GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

RODO – podsumowanie nowelizacji sektorowej

RODO – podsumowanie nowelizacji sektorowej

W ramach finalnego podsumowania chciałbym krótko odnieść się do całej nowelizacji i spojrzeć na nią kompleksowo, przez pryzmat celu, najważniejszych zmian i dokonać krótkiej oceny.

Nie ulega wątpliwości, że pakiet przepisów wdrażających RODO i zmieniający 163 ustawy jest jednym z największych pakietów legislacyjnych w historii polskiego prawodawstwa. Co prawda nie wzbudzał on tak dużych kontrowersji jak np. reforma emerytalna, ale to dlatego, że prywatność nie jest ani tak medialna ani tak namacalna jak np. kwestie związane bezpośrednio z naszymi finansami.

Jego przyjęcie było wymagane z co najmniej kilku względów.

Po pierwsze, konieczne było usunięcie z krajowego porządku prawnego przepisów sprzecznych z przepisami RODO. Tytułem przykładu usunięte zostały regulacje wyłączające stosowanie przepisów o ochronie danych osobowych do Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Motyw 14 preambuły RODO wyraźnie przesądza bowiem, że przepisy nie znajdują zastosowania wyłącznie do oznaczeń osób prawnych. Ta zmiana pociągnęła za sobą kolejne, w efekcie których całą gigantyczną część sektora gospodarki (B2B)  włączono do regulacji objętej RODO.

Po drugie, konieczne było przesądzenie w przepisach kilku zagadnień kluczowych systemowo, wpływających na cały krajowy porządek prawny w obszarze ochrony danych osobowych. Do zmian takich należy rezygnacja z wskazywania w przepisach katalogów danych możliwych do pozyskiwania celem realizacji zadań wynikających z przepisów powszechnie obowiązującego prawa. W każdym przypadku katalog taki wyznacza bowiem przewidziana w RODO zasada minimalizmu.

Po trzecie, w toku stosowania przepisów RODO pojawiło się wiele wątpliwości których wyjaśnienie okazało się konieczne dla pełnego i skutecznego stosowania prawa unijnego. Jako przykład może posłużyć tutaj zmiana w art. 28 ustawy o Rzeczniku Praw Pacjenta i Prawach Pacjenta przesądzająca, że przez kopię danych w rozumieniu RODO rozumie się również kopię dokumentacji medycznej.

Wreszcie to, co wydaje się najważniejsze, ustawodawca podejmując decyzję o skorzystaniu ze swobody regulacyjnej przyznanej mu przepisami RODO do ograniczenia stosowania jego przepisów opierał się na doświadczeniach krajowych związanych ze stosowaniem nowego prawa unijnego. Należy podejrzewać, że właśnie tym doświadczeniom zawdzięczamy tak dużą liczbę ograniczeń w stosowaniu RODO, np. zwolnienie mikro-przedsiębiorców z realizacji obowiązku informacyjnego. Analogiczne regulacje względem podmiotów prowadzących postępowania administracyjne wprowadzono do przepisów kodeksu postępowania administracyjnego.

Zmian dokonano także w odniesieniu do monitoringu, który od zawsze wzbudzał duże zainteresowanie ze względu na powszechność stosowania przy braku jakichkolwiek konkretnych regulacji prawnych.

Chociaż podobnie jak do tej pory nie będzie jednej uniwersalnej ustawy poświęconej temu tematowi, to jednak wprowadzono szereg przepisów do poszczególnych aktów. Po pierwsze, istniejące już w kodeksie pracy przepisy dotyczące monitoringu pracowniczego doznały poważnego ograniczenia. Od tej pory nie będzie  możliwe monitorowanie pomieszczeń udostępnionych organizacji związkowej. Monitoringowi nie będą więc mogły podlegać również drzwi wejściowe do pomieszczeń związkowych, co jak się wydaje mogłoby posłużyć pracodawcy do monitorowania informacji o tym kto z jaką częstotliwością związek taki odwiedza. Jak wskazuje się w uzasadnieniu do ustawy „w opinii projektodawcy monitoring pomieszczeń związkowych rodzi duże prawdopodobieństwo naruszenia zasady wolności i niezależności związków zawodowych”.

Ponadto do instalacji monitoringu wizyjnego w pomieszczeniach sanitarnych w miejscu pracy wymagana będzie zgoda związków zawodowych, a w przypadku ich braku przedstawicieli pracowników.

