Od momentu rozpoczęcia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, znanego bliżej pod nazwą RODO, minęło już niespełna 5 miesięcy. W dalszym ciągu nie doczekaliśmy się od krajowego ustawodawcy, czy też organu nadzorczego, jasnej wykładni niektórych z zapisów RODO. Wydawało się, że takie wyjaśnienie przyniesie nowa krajowa ustawa, tj. ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Jednak krajowy akt odniósł się w zasadniczej części do kształtowania kompetencji nowego organu nadzorczego, organizacji podmiotów certyfikujących, czy też szczegółów powołania inspektorów ochrony danych osobowych.
Przedsiębiorcy nie uzyskali z nowej ustawy zbyt wielu konkretów, a nielicznymi wyjątkami były zmiany Kodeksu pracy i innych ustaw, gdzie nareszcie doczekaliśmy się pierwszych regulacji dotyczących monitoringu wizyjnego. Temat został poruszony w jednym z poprzednich artykułów publikowanych przez Grant Thornton).
Przeczytaj o tym, jak projektować skuteczny i bezpieczny proces ochrony danych osobowych
Czy projektowane zmiany odpowiedzą na wątpliwości przedsiębiorstw?
Obecnie próżno szukać w mediach wielu informacji o nowych zmianach w krajowym ustawodawstwie, które odnosiłyby się do implementowania RODO w Polsce, a zmiany te nadchodzą. Mowa tu przede wszystkim o ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (obecnie w fazie projektu; do niedawna jako: Przepisy wprowadzające ustawę o ochronie danych osobowych). Planowany termin przyjęcia przedmiotowej ustawy to IV kwartał bieżącego roku, a zatem czas nagli.
Tak, jak zostało to już zaznaczone, obecnie możemy zapoznać się z projektem ustawy, nad którą pracują komisje, ale już z projektu możemy zaczerpnąć kilku ważnych informacji.
Poniżej klika przykładów, które najprawdopodobniej zostaną doprecyzowane w nowej ustawie.
W momencie „gorączki RODO”, czyli wiosną bieżącego roku, można było zaobserwować spór na temat upoważnień dotyczących przetwarzania danych osobowych, które administratorzy (np. pracodawcy) wydawali osobom upoważnionym (np. pracownicy). Nawet „stara ustawa” nie precyzowała wprost, że forma upoważnienia ma być pisemna. Wielu administratorów danych zrezygnowało z posługiwania się upoważnieniami, co często argumentowano błędem w tłumaczeniu z wersji anglojęzycznej art. 29 RODO. Wydaje się, że projektowana ustawa rozwieje te wątpliwości, ponieważ w wielu jej zapisach czytamy o pisemnych upoważnieniach. Przykładem są m.in. zmiany w ustawie z dnia 4 marca 1994 r. o Zakładowym Funduszu Świadczeń Socjalnych, gdzie mowa jest wprost, że dane beneficjentów, w zakresie w jakim dotyczą szczególnych kategorii danych, tj. np. dane dotyczące stanu zdrowia, mogą być przetwarzane przez pracowników administratora, posiadających pisemne upoważnienia do przetwarzania danych osobowych. Oczywiście jest to tylko jeden z przykładów.
RODO wpływa na kształt Kodeksu Pracy
Szykują się także zmiany w Kodeksie pracy, tj. także w osławionym ostatnimi czasy art. 22 i artykułach pochodnych, tj. 221 itp. W projekcie czytamy, że pracodawca „żąda od osoby ubiegającej się o zatrudnienie” konkretnego katalogu danych osobowych. Jest to istotne doprecyzowanie w stosunku do obecnego zapisu, tj. „pracodawca ma prawo żądać”. W analizowanym projekcie pojawia się także zapis mówiący o tym, że szerszy katalog danych będzie mógł być wykorzystany przez pracodawców na podstawie zgody osoby ubiegającej się o zatrudnienie lub pracownika. Czy zatem doczekamy się doprecyzowania kwestii stosowania zgód w procesach rekrutacji, czy też przy wykorzystaniu wizerunku pracownika?
Obowiązek informacyjny w siedzibie przedsiębiorcy
Kolejna ważna kwestia być może będzie odnosiła się do informacji o przetwarzaniu danych osobowych, tj. do osławionego „obowiązku informacyjnego”. Przykładem jednej z ustaw objętych taką zmianą jest np. ustawa z dnia 30 maja 2014 r. o prawach konsumenta, która miałaby wskazywać wprost, że przedsiębiorca będzie musiał wywieszać treść informacji o przetwarzaniu danych osobowych w lokalu/siedzibie lub udostępniać je na stronie internetowej. Czy ustawodawca jednoznacznie zobowiąże przedsiębiorców do przekazywania informacji, o których mowa w art. 13 RODO? Czy w siedzibach przedsiębiorców rzeczywiście będą musiały pojawić się wywieszone w widocznych miejscach wydruki z informacjami na temat szczegółów przetwarzania danych osobowych, jeżeli informacja taka nie zostanie upubliczniona na stronie internetowej?
Dane osobowe upublicznione w ramach rejestrów publicznych
Być może doczekamy się także doprecyzowania kwestii związanej z przetwarzaniem danych osobowych upublicznionych w ramach rejestrów publicznych, takich jak CEIDG, czy też KRS. W projekcie omawianej ustawy czytamy, że ustawodawca planuje uchylenie art. 50 ustawy z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy. Uchylony artykuł odnosił się do częściowego wyłączenia przepisów „starej ustawy” o ochronie danych osobowych do jawnych danych i informacji udostępnianych przez CEIDG.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Ochrona danych osobowych ewoluuje wraz z otoczeniem biznesowym
Tylko cztery powyższe przykłady obrazują, jak istotne kwestie mogą pojawić się wraz z wejściem w życie analizowanej ustawy, a należy podkreślić, że projektowany akt prawny odnosi się do ogromnej ilości ustaw i powiązanych z nimi przepisów wykonawczych. Czy to ogromne wyzwanie, jakie stoi przed krajowym ustawodawcą rozwieje wszelkie wątpliwości przedsiębiorców?
Swoje działania rozpoczynają także krajowe organy nadzorcze państw europejskich. Intensywnie działa np. nadzorca brytyjski, a w ostatnich dniach głośno było o organie austriackim, który uznał, że przedsiębiorca stosujący monitoring przemysłowy przetwarza dane osobowe na dużą skalę, ponieważ kamery obejmowały swym zasięgiem sporą część ulicy i chodnika (należy przypomnieć, że takie przetwarzanie zgodnie z zapisami RODO, tj. przetwarzanie na dużą skalę, wiąże się ze szczególnym ryzykiem dla osób fizycznych). Wielomilionowe kary, którymi straszono przedsiębiorców wydają się być mało realne, ale obciążenia rzędu równowartości kilkunastu, czy też kilkudziesięciu tysięcy złotych są w innych krajach europejskich na porządku dziennym i mogą być równie dokuczliwe.
Podsumowując należy wskazać, że kwestia ochrony danych osobowych będzie jeszcze długo ewoluowała i z całą pewnością wymusi systematyczne działania, czy też wprowadzanie kolejnych zmian ma przedsiębiorcach będących administratorami i procesorami danych osobowych.
Z najnowszym tekstem projektu możecie Państwo zapoznać się TUTAJ.