W ramach finalnego podsumowania chciałbym krótko odnieść się do całej nowelizacji i spojrzeć na nią kompleksowo, przez pryzmat celu, najważniejszych zmian i dokonać krótkiej oceny.
Nie ulega wątpliwości, że pakiet przepisów wdrażających RODO i zmieniający 163 ustawy jest jednym z największych pakietów legislacyjnych w historii polskiego prawodawstwa. Co prawda nie wzbudzał on tak dużych kontrowersji jak np. reforma emerytalna, ale to dlatego, że prywatność nie jest ani tak medialna ani tak namacalna jak np. kwestie związane bezpośrednio z naszymi finansami.
Jego przyjęcie było wymagane z co najmniej kilku względów.
Po pierwsze, konieczne było usunięcie z krajowego porządku prawnego przepisów sprzecznych z przepisami RODO. Tytułem przykładu usunięte zostały regulacje wyłączające stosowanie przepisów o ochronie danych osobowych do Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Motyw 14 preambuły RODO wyraźnie przesądza bowiem, że przepisy nie znajdują zastosowania wyłącznie do oznaczeń osób prawnych. Ta zmiana pociągnęła za sobą kolejne, w efekcie których całą gigantyczną część sektora gospodarki (B2B) włączono do regulacji objętej RODO.
Po drugie, konieczne było przesądzenie w przepisach kilku zagadnień kluczowych systemowo, wpływających na cały krajowy porządek prawny w obszarze ochrony danych osobowych. Do zmian takich należy rezygnacja z wskazywania w przepisach katalogów danych możliwych do pozyskiwania celem realizacji zadań wynikających z przepisów powszechnie obowiązującego prawa. W każdym przypadku katalog taki wyznacza bowiem przewidziana w RODO zasada minimalizmu.
Po trzecie, w toku stosowania przepisów RODO pojawiło się wiele wątpliwości których wyjaśnienie okazało się konieczne dla pełnego i skutecznego stosowania prawa unijnego. Jako przykład może posłużyć tutaj zmiana w art. 28 ustawy o Rzeczniku Praw Pacjenta i Prawach Pacjenta przesądzająca, że przez kopię danych w rozumieniu RODO rozumie się również kopię dokumentacji medycznej.
Wreszcie to, co wydaje się najważniejsze, ustawodawca podejmując decyzję o skorzystaniu ze swobody regulacyjnej przyznanej mu przepisami RODO do ograniczenia stosowania jego przepisów opierał się na doświadczeniach krajowych związanych ze stosowaniem nowego prawa unijnego. Należy podejrzewać, że właśnie tym doświadczeniom zawdzięczamy tak dużą liczbę ograniczeń w stosowaniu RODO, np. zwolnienie mikro-przedsiębiorców z realizacji obowiązku informacyjnego. Analogiczne regulacje względem podmiotów prowadzących postępowania administracyjne wprowadzono do przepisów kodeksu postępowania administracyjnego.
Zmian dokonano także w odniesieniu do monitoringu, który od zawsze wzbudzał duże zainteresowanie ze względu na powszechność stosowania przy braku jakichkolwiek konkretnych regulacji prawnych.
Chociaż podobnie jak do tej pory nie będzie jednej uniwersalnej ustawy poświęconej temu tematowi, to jednak wprowadzono szereg przepisów do poszczególnych aktów. Po pierwsze, istniejące już w kodeksie pracy przepisy dotyczące monitoringu pracowniczego doznały poważnego ograniczenia. Od tej pory nie będzie możliwe monitorowanie pomieszczeń udostępnionych organizacji związkowej. Monitoringowi nie będą więc mogły podlegać również drzwi wejściowe do pomieszczeń związkowych, co jak się wydaje mogłoby posłużyć pracodawcy do monitorowania informacji o tym kto z jaką częstotliwością związek taki odwiedza. Jak wskazuje się w uzasadnieniu do ustawy „w opinii projektodawcy monitoring pomieszczeń związkowych rodzi duże prawdopodobieństwo naruszenia zasady wolności i niezależności związków zawodowych”.
Ponadto do instalacji monitoringu wizyjnego w pomieszczeniach sanitarnych w miejscu pracy wymagana będzie zgoda związków zawodowych, a w przypadku ich braku przedstawicieli pracowników.
