Ustawa o RODO: rezygnacja z obowiązku informacyjnego tylko dla ryzykantów

Joanna Pieńczykowska

joanna.pienczykowska@infor.pl

Zwolnienia są, ale nie dla wszystkich i na własną odpowiedzialność

Mikroprzedsiębiorcy będą mogli w uproszczony sposób wypełnić obowiązek informacyjny dzięki ustawie o stosowaniu RODO. Jednak wprowadzone wyjątki i obostrzenia sprawiają, że w praktyce skorzystanie z tego prawa może być ryzykowne

223 strony tekstu, 168 zmienianych ustaw – taka jest skala podpisanej w środę przez prezydenta ustawy zapewniającej stosowanie RODO (ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady [UE] 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [ogólne rozporządzenie o ochronie danych]). W toku jej procedowania wielu przedsiębiorców, szczególnie tych mniejszych, liczyło, że ustawa przyniesie ułatwienia w spełnianiu obowiązków wymaganych przez RODO, zwłaszcza informacyjnych wobec osób, których dane są przetwarzane. Co do zasady całość obowiązków z RODO w literalnym brzmieniu obciąża bowiem wszystkich przedsiębiorców, bez względu na ich wielkość, możliwości organizacyjne, doświadczenie czy zakres przetwarzanych danych. Rodzimy ustawodawca dostrzegł, że te wymogi zwłaszcza dla niewielkich firm mogą być nadmiernym obciążeniem. W pewnym momencie planowano nawet, że firmy zatrudniające do 250 pracowników zostaną całkowicie zwolnione z obowiązku informacyjnego (o ile nie przetwarzają danych szczególnej kategorii i nie udostępniają danych podmiotom trzecim). Eksperci wskazywali jednak, że takie rozwiązanie jest niezgodne z RODO. Ponadto otwierało pole do nadużyć – wszak formalnie niewielka firma mogłaby przetwarzać dane nawet milionów osób bez konieczności spełniania obowiązku informacyjnego.

Ostatecznie zwolnienia dla szerokiego kręgu małych i średnich firm nie będzie. Za to ustawa wprowadzi pewne uproszczenie dla tych najmniejszych podmiotów – mikroprzedsiębiorców. Jej art. 126 dodał w ustawie z 30 maja 2014 r. o prawach konsumenta (t.j. Dz.U. z 2019 r. poz. 134) art. 4a stanowiący, że mikroprzedsiębiorcy (w rozumieniu art. 7 ust. 1 pkt 1 ustawy z 6 marca 2018 r. – Prawo przedsiębiorców (Dz.U. poz. 646 ze zm.) mogą skutecznie spełnić obowiązek informacyjny w zakresie umów (art. 13 RODO) po prostu poprzez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji dotyczących polityki prywatności. Dotyczy to przedsiębiorców zawierających umowy zarówno w lokalu przedsiębiorstwa, jak i poza lokalem oraz na odległość – np. prowadzących sklepy internetowe czy nawet w domach klientów. Już nie będą musieli wysyłać klientom e-maili czy listowej korespondencji o tym, że ich dane są przetwarzane. Wystarczy odpowiednia informacja w lokalu czy na stronie internetowej. Jednym słowem: ma być prościej, taniej, bez nadmiernej biurokracji.

Eksperci wskazują, że to rozwiązanie oczekiwane, bardzo probiznesowe i potrzebne. Wszak najmniejsze firmy nie powinny zostać obciążane takimi obowiązkami organizacyjnymi jak giganci!

Problematyczne zastrzeżenia

W tej beczce miodu jest jednak łyżka dziegciu. Rzecz w tym, że przepis ten stawia kilka warunków. A one sprawiają, że możliwość zastosowania wskazanego uproszczenia może być w praktyce kłopotliwa. Wątpliwości co do interpretacji przepisów mają bowiem nawet prawnicy.

– Wyłączenia zastosowane we wskazanym przepisie są tak skomplikowane pod kątem prawnym, że w efekcie mikroprzedsiębiorcy mogą bać się do niego stosować – ocenia Izabela Kowalczuk-Pakuła, partner w polskim biurze Bird & Bird, kierująca praktyką ochrony prywatności i danych osobowych. Dodany art. 4a ust. 2 prawa konsumentów stanowi bowiem, że przepisu upraszczającego wypełnienie obowiązku informacyjnego nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 RODO.

