We wtorek 6 listopada Rada Ministrów przyjęła projekt ustawy zmieniający 168 innych ustaw, dostosowując je tym samym do zapisów RODO. Jak podkreśla Ministerstwo Cyfryzacji, które koordynuje te prace, Polska jest jednym z pierwszych krajów UE, który przygotował tak kompleksowe przepisy.
„Przygotowany w Ministerstwie Cyfryzacji i przyjęty przez Radę Ministrów projekt zmienia m.in. ustawy regulujące sektor usług finansowych oraz działania w obszarach:
- sportu i turystyki,
- kultury i dziedzictwa narodowego,
- ochrony zdrowia (w tym dostępu do dokumentacji medycznej),
- rodziny, pracy i polityki społecznej,
- spraw wewnętrznych i administracji,
- ochrony środowiska,
- edukacji narodowej,
- inwestycji i rozwoju,
- nauki i szkolnictwa wyższego,
- przedsiębiorczości i technologii,
- statystyki publicznej”– czytamy w komunikacie”.
Projekt reguluje w nowelizowanych ustawach m.in. warunki przetwarzania danych osobowych pracowników przez pracodawców, rodzaj danych podlegających przetwarzaniu, osób których to dotyczy, podmioty, którym można ujawnić dane osobowe, czy w których można je ujawnić.
Projekt zawiera też propozycję zmiany Kodeksu Karnego, służącą penalizacji usiłowania wyłudzeń pod pretekstem ochrony danych osobowych. Jest to odpowiedź na rosnącą liczbę zgłoszeń przypadków otrzymania przez administratorów wiadomości, które sugerują konieczność podjęcia działań związanych z RODO, gdy w danym przypadku są one zbędne. Wiadomości te zawierają zwykle linki do stron internetowych lub załączone dokumenty, mające pomóc w zapewnieniu pełnej zgodności z RODO, a w rzeczywistości mogące skutkować zainstalowaniem złośliwego oprogramowania.
Coraz liczniejsze są także przypadki działań noszących znamiona wymuszenia. To zupełnie nowy typ przestępstwa polegający na przesłaniu oferty usług doradczych w zakresie ochrony danych osobowych z informacją, że odmowa skorzystania z niej będzie skutkować dotkliwą karą finansową.
Ponadto w projekcie znalazły się ważne zmiany dla sektora bankowego i ubezpieczeniowego dotyczące profilowania. Projekt ustawy zakłada, że zakłady ubezpieczeń będą mogły podejmować decyzje, które opierać się będą wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, dotyczącym procesów oceny ryzyka przy zawieraniu umowy ubezpieczenia oraz likwidacji szkód.
Oznacza to, iż decyzja, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, będzie mogła zostać podjęta bez zgody osoby, której dane dotyczą.
Podobną regulację zakłada nowelizacja przepisów prawa bankowego. Z tym, że dla obu sektorów wprowadzono wymóg zapewnienia osobie fizycznej prawa do zakwestionowania takiej decyzji, wyrażenia własnego stanowiska w tej sprawie oraz do uzyskania interwencji pracownika.
Jak ocenia resort cyfryzacji, „przyjęty projekt ustawy jest efektem wypracowanego – w trwającym ponad dwa lata procesie legislacyjnym – kompromisu”. Ministerstwo Cyfryzacji podkreśla w komunikacie, że w trakcie prac nad nowymi przepisami odbyło się wiele spotkań konsultacyjnych z reprezentantami środowisk opiniotwórczych, m.in. naukowcami, przedsiębiorcami, organizacjami pozarządowymi, związkami wyznaniowymi i praktykami ochrony danych osobowych z licznych instytucji państwowych i społecznych.
Ustawa ma wejść w życie 14 dni od daty ogłoszenia w Dzienniku Ustaw.