B) Projekt ustawy wprowadzającej ustawę o ochronie danych osobowych - omówienie

Rozporządzenie 2016/679 zacznie być aktem bezpośrednio stosowanym od dnia 25 maja 2018 r. i do tego czasu każde z państw członkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcia właściwych przepisów wewnętrznych. Tym samym, począwszy od tej daty, wszystkie, właściwe polskie przepisy muszą zapewniać skuteczne stosowanie przepisów tego rozporządzenia. W tym celu, poza uchwaleniem nowej ustawy o ochronie danych osobowych, konieczne będzie również dokonanie licznych zmian w innych ustawach, zapewniających dostosowanie krajowego porządku prawnego do nowych norm prawnych Z uwagi na ich liczbę (133 ustawy sektorowe) zdecydowano się dokonać tego w projekcie ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych.

Wprowadzane zmiany dotyczą wielu aktów prawnych, dlatego też poniżej opisano wybrane ustawy:

1. Ustawa z dnia 19 czerwca 1974 r. – Kodeks pracy

Zmiany zaproponowane w Kodeksie pracy mają na celu przede wszystkim dostosowanie brzmienia obowiązujących przepisów prawa pracy do art. 6 ust. 1 lit c. rozporządzenia 2016/679, które wprowadziło przesłankę istnienia „obowiązku prawnego”, jako podstawy przetwarzania danych osobowych. Wskazana przesłanka stanowi główną podstawę legalizującą przetwarzanie danych osobowych pracowników lub kandydatów do pracy.

Nowe brzmienie przepisów Kodeksu pracy w art. 221 § 1 i 2 wskazuje na kategorie danych osobowych, które są niezbędne do pozyskania przez pracodawcę w związku z podejmowaniem przez niego działań przed zawarciem umowy o pracę oraz po jej zawarciu. W związku z tym, pracodawca może żądać ich udostępnienia przez pracownika.

Gromadzenie pozostałych kategorii danych osobowych osoby ubiegającej się o zatrudnienie lub pracownika uzależnione zostało od pozyskania na to dobrowolnej zgody, złożonej w postaci papierowej lub elektronicznej. Wyjątkiem w tym zakresie jest pozyskanie przez pracodawcę danych osobowych biometrycznych, które mogą być pozyskane na podstawie udzielonej uprzednio, dobrowolnej zgody wyłącznie od pracownika. Brak jest, bowiem uzasadnienia, dla pozyskiwania danych biometrycznych od osób ubiegających się o zatrudnienie. W wielu przypadkach, gromadzenie danych biometrycznych uzasadnione jest stosunkiem pracy a jednocześnie ich gromadzenie w żadnym zakresie nie stanowi ograniczenie praw i wolności osób, których dane dotyczą. Ich udostępnienie musi być bowiem w pełni dobrowolne, a w wielu przypadkach może wiązać się z korzyściami dla samych pracowników. Biometryczny dostęp do pomieszczeń jest bardzo często szybszy i bardziej skuteczny, niż za pośrednictwem innych form uwierzytelniania tożsamości. Jednocześnie, konieczne jest zapewnienie szczególnych warunków technicznych gromadzenia danych biometrycznych, które zawiera rozporządzenie wydane przez ministra właściwego do spraw informatyzacji. Należy jednak wyodrębnić kategorie danych osobowych, których przetwarzanie z uwagi na ich szczególny związek ze sferą intymności człowieka nie powinno nastąpić za zgodą. Należą do nich dane o nałogach, o stanie zdrowia, o życiu seksualnym lub orientacji seksualnej. Ich gromadzenie możliwe będzie więc wyłącznie w przypadkach, gdy jest to konieczne dla wypełnienia obowiązku wynikającego z przepisu prawa. Przepisy takie mogą również zobowiązywać do gromadzenia innych kategorii danych, w tym danych biometrycznych, co wyłącza konieczność pozyskania zgody na ich gromadzenie.

W przepisach prawa pracy wprowadzona została instytucja „monitoringu”, jako szczególna forma przetwarzania danych osobowych pracowników. Dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca podejmuje decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych, umożliwiających rejestrację obrazu (monitoring), jeżeli uzna to za koniczne. Monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika. Monitoring nie obejmuje pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni.

Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres niezbędny dla realizacji tych celów. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca, przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu.

2. Ustawa z dnia 14 marca 1994 r. o zakładowym funduszu świadczeń socjalnych

Zgodnie z projektowaną regulacją, w celu uzyskania ulgowej usługi i świadczenia, osoba uprawniona wyraża zgodę na podanie jej danych osobowych, danych osobowych członków jej rodziny oraz innych osób pozostających z nią we wspólnym gospodarstwie domowym, obejmujących:

- imię i nazwisko,
- datę urodzenia,
- stopień pokrewieństwa,
- adres zamieszkania, a także
- inne dane osobowe tych osób, jeżeli podanie takich danych jest niezbędne do ustalenia sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej.

Wyrażenie zgody następuje w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Zgoda jest wyrażana przy poszanowaniu pełnej swobody w jej udzielaniu. Udostępnienie pracodawcy danych osobowych, o których mowa powyżej następuje w formie oświadczenia osoby uprawnionej do korzystania z Funduszu. Pracodawca żąda udokumentowania danych osobowych, jeżeli uzna za konieczne ich potwierdzenie. Przetwarzanie wymienionych wyżej danych osobowych, jest możliwe tylko w zakresie niezbędnym do ustalenia prawa osoby uprawionej do ulgowej usługi i świadczenia.

3. Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym

W ustawie o Krajowym Rejestrze Karnym przewiduje się wyłączenie stosowania przepisów dotyczących: prawa do ograniczenia przetwarzania, obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych, prawa do sprzeciwu. Ograniczenie ww. praw i obowiązków w stosunku do danych przetwarzanych w KRK jest niezbędne dla zapewnienia ciągłości funkcjonowania i sprawności tego Rejestru, które służy bezpieczeństwu publicznemu, zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych i wykonywaniu kar, a także funkcjom kontrolnym, inspekcyjnym i regulacyjnym, związanym ze sprawowaniem władzy publicznej. Stosowanie obowiązku powiadomienia o sprostowaniu danych osobowych wszystkich odbiorców, którym ujawniono dane, stanowiłoby nadmierny ciężar, zagrażający efektywności działania KRK. Nie znajduje on ponadto uzasadnienia w kontekście informacji udzielanych z KRK.

Jednocześnie, istniejące regulacje zapewniają odpowiednią ochronę praw i wolności osób w tym zakresie. Zgodnie bowiem z ustawą o KRK, w przypadku stwierdzenia okoliczności wskazujących na prawdopodobieństwo wprowadzenia do Rejestru nieprawidłowych danych osobowych, przeprowadza się postępowanie w celu ustalenia prawidłowych danych. Postępowanie to nie wyklucza jednak możliwości dalszego przetwarzania tych danych w postaci udzielania informacji z KRK, (gdy podejrzenie dotyczy nieprawidłowości nieistotnych danych). Natomiast możliwość wcześniejszego zatarcia skazania na karę pozbawienia wolności na mocy postanowienia sądu wydanego na wniosek skazanego, a także zatarcia skazania na mocy prawa łaski Prezydenta Rzeczypospolitej Polskiej, zabezpieczają interesy osoby do zaprzestania przetwarzania danych dotyczących jej karalności z przyczyn związanych z jej szczególną sytuacją.

4. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych

Wprowadzone zostaną zmiany określające zakres danych przetwarzanych w związku z wynagrodzeniem z tytułu tzw. public lendingrights, a także wprowadzenie nowych przepisów określających obowiązek przetwarzania danych, w związku z wykonywaniem określonych w ustawie zadań przez ministra właściwego do spraw kultury i ochrony dziedzictwa narodowego oraz organizacje zbiorowego zarządzania.
Proponuje się ograniczenie praw podmiotu danych w ten sposób, że korespondencja oraz dostęp do danych byłyby realizowane bezpłatnie raz na 6 miesięcy. Częstsza realizacja wiązałaby się z koniecznością wniesienia opłaty równej kosztom sporządzenia odpowiedzi lub kopii danych. Propozycja jest uzasadniona interesem finansowym państwa: minister właściwy do spraw kultury i dziedzictwa narodowego oraz organizacja zbiorowego zarządzania, jako podmioty publiczne, narażone byłyby na poniesienie znacznych kosztów w przypadku realizacji praw przewidzianych w powyższych przepisach bez ograniczeń. Z tego samego powodu, proponuje się ograniczenie obowiązku zawiadamiania podmiotu danych o naruszeniu ochrony, z jednoczesnym zobowiązaniem do publicznego poinformowania na stronie podmiotowej w BIP lub internetowej stronie podmiotowej, o naruszeniu ochrony w ciągu 72 godzin od jego stwierdzenia. Poza tym, prawo do informacji również byłoby ograniczone w takim zakresie, w jakim są niezbędne do realizacji zadań ustawowych administratora danych osobowych. Należy podkreślić, że administrator byłby zobowiązany do publicznego poinformowania o wprowadzonych ograniczeniach poprzez umieszczenie stosownej informacji na stronie BIP.

5. Ustawa z dnia 10 kwietnia 1997 r. – Prawo energetyczne

Proponowana zmiana wynika z konieczności doprecyzowania skutku wykreślenia danych z rejestru poprzez wyraźne określenie, że wykreślenie z danego rejestru jest równoznaczne z fizycznym usunięciem z tego rejestru danych wykreślanego podmiotu. Wszystkie wykreślane dane nadal znajdują się w złożonych do organu rejestrowego wnioskach o wpis do rejestru, które stanowią akta sprawy. Ponieważ organ rejestrowy – Prezes Urzędu Regulacji Energetyki jest organem państwowym, do postępowania z aktami sprawy stosuje przepisy ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach w rozumieniu, której, akta sprawy są materiałem archiwalnym podlegającym archiwizacji przez okres czasu zgodny z nadaną im kategorią, zgodnie z wewnętrzną instrukcją kancelaryjną. W związku z tym, zrezygnowano z wprowadzania do ustawy – Prawo energetyczne przepisu określającego okres przechowywania wniosków o wpis do rejestru.

Zgodnie z projektowaną zmianą ustawy Prawo energetyczne operatorzy systemów dystrybucyjnych instalujący u odbiorców końcowych przyłączonych do ich sieci liczniki zdalnego odczytu są obowiązani chronić dane pomiarowe dotyczące tych odbiorców, na zasadach określonych w przepisach o ochronie danych osobowych.

6. Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej

Zmiana ma charakter dostosowawczy i związana jest ze zmianą organu właściwego w sprawach ochrony danych osobowych. Zmiana polega na zastąpieniu odwołania do Generalnego Inspektora Danych Osobowych odwołaniem do Prezesa Urzędu Ochrony Danych Osobowych.
Ponadto, zapisy tej ustawy zostaną uzupełnione poprzez wskazanie Ubezpieczeniowego Funduszu Gwarancyjnego (obok Polskiej Izby Ubezpieczeń) jako podmiotu zobowiązanego do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia. Propozycja ma na celu potwierdzenie objęcia obowiązkiem zachowania tajemnicy ubezpieczeniowej również Ubezpieczeniowego Funduszu Gwarancyjnego, co jest związane m.in. z prowadzeniem przez UFG informatycznych baz danych, które obejmują informacje o wypłaconych odszkodowaniach i świadczeniach z umów ubezpieczenia. Przetwarzanie przez UFG danych sensytywnych wymaga w świetle rozporządzenia 2016/679 (art. 9 i 10) dodatkowych gwarancji praw i wolności. Objęcie UFG expressis verbis tajemnicą ubezpieczeniową będzie mogło być uznane za taką gwarancję.

Poza tym, konieczne będzie pozyskiwanie wyraźnej zgody na przetwarzanie danych osobowych przez osobę ubezpieczoną, osobę, na której rachunek ma być zawarta umowa ubezpieczenia lub przedstawiciela ustawowego każdej z tych osób. Ponadto, warunkiem wyrażenia zgody, zapewniającym jej wyraźny charakter są obowiązki nałożone na administratora dotyczące sposobu sformułowania klauzuli wyrażenia zgody. Dotyczą one jej przejrzystości i precyzyjnego sformułowania, co jest dodatkowym elementem, uzasadniającym wystarczający charakter wyraźnego udzielenia zgody, przez osobę, której dane dotyczą. Konieczne będzie również uzyskanie zgody przez podmiot danych na udostępnienie danych osobowych innym zakładom ubezpieczeń.

Zmiana do tej ustawy przyznaje także zakładom ubezpieczeń możliwość zautomatyzowanego podejmowania decyzji, w tym profilowania w toku zawierania i realizacji umów ubezpieczeniowych, pod warunkiem wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Przewiduje także możliwość dokonywania zautomatyzowanego podejmowania decyzji, w tym profilowania jedynie w celu oceny ryzyka ubezpieczeniowego, uzasadnionej ponadto specyfiką prowadzonej regulowanej działalności.
Potencjalne wątpliwości co do ryzyka przetwarzania danych osobowych czy ich ewentualnego udostępnienia zostaje zminimalizowane, ze względu na fakt, że zakład ubezpieczeń, który może dokonywać profilowania i podejmowania zautomatyzowanych decyzji, jest związany tajemnicą ubezpieczeniową, a jego działalność jest nadzorowana przez Komisję Nadzoru Finansowego.

Administrator danych przetwarzając dane osobowe związane z zawieraniem i wykonywaniem umów ubezpieczenia, w zakresie i na zasadach przewidzianych w ustawie o działalności ubezpieczeniowej i reasekuracyjnej jest zwolniony z konieczności realizacji obowiązku informacyjnego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Należy również wskazać, że zakład ubezpieczeń pełniący funkcję administratora danych jest zobowiązany do podjęcia środków zapewniających odpowiedni poziom bezpieczeństwa przetwarzanych danych objętych zakresem tajemnicy ubezpieczeniowej.

7. Ustawa z dnia 20 lutego 2015 r. o odnawialnych źródłach energii

Proponowana zmiana polegająca na dodaniu w art. 15 ust. 1a, wynika z konieczności doprecyzowania skutku wykreślenia danych z rejestru poprzez wyraźne określenie, że wykreślenie z danego rejestru jest równoznaczne z fizycznym usunięciem z tego rejestru danych wykreślanego podmiotu. Pozwoli to uniknąć wątpliwości pojawiających się w związku z obecnym brzmieniem ww. przepisu czy dane podmiotu wykreślonego są nadal widoczne, ale np. z adnotacją „wykreślony” lub odpowiadającym jej oznaczeniem graficznym. Należy jednocześnie wskazać, że wszystkie wykreślane dane nadal znajdują się w złożonych do organu rejestrowego (Prezes Urzędu Regulacji Energetyki) wnioskach o wpis do rejestru, które stanowią akta sprawy i jako takie są archiwizowane. W związku z tym zrezygnowano z określania w ustawie, przez jaki okres wnioski mają być przechowywane.

W związku z nałożonym przez rozporządzenie 2016/679 obowiązkiem wyraźnego określenia administratora danych osobowych proponuje się wskazać, że wszystkie podmioty biorące udział w przetwarzaniu danych związanym z przekazywaniem informacji i sprawozdań są ich administratorami. Pozwoli to, przede wszystkim, uniknąć wątpliwości co do tego, który podmiot jest administratorem, a który podmiotem przetwarzającym. W związku z konstrukcją procedury wydawania świadectw pochodzenia oraz świadectw pochodzenia biogazu rolniczego, która może budzić wątpliwości, co do roli i obowiązków podmiotów w zakresie przetwarzania danych osobowych (wnioski są składane do Prezesa URE za pośrednictwem operatorów systemów) proponuje się wyraźnie określić, że zarówno Prezes URE, jak i operatorzy są administratorami danych osobowych. Propozycja ta jest uzasadniona również tym, że operatorzy nie tylko przekazują wnioski, ale dokonują również ich częściowej weryfikacji, ich rola przy przetwarzaniu danych osobowych nie może zatem zostać pominięta.

Administratorami danych osobowych przetwarzanych w związku z wydawaniem:

1) świadectw pochodzenia – są Prezes URE oraz operator systemu elektroenergetycznego,
2) świadectw pochodzenia biogazu rolniczego – są Prezes URE oraz operator systemu dystrybucyjnego gazowego.
Operator systemu dystrybucyjnego elektroenergetycznego, operator systemu przesyłowego elektroenergetycznego oraz Prezes URE są administratorami danych osobowych przetwarzanych w związku z wydawaniem gwarancji pochodzenia.

8. Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej

W projektowanej zmianie tej ustawy zaproponowano wskazanie 10-cio letniego okresu przetwarzania danych przedsiębiorcy wykreślonego z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Tak wskazany okres realizuje zasady przetwarzania danych osobowych przedsiębiorców wykreślonych z CEIDG, których celem jest umożliwienie ustalenia zmian zachodzących we wpisach przedsiębiorcy, np. w celu dochodzenia roszczeń od tego przedsiębiorcy.

Zgodnie z proponowanymi zmianami, minister właściwy do spraw gospodarki prowadzi pojedynczy punkt kontaktowy przy użyciu systemu teleinformatycznego i jest administratorem danych jego użytkowników. Dane zawarte w CEIDG nie mogą być z niej usunięte, chyba, że przepisy odrębne stanowią inaczej.

Ponadto, projektowana ustawa wprowadzająca ustawę o ochronie danych osobowych zawiera także zapis dotyczący administratorów bezpieczeństwa informacji (ABI), którzy przetwarzają dane osobowe na podstawie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Proponuje się, aby w celu zapewnienia ciągłości wykonywania funkcji gwarantującej przestrzeganie przepisów o ochronie danych osobowych w danym podmiocie, osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji wykonywały funkcję inspektora ochrony danych osobowych do dnia 1 września 2018 r.

W tym czasie administrator danych osobowych lub podmiot przetwarzający powinien zawiadomić Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu inspektora ochrony danych albo w tym terminie obowiązany jest przekazać Prezesowi Urzędu Ochrony Danych Osobowych informację, że dotychczasowy administrator bezpieczeństwa informacji nie pełni u niego funkcji inspektora ochrony danych osobowych.
W świetle powyższego, w ocenie projektodawcy istnieje konieczność zweryfikowania dotychczasowych administratorów bezpieczeństwa informacji pod kątem nowych wymagań kwalifikacyjnych.  

Projektowana ustawa z dnia …. 2018 r. Przepisy wprowadzające ustawę o ochronie danych osobowych ma wejść w życie po upływie 30 dni od dnia jej ogłoszenia.

Projekt ustawy został zamieszczony w Biuletynie Informacji Publicznej na stronie Rządowego Centrum Legislacji, w serwisie „Rządowy Proces Legislacyjny” oraz w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra Cyfryzacji

Na obecnym etapie, Ministerstwo Cyfryzacji zakończyło proces konsultacji społecznych obu projektów ustaw tj. ustawy z dnia …. 2017 r. o ochronie danych osobowych oraz ustawy z dnia …. 2018 r. Przepisy wprowadzające ustawę o ochronie danych osobowych.

Radca Prawny Mateusz Romowicz

Beata Edyta Madejska - prawnik specjalizujący się w prawie UE

Więcej informacji znajdą Państwo na stronie kancelaria-gdynia.eu ,  www.prawo-korporacyjne.pl