O jakie sytuacje chodzi w praktyce? Zdaniem naszych rozmówców może być to trudno ocenić. Wszak gdy osoba fizyczna została obsłużona w lokalu przedsiębiorcy, a nie została tam zapoznana z polityką prywatności, to wciąż przecież teoretycznie mogłaby wejść na stronę internetową firmy i tam o niej przeczytać.

Adwokat Tomasz Waszczyński uważa, że nie będzie można mówić o spełnieniu obowiązku informacyjnego, w sytuacji w której klient dokonuje transakcji przez internet, klauzula informacyjna wywieszona jest zaś jedynie w lokalu przedsiębiorcy. – Jeśli jednak informacja znajduje się wyłącznie na stronie internetowej, a klient jest obsługiwany w lokalu, to powinien zostać poinformowany, że polityka prywatności znajduje się na stronie internetowej. Wszak wejście na stronę internetową w dzisiejszych czasach to żadna uciążliwość. Dla bezpieczeństwa najlepiej jednak umieścić klauzulę informacyjną w obu miejscach – radzi mec. Waszczyński.

Ale to nie wszystko. Możliwość spełnienia obowiązku informacyjnego za pomocą wywieszki w lokalu lub na stronie internetowej została przez ustawodawcę wyłączona również w sytuacji, gdy przedsiębiorca przetwarza lub udostępnia innemu administratorowi dane osobowe szczególnej kategorii, o których mowa w art. 9 RODO. Chodzi o dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności albo orientacji seksualnej tej osoby. Z ułatwienia nie mogą zatem skorzystać np. ci mikroprzedsiębiorcy, którzy przetwarzają dane medyczne lub udostępniają je innym administratorom (chyba że osoba, której dane dotyczą, wyraziła na to zgodę lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na przedsiębiorcy).

– Zakres wyłączeń dla mikroprzedsiębiorców jest więc w praktyce kłopotliwy w praktycznym zastosowaniu i istnieje ryzyko błędnego zakwalifikowania swojej działalności, co może narazić niewielką firmę na sankcje od organu nadzorczego – uważa mec. Izabela Kowalczuk-Pakuła.

Kłopotliwy wymóg

Ale to niejedyny przepis, którego interpretacja może być kłopotliwa dla przedsiębiorców. Ustawa nakłada w wielu sytuacjach na różne podmioty obowiązek nadawania pracownikom pisemnych upoważnień do przetwarzania danych i odbierania pisemnych zobowiązań do zachowania danych w tajemnicy. Dotyczy to głównie samorządów, organów administracji państwowej i różnych wyspecjalizowanych jednostek i służb państwa, np. urzędów czy ministerstw, straży pożarnej, Żandarmerii Wojskowej, organów transportu drogowego, ale też banków, dostawców usług telekomunikacyjnych czy służby zdrowia, albo samorządów zawodowych architektów i inżynierów budownictwa.

Jak zauważają eksperci, polski ustawodawca okazał się w tym zakresie bardziej wymagający niż RODO. Jego art. 29 wskazuje na konieczność wydania polecenia przetwarzania danych osobowych, które może być wydane w dowolnej formie – niekoniecznie pisemnej.

– Konieczność pisemnego upoważnienia budzi wątpliwości co do zgodności z RODO. Nie widzę żadnych korzyści z takiego obciążenia. Administrator sam powinien podjąć decyzję, w jakiej formie chce upoważniać pracowników do przetwarzania danych osobowych i jak chce wykazać ten fakt przed organem nadzorczym – uważa mec. Tomasz Waszczyński. W polskich przepisach doprecyzowano zaś, że upoważnienie musi przyjąć formę pisemną, ale to nie oznacza konieczności wystawiania takich upoważnień na tradycyjnej kartce papieru.

– W art. 300 kodeksu pracy znajduje się odesłanie do kodeksu cywilnego, co umożliwia skorzystanie również z formy elektronicznej. Zgodnie bowiem z art. 781 par. 2 k.c. oświadczenie woli złożone w formie elektronicznej jest równoważne z oświadczeniem woli złożonym w formie pisemnej – mówi dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”. Dodaje, że jej zdaniem forma papierowa będzie jednak najbardziej praktyczna, bo i najłatwiejsza do zaprezentowania organowi nadzorczemu w przypadku ewentualnej kontroli.