Po drugie, wprowadzono również nowe przepisy w ustawie o działalności podmiotów leczniczychdopuszczając monitoring pomieszczeń ogólnodostępnych w podmiotach prowadzących działalność leczniczą w celu zapewnienia bezpieczeństwa. Jednakże monitoring innych pomieszczeń, np. takich gdzie udzielane są świadczenia zdrowotne będzie co do zasady zabroniony. Co ważne, w ww. ustawie wprost wprowadzono obowiązek poinformowania pacjentów poprzez wywieszenie informacji w widocznym miejscu oraz na stronie internetowej podmiotu.

Nowe przepisy przynoszą również wiele rozstrzygnięć dotyczących określenia ról w ramach procesów przetwarzania, poprzez bezpośrednie wskazanie, który z podmiotów jest administratorem. Od samego początku prac nad przepisami wdrażającymi RODO projektodawca komunikował intencję rezygnacji z przesądzania wprost w przepisach statusu prawnego określonego podmiotu jako administratora uznając, że w każdym przypadku jest w nim adresat zadania nakładanego ustawą. Przyjęcie przeciwnej techniki legislacyjnej oznaczałoby, konieczność zmian w niemal wszystkich ustawach, gdyż niemal każda nakłada obowiązki podejmowania określonych działań. Jak należy przypuszczać to właśnie z tych przyczyn w toku procesu legislacyjnego odstąpiono od przesądzania wprost, że adwokat bądź radca prawny w ramach czynności adwokackich bądź radcowskich jest administratorem danych. Powyższe nie oznacza jednak, że projektodawca nie zdecydował się w pewnych przypadkach przesądzić wprost komu status taki przysługuje. Są to jednak jak się wydaje sytuacje wyjątkowe ograniczone do tych, gdzie nie było możliwości nawet z samej normy kompetencyjnej przesądzić, kto pełni funkcję administratora danych.

Dotyczy to szeregu ustaw, tj.:

Projekt przesądza również w co najmniej kilku miejscach, kto pełni funkcję współadministratora danych osobowych co w świetle przyjętych w RODO regulacji wydaje się mieć szczególne znaczenie. Należy bowiem wprost wskazać, że przepisy rozporządzenia instytucję współadministrowania konstruują inaczej, niż miało to miejsce na kanwie uprzednio obowiązującej dyrektywy 95/46. O ile bowiem w przypadku dyrektywy o byciu współadministratorem decydował wyłącznie stan faktyczny tj. wspólne decydowanie o celach i środkach przetwarzania danych o tyle na kanwie RODO konieczne jest formalne przesądzenie takich ról w porozumieniu zawieranym pomiędzy podmiotami bądź przepisie prawa. W wielu ustawach rola taka została więc przesądzona, przykładowo:

Inną nowością wprowadzoną przez ustawę sektorową, która wzbudziła zresztą niemałe kontrowersje,  jest kwestia upoważnień do przetwarzania danych osobowych. Ta ugruntowana w poprzedniej ustawie o ochronie danych osobowych instytucja, nie została wprowadzona do nowej ustawy, jednakże zdaniem niektórych ekspertów konieczność upoważnienia wynika wprost z RODO. Niezależnie od rozstrzygnięcia tej kwestii, ustawa sektorowa wprowadza konieczność wydania pisemnego upoważnienia do przetwarzania danych osobowych, które ma stanowić dodatkowy środek bezpieczeństwa.

