Nowelizacja przepisów sektorowych pod RODO. Co się zmieniło i w jakim zakresie?

4 maja 2019 r. zaczął obowiązywać obszerny pakiet zmian w polskich przepisach sektorowych, w związku z dostosowaniem do wymagań unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO). Nowelizacja uchwalona przez polski parlament 21 lutego 2019 r. zmieniła aż 162 aktów prawnych. Nowe przepisy, w zakresie ochrony danych osobowych, w znacznej mierze stanowią odwołanie do przepisów RODO. W wielu znowelizowanych ustawach polski prawodawca musiał w ogóle wprowadzić rozdziały dotyczące ochrony danych osobowych. W niektórych przypadkach ustawa wdraża naprawdę znaczące zmiany wpływające na prawa i obowiązki podmiotów, do których jest kierowana. Jakich ustaw zmiany dotknęły w największym stopniu? Jakie obowiązki wynikają z wprowadzonych zmian oraz z jakiego rodzaju konsekwencjami należy się liczyć w przypadku ich naruszenia?

Z większością ze znowelizowanych ustaw nie mamy do czynienia na co dzień. Chodzi np. o prawo o adwokaturze, które również zostało znowelizowane, a dotyczy tylko wąsko określonej grupy przedsiębiorców. Część ze znowelizowanych przepisów oraz obowiązków z nich wynikających jest skierowanych wprost do organów administracji publicznej. W tym przypadku chodzi z kolei o posiadanie odpowiednich upoważnień do przetwarzania danych osobowych przez pracowników obsługujących urządzenia monitorujące (art. 42 ust. 14 ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi).

Jednocześnie wśród znowelizowanych aktów prawnych są też i takie, z którymi mamy styczność praktycznie każdego dnia. W końcu większość z nas jest pracownikiem lub pracowników zatrudnia, prawie każdy robił chociaż raz zakupy w sieci. W związku z powyższym w niniejszym artykule piszemy o najważniejszych obowiązkach prawnych wynikających z nowych przepisów, które mają dla każdego z nas szczególne znaczenie, a także o odpowiedzialności za ich nieprzestrzeganie.

Zgoda na przetwarzanie danych osobowych.

Zgoda na przetwarzanie danych osobowych to jedna z podstaw prawnych legalnego przetwarzania danych osobowych (art. 6 ust.1 lit. a RODO). Są także inne podstawy – np. przetwarzanie danych jest niezbędne w celu realizacji umowy – jednakże odebranie przez administratora oświadczenia o wyrażeniu zgody, stanowi najbardziej wyraźną podstawę.

Gdzie najczęściej spotykamy prośbę o wyrażenie zgody na przetwarzanie naszych danych osobowych? Przede wszystkim przeglądając Internet. Najczęstszym przypadkiem, w którym wyrażamy zgodę na przetwarzanie swoich danych osobowych, jest z pewnością checkbox na stronie internetowej, w którym decydujemy komu i na jakich warunkach udzielamy zgody na dysponowanie naszymi danymi osobowymi. Z kolei administratorzy naszych danych są jednocześnie usługodawcami usług świadczonych drogą elektronicznych np. newslettera. Dlaczego o tym warto pamiętać? Ponieważ znowelizowane przepisy dotknęły ustawę, która reguluje warunki zawierania umów o świadczenie usługi elektronicznych, tj. ustawę z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123).

Co się zmieniło?

W pierwszej kolejności, zmieniony art. 4 ustawy o świadczeniu usług drogą elektroniczną, odsyła bezpośrednio do aktów prawnych związanych z ochroną danych osobowych, a więc RODO oraz ustawy o ochronie danych osobowych. W związku z powyższym konsekwencje związane z naruszeniem zasad poprawności odebrania zgody na przetwarzanie danych osobowych, będą również wynikały z w/w przepisów.

Po drugie – profilowanie. W art. 18 ust. 4, powyższa ustawa została rozbudowana o możliwość przetwarzania tzw. innych danych osobowych – Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną. Tym samym teraz już wiemy, że akceptując pojawiającą się informację o wykorzystywaniu plików cookies na określonej stronie internetowej, wyrażamy zgodę na przetwarzanie swoich „innych danych osobowych”. Fakt, iż po zakupie ekspresu do kawy, w następnej zakładce naszej przeglądarki są nam oferowane filtry do kawy, jest efektem akceptacji ciasteczek.

Obowiązek informacyjny przedsiębiorcy względem konsumenta

Zapewne wielu z nas cały czas pamięta mnóstwo wiadomości, jakie otrzymywaliśmy po wejściu w życie RODO na temat przetwarzania danych osobowych na różnych serwisach internetowych. Wszystko wynikało z obowiązku informacyjnego o przetwarzaniu danych osobowych. Obecnie jednak, w przeciwieństwie do roku ubiegłego, pojawiła się podstawa prawna, z której w jasny sposób wynika, jak należy powyższy obowiązek spełnić, z uwagi na fakt nowelizacji ustawy z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2019 r. poz. 134). Zmiany wprowadzone w ustawie dotyczą dodania art. 4a, który określa zasady realizacji obowiązku informacyjnego na temat przetwarzania danych osobowych konsumentów przez przedsiębiorców. Zgodnie z art. 4a Administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212), wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.86)), zwanego dalej „rozporządzeniem 2016/679”, w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. 2. Przepisu ust. 1 nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 rozporządzenia 2016/679. 3. Przepisu ust. 1 nie stosuje się do administratora danych, który: 1) przetwarza dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub 2) udostępnia dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, innym administratorom, z wyjątkiem przypadku gdy: a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

W celu spełnienia tego obowiązku, należy w pierwszej kolejności odróżnić przedsiębiorców świadczących usługi stacjonarnie (np. banki, przychodnie czy sklepy w centrach handlowych) od przedsiębiorców świadczących usługi wirtualnie (np. sklepy czy serwisy internetowe). W przypadku pierwszej grupy, konieczne będzie wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa informacji na temat przetwarzania danych osobowych. Na marginesie należy również dodać, iż jeżeli przedsiębiorca stosuje monitoring, to informacja o jego stosowaniu również musi się znaleźć w widocznym dla konsumenta miejscu. Natomiast w przypadku e-przedsiębiorców, konieczne będzie udostępnienie na swojej stronie internetowej stosownych informacji za pośrednictwem regulaminu lub polityki prywatności. Co musi wynikać z powyższych dokumentów? Przede wszystkim dane administratora, w tym w szczególności dane rejestrowe oraz dane kontaktowe, jak również podstawa prawna przetwarzania danych osobowych konsumenta oraz cel przetwarzania danych osobowych. Ponadto niezbędnym elementem informacji jest wskazanie czasu w jakim dane będą archiwizowane przez administratora. Konieczne jest także podanie uprawnień przysługujących konsumentowi, którego dane są przetwarzane, w tym wskazanie uprawnienia do złożenia skargi do organu nadzorczego tj. Urzędu Ochrony Danych Osobowych (UODO).

Ochrona danych osobowych kandydatów do pracy.

To właśnie zmiany kodeksu pracy były lub w dalszym ciągu są najszerzej komentowaną zmianą wynikającą z wprowadzonej nowelizacji. Zmiany wprowadzone w ustawie z dnia 26 czerwca 1974 r. – kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.) – dotyczą przede wszystkim zasad przetwarzania danych osobowych kandydatów do pracy i pracowników już zatrudnionych, prowadzeniu w zakładzie pracy monitoringu wizyjnego, a także przetwarzaniu danych wrażliwych pracownika, tutaj w szczególności dotyczy to danych biometrycznych.  Jednak po kolei.  Zgodnie ze zmienionym art. 22¹KP pracodawca może oczekiwać od kandydata podania mu danych, które możemy podzielić na dane:

• identyfikacyjne (imię i nazwisko, imiona rodziców, data urodzenia)
• kontaktowe (adres zamieszkania, numer telefonu, adres mailowy) oraz
• o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkolenia i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych).

Oczywiście pracodawca będzie mógł przetwarzać inne dane osoby ubiegającej się o pracę lub pracownika, jednak w tym celu będzie konieczna zgoda tej osoby. Co ciekawe, nie dotyczy to jednak informacji o karalności, których pracodawca pomimo zgody pracownika nie może przetwarzać – oczywiście od tej zasady również są wyjątki i są uzależnione od konkretnego miejsca pracy. Wynika to wprost z art. 22¹a KP.

§1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”.

§2. Brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

§3. Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

W tym miejscu warto jeszcze zwrócić uwagę na § 3 ostatniego artykułu. Z doświadczenia wiem, że CV czy list motywacyjny zawierają stosowną klauzulę (formułkę) o zgodzie na przetwarzanie danych osobowych kandydata. Jednak z uwagi na wymieniony przepis należy uznać, iż jest ona całkowicie zbędna, ponieważ samo wysłanie CV do pracodawcy należy uznać za zgodę na przetwarzanie danych osobowych. Wynika to z faktu, iż inicjatywa (aktywność) podjęta przez kandydata, polegająca na wysłania wiadomości, stanowi dorozumianą zgodę na przetwarzanie jego danych osobowych.

Ważnym elementem uregulowanym w nowelizacji jest również prawo do przetwarzania danych biometrycznych pracownika np. odcisku palca lub skanu twarzy, przez pracodawcę. Zgodnie z art. 22¹b § 2 KP Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Należy jednak podkreślić, iż dane te mogą być przetwarzane wyłącznie przez osoby posiadające pisemne upoważnienie do przetwarzania takich danych (art. 22¹§ 3 KP).

Kolejnym wątkiem doprecyzowanym przez ustawodawcę jest kwestia monitoringu wizyjnego pracowników uregulowanego w art. 22² KP poprzez wprowadzenie § 1¹_. Stanowi on, iż „Monitoring nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej. § 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy. (…) § 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia 2016/679.” Wyłączenia, których brakowało w chwili wejścia w życie ustawy o ochronie danych osobowych z dnia 24 maja 2018 r., stanowią ważne zabezpieczenie pracowniczych praw, a także poszanowanie ludzkiej godności.

Obowiązek wprowadzenia organizacyjnych i technicznych środków ochrony danych osobowych

Choć ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354) może się wydawać czymś obcym, wpływa ona na nasze codzienne funkcjonowanie. Korzystanie z sieci Internet czy telefonu powoduje, iż stajemy się abonentami, których dane osobowe są przetwarzane przez dostawców tych usług. W związku z tym spoczywają na nich obowiązki ochrony naszych danych osobowych.  Zgodnie z RODO, każdy przedsiębiorca ma obowiązek chronić powierzone mu dane osobowe, a środki użyte do ich ochrony mają być adekwatne do ryzyka ich utraty. Jednakże w przypadku abonentów, wprowadzone przez nowelizacje przepisy, wprowadzają pewnego rodzaju minimum, które dostawca usług telekomunikacyjnych po prostu musi spełnić. Zgodnie ze zmienionym art. 174¹ ustawy „Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej:

1. zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych, oraz 
2. chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz 
3. zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.”

Tym samym, pomimo możliwości przeprowadzania analizy ryzyka i ustalenia braku konieczności wprowadzenia szczególnych środków ochrony danych osobowych, dostawca usług telekomunikacyjnych jest zobowiązany do wprowadzenia zarówno organizacyjnych, jak i technicznych środków ochrony naszych danych osobowych.

Konsekwencje naruszenia przepisów o ochronie danych osobowych

W przypadku naruszenia przepisów dotyczących ochrony danych osobowych, przez które należy rozumieć zarówno przypadkowe, jak i bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę, w każdej ze zmienionych ustaw należy się liczyć z odwołaniem do przepisów RODO. Pomijając fakt, iż przedsiębiorca, który faktycznie naruszył przepisy dotyczące ochrony danych osobowych, ma obowiązek o tym poinformować właściwy organ nadzoru tj. UODO w ciągu 72 godz., przedsiębiorca, który dopuścił się naruszenia przepisów RODO, musi się także liczyć z decyzją UODO zawierającą karę pieniężną. Stosownie do art. 83 ust 5 RODO, naruszenia przepisów dotyczących ochrony danych osobowych podlegają, zgodnie z ust. 2, administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Gabriel Gatner

prawnik specjalizujący się w prawie nowych technologii; wspólnik kancelarii adwokackiej Gatner&Gatner z Katowic, założyciel serwisu internetowego legalniewsieci.pl

Artykuł pochodzi z Biuletynu Euro Info 4/2019

Przeczytaj więcej takich artykułów w strefie wiedzy PARP