Tajemnica zawodowa

W ustawie wdrażającej RODO nie sposób też doszukać się szumnie zapowiadanego wyłączenia adwokatów i radców prawnych spod obowiązku informacyjnego, w przypadku gdy ich klient przekaże im dane innych osób zaangażowanych w sprawę. Nie oznacza to jednak, że prawnicy będą musieli poinformować niewiernego męża, że żona właśnie dostarczyła jego dane do kancelarii w związku z chęcią rozwiedzenia się z nim. Jak wyjaśnia nam dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński, ustawodawca celowo postanowił nie odnosić się do tej kwestii. Wyłączenie tego obowiązku zapewnia już bowiem samo RODO. Mówi o tym dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji (patrz opinia). W art. 14 ust. 5 lit. d RODO czytamy, że „dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.” W polskim reżimie prawnym zasada dochowania tajemnicy radcowskiej oraz adwokackiej została uregulowana w ustawie z 26 maja 1982 r. – Prawo o adwokaturze (t.j. Dz.U. z 2018 r. poz. 1184 ze zm.), ustawie z 6 lipca 1982 r. o radcach prawnych (t.j. Dz.U. z 2018 r. poz. 2115 ze zm.) oraz w Kodeksie Etyki Radcy Prawnego, a także Zbiorze Zasad Etyki Adwokackiej i Godności Zawodu.

Część ekspertów wskazuje, że zwolnienie jest jednak fragmentaryczne, bo np. informacje z zeznań świadków na jawnej rozprawie nie podlegają tajemnicy zawodowej. Nie zgadza się z tym mec. Tomasz Waszczyński. – Sam proces mógł być jawny, natomiast wszystkie informacje uzyskane przez adwokata w ramach pomocy prawnej uznaje się za objęte tajemnicą zawodową. Adwokaci nie rozgraniczają tych informacji na poufne i jawne. Jeśli ktoś nie był na jawnym procesie i ma możliwość dowiedzenia się o tym z innego źródła, to i tak nie powinien dowiadywać się o tym od adwokata – twierdzi mec. Waszczyński.

Radcowie i adwokaci muszą jednak spełniać obowiązek informacyjny wobec swoich klientów (art. 13 RODO). Doktor Paweł Litwiński zaznacza, że ten wymóg trzeba spełnić tylko raz i można go uczynić od razu przy podpisywaniu umowy z klientem. To może stanowić kłopot wyłącznie w niektórych sytuacjach. Mecenas Waszczyński wskazuje jako przykład pierwszy kontakt z klientem na komisariacie bądź w zakładzie karnym. – Pierwszy kontakt z klientem odbywa się wówczas w specyficznych warunkach. Trudno sobie wyobrazić, aby adwokat roztrzęsionemu klientowi przedstawiał politykę prywatności. Natomiast przy podpisaniu umowy nie powinno być z tym już najmniejszego kłopotu. Wszak to jedynie kwestia dodania odpowiedniej klauzuli umownej – stwierdza mec. Waszczyński. ©℗

WAŻNE Mikroprzedsiębiorca będzie mógł uznać obowiązek informacyjny wobec klientów, dotyczący przetwarzania danych osobowych, za zrealizowany, jeśli wywiesi odpowiednią klauzulę w widocznym miejscu w lokalu lub udostępnieni ją na swojej stronie internetowej.

opinie ekspertów

Zwolnienia dla adwokatów w unijnym rozporządzeniu są wystarczające

dr Maciej Kawecki dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji

Przepisy państwa członkowskiego nie muszą przewidywać wyłączenia realizacji obowiązku informacyjnego przez adwokatów bądź radców prawnych, bo zawiera je wprost RODO. Największym problemem jest realizacja takiego obowiązku wobec osób trzecich, których dane zawarte są w aktach sprawy oraz przekazywane są przez klientów. Dla przykładu klient chcąc wziąć rozwód, przekazuje dane swojej współmałżonki, z którą chce się rozwieźć, ale ona o tym jeszcze nie wie. Realizacja obowiązku informacyjnego mogłaby ujawnić tajemnicę adwokacką czy radcowską. Dlatego ustawodawca unijny przesądził wyraźnie w art. 14 ust. 5 lit. d RODO, że przepisów konstruujących obowiązek informacyjny nie stosuje się, gdy dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy. Przepis ten w zasadzie wyłącza obowiązek informacyjny wobec wszystkich danych osób trzecich gromadzonych przez adwokatów czy radców prawnych w ramach prowadzonych przez siebie spraw. Fakt istnienia takiej tajemnicy jest bowiem bezsporny, a zakres takiej tajemnicy jest bardzo szeroki.