Po drugie, wprowadzono również nowe przepisy w ustawie o działalności podmiotów leczniczych, dopuszczając monitoring pomieszczeń ogólnodostępnych w podmiotach prowadzących działalność leczniczą w celu zapewnienia bezpieczeństwa. Jednakże monitoring innych pomieszczeń, np. takich gdzie udzielane są świadczenia zdrowotne będzie co do zasady zabroniony. Co ważne, w ww. ustawie wprost wprowadzono obowiązek poinformowania pacjentów poprzez wywieszenie informacji w widocznym miejscu oraz na stronie internetowej podmiotu.
Nowe przepisy przynoszą również wiele rozstrzygnięć dotyczących określenia ról w ramach procesów przetwarzania, poprzez bezpośrednie wskazanie, który z podmiotów jest administratorem. Od samego początku prac nad przepisami wdrażającymi RODO projektodawca komunikował intencję rezygnacji z przesądzania wprost w przepisach statusu prawnego określonego podmiotu jako administratora uznając, że w każdym przypadku jest w nim adresat zadania nakładanego ustawą. Przyjęcie przeciwnej techniki legislacyjnej oznaczałoby, konieczność zmian w niemal wszystkich ustawach, gdyż niemal każda nakłada obowiązki podejmowania określonych działań. Jak należy przypuszczać to właśnie z tych przyczyn w toku procesu legislacyjnego odstąpiono od przesądzania wprost, że adwokat bądź radca prawny w ramach czynności adwokackich bądź radcowskich jest administratorem danych. Powyższe nie oznacza jednak, że projektodawca nie zdecydował się w pewnych przypadkach przesądzić wprost komu status taki przysługuje. Są to jednak jak się wydaje sytuacje wyjątkowe ograniczone do tych, gdzie nie było możliwości nawet z samej normy kompetencyjnej przesądzić, kto pełni funkcję administratora danych.
Dotyczy to szeregu ustaw, tj.:
- ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi– administratorem danych przetwarzanych przez komisje rozwiązywania problemów alkoholowych są wójt, burmistrz albo prezydent, a nie ww. komisje;
- ustawa o państwowej straży pożarnej – wskazano kto jest administratorem w przypadku postępowań rekrutacyjnych;
- ustawa o doradztwie podatkowym – minister finansów jest administratorem danych przetwarzanych w celach związanych z działalnością Państwowej Komisji Egzaminacyjnej do Spraw Doradztwa Podatkowego oraz organizacją egzaminu na doradcę podatkowego a ponadto, że Krajowa Izba Doradców Podatkowych jest administratorem danych przetwarzanych przez organy samorządu doradców podatkowych w celu realizacji zadań lub obowiązków tych organów;
- ustawa o publicznej służbie krwi – administratorem danych gromadzonych w systemie e-krew jest minister zdrowia;
- ustawa o kuratorach sądowych – administratorem danych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego jest prezes sądu, w którym kurator sądowy pełni obowiązki służbowe;
- ustawa o pomocy społecznej – jako administratorów danych osobowych przetwarzanych w celu przyznawania i udzielania świadczeń z pomocy społecznej projekt wskazuje publiczne jednostki organizacyjne wykonujące zadania w zakresie pomocy społecznej;
- ustawa o postępowaniach w sprawie pomocy publicznej – wskazano, która z instytucji publicznej jest administratorem w zależności od rodzaju postępowania pomocowego;
- ustawa o odpowiedzialności za naruszenie dyscypliny finansów publicznych – podmioty zapewniające organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych siedzibę, obsługę prawną i administracyjno-techniczną są administratorami danych przetwarzanych przez te organy;
- ustawa o przeciwdziałaniu przemocy w rodzinie – Administratorem danych przetwarzanych na podstawie ustawy jest ośrodek pomocy społecznej zapewniający obsługę organizacyjno – techniczną zespołu interdyscyplinarnego;
- ustawa o nadzorze finansowym – Komisja jest administratorem danych osobowych przetwarzanych przez sąd polubowny, o którym mowa w art. 18 ust. 1, oraz przez komisje egzaminacyjne;
- ustawa o drogowych spółkach specjalnego przeznaczenia – Drogowa spółka specjalnego przeznaczenia staje się administratorem danych osobowych, których administratorem był Generalny Dyrektor Dróg Krajowych i Autostrad, w związku z decyzjami administracyjnymi i postanowieniami, o których mowa w ust. 1, jak również sprawami, o których mowa w ust. 2, oraz umowami i porozumieniami, o których mowa w ust. 3;
- ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta – Rzecznik Praw Pacjenta jest administratorem danych przetwarzanych w celu ochrony pacjentów;