Projekt przepisów w 63 miejscach wyraźnie przesądza, że warunkiem skutecznego przetwarzania danych osobowych jest pisemne upoważnienie do przetwarzania danych. Należy wyraźnie wskazać, że regulacja taka wprowadzana została do ustawy w dwóch przypadkach. Po pierwsze, gdy na podstawie art. 23 RODO ustawodawca polski decyduje się ograniczyć stosowanie RODO. Po drugie, gdy na podstawie art. 9 RODO ustawodawca wprowadza do przepisów krajowych prawne podstawy przetwarzania danych osobowych szczególnych kategorii. Każda z tych norm jako warunek skorzystania z nich przez ustawodawcę krajowego wprowadza obowiązek zaopatrzenia norm prawnych w przepisy określające sposoby zabezpieczenia danych. Sposobów na realizację tego wymogu było kilka. Norma mogła chociażby nakładać obowiązek przeprowadzania przez administratorów szkoleń w zakresie ochrony danych lub audytów bezpieczeństwa. Projektodawca jako formę takiego zabezpieczenia obrał obowiązek pisemnego upoważniania do przetwarzania danych osobowych. Kwestią kontrowersyjną jest, czy forma pisemna upoważnień do przetwarzania danych faktycznie może wpłynąć na stopień bezpieczeństwa. Z wypowiedzi wnioskodawcy projektu przepisów wdrażających RODO nie wynika, że wymagana forma  jest tożsama z formą pisemną w rozumieniu przepisów Kodeksu Cywilnego. Oznaczałoby to, że upoważnienia takie mogłyby być wydawane również elektronicznie w tym przez nadawanie upoważnień w systemie informatycznym. Interpretacja taka bez wątpienia znacznie ułatwiłaby stosowanie nowych przepisów, chociaż są też stanowiska krytyczne wobec takiej wykładni. Należy jednak jasno powiedzieć, że celem tego przepisu nie jest wprowadzenie nadmiernej formalizacji, a jedynie umożliwienie wykazania, że osoba przetwarzająca dane została do tego faktycznie upoważniona, co najczęściej wymaga pewnej formy pisemnej.

Znacznego uporządkowania doczekała się kwestia katalogu danych osobowych przetwarzanego przez pracodawcę w trakcie rekrutacji. Ponieważ temat ten był przez nas szczegółowo omówiony,  poniżej tylko kilka dodatkowych uwag.  Po pierwsze należy pamiętać, że dotychczas zebrane dane należy przechowywać zgodnie z zasadami retencji. Po drugie pamiętajmy, że zmiany jedynie doprecyzowują zasady przetwarzania danych, ale ich nie zmieniają i nie wyłączają, a więc zasada minimalizmu, zachowania celu czy legalności  obowiązuje i warto korzystać z dotychczasowego dorobku doktryny (po odpowiednim dostosowaniu do obecnych realiów).

Inną niezwykle aktualną kwestią jest prowadzenie sprawdzeń pracowników tzw. background check, co jest szczególnie ważne dla branży finansowej. W tym przypadku należy podkreślić, że pracodawca może przetwarzać wyłącznie dane osobowe pochodzące od pracownika, tak więc jakakolwiek jego dodatkowa weryfikacja może się opierać wyłącznie na  zgodzie. Istnieje naturalnie obawa, że taka sytuacja może wpłynąć na bezpieczeństwo obrotu gospodarczego.

Pozostając w obszarze finansów, należy wspomnieć o zmianach w prawie bankowym, na mocy której pozwolono instytucjom bankowym na podejmowanie decyzji dotyczącej zdolności kredytowej kredytobiorcy wyłącznie w oparciu o zautomatyzowane przetwarzanie. Możliwość taka z pewnością ułatwi podejmowanie decyzji bankom, jednakże osoby, których dane dotyczą będą mogły zwrócić się do banku o wyjaśnienie dlaczego nie udzielono im kredytu. Może być to wbrew pozorom problematyczne, ponieważ informacja udzielona osobie musi być rzeczywista a tym samym może w pewnym zakresie ujawniać sposób podejmowania decyzji przez banki. Dodatkowo z uwagi na wagę takiej decyzji dla osoby, można spodziewać się wielu pytań w tym zakresie.

Zmiany w ustawie o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych koncentrują się głównie wokół doprecyzowania podstaw przetwarzania danych przez Ubezpieczeniowy Fundusz Gwarancyjny, wskazując m. in. że w przypadku przetwarzania danych dotyczących zdrowia opiera się on na art. 9 ust. 2 lit. g) RODO to jest przesłance odwołującej się do ważnego interesu publicznego.

Szczególnie ważną regulacją w projekcie jest zmiana art. 4 a ust. 1 ustawy z dnia 30 maja 2014 r. o prawach konsumenta, zgodnie z którym administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – prawo przedsiębiorców, wykonuje obowiązki, o których mowa w art. 13 RODO w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Powyższe oznacza, że każdy przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych zatrudniał mniej niż 10 pracowników oraz osiągnął roczny obrót netto nieprzekraczający równowartości w złotych 2 milionów euro, będzie mógł realizować obowiązek informacyjny poprzez jego zamieszczenie na stronie internetowej. Jedynym wyjątkiem w tym zakresie jest sytuacja w której zamieszczenie takich treści na stronie internetowej nie jest równoznaczne z tym, że może do niej uzyskać dostęp każda osoba której dane są przetwarzane. Jak się wydaje chodzi tutaj jednak wyłącznie o sytuację, gdy obowiązek taki realizowany byłby na stronie internetowej w części dedykowanej chociażby wyłącznie klientom tj. do zapoznania się z jego treścią konieczna byłaby rejestracja. Obowiązek taki nie będzie mógł być również realizowany jak się wydaje w płatnych częściach serwisu. Treści o których mowa w art. 13 RODO będą mogły być natomiast realizowane na stronie internetowej w części powszechnie dostępnej chociażby w zakładce kontakt, lub ochrona danych osobowych tak, by każdy zainteresowany mógł się z nimi zapoznać. Kontrowersje wzbudza wyłączenie stosowania tego przepisu (wyłączenie wyłączenia) w sytuacji gdy administrator przetwarza dane szczególnie chronione, a więc np. dane o stanie zdrowia pracownika. Wydaje się , że autorzy tego przepisu nie mieli na myśli wyłączenia stosowania przepisu generalnie, jeśli administrator ma dostęp do danych szczególnie chronionych, ale wyłączenie w odniesieniu do tego konkretnego procesu (dane o stanie zdrowia pracownika). W przeciwnym wypadku przepis ten byłby całkowicie nielogiczny, bowiem żaden mikro-przedsiębiorca będący pracodawca nie mógłby skorzystać z  uprawnienia.

Podsumowując zmiany z punktu widzenia zarządzającego kancelarią, która od początku była bardzo intensywnie zaangażowana w przygotowania, a następnie wdrażanie RODO w organizacjach, chciałbym  podkreślić, że skala zmian i ich kierunek były zaskoczeniem dla wszystkich. Z jednej strony spodziewaliśmy się przedefiniowania całego systemu ochrony prywatności, a z drugiej mieliśmy świadomość, że RODO będzie wdrażane bardzo nierówno. Zmiany dokonały się jednak według zupełnie innego scenariusza. Oczywistym jest, że tak duża zmiana prawa (która jest kroczącą rewolucją) spowodowała przetasowania na samym rynku usług ochrony danych.

Wejście w życie przepisów ustawy sektorowej kończy w sumie pond 3 letni (od przyjęcia rozporządzenia w 2016 r.) etap interpretacji i wdrażania przepisów RODO. Teraz nadszedł czas na spokojną analizę tego co już zostało uchwalone i monitorowanie kolejnych regulacji, jakie wiążą się z nowymi technologiami i ochroną prywatności.

Poniżej znajdują się linki  do zmian w ustawach, które zostały omówione na naszym portalu:

https://gdpr.pl/zmiany-w-ustawie-o-zakladowym-funduszu-swiadczen-socjalnych

https://gdpr.pl/zmiany-w-ustawie-o-zwalczaniu-dopingu-w-sporcie

https://gdpr.pl/zmiany-w-ustawie-o-prawach-pacjenta-i-rzeczniku-praw-pacjenta

https://gdpr.pl/zmiany-w-ustawie-o-prawach-konsumenta

https://gdpr.pl/zmiany-w-ustawie-o-bieglych-rewidentach-firmach-audytorskich-oraz-nadzorze-publicznym

https://gdpr.pl/zmiany-w-ustawie-o-emeryturach-i-rentach-z-funduszu-ubezpieczen-spolecznych

https://gdpr.pl/zmiany-w-ustawie-o-uslugach-platniczych

https://gdpr.pl/zmiany-w-ustawie-prawo-telekomunikacyjne-i-ustawie-o-swiadczeniu-uslug-droga-elektroniczna

https://gdpr.pl/zmiany-w-ustawie-o-dzialalnosci-leczniczej

https://gdpr.pl/zmiany-w-kodeksie-pracy

https://gdpr.pl/zmiany-w-ustawie-o-ochronie-danych-osobowych-z-dnia-10-maja-2018-roku

https://gdpr.pl/zmiany-w-ustawie-prawo-bankowe

https://gdpr.pl/zmiany-w-ustawie-o-radcach-prawnych