Realizacja obowiązku informacyjnego przez adwokata czy radcę prawnego wobec samych klientów na kanwie art. 13 RODO jest natomiast bezproblemowa. Po pierwsze, jest on ograniczony, bo część informacji klienci już posiadają. Po drugie, można zrealizować go na bardzo wiele sposobów w ramach bezpośrednich kontaktów z klientami, które następują bardzo często. ©℗

Oprac. JAS

Niespełnione obietnice

Marta Miszczuk radca prawny Kancelaria Affre i Wspólnicy

Od początku prac nad zmianą przepisów branżowych w związku z wejściem w życie RODO Ministerstwo Cyfryzacji obiecywało wiele wyłączeń, m.in. dotyczących obowiązku informacyjnego. Generalnie miało być łatwiej – zwłaszcza dla małych przedsiębiorstw. Tymczasem w ustawie jest tylko jeden przepis odnoszący się do ułatwień dla mikroprzedsiębiorców. Mianowicie w zakresie umów zawieranych w ich lokalu oraz poza lokalem i na odległość mogą oni wykonać obowiązek informacyjny przez wywieszenie informacji w widocznym miejscu lokalu lub na swojej stronie internetowej. Jednak do tej prostej zasady ustawodawca dodał wyjątek, który powoduje, że stosowanie tego przepisu może być ryzykowne. Dotyczy on sytuacji, gdy osoba, której dane dotyczą, nie ma możliwości zapoznania się z tymi informacjami. O jakie natomiast chodzi sytuacje – tego już ustawodawca nie sprecyzował. Znowu więc na przedsiębiorcę zostało przeniesione ryzyko oceny, czy dany klient ma możliwość zapoznania się z wywieszonymi informacjami, czy też nie. ©℗

Oprac. JP

Prezydent już podpisał

Przedsiębiorcy w Polsce dość długo czekali na dodatkowe przepisy, które mają ułatwić stosowanie unijnych regulacji w polskim porządku prawnym, przede wszystkim w poszczególnych branżach. Dopiero teraz parlament przyjął ustawę zmieniającą ponad 160 ustaw

Nowy akt prawny ma dość długi tytuł: ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Na potrzeby tego artykułu przyjmiemy skróconą nazwę „ustawa zapewniająca stosowanie RODO”. Ustawa czeka już na publikację w Dzienniku Ustaw.

Nie sposób omówić wszystkich modyfikacji, jakie wprowadzi ten obszerny akt prawny. Dlatego przedstawimy najistotniejsze nowości z punktu widzenia szerokiego kręgu przedsiębiorców oraz modyfikacje istotne dla wybranych sektorów, w tym usług bankowych i ubezpieczeniowych, adwokatów, radców prawnych.

Zapowiedzi... i co dalej?

Przy analizie uchwalonych przepisów zawartych w ustawie zapewniającej stosowanie RODO nasuwa się wniosek, że ustawodawca nie zwolnił większości przedsiębiorców (z wyjątkiem mikroprzedsiębiorców i detektywów) z wykonywania obowiązków informacyjnych wobec osób, których dane dotyczą. Zwolnienie takie zostało natomiast zastosowane do różnych instytucji publicznych, w tym ZUS.

Chodzi tu o obowiązek informacyjny, który wynika z art. 13 i 14 RODO. Przypomnijmy, że zgodnie z ich treścią każdemu podmiotowi danych należy przekazać kilkanaście kategorii informacji o sposobie i zakresie przetwarzania jego danych osobowych (m.in. o tym, kto jest administratorem danych, dla jakich celów i jak długo dane osobowe będą przetwarzane, komu będą udostępniane, jakie uprawnienia przysługują osobom, których dane dotyczą). W wielu przypadkach kontrowersje wzbudza techniczna lub organizacyjna możliwość (a także zasadność) przekazywania takich informacji. Niemniej jednak ustawodawca polski nie zdjął ani nie ograniczył tego obowiązku w sposób zgodny z postulatami wysuwanymi na etapie projektowania tych przepisów przez różne środowiska przedsiębiorców (z nielicznymi wyjątkami omówionymi niżej). Na wstępnym etapie projektowania omawianych przepisów na zwolnienie z konieczności wykonania obowiązku informacyjnego mogli mieć nadzieję np. adwokaci, radcowie prawni, notariusze, tłumacze przysięgli czy doradcy restrukturyzacyjni. Jednak finalnie ustawodawca na to się nie zdecydował. Wobec braku wyłączenia tego obowiązku w ostatecznym brzmieniu komentowanej ustawy, wskazane grupy zawodowe będą zobowiązane do informowania osób, których dane przetwarzają, o celach i zakresie przetwarzania ich danych.

W przepisach RODO zawarta jest co prawda możliwość niewykonania obowiązku informacyjnego ze względu na konieczność dochowania tajemnicy zawodowej (art. 14 ust. 5 lit. d RODO), jednak jest to zwolnienie ograniczone do pozyskiwania danych osobowych nie od osoby, której dane dotyczą oraz wyłącznie do obszaru, w którym obowiązuje tajemnica zawodowa (np. brytyjski odpowiednik izby adwokackiej w swoim opracowaniu wskazówek co do interpretowania przepisów RODO wskazał, że nie dotyczy, to chociażby danych osobowych świadków, gdy zeznają na jawnych rozprawach).

Detektywi w komfortowej sytuacji

Wśród tych, którzy zostali najłagodniej potraktowani przez ustawodawcę, są detektywi – chociaż i oni nie do końca będą usatysfakcjonowani. Detektywi zwolnieni zostali bowiem jedynie z wykonywania obowiązku informacyjnego na podstawie przepisów art. 13 RODO (czyli w odniesieniu do danych osób, które zebrali bezpośrednio od tych osób). Pomimo pierwotnie planowanego wyłączenia wobec nich także obowiązku informacyjnego wskazanego w art. 14 RODO (w odniesieniu do osób, których dane osobowe nie są pozyskiwane bezpośrednio od tych osób), ustawodawca ostatecznie nie zwolnił tej grupy zawodowej z tego obowiązku. Podobnie zatem, jak w przypadku wskazanych wyżej innych grup zawodowych, obowiązek informowania takich osób przez detektywów pozostaje w mocy, z wyjątkiem tych sytuacji, gdy detektyw będzie się mógł powołać na obowiązywanie tajemnicy zawodowej. Szczegółowo kwestie przetwarzania danych przez detektywów uregulowano w nowo dodanym rozdziale 3a do ustawy z 6 lipca 2001 r. o usługach detektywistycznych (t.j. Dz.U. z 2018 r. poz. 2163 ze zm.).

Mikroprzedsiębiorca biegły w prawie

Jednym z nielicznych zwolnień z obowiązku informacyjnego skierowanego wprost do przedsiębiorców jest zwolnienie zapewnione mikroprzedsiębiorcom.

Przypomnijmy, że rozumieniu przepisów ustawy z 6 marca 2018 r. – Prawo przedsiębiorców (Dz.U. poz. 646 ze zm.) za takiego jest uznawany przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki:

a) zatrudniał średniorocznie mniej niż 10 pracowników oraz

b) osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro.

Tacy drobni przedsiębiorcy, gdy występują w roli administratorów danych w umowach zawieranych z konsumentami (także w umowach zawieranych poza lokalem przedsiębiorstwa lub na odległość), zwolnieni będą z wykonania obowiązku informacyjnego wobec konsumentów (gdy to od nich pozyskali dane osobowe) wykonywanego indywidualnie (o czym przesądza art. 126 ustawy zapewniającej stosowanie RODO). Wystarczającym działaniem będzie w takim przypadku wywieszenie informacji o celach i zakresie przetwarzania danych osobowych w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie jej na stronie internetowej mikroprzedsiębiorcy (stosowny obowiązek znajdzie się w nowo dodanym art. 4 a do ustawy z 30 maja 2014 r. o prawach konsumenta; t.j. Dz.U. z 2019 r. poz. 134).

Wszystko byłoby dobrze, gdyby nie pewien drobny szkopuł, który sprawić może niemałe problemy. Równocześnie bowiem w komentowanych przepisach ustawodawca wprowadził niebezpieczny wyjątek od wskazanego zwolnienia. Jak wynika z dodanego do ustawy o prawach konsumenta art. 4 a ust. 2 „zwolnienia nie stosuje się, «jeśli konsument nie ma możliwości zapoznania się z tymi informacjami»”. Wobec faktu, że niewykonanie obowiązku informacyjnego jest zagrożone wysoką sankcją finansową (do 20 mln euro lub 4 proc. wartości rocznego obrotu przedsiębiorcy), skorzystanie ze zwolnienia ustawowego z tak określonym wyjątkiem od niego może narazić przedsiębiorcę na niezamierzone naruszenie przepisów o ochronie danych osobowych. Skąd bowiem mikroprzedsiębiorca ma mieć wiedzę o tym, czy konsