GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

10 istotnych propozycji zmian w ochronie danych osobowych

We wrześniu br. opublikowany został projekt  ustawy o ochronie danych osobowych(„projekt”) oraz projekt wprowadzający ustawę, zawierający obszerną propozycję zmian przepisów sektorowych. Wskazane regulacje mają na celu zapewnienie zgodności polskich przepisów z Rozporządzeniem ogólnym o ochronie danych osobowych („GDPR”), które zacznie być stosowane od 25 maja 2018 roku.

Poniżej przedstawiamy zmiany, które wymagają szczególnej uwagi:

Usługi on-line i zgoda dziecka

Zgodnie z treścią art. 3 projektu:

W przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę.

W związku z powyższym – w przypadku usług on-line – zgoda dziecka, które nie ukończyło 13 lat będzie skuteczną podstawą przetwarzania danych osobowych pod warunkiem uzyskania uprzedniej zgody jego przedstawiciela ustawowego  (np. rodzica) albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez takie dziecko. Co istotne, wskazana regulacja dotyczy wyłącznie zgody jako odrębnej podstawy przetwarzania danych (np. zgoda marketingowa). Przepisy projektu nie określają wymogów skutecznego zawarcia przez dziecko umowy na świadczenie usług on-line (np. poprzez akceptację regulaminu konta www przez dziecko). W tym zakresie należy odwołać się do treści RODO oraz ogólnych wymogów kodeksu cywilnego.

Marketing

Projekt przesądza i synchronizuje wymogi dotyczące zgody zarówno zawarte w przepisach o ochronie danych osobowych jak i w ustawie o świadczeniu usług drogą elektroniczną (zgoda na przesyłanie informacji handlowych drogą elektroniczną) jak i w prawie telekomunikacyjnym (zgoda na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego). We wszystkich tych przypadkach zgoda będzie musiała uwzględniać wymagania RODO, gdzie przesądzono, iż  zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.

Jednocześnie projektodawca nie zdecydował się zmienić art. 173 prawa telekomunikacyjnego. W związku z tym popularna zgoda na pliki cookies będzie mogła być w dalszym ciągu wyrażona m.in. za pomocą ustawień oprogramowania zainstalowanego    w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Odpowiada to zresztą przedstawionej treści RODO.

Kontrole

Na gruncie projektu, Prezes Urzędu będzie mógł przeprowadzać dwa rodzaje kontroli przestrzegania przepisów o ochronie danych osobowych – kontrole planowe (w oparciu o zatwierdzony przez Prezesa Urzędu plan kontroli) oraz kontrole poza planem – na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz. Jak wskazuje projekt, kontrolujący (upoważniony pracownik Urzędu) ustala stan faktyczny na podstawie dowodów zebranych w toku kontroli, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka, a w uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz. Przebieg przeprowadzonej kontroli kontrolujący przedstawia w protokole kontroli.

Postępowanie kontrolne nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Za podjęcie czynności kontrolnych należy uznać moment, w którym kontrolujący okazuje kontrolowanemu, lub innej osobie wskazanej w przepisach, upoważnienie do przeprowadzenia kontroli oraz legitymację służbową lub inny dokument potwierdzający tożsamość.

Na gruncie projektu, w przypadku kontroli działalności gospodarczej przedsiębiorcy do postępowania kontrolnego znajdą zastosowanie przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, z wyłączeniem przepisów art. 79, 82 i 83.

Wobec powyższego, do kontroli przestrzegania przepisów o ochronie danych osobowych nie będą miały zastosowania przepisy dotyczące zawiadomienia o zamiarze wszczęcia kontroli, zakazu podejmowania i prowadzenia więcej niż jednej kontroli działalności przedsiębiorcy oraz ograniczeń w zakresie czasu trwania wszystkich kontroli organu u danego przedsiębiorcy w jednym roku kalendarzowym. Jak uzasadnia projektodawca, zastosowanie powyższych przepisów do postępowania prowadzonego przez Prezesa Urzędu mogłoby uniemożliwić przeprowadzenie we właściwym czasie rzetelnego postępowania kontrolnego w zakresie przestrzegania przepisów o ochronie danych osobowych, wobec czego zdecydowano się na wyłączenie ich zastosowania.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Prezes Urzędu będzie także prowadził postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Jak wynika z projektu, o każdym przypadku niezałatwienia sprawy w terminie Prezes Urzędu powinien zawiadomić strony, podając przyczyny zwłoki, informację o stanie sprawy i przeprowadzonych w jej toku czynnościach oraz wskazując nowy termin załatwienia sprawy. Na warunkach określonych w projekcie, także organizacja społeczna może występować z żądaniem wszczęcia postępowania lub dopuszczenia jej do udziału w nim.

