Dostosowywania polskich przepisów do RODO ciąg dalszy

Choć RODO obowiązuje już od ponad pół roku, polski ustawodawca wciąż pracuje nad dostosowaniem rodzimych przepisów do unijnego rozporządzenia. Teraz pod lupę wziął ponad 160 ustaw i zaproponował zmiany istotne m.in. przy niemal każdej rekrutacji, w działalności e-commerce czy w funkcjonowaniu mikroprzedsiębiorców. Co z tych legislacyjnych prac wyniknie, jeszcze nie wiadomo, lecz z pewnością warto śledzić postępy tych prac.

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 został właśnie skierowany do pierwszego czytania.

Projektowana ustawa zakłada zmianę ponad 160 szczegółowych ustaw w zakresie ochrony danych osobowych. Zważywszy, że przepisy rozporządzenia RODO sformułowane są na dużym stopniu ogólności, a ustawa o ochronie danych osobowych reguluje głównie kwestie proceduralne, projektowana ustawa jest wyjątkowo istotna dla przedsiębiorców. Reguluje bowiem szczegółowo zasady postępowania z danymi osobowymi w poszczególnych dziedzinach działalności, wskazując konkretne obowiązki lub ograniczenia dla przedsiębiorców.

Zmiany dla pracodawców

Istotne zmiany w zakresie zasad przetwarzania danych osobowych czekają przede wszystkim pracodawców. Procedowane zmiany Kodeksu Pracy zmieniają kategorie danych osobowych niezbędnych pracodawcy w związku z podejmowaniem przez niego działań na etapie rekrutacji przed zawarciem umowy o pracę oraz po nawiązaniu stosunku pracy. Chodzi o to, jakich danych będzie mógł żądać pracodawca od osoby rekrutowanej oraz jakie będzie mógł przetwarzać po jej zatrudnieniu. Niewymienione w katalogu określonym przez Kodeks Pracy dane osobowe będą mogły być pobierane, jeśli będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa (Kodeksu Pracy czy ustaw szczegółowych).

Jednym z istotnych ograniczeń będzie kwestia zbierania od osób rekrutowanych informacji o wykształceniu, kwalifikacjach zawodowych lub przebiegu dotychczasowego zatrudnienia. Projektowane przepisy zakładają, że pracodawca może żądać podania tych danych, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Ustawodawca stoi bowiem na stanowisku, iż nie każdy stosunek pracy uzasadnia gromadzenie wyżej wymienionych informacji. Dodatkowo, nowe przepisy precyzują możliwość i zasady gromadzenia szczególnej kategorii danych osobowych pracowników. Dotyczy to głównie danych o karalności, których pozyskiwanie będzie niemożliwe nawet za zgodą pracownika. Dane takie będą mogły być przetwarzane wyłącznie w przypadku, gdy przepis będzie przewidywać obowiązek ich żądania przez pracodawcę lub obowiązek ich udostępnienia przez osobę ubiegającą się o zatrudnienie lub pracownika.

E-commerce

Ponieważ przepisy RODO swoim zakresem obejmują również przetwarzanie danych osobowych w związku ze świadczeniem usług drogą elektroniczną, konieczne były również zmiany przepisów regulujących obszar e-commerce. Zmianie ulegnie w szczególności zakres danych osobowych, które mogą być przetwarzane w związku ze świadczeniem usług drogą elektroniczną, jak również po zakończeniu świadczenia tego rodzaju usług.

Zmiany obejmą także zasady wyrażania zgody przez usługobiorców w zakresie korzystania z usług świadczonych drogą elektroniczną. Projektowane przepisy zakładają odesłanie w tym zakresie do przepisów o ochronie danych osobowych. Oznacza to, że zgoda na przesyłanie informacji handlowych będzie musiała spełniać te same wymogi, co zgoda w RODO. Oznacza to, że będzie musiała być dobrowolna, konkretna, świadoma i jednoznaczna. Wprowadzona zostanie też wystarczająca forma wyraźnego działania potwierdzającego (a nie tylko oświadczenia). W tym zakresie należy zwrócić w szczególności uwagę na określone w przepisach RODO warunki wyrażania zgody na przetwarzanie danych osobowych dzieci poniżej 16. roku życia, w przypadku świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dzieciom.

Zmiany przepisów ustawy o świadczeniu usług drogą elektroniczną powinny zwrócić szczególną uwagę przedsiębiorców prowadzących sklepy internetowe oraz wszelkiego rodzaju e-serwisy.

Mikroprzedsiębiorcy

Proponowane zmiany przepisów ustawy o prawach konsumenta zakładają pewne ułatwienia w zakresie wypełnienia obowiązków informacyjnych o przetwarzaniu danych osobowych dla mikroprzedsiębiorców. Dotyczy to podmiotów, które zatrudniały w ostatnim okresie mniej niż 10 pracowników oraz osiągnęły roczny obrót netto nieprzekraczający równowartości 2 milionów euro w przeliczeniu na polskie złote. W zakresie umów zawieranych z udziałem konsumentów, w tym umów zawieranych na odległość lub poza lokalem przedsiębiorstwa, przedsiębiorcy ci będą mogli spełnić obowiązek informacyjny, o którym mowa w art. 13 RODO, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Ułatwienie to nie zadziała jednak, jeżeli osoba, której dane dotyczą, nie będzie miała możliwości zapoznania się z informacjami, a także jeśli przedsiębiorcy przetwarzać będą „dane wrażliwe” lub będą udostępniać dane innym podmiotom, chyba że osoba wyrazi na to zgodę. W takich przypadkach konieczne będzie spełnienie obowiązku informacyjnego na zasadach ogólnych.

To tylko nieliczne przykłady planowanych zmian, podjętych w celu dostosowania polskich przepisów do zasad przetwarzania danych osobowych określonych w rozporządzeniu RODO. 27 listopada br. projekt został skierowany do pierwszego czytania na posiedzeniu Sejmu. Z uwagi na zakres projektowanych zmian trudno przewidzieć, kiedy zakończą się prace parlamentarne i przepisy zaczną obowiązywać. Z pewnością będziemy śledzić ten proces legislacyjny.