Zmiany prawa w związku z RODO. Sprawdź, czy dotyczą Cię nowe przepisy dotyczące ochrony danych osobowych

4 maja 2019 r. weszła w życie ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730). Ten kompleksowy akt prawny, zwany ustawą sektorową, nowelizuje aż 162 ustawy w celu zharmonizowania polskich przepisów z regulacjami wynikającymi z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).

RODO  zaczęło obowiązywać 25 maja 2018 r. Wraz z nim weszła w życie nowa ustawa o ochronie danych osobowych z 10 maja 2018 r. (Dz.U. z 2018 r. poz. 1000), którą wprowadzono ogólne regulacje niezbędne w celu zapewnienia stosowania RODO (np. dotyczące postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, kontroli przestrzegania tych przepisów, odpowiedzialności cywilnej i karnej oraz kar administracyjnych za ich naruszenie) oraz, jedynie w kilku przypadkach, zmiany w przepisach sektorowych (np. w Kodeksie pracy, wprowadzając nowe przepisy w zakresie monitoringu pracowniczego). Ustawa sektorowa wprowadza kolejne, liczne zmiany w regulacjach krajowych, mające zapewnić dostosowanie polskiego porządku prawnego do przepisów RODO. Zmiany te dotyczą m.in. regulacji z zakresu:

• Prawa pracy - dokonano nowelizacji Kodeksu pracy, w tym wskazano kategorie danych osobowych niezbędnych do pozyskania przez pracodawcę od osób ubiegających się o zatrudnienie oraz pracowników, uregulowano kwestię przetwarzania danych wrażliwych, w tym możliwość pobierania danych biometrycznych od pracownika w sytuacjach, w których podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony, wprowadzono regulację wyłączającą możliwość stosowania monitoringu pomieszczeń zakładowej organizacji związkowej oraz doprecyzowano przepisy dotyczące instalacji monitoringu wizyjnego w pomieszczeniach sanitarnych; uzupełniono również przepisy ustawy o zakładowym funduszu świadczeń socjalnych, m.in. poprzez wskazanie, że udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z funduszu i ustalenia ich wysokości, następuje w formie oświadczenia oraz, że do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 RODO. mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę.
• Praw konsumentów – zmieniono ustawę o ochronie praw konsumentów, wprowadzając istotne ułatwienie dla mikroprzedsiębiorców, tj. firm zatrudniających mniej niż 10 pracowników oraz których roczny obrót lub suma aktywów bilansu nie przekracza równowartości 2 mln euro - obecnie mogą one wykonywać obowiązek informacyjny wynikający z art. 13 RODO, poprzez wywieszenie stosownych informacji w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej.
• Działalności ubezpieczeniowej – znowelizowano ustawę o działalności ubezpieczeniowej i reasekuracyjnej, m.in. poprzez wprowadzenie ustawowej podstawy dla przetwarzania danych dotyczących zdrowia ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawartych w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia – oznacza to, że zakłady ubezpieczeń nie muszą już uzyskiwać w tym zakresie zgody klientów na przetwarzanie danych.
• Bankowości – zmieniono ustawę Prawo bankowe, m.in. wyłączając obowiązek administratora przewidziany w art. 15 RODO (udzielenie dostępu do danych osobie, której dane dotyczą) w zakresie, w jakim jest to niezbędne do prawidłowej realizacji zadań dotyczących zapobiegania przestępstwom oraz przeciwdziałania praniu pieniędzy i finansowania terroryzmu, a także dopuszczając możliwość tzw. profilowania w procesie oceny zdolności kredytowej i analizy ryzyka kredytowego
• Praw pacjenta - dokonano nowelizacji ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, m.in. poprzez wskazanie podmiotów wykonujących obowiązki administratora danych, określenie warunków pobierania opłat za udostępnienie dokumentacji medycznej (pierwsza kopia dokumentacji medycznej powinna być wydana pacjentowi za darmo) czy wprowadzenie obowiązku zachowania w tajemnicy informacji związanych z pacjentem przez osoby, które w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych uzyskały dostęp do tych informacji.
• Postępowania administracyjnego – znowelizowano Kodeks postępowania administracyjnego m.in. poprzez wskazanie, że organy administracji publicznej wykonują obowiązek informacyjny wynikający z art. 13 ust. 1 i 2 RODO przy pierwszej czynności skierowanej do strony (chyba że strona już posiada te informacje, a ich zakres lub treść nie uległy zmianie).

Pełna lista ustaw zmienionych ustawą sektorową znajduje się pod tekstem.

Tekst ustawy dostępny jest na stronie internetowej Sejmu RP (Internetowy System Aktów Prawnych)

Agata Kudelska

Departament Wsparcia Przedsiębiorczości PARP