mln zł) nie będą musiały bezpośrednio informować każdego, że przetwarzają jego dane osobowe. Wystarczy, że informację o tym jak długo przetwarzają dane, na jakiej podstawie prawnej, itp. wywieszą w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnią na swojej stronie internetowej. - To bardzo duże ułatwienie i krok w dobrym kierunku, dzięki któremu małe firmy prowadzące działalność gospodarczą nie będą obciążone dodatkowymi wydatkami związanymi z osobnym informowaniem każdej osoby, której dane przetwarzają. Warto pamiętać, że w Polsce stanowią one większość biznesu - podkreśla Ministerstwo Cyfryzacji. Zdaniem Macieja Gawrońskiego, radcy prawnego, partnera w kancelarii Gawroński & Piecuch redakcja przepisu budzi duże wątpliwości, choć same intencje są słuszne. - Art. 4a ust. 2 uchyla udogodnienie, jeżeli osoba nie ma możliwości zapoznania się  z wywieszonymi informacjami. Co to ma znaczyć? Że nie miała dostępu do internetu, jest osobą niedowidzącą, dzieckiem? - pyta Maciej Gawroński. Z kolei ustęp 3 wyłącza z udogodnienia przedsiębiorców, którzy przetwarzają dane szczególnych kategorii. - Udogodnienie nie dotyczy więc przedsiębiorców, którzy mają dostęp do danych dotyczących zdrowia swoich kilku pracowników - zastanawia się Maciej Gawroński. 

Przepis, który nie chroni przed UODO

- W praktyce taki przepis da firmom wybór formy spełnienia obowiązku informacyjnego - mówi Piotr Liwszic, specjalista ds ochrony danych w ODO24. - Będą mogły zdecydować, czy zgodnie z RODO spełnić go aktywnie, np. na odwrocie faktury, wysyłając maila zawierającego niezbędne informacje lub odesłanie do polityki prywatności, czy zgodnie z ustawą o prawach konsumenta - wywiesić informację w widocznym miejscu w lokalu lub udostępnić je na stronie www przedsiębiorcy.
Pytanie, jak do tak uproszczonej formy podejdzie Urząd Ochrony Danych Osobowych - pyta retorycznie Piotr Liwszic. Warto bowiem pamiętać, że Edyta Bielak-Jomaa, prezes UODO, pierwszą karę za naruszenie RODO w wysokości prawie miliona złotych nałożyła właśnie za niespełnienie obowiązku informacyjnego. Dokładnie za to, że spółka nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane. Skorzystanie z ułatwienia w informowaniu klientów o przetwarzaniu ich danych może więc oznaczać kłopoty dla firm.  Jeśli bowiem w wyniku kontroli UODO uzna, że obowiązek nie został spełniony, np. stwierdzi, że drzwi wejściowe do lokalu to nie jest widoczne miejsce, może nałożyć karę. - W trakcie kontroli Prezes UODO może podnieść, że osoba która skorzystała z usług konkretnego przedsiębiorcy nie została poinformowana, że obowiązek informacyjny znajduje się na stronie przedsiębiorcy lub też nie zauważyła wywieszonych informacji. Praktyczne wątpliwości dotyczące nowej formy spełniania obowiązku informacyjnego zapewne rozstrzygną sądy - zauważa Piotr Liwszic. Zdaniem Macieja Gawrońskiego UODO mógłby pomóc mikroprzedsiębiorcom, podając przyjazną przedsiębiorcom interpretację tego przepisu.

Platformy internetowe będą miały pod górkę

4 maja zmieni się tez ustawa o świadczeniu usług drogą elektroniczną, którą muszą przestrzegać wszystkie portale internetowe i będzie bardziej rygorystyczna niż RODO. Aby wyświetlić użytkownikowi poczty internetowej czy odbiorcy newslettera dedykowaną reklamę na podstawie jego zachowań w sieci, będą musiały mieć jego zgodę. - Art. 18 ust. 1-2 określa katalog danych niezbędnych do realizacji usługi, choć w konkretnym stanie faktycznym przetwarzanie, np. numeru PESEL  może naruszać zasadę minimalizacji – tłumaczy dr Mirosław Gumularz, radca prawny z kancelarii GKK Gumularz Kozik.  – Po drugie jego ust. 4 wyraźnie przesądza o zgodzie jako podstawie przetwarzania danych w celu profilowania, np. do celów marketingu czy polepszania jakości usługi, choć RODO i opinie Europejskiej Rady Ochrony Danych dopuszczają inne podstawy, np. uzasadniony interes administratora – dodaje Gumularz.

Czytaj więcej: Przepisy dotyczące internetowych gigantów mogą naruszać RODO i zaszkodzić branży online >>
 

Wątpliwości mają też telekomy

Z kolei operatorzy sieci komórkowych i dostawcy internetu obawiają się, że za sprawą ustawy wdrażającej RODO, będą mieli problemy z interpretacją zmian w Prawie telekomunikacyjnym. Po pierwsze - nie ma pewności, jakie dane są objęte tajemnicą telekomunikacyjną, po drugie - na jakiej podstawie można je przetwarzać.

Czytaj więcej: Telekomy w pułapce RODO >>

 

Bankowcy z nowym obowiązkiem

Na  wniosek ubiegającego się o kredyt konsumenta bank przedstawi mu czynniki, w tym dane osobowe, które miały wpływ na ocenę zdolności kredytowej. Obowiązek ten będzie dotyczył zarówno sytuacji, gdy decyzja została podjęta w pełni zautomatyzowanym procesie, na podstawie tzw. algorytmów, jak i wówczas, gdy w jej podejmowaniu brał udział także człowiek. Z drugiej strony, bankowcom i firmom pożyczkowym udało się przekonać rząd i posłów do poprawki, która otwiera katalog danych używanych do automatycznego badania zdolności kredytowej.

Czytaj więcej o zmianach dla banków, ubezpieczycieli i instytucji płatniczych >>

 



 

Ubezpieczyciele nie muszą zbierać zgód

Z kolei do ustawy o działalności ubezpieczeniowej i reasekuracyjnej posłowie wprowadzili podstawę do przetwarzania danych o stanie zdrowia. Ubezpieczyciel może je przetwarzać w celu oceny ryzyka lub wykonywania umowy w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia. - Oznacza to, że zakłady ubezpieczeń nie będą pytać o zgodę klientów, bo mają ustawową podstawa przetwarzania danych o ich stanie zdrowia - wyjaśnia Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński. Zakładom ubezpieczeń, w przeciwieństwie do banków,  pozostawiono zamknięty katalog danych do profilowania, w celu oceny ryzyka ubezpieczeniowego. Składa się on z 20 pozycji, w tym stanu zdrowia, miejsca zamieszkania, charakteru wykonywanej pracy, przebiegu ubezpieczenia, sytuacji finansowej.

Obejrzyj w LEX: szkolenie on-line Macieja Gawrońskiego o RODO w bankach i firmach ubezpieczeniowych po zmianach sektorowych >>

Usługi płatnicze nie będą zagrożone

Istotna zmiana została też wprowadzona  do ustawy o usługach płatniczychDzięki niej nie będzie już żadnych wątpliwości, że banki i inni dostawcy usług płatniczych mają prawo, a czasem wręcz obowiązek, przetwarzać dane osobowe użytkowników niezbędne do świadczenia usług płatniczych - nie tylko na podstawie ich zgody, ale również na innych podstawach - np. uzasadnionego interesu.

Nowe zasady dla pracodawców

Ustawa wdrażająca RODO wprowadza też zmiany do Kodeksu pracy. Dane biometryczne mogą być pobierane od pracownika i przetwarzane, o ile ich podanie będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony. Została też wyłączona możliwość monitorowania pomieszczeń zakładowej organizacji związkowej. Doprecyzowano także, że instalacja monitoringu wizyjnego w pomieszczeniach sanitarnych wymaga dodatkowo uzyskania przez pracodawcę uprzedniej zgody zakładowej organizacji związkowej (a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy).

Sprawdź w LEX:  Zmiany w danych osobowych pracownika i kandydata do pracy oraz monitoring pracowników po zmianach sektorowych >>

Dokumentacja medyczna - pierwsza kopia za darmo

W ustawie wdrażającej ustawodawca rozstrzyga ponadto, że w każdym przypadku pierwsza kopia dokumentacji medycznej powinna być wydana pacjentowi za darmo. Do ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta wprowadzono zapis przewidujący, że opłat nie pobiera się w przypadku udostępnienia dokumentacji medycznej pacjentowi albo jego przedstawicielowi ustawowemu, wydając dokumentację po raz pierwszy. Ponadto, zgodnie z nowelą, Rzecznik Praw Pacjenta może przetwarzać wszelkie informacje, w tym dane osobowe niezbędne do realizacji swoich ustawowych zadań.

Czytaj więcej: Od dziś pacjent dokumentację powinien dostać za darmo >>
Obejrzyj w LEX szkolenie on-line RODO w ochronie zdrowia po zmianach sektorowych >>

Dane uczniów pod ochroną

Ustawa wdrażająca RODO wprowadza też zmiany do Prawa oświatowego. Dane o stanie zdrowia, orientacji seksualnej i rozwoju psychofizycznym - takie informacje o uczniu będą szczególnie chronione. Nauczyciel będzie mógł je przekazać tylko w wyjątkowych przypadkach. Będzie zobowiązany do  zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów. Do obowiązków dyrektora należeć będzie również: wdrażanie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych osobowych.

Czytaj więcej: Tajemnica nauczycielska już obowiązuje >>

Ułatwienia dla administracji

Jedna z najważniejszych zmian, wprowadzonych ustawą wdrażającą RODO, dotyczy Kodeksu postępowania administracyjnego. Chodzi o obowiązek informacyjny. Administracja publiczna będzie mogła go realizować w pierwszym piśmie stanowiącym odpowiedź na wniosek.  Według nowych przepisów osoba, która wnosi skargę musi mieć świadomość, iż jej dane osobowe będą przetwarzane przez ten urząd w celu jej rozpatrzenia  i prowadzenia w tym zakresie postępowania wyjaśniającego. Z tego też względu ustawodawca w przepisach wskazał, iż brak podstawowych danych osobowych osoby wnoszącej skargę stanowi podstawę do jej nierozpatrywania.

Czytaj więcej: Urząd musi informować, jak przetwarza nasze dane >>

Obejrzyj w LEX: RODO w pomocy społecznej - po zmianach sektorowych oraz ochrona danych osobowych w samorządzie terytorialnym po zmianach sektorowych >>

 

Sprawdź w LEX jak wygląda kontrola UODO:

Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>