- ustawa o Krajowej Szkole Sądownictwa i Prokuratury – wskazano kiedy administratorem jest szkoła a kiedy Minister Sprawiedliwości w odniesieniu do danych osobowych kadry dydaktycznej;
- ustawa o odpadach – Marszałek województwa w celu realizacji zadań związanych z prowadzeniem Bazy Danych o Produktach (BDO) przetwarza dane osobowe i jest administratorem tych danych, natomiast administratorom danych przetwarzanych w systemie BDO jest Minister Środowiska;
- ustawa o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym – Polska Izba Biegłych Rewidentów jest administratorem danych przetwarzanych w celach realizacji zadań lub obowiązków przez organy samorządu biegłych rewidentów, związanych z działalnością Komisji Egzaminacyjnej, zwanej dalej „Komisją”, oraz organizacją egzaminów dla kandydatów na biegłych rewidentów;
- ustawa o komornikach sądowych – Art. 159a. 1. Dane osobowe zawarte w systemie teleinformatycznym, utworzonym do dnia 1 stycznia 2021 r., o którym mowa w art. 158 ust. 1, podlegają z dniem uruchomienia systemu zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu, w szczególności poprzez stosowanie proporcjonalnych środków technicznych I organizacyjnych gwarantujących zapewnienie ochrony przed nieuprawnionym dostępem do systemu teleinformatycznego. 2. Administratorami danych znajdujących się w systemie są komornicy w zakresie, w jakim dane te dotyczą prowadzonych przez nich spraw.”;
- ustawa Prawa o aktach stanu cywilnego – po przeniesieniu aktu stanu cywilnego do rejestru stanu cywilnego dane wykorzystane do przeniesienia aktu ulegają trwałemu usunięciu z system komputerowego. Do czasu przeniesienia aktu stanu cywilnego do rejestru stanu cywilnego kierownik urzędu stanu cywilnego jest administratorem danych zgromadzonych w systemie komputerowym.
Projekt przesądza również w co najmniej kilku miejscach, kto pełni funkcję współadministratora danych osobowych co w świetle przyjętych w RODO regulacji wydaje się mieć szczególne znaczenie. Należy bowiem wprost wskazać, że przepisy rozporządzenia instytucję współadministrowania konstruują inaczej, niż miało to miejsce na kanwie uprzednio obowiązującej dyrektywy 95/46. O ile bowiem w przypadku dyrektywy o byciu współadministratorem decydował wyłącznie stan faktyczny tj. wspólne decydowanie o celach i środkach przetwarzania danych o tyle na kanwie RODO konieczne jest formalne przesądzenie takich ról w porozumieniu zawieranym pomiędzy podmiotami bądź przepisie prawa. W wielu ustawach rola taka została więc przesądzona, przykładowo:
- ustawy o ochronie przeciwpożarowej, – współadministratorami danych osobowych przetwarzanych w Systemie Wspomagania Decyzji Państwowej Straży Pożarnej są komendanci straży pożarnej, przy czym podział obowiązków współadministratorów ustala Komendant Główny Państwowej Straży Pożarnej;
- ustawa o Państwowym Ratownictwie Medycznym – Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego są współadministratorami danych w SWD PRM oraz innych danych uzyskanych w związku z przyjmowaniem oraz obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach z wykorzystaniem SWD PRM;
- ustawa o systemie powiadamiania ratunkowego – Minister właściwy do spraw administracji publicznej, wojewoda lub podmiot, o którym mowa w art. 7 ust. 2, są współadministratorami danych przetwarzanych w systemie teleinformatycznym uzyskanych w związku z obsługą zgłoszeń alarmowych;
- ustawa o zasadach zarządzania mieniem państwowym – Kancelaria Prezesa Rady Ministrów oraz podmioty wykonujące uprawnienia z akcji należących do Skarbu Państwa, w zakresie wykonywania uprawnień przekazanych przez Prezesa Rady Ministrów są współadministratorami. Wzajemne prawa i obowiązki współadministratorów określa porozumienie.
Inną nowością wprowadzoną przez ustawę sektorową, która wzbudziła zresztą niemałe kontrowersje, jest kwestia upoważnień do przetwarzania danych osobowych. Ta ugruntowana w poprzedniej ustawie o ochronie danych osobowych instytucja, nie została wprowadzona do nowej ustawy, jednakże zdaniem niektórych ekspertów konieczność upoważnienia wynika wprost z RODO. Niezależnie od rozstrzygnięcia tej kwestii, ustawa sektorowa wprowadza konieczność wydania pisemnego upoważnienia do przetwarzania danych osobowych, które ma stanowić dodatkowy środek bezpieczeństwa.
