Opublikowane 14 września projekty ustaw: o ochronie danych osobowych oraz ustaw wprowadzających mają zapewnić zgodność polskich przepisów z rozporządzeniem ogólnym o ochronie danych osobowych (RODO), które zacznie być stosowane od 25 maja 2018 roku. Co zmienią nowe przepisy?

Certyfikacja jakości

Projekt przesądza, że certyfikacji jakości i oznaczeń w zakresie ochrony danych osobowych będzie dokonywał wyłącznie prezes Urzędu Ochrony Danych Osobowych. W ramach procedury certyfikacji oceniana będzie zgodność operacji przetwarzania danych przez administratora lub procesora. Prezes urzędu będzie opracowywał kryteria certyfikacji i udostępniał je w „Biuletynie Informacji Publicznej". Wniosek o certyfikację rozpatrywany będzie w terminie nie dłuższym niż trzy miesiące od dnia jego złożenia. Co ważne, stosowanie zatwierdzonego mechanizmu certyfikacji będzie elementem wykazania przestrzegania przez administratora lub procesora ciążących na nich obowiązków.

Naruszenia przepisów

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych będzie prowadzone przez prezesa urzędu. Będzie to postępowanie jednoinstancyjne. Przemawia za tym konieczność zapewnienia osobie, której prawa zostały naruszone, ostatecznego rozstrzygnięcia, które będzie mogło być skutecznie i szybko egzekwowalne. W ocenie projektodawcy ochrona danych osoby fizycznej wymaga, by zasadą była natychmiastowa wykonalność takich decyzji. Inaczej często traci ona sens, gdyż z upływem czasu skala naruszenia może znacznie zwiększyć rozmiar, a jego skutki mogą mieć nieodwracalny charakter. Zapewne z tego względu o każdym przypadku niezałatwienia sprawy w terminie prezes urzędu zawiadamia strony, podając przyczyny zwłoki, informację o stanie sprawy i przeprowadzonych w jej toku czynnościach oraz wskazując nowy termin.

Dla przedsiębiorców istotne jest, że jako strona postępowania będą mogli zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa. Dodatkowo prezes Urzędu na wniosek lub z urzędu będzie mógł w niezbędnym zakresie ograniczyć prawo wglądu do materiału dowodowego, jeżeli ich pokazanie groziłoby ujawnieniem m.in. tajemnicy przedsiębiorstwa.

Co do zasady decyzje wydane przez prezesa urzędu będą podlegały natychmiastowemu wykonaniu. Niemniej w interesie podmiotu, na który nałożono karę, wprowadzono regulację, zgodnie z którą wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Postępowanie kontrolne

Kontrole przestrzegania przepisów o ochronie danych osobowych będą mogły mieć charakter planowy (zgodnie z zatwierdzonym przez prezesa urzędu planem kontroli) bądź odbywać się poza planem - na podstawie uzyskanych informacji albo przeprowadzonych analiz.

Autopromocja
RADAR.RP.PL

Przemysł obronny, kontrakty, przetargi, analizy, komentarze

CZYTAJ WIĘCEJ

Co istotne, projekt przewiduje stosowanie do postępowania kontrolnego, w przypadku kontroli działalności gospodarczej przedsiębiorcy, przepisów ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej, ale z wyjątkiem przepisów art. 79, 82 i 83. Oznacza to, że nie będą stosowane przepisy dotyczące zawiadomienia o zamiarze wszczęcia kontroli, zakazu podejmowania i prowadzenia więcej niż jednej kontroli działalności przedsiębiorcy oraz ograniczeń w zakresie czasu trwania wszystkich kontroli organu u przedsiębiorcy w jednym roku kalendarzowym. W opinii projektodawcy ich zastosowanie mogłoby uniemożliwić rzetelne i przeprowadzone we właściwym czasie postępowanie kontrolne w zakresie przestrzegania przepisów o ochronie danych osobowych.

Odpowiedzialność karna

Projektodawca zdecydował się sankcjonować w postępowaniu karnym wyłącznie najbardziej drastyczne postaci naruszenia przepisów o ochronie danych osobowych. Chodzi o przetwarzanie bez podstawy prawnej danych wrażliwych, czyli ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także danych genetycznych, biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Natomiast udaremnianie lub utrudnianie prowadzenia kontroli będą wykroczeniem. Obecnie przepisy karne dotyczące naruszenia ustawy o ochronie danych osobowych nie spełniają swojej funkcji. Powyższe sprawi, iż reakcja karna będzie bardziej precyzyjna i zarezerwowana wyłącznie dla najbardziej doniosłych społecznie naruszeń.

Kandydaci i pracownicy

W projekcie przewidziano dwie podstawy przetwarzania danych osobowych kandydatów do pracy i pracowników: przepis prawa (kodeks pracy i przepisy szczególne) oraz zgoda kandydata i pracownika. W ten sposób rozstrzygnięto dotychczasowe wątpliwości dotyczące możliwości przetwarzania danych pracowników oraz kandydatów do pracy w oparciu o ich zgodę. Przetwarzanie przez pracodawcę danych osobowych innych niż wymienione w kodeksie pracy lub w przepisach szczególnych będzie dopuszczalne tylko wtedy, gdy dotyczyć będą stosunku pracy i osoba ubiegająca się o zatrudnienie (kandydat) lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej.

Co istotne, zgoda nie będzie mogła dotyczyć wszystkich kategorii danych. Szczególnie w tym zakresie zostały potraktowane dane biometryczne, których przetwarzanie w oparciu o zgodę możliwe będzie wyłącznie w odniesieniu do pracownika (a nie kandydata) i pod warunkiem, że dotyczyć będą stosunku pracy. Co istotne, wizerunek stanowi daną biometryczną tylko jeżeli spełnia wymienione przesłanki, w szczególności w zakresie specjalnego przetwarzania technicznego.

Natomiast nie będzie można zbierać w ogóle zgód w odniesieniu do danych osobowych o nałogach, stanie zdrowia, życiu seksualnym lub orientacji seksualnej.

Brak zgody nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę.

Pracodawca dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić go na szkodę, będzie mógł podjąć decyzję o wprowadzeniu monitoringu. Nie może on jednak stanowić środka kontroli wykonywania pracy. Zgodnie z projektem monitoring nie może także obejmować pomieszczeń sanitarnych, szatni, stołówek lub palarni. Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca będzie mógł przetwarzać wyłącznie do celów, dla których zostały zebrane, i przechowywać przez okres niezbędny do ich realizacji. Pracodawca zobowiązany będzie informować pracowników o wprowadzeniu monitoringu, w sposób przyjęty u tego pracodawcy, nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu. Do tego należy dodać, iż pracodawca korzystający z przedstawionej podstawy prawnej do przetwarzania danych z monitoringu nie będzie musiał zbierać zgód od pracowników. Jednocześnie trzeba zwrócić uwagę, iż przedstawiona regulacja dotyczy wyłącznie pracowników, a nie kandydatów do pracy (nie obejmuje więc np. nagrywania rozmowy rekrutacyjnej). ?

Marketing

Projekt przesądza i synchronizuje wymogi dotyczące zgody zarówno zawarte w przepisach o ochronie danych osobowych jak i w ustawie o świadczeniu usług drogą elektroniczną (zgoda na przesyłanie informacji handlowych drogą elektroniczną) oraz w prawie telekomunikacyjnym (zgoda na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego). We wszystkich tych przypadkach zgoda będzie musiała uwzględniać wymagania RODO, gdzie przesądzono, iż zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.

Jednocześnie projektodawca nie zdecydował się zmienić art. 173 prawa telekomunikacyjnego. W związku z tym popularna zgoda na pliki cookies będzie mogła być w dalszym ciągu wyrażona m.in. za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Odpowiada to zresztą przedstawionej treści RODO.

Zgoda dziecka

W przypadku usług online zgoda dziecka, które nie ukończyło 13 lat, będzie skuteczną podstawą przetwarzania danych osobowych pod warunkiem uzyskania uprzedniej zgody jego przedstawiciela ustawowego (np. rodzica) albo po niezwłocznym potwierdzeniu przez niego zgody wyrażonej przez dziecko. Co istotne, wskazana regulacja dotyczy wyłącznie zgody jako odrębnej podstawy przetwarzania danych (np. zgoda marketingowa). Przepisy projektu nie określają wymogów skutecznego zawarcia przez dziecko umowy na świadczenie usług online (np. poprzez akceptację regulaminu konta WWW przez dziecko). W tym zakresie należy się odwołać do treści RODO oraz ogólnych wymogów kodeksu cywilnego.