Projekt ustawy o ochronie danych osobowych - status zmian

Przepisy mają dostosować polskie prawo do unijnego RODO. Ponieważ RODO jest rozporządzeniem, nie dyrektywą, będzie bezpośrednio stosowalne we wszystkich krajach członkowskich UE. W związku z tym nowa ustawa o ochronie danych osobowych ma mieć przede wszystkim charakter pomocniczy.

Treść ogłoszonego 14 września projektu w naszej ocenie nie zawiera istotnych zmian w zestawieniu z projektem części przepisów opublikowanych w marcu.

W tym zakresie przypominamy o kluczowych zagadnieniach przewidzianych w projektowanych przepisach, o których uprzednio pisaliśmy:

1. Jednoinstancyjne postępowanie przed UODO- obecnie przed zaskarżeniem decyzji GIODO do sądu administracyjnego konieczne jest złożenie wniosku o ponowne rozpoznanie sprawy (który rozpoznaje sam GIODO). Prawie zawsze oznacza to utrzymanie pierwotnej decyzji w mocy i przedłużenie postępowania o kilkanaście kolejnych miesięcy. Wprowadzenie postępowania jednoinstancyjnego wydaje się więc krokiem w dobrym kierunku. Utrzymano natomiast jurysdykcję sądów administracyjnych (zamiast wprowadzenia sądu specjalistycznego, na wzór Sądu Ochrony Konkurencji i Konsumentów), co może budzić wątpliwości;
2. Pozostawienie na poziomie 13 lat granicy wieku, poniżej której zgodę na przetwarzanie danych osobowych na potrzeby usług społeczeństwa informacyjnego powinien wyrazić rodzic lub opiekun prawny (w RODO granica ta wynosi standardowo 16 lat).
   Nie zmienia to jednak faktu, że podmioty świadczące usługi elektroniczne będą zmuszone podejmować próbę weryfikacji, czy w danej sytuacji konieczne jest uzyskanie zgody od rodzica lub opiekuna, co może okazać się problematyczne;
3. Regulacja uprawnień kontrolnych Prezesa UODO. Są one wyraźnie inspirowane uprawnieniami kontrolnymi Prezesa UOKiK, ale w niektórych aspektach idą znacznie dalej. Przykładowo, projekt upoważnia pracowników UODO do przesłuchiwania w toku kontroli pracowników kontrolowanego w charakterze świadków. W związku z tym z pewnością wzrośnie zapotrzebowanie na usługi typu stand-by (zapewniające obecność profesjonalnego doradcy na wypadek ewentualnej kontroli UODO);
4. Regulacja procedury certyfikacji przetwarzających (certyfikacja nie zwolni jednak przetwarzającego z jakichkolwiek obowiązków określonych w RODO) oraz procedury akredytacji podmiotów certyfikujących.

Obok projektu ustawy o ochronie danych osobowych, Ministerstwo Cyfryzacji przedstawiło projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych, zawierającą przepisy nowelizujące ustawy sektorowe w ponad 130 ustawach.

Dla przedsiębiorców szczególnie istotne są przepisy nowelizujące Kodeks pracy oraz ustawę o zakładowym funduszu świadczeń społecznych. Poniżej pokrótce opisane zostały najistotniejsze projektowane zmiany w każdej z przedmiotowych ustaw.

Projektowane zmiany w Kodeksie pracy

Projektowane przepisy zakładają wprowadzenie obowiązku żądania przez pracodawcę od osoby ubiegającej się o zatrudnienie następujących danych osobowych:

• imię (imiona) i nazwisko;
• datę urodzenia;
• adres do korespondencji;
• adres poczty elektronicznej albo numer telefonu;
• wykształcenie;
• przebieg dotychczasowego zatrudnienia.

W przypadku osoby będącej pracownikiem przepisy zakładają wprowadzenie obowiązku żądania przez pracodawcę danych osobowych obejmujących:

• adres zamieszkania;
• numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
• inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

W myśl projektowanych przepisów pracodawca ma więc obowiązek zażądać informacji o miejscu zamieszkania od osoby, która jest pracownikiem, ale nie ma co do zasady prawa żądać tej informacji od osoby ubiegającej się o zatrudnienie. Ponadto, pracodawca nie może też żądać od osoby ubiegającej się o pracę informacji o imionach jej rodziców. Gromadzenie pozostałych informacji będzie natomiast uzależnione od zgody osoby ubiegającej się o zatrudnienie bądź pracownika. Wyjątkiem są dane biometryczne, które można gromadzić wyłącznie od pracownika. Projektowane przepisy przewidują, że zgoda wyrażana może być w postaci papierowej lub elektronicznej.

Przetwarzanie danych osobowych obejmujących dane o nałogach, stanie zdrowia, życiu seksualnym oraz orientacji seksualne, zgodnie z ustawą nie jest możliwe, nawet za zgodą osoby, której dotyczą.

Co istotne, w świetle nowelizacji pracodawca ma obowiązek żądać wszelkich informacji (a zatem i takich, co do których normalnie potrzebowałby zgody) zarówno od osoby ubiegającej się o zatrudnienie, jak i od pracownika, jeżeli obowiązek ten wynika z przepisów prawa albo gdy jest to niezbędne do wypełnienia obowiązku nałożonego przepisem prawa.

Zmiany będą dotyczyć również badań lekarskich wykonywanych przez pracowników. Do tej pory wstępnym badaniom lekarskim nie podlegały osoby, które przedstawiły pracodawcy aktualne, odpowiednie orzeczenie lekarskie w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy (podobnie w przypadku przyjmowania do pracy osoby pozostającej jednocześnie w stosunku pracy z innym pracodawcą). Sytuacja wyglądać będzie analogicznie po nowelizacji, z tą różnicą, że wystarczający będzie sam fakt posiadania odpowiedniego orzeczenia lekarskiego. Zgodnie z nowelizacją, pracodawca będzie zaś miał obowiązek zażądać nie tylko takiego orzeczenia, ale także skierowania na badania będącego podstawą wydania tego orzeczenia. Co więcej, nowelizacja wprowadza obowiązek przechowywania skierowań na badania lekarskie.

Projektowane zmiany w ustawie o zakładowym funduszu świadczeń socjalnych

Obecnie, Środki Funduszu przyznawane są w uzależnieniu od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do ulgowych usług/świadczeń. Nowelizacja zakłada wyrażenie przez osobę uprawnioną zgody na podanie jej danych osobowych, danych osobowych członków jej rodziny, jak również danych innych osób pozostających z nią we wspólnym gospodarstwie domowym.

Zakres tych danych, zgodnie z nowelizacją będzie obejmował dane tj:

• imię i nazwisko;
• datę urodzenia;
• stopień pokrewieństwa;
• adres zamieszkania;
• inne dane osobowe w/w osób, jeżeli ich podanie jest niezbędne do ustalenia sytuacji życiowej, rodzinnej i materialnej beneficjenta.

Oba projekty zostały obecnie skierowane do konsultacji publicznych oraz do opiniowania.