Projekt przepisów w 63 miejscach wyraźnie przesądza, że warunkiem skutecznego przetwarzania danych osobowych jest pisemne upoważnienie do przetwarzania danych. Należy wyraźnie wskazać, że regulacja taka wprowadzana została do ustawy w dwóch przypadkach. Po pierwsze, gdy na podstawie art. 23 RODO ustawodawca polski decyduje się ograniczyć stosowanie RODO. Po drugie, gdy na podstawie art. 9 RODO ustawodawca wprowadza do przepisów krajowych prawne podstawy przetwarzania danych osobowych szczególnych kategorii. Każda z tych norm jako warunek skorzystania z nich przez ustawodawcę krajowego wprowadza obowiązek zaopatrzenia norm prawnych w przepisy określające sposoby zabezpieczenia danych. Sposobów na realizację tego wymogu było kilka. Norma mogła chociażby nakładać obowiązek przeprowadzania przez administratorów szkoleń w zakresie ochrony danych lub audytów bezpieczeństwa. Projektodawca jako formę takiego zabezpieczenia obrał obowiązek pisemnego upoważniania do przetwarzania danych osobowych. Kwestią kontrowersyjną jest, czy forma pisemna upoważnień do przetwarzania danych faktycznie może wpłynąć na stopień bezpieczeństwa. Z wypowiedzi wnioskodawcy projektu przepisów wdrażających RODO nie wynika, że wymagana forma jest tożsama z formą pisemną w rozumieniu przepisów Kodeksu Cywilnego. Oznaczałoby to, że upoważnienia takie mogłyby być wydawane również elektronicznie w tym przez nadawanie upoważnień w systemie informatycznym. Interpretacja taka bez wątpienia znacznie ułatwiłaby stosowanie nowych przepisów, chociaż są też stanowiska krytyczne wobec takiej wykładni. Należy jednak jasno powiedzieć, że celem tego przepisu nie jest wprowadzenie nadmiernej formalizacji, a jedynie umożliwienie wykazania, że osoba przetwarzająca dane została do tego faktycznie upoważniona, co najczęściej wymaga pewnej formy pisemnej.
Znacznego uporządkowania doczekała się kwestia katalogu danych osobowych przetwarzanego przez pracodawcę w trakcie rekrutacji. Ponieważ temat ten był przez nas szczegółowo omówiony, poniżej tylko kilka dodatkowych uwag. Po pierwsze należy pamiętać, że dotychczas zebrane dane należy przechowywać zgodnie z zasadami retencji. Po drugie pamiętajmy, że zmiany jedynie doprecyzowują zasady przetwarzania danych, ale ich nie zmieniają i nie wyłączają, a więc zasada minimalizmu, zachowania celu czy legalności obowiązuje i warto korzystać z dotychczasowego dorobku doktryny (po odpowiednim dostosowaniu do obecnych realiów).
Inną niezwykle aktualną kwestią jest prowadzenie sprawdzeń pracowników tzw. background check, co jest szczególnie ważne dla branży finansowej. W tym przypadku należy podkreślić, że pracodawca może przetwarzać wyłącznie dane osobowe pochodzące od pracownika, tak więc jakakolwiek jego dodatkowa weryfikacja może się opierać wyłącznie na zgodzie. Istnieje naturalnie obawa, że taka sytuacja może wpłynąć na bezpieczeństwo obrotu gospodarczego.
Pozostając w obszarze finansów, należy wspomnieć o zmianach w prawie bankowym, na mocy której pozwolono instytucjom bankowym na podejmowanie decyzji dotyczącej zdolności kredytowej kredytobiorcy wyłącznie w oparciu o zautomatyzowane przetwarzanie. Możliwość taka z pewnością ułatwi podejmowanie decyzji bankom, jednakże osoby, których dane dotyczą będą mogły zwrócić się do banku o wyjaśnienie dlaczego nie udzielono im kredytu. Może być to wbrew pozorom problematyczne, ponieważ informacja udzielona osobie musi być rzeczywista a tym samym może w pewnym zakresie ujawniać sposób podejmowania decyzji przez banki. Dodatkowo z uwagi na wagę takiej decyzji dla osoby, można spodziewać się wielu pytań w tym zakresie.
Zmiany w ustawie o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych koncentrują się głównie wokół doprecyzowania podstaw przetwarzania danych przez Ubezpieczeniowy Fundusz Gwarancyjny, wskazując m. in. że w przypadku przetwarzania danych dotyczących zdrowia opiera się on na art. 9 ust. 2 lit. g) RODO to jest przesłance odwołującej się do ważnego interesu publicznego.
Szczególnie ważną regulacją w projekcie jest zmiana art. 4 a ust. 1 ustawy z dnia 30 maja 2014 r. o prawach konsumenta, zgodnie z którym administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – prawo przedsiębiorców, wykonuje obowiązki, o których mowa w art. 13 RODO w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Powyższe oznacza, że każdy przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych zatrudniał mniej niż 10 pracowników oraz osiągnął roczny obrót netto nieprzekraczający równowartości w złotych 2 milionów euro, będzie mógł realizować obowiązek informacyjny poprzez jego zamieszczenie na stronie internetowej. Jedynym wyjątkiem w tym zakresie jest sytuacja w której zamieszczenie takich treści na stronie internetowej nie jest równoznaczne z tym, że może do niej uzyskać dostęp każda osoba której dane są przetwarzane. Jak się wydaje chodzi tutaj jednak wyłącznie o sytuację, gdy obowiązek taki realizowany byłby na stronie internetowej w części dedykowanej chociażby wyłącznie klientom tj. do zapoznania się z jego treścią konieczna byłaby rejestracja. Obowiązek taki nie będzie mógł być również realizowany jak się wydaje w płatnych częściach serwisu. Treści o których mowa w art. 13 RODO będą mogły być natomiast realizowane na stronie internetowej w części powszechnie dostępnej chociażby w zakładce kontakt, lub ochrona danych osobowych tak, by każdy zainteresowany mógł się z nimi zapoznać. Kontrowersje wzbudza wyłączenie stosowania tego przepisu (wyłączenie wyłączenia) w sytuacji gdy administrator przetwarza dane szczególnie chronione, a więc np. dane o stanie zdrowia pracownika. Wydaje się , że autorzy tego przepisu nie mieli na myśli wyłączenia stosowania przepisu generalnie, jeśli administrator ma dostęp do danych szczególnie chronionych, ale wyłączenie w odniesieniu do tego konkretnego procesu (dane o stanie zdrowia pracownika). W przeciwnym wypadku przepis ten byłby całkowicie nielogiczny, bowiem żaden mikro-przedsiębiorca będący pracodawca nie mógłby skorzystać z uprawnienia.
Podsumowując zmiany z punktu widzenia zarządzającego kancelarią, która od początku była bardzo intensywnie zaangażowana w przygotowania, a następnie wdrażanie RODO w organizacjach, chciałbym podkreślić, że skala zmian i ich kierunek były zaskoczeniem dla wszystkich. Z jednej strony spodziewaliśmy się przedefiniowania całego systemu ochrony prywatności, a z drugiej mieliśmy świadomość, że RODO będzie wdrażane bardzo nierówno. Zmiany dokonały się jednak według zupełnie innego scenariusza. Oczywistym jest, że tak duża zmiana prawa (która jest kroczącą rewolucją) spowodowała przetasowania na samym rynku usług ochrony danych.
Wejście w życie przepisów ustawy sektorowej kończy w sumie pond 3 letni (od przyjęcia rozporządzenia w 2016 r.) etap interpretacji i wdrażania przepisów RODO. Teraz nadszedł czas na spokojną analizę tego co już zostało uchwalone i monitorowanie kolejnych regulacji, jakie wiążą się z nowymi technologiami i ochroną prywatności.
Poniżej znajdują się linki do zmian w ustawach, które zostały omówione na naszym portalu:
https://gdpr.pl/zmiany-w-ustawie-o-zakladowym-funduszu-swiadczen-socjalnych
https://gdpr.pl/zmiany-w-ustawie-o-zwalczaniu-dopingu-w-sporcie
https://gdpr.pl/zmiany-w-ustawie-o-prawach-pacjenta-i-rzeczniku-praw-pacjenta
https://gdpr.pl/zmiany-w-ustawie-o-prawach-konsumenta
https://gdpr.pl/zmiany-w-ustawie-o-emeryturach-i-rentach-z-funduszu-ubezpieczen-spolecznych
https://gdpr.pl/zmiany-w-ustawie-o-uslugach-platniczych
https://gdpr.pl/zmiany-w-ustawie-o-dzialalnosci-leczniczej
https://gdpr.pl/zmiany-w-kodeksie-pracy
https://gdpr.pl/zmiany-w-ustawie-o-ochronie-danych-osobowych-z-dnia-10-maja-2018-roku
https://gdpr.pl/zmiany-w-ustawie-prawo-bankowe
https://gdpr.pl/zmiany-w-ustawie-o-radcach-prawnych