Istotną zmianą w porównaniu do obecnie obowiązującego stanu prawnego jest także to, że będzie to postępowanie jednoinstancyjne. Jak wynika z uzasadnienia projektu, powodem dla którego zdecydowano o wprowadzeniu jednoinstancyjnego postępowania w sprawie naruszeń przepisów o ochronie danych osobowych, była potrzeba zapewnienia osobie, której prawa zostały naruszone skutecznego i szybko egzekwowalnego ostatecznego rozstrzygnięcia (ostatecznej decyzji administracyjnej). Jak uzasadnia projektodawca, ochrona wartości, jaką są dane osobowe osoby fizycznej, wymaga podjęcia natychmiastowych działań, gdyż z upływem czasu skala naruszenia może znacznie zwiększyć swój rozmiar a jego skutki mogą mieć nieodwracalny charakter.

Ponadto, z uwagi na powyższe, projektodawca zaproponował by zasadą była natychmiastowa wykonalność decyzji wydanych przez Prezesa Urzędu. Co istotne, projektodawca zdecydował się na złagodzenie wskazanego rygoru w zakresie dotyczącym administracyjnej kary pieniężnej nałożonej przez Prezesa Urzędu – wniesienie przez stronę na którą nałożono karę skargi do sądu administracyjnego będzie powodowało wstrzymanie wykonania decyzji w tym zakresie.

Tajemnica przedsiębiorstwa

Zgodnie z art. 48 projektu prawo Prezesa Urzędu do dostępu do wszelkich informacji, w tym danych osobowych, niezbędnych Prezesowi Urzędu do realizacji zadań podlega ograniczeniu ze względu na tajemnice ustawowo chronione.

Co więcej, w projekcie wprowadzono możliwość zastrzeżenia informacji, dokumentów lub ich części zawierających tajemnicę przedsiębiorstwa dostarczanych Prezesowi Urzędu przez stronę postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. Na gruncie projektu, Prezes Urzędu będzie mógł także ograniczyć możliwość wglądu w materiał dowodowy w niezbędnym zakresie, jeżeli jego udostępnienie mogłoby doprowadzić do ujawnienia tajemnicy przedsiębiorstwa lub innych tajemnic podlegających ochronie na podstawie odrębnych przepisów. Będzie mógł tego dokonać zarówno na wniosek jak i z urzędu.

Zachowaniu tajemnicy przedsiębiorstwa ma także sprzyjać art. 33 ust. Projektu, zgodnie    z którym  Prezes Urzędu, zastępcy Prezesa Urzędu a także pracownicy Urzędu są obowiązani zachować w tajemnicy informacje, o których dowiedzieli się w związku z wykonywaniem czynności służbowych.

Przepisy karne

Projektodawca wprowadza nowe typy przestępstw i wykroczeń. Wykroczeniem będzie udaremnianie lub utrudnianie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych.

Natomiast jako przestępstwo uregulowano przetwarzanie – bez podstawy prawnej danych, o których mowa w art. 9 GDPR. W tym przypadku chodzi o dane wrażliwe tj. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby).

Co istotne w tym przypadku sankcjonowane karnie jest przetwarzanie danych wrażliwych bez podstawy prawnej. Nie chodzi więc o inne „wadliwości” przetwarzania danych wrażliwych. Podstawy przetwarzania tych kategorii danych osobowych określa art. 9 ust. 2 GDPR (np. wyraźna zgoda podmiotu danych osobowych).

Odpowiedzialność cywilna

Zgodnie z art. 78 projektu każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. Wystąpienie z roszczeniem, o którym mowa powyżej nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych. Co istotne, w zakresie nieuregulowanym GDPR oraz projektowaną ustawą dochodzenie roszczeń, o których mowa powyżej następuje na zasadach określonych przepisami Kodeksu cywilnego.

Proponowany art. 78 ust. 1 uzupełnia katalog roszczeń niemajątkowych wynikający z przepisów kodeksu cywilnego (art. 23-24 k.c.). Dochodzenie roszczeń powiązano z naruszeniem praw podmiotów danych wynikających z przepisów o ochronie danych osobowych (nie tylko GDPR). W ten sposób, bez potrzeby definiowania dobra osobistego (danych osobowych) skonstruowano podstawę dochodzenia cywilnoprawnych roszczeń niemajątkowych w razie naruszenia praw przysługujących na podstawie przepisów o ochronie danych osobowych.

W uzasadnieniu projektu wskazuje się, iż proponowany art. 78 nie dotyczy roszczeń odszkodowawczych, które mogą być realizowane w przypadku poniesienia szkody majątkowej lub niemajątkowej w wyniku naruszenia przepisów GDPR w oparciu o art. 82 GDPR. Natomiast art. 78 ust. 2 projektu wyraźnie przesądza, iż dochodzenie roszczeń w oparciu o art. 78 projektu nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych. Celem tej regulacji jest m.in. rozstrzygnięcie ewentualnych wątpliwości, które mogłyby dotyczy relacji pomiędzy art. 78 projektu oraz art. 82 GDPR.

Certyfikacja

W ramach procedury certyfikacji oceniana będzie zgodność operacji przetwarzania danych dokonywanych przez administratora lub procesora. Zatwierdzony mechanizmu certyfikacji, będzie elementem wykazania przestrzegania przez administratora lub procesora ciążących na nim obowiązków wynikających z przepisów o ochronie danych osobowych. Postępowanie w tym przedmiocie prowadzone będzie na wniosek administratora lub procesora. Natomiast certyfikacji będzie dokonywał wyłącznie Prezes Urzędu Ochrony Danych Osobowych. Zrezygnowano więc z akredytacji podmiotów prywatnych, które mogłyby także prowadzić działalność certyfikacyjną. W ten sposób ranga uzyskanego certyfikatu znacząco wzrośnie.

Do certyfikacji będzie można się przygotować ponieważ Prezes Urzędu Ochrony Danych Osobowych będzie opracowywał kryteria certyfikacji i udostępniał je w Biuletynie Informacji Publicznej na swojej stronie podmiotowej. Wniosek o certyfikację rozpatrywany będzie w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku, zawiadamiał wnioskodawcę o udzieleniu lub odmowie udzielenia certyfikacji. Co ważne, stosowanie mechanizmu certyfikacji nie jest obligatoryjne w kontekście wykazania przestrzegania przepisów o ochronie danych osobowych. Jednocześnie uzyskanie certyfikatu nie może być wyłącznym dowodem stwierdzenia zgodności. Będzie to tylko jeden z elementów wykazywania przestrzegania przepisów o ochronie danych osobowych.

Dane osobowe pracowników i kandydatów do pracy

By rozstrzygnąć występujące na gruncie obecnego stanu prawnego wątpliwości odnośnie możliwości przetwarzania danych osobowych kandydatów do pracy i pracowników na podstawie udzielonej przez nich zgody, w projekcie w projekcie wprowadzono dwie podstawy przetwarzania danych osobowych w stosunkach pracy: przepis prawa (kodeksu pracy oraz przepisy szczególne) oraz zgodę kandydata i pracownika.

Jak wynika z art.  223§ 1 projektu, przetwarzanie przez pracodawcę danych osobowych innych niż wskazane w kodeksie pracy lub w przepisach szczególnych będzie dopuszczalne tylko wówczas gdy dane te będą dotyczyć stosunku pracy i kandydat lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej.

Zgoda nie będzie mogła być jednak podstawą przetwarzania wszystkich kategorii danych osobowych- na gruncie projektu za niedozwolone uznano zbieranie zgód w odniesieniu do danych osobowych o nałogach, stanie zdrowia, życiu seksualnym lub orientacji seksualnej. Na uwagę zasługuje regulacja dotycząca danych biometrycznych (wynikających ze specjalnego przetwarzania technicznego, dotyczących cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiających lub potwierdzających jednoznaczną identyfikację tej osoby), w odniesieniu do których zgoda będzie mogła być podstawą przetwarzania danych osobowych wyłącznie gdy dane te będą dotyczyły stosunku pracy, a pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Co istotne, na tej podstawie nie będzie można przetwarzać danych osobowych kandydatów do pracy.

Projekt wskazuje także, że brak zgody na przetwarzanie danych osobowych, nie może być podstawą niekorzystnego traktowania kandydata do pracy lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę.

Monitoring pracowników

Projekt w zakresie przepisów sektorowych reguuje kwestie monitoringu pracowników. Zgodnie z art. 224 § 1 projektu dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca podejmuje decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring), jeżeli uzna to za koniczne. Monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika. Monitoring nie będzie mógł obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. W ten sposób szczególnej ochronie poddano przetwarzanie wrażliwych danych osobowych (np. o stanie zdrowia). Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca może przetwarzać wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres niezbędny dla realizacji tych celów.

Projekt wprowadza szczególny mechanizm informacyjny dotyczący przetwarzania danych osobowych w oparciu o monitoring. Pracodawca będzie zobowiązany poinformować pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu.

W kontekście powyższego należy zwrócić uwagę, iż: