Co w Prawie Piszczy | Projekt ustawy zapewniającej stosowanie RODO – czy będzie kolejna rewolucja?
8150
post-template-default,single,single-post,postid-8150,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Projekt ustawy zapewniającej stosowanie RODO – czy będzie kolejna rewolucja?

Od wejścia w życie RODO i nowej ustawy o ochronie danych osobowych minęło już ponad pół roku. Wiele firm zakończyło wewnętrzne audyty przetwarzania danych, wdrożyło nowe procedury/dokumentację i przeszkoliło pracowników. Czy to oznacza, że wreszcie mogą odetchnąć z ulgą?

Okazuje się, że nie. Ministerstwo Cyfryzacji przygotowało kolejny obszerny projekt – ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO) -i zapowiada kolejne zmiany. Projekt trafił do Sejmu i jest już po pierwszym czytaniu.

Na pierwszy rzut oka nowe przepisy to kolejna rewolucja. Projekt przewiduje zmiany w prawie 170 aktach prawnych! Po dokładnej lekturze całość nie wygląda jednak tak strasznie. W większości nowe uregulowania dotyczą podmiotów publicznych.

Spora część zmian znajdzie jednak zastosowanie do przedsiębiorców – wybrane przedstawiamy poniżej.

Kandydat i pracownik – o co możemy ich zapytać?

Projekt zakłada zmianę uregulowanych w Kodeksie pracy katalogów danych osobowych, które pracodawca może zbierać od kandydata do pracy i pracownika.

Kandydata nie zapytamy już o imiona rodziców, a jego adres zamieszkania poznamy dopiero po zatrudnieniu – chyba, że wcześniej przekaże nam go sam, jako formę kontaktu. Dane kontaktowe (w tym np. e-mail, nr telefonu) będzie można bowiem pozyskiwać już bez dodatkowej zgody.

Dodatkowo, informacje o wykształceniu, kwalifikacjach zawodowych i przebiegu całego dotychczasowego zatrudnienia będzie można przetwarzać tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Inaczej jest w przypadku pracowników – ci przekażą nam te informacje w pełnym zakresie.

Podania innych danych niewymienionych wprost w Kodeksie pracy będzie można żądać jedynie wtedy, gdy będzie to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień albo gdy będzie to niezbędne do wypełnienia obowiązków prawnych pracodawcy.

A może wystarczy zgoda?

Podstawą przetwarzania danych osobowych (innych niż opisane powyżej) ma być zgoda pracownika. Projekt wyraźnie precyzuje, że brak lub wycofanie zgody nie będą mogły powodować jakichkolwiek negatywnych konsekwencji dla pracownika. Oczywiście pracodawca niezmiennie odbierając od pracownika dodatkowe dane (i zgodę) powinien kierować się zasadą minimalizmu i pozyskiwać tylko informacje niezbędne i uzasadnione.

Pozyskanie na podstawie zgody szczególnych kategorii danych (np. biometrycznych czy dotyczących zdrowia), możliwe będzie tylko z inicjatywy samego pracownika lub kandydata. Wyjątkiem będą dane biometryczne pracownika przetwarzane na potrzeby dostępu do szczególnie ważnych informacji lub pomieszczeń wymagających szczególnej ochrony, np. sejfu chronionego czytnikiem linii papilarnych.

Z kolei informacji o karalności czy wyrokach skazujących pracodawca nie uzyska nawet za zgodą – tu podstawą przetwarzania pozostają tylko przepisy szczególne.

Upoważnienia i audyty

Pracodawcy będą musieli zadbać też o formalne udzielenie upoważnień pracownikom działu HR, którzy będą mieć dostęp do szczególnych kategorii danych, a także danych gromadzonych na potrzeby ZFŚS i współpracy z PFRON. Projekt jednoznacznie przesądza o wymogu formy pisemnej i zobowiązaniu pracowników do zachowania danych w tajemnicy.

To w zasadzie potwierdzenie przyjętej już przez wielu przedsiębiorców praktyki w związku z realizacją zasady rozliczalności wynikającej z RODO.

To jednak nie koniec nowych procedur wewnętrznych. Pracodawców, u których działa ZFŚS, a także zatrudniających pracowników niepełnosprawnych i korzystających z refundacji składek przez PFRON

czeka obowiązek przeprowadzania okresowych audytów przydatności zgromadzonych danych i usuwania tych, które okażą się niepotrzebne. Dane zgromadzone na potrzeby ZFŚS audytować będziemy co roku, a PFRON co najmniej raz na 5 lat.

Monitoring – nowość do zmiany

Regulacje dotyczące monitoringu, które niedawno pojawiły się w Kodeksie pracy, zmusiły pracodawców m.in. do dostosowania zasad wewnętrznych (układu zbiorowego pracy/regulaminu pracy) i weryfikacji umiejscowienia kamer. Nowe obowiązki związane z monitoringiem w zakładzie pracy opisywaliśmy szczegółowo tutaj.

Stosunkowo nowe przepisy czeka kolejna zmiana. Bezwzględnie będą musiały zniknąć kamery umieszczone w pomieszczeniach udostępnianych organizacji związkowej, a te w pomieszczeniach sanitarnych zostaną, jeśli dodatkowo wyrazi na to zgodę organizacja związkowa lub przedstawiciel pracowników.

Mikroprzedsiębiorcy będzie łatwiej

Obowiązek informacyjny dotyczący przetwarzania danych osobowych będzie można uznać za zrealizowany wobec klientów, jeśli mikroprzedsiębiorca wywiesi klauzulę w widocznym miejscu w lokalu lub udostępnieni ją na swojej stronie internetowej.

Z ułatwienia nie skorzystają jednak podmioty, które przetwarzają szczególne kategorie danych (np. medyczne) lub udostępniają je innym administratorom (chyba, że osoba, której dane dotyczą wyraziła na to zgodę lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na przedsiębiorcy).

IOD może iść na urlop

Projekt wprowadza ułatwienia dla podmiotów, które powołały Inspektora Ochrony Danych Osobowych. Będą one mogły wyznaczyć osobę zastępującą Inspektora w czasie jego nieobecności. Zastępca, analogicznie jak IOD, powinien spełniać kryteria wiedzy i niezależności. Po jego wyznaczeniu trzeba będzie zawiadomić Prezesa UODO i udostępnić jego dane na www lub w miejscu prowadzenia działalności.

Reakcja na RODO-szantaże

Autorzy projektu zwrócili również uwagę na szantaże, które pojawiały się w związku z wejściem w życie RODO. Nieuczciwe podmioty, wykorzystując strach przedsiębiorców przed karami, groziły złożeniem zawiadomienia o zaobserwowanych (lub fikcyjnych) nieprawidłowościach w przetwarzaniu danych osobowych do Prezesa UODO czy prokuratury – przykładowo, jeżeli dany przedsiębiorca nie uiści na ich rzecz pewnej kwoty, nie zakupi usług wdrożeniowych/audytorskich lub sprzętu: nakładek na monitory czy szaf/sejfów na dokumenty.

Ustawodawca ma zakwalifikować tego typu szantaże jako groźbę bezprawną i sam zagrozić – odpowiedzialnością karną.

***

Z pełną treścią projektu i uzasadnienia można zapoznać się tutaj, natomiast śledzenie podstępów prac nad przyjęciem ustawy możliwe jest pod tym linkiem

Na bieżąco monitorujemy prace nad projektem i będziemy informować o ewentualnych zmianach – zachęcamy do lektury bloga i zapisania się do naszego newslettera.

Autor: Katarzyna Krukowska

CONSULTANT / LAW DEPARTMENT

katarzyna.krukowska@olesinski.com

Zaproponuj znajomym
Brak komentarzy.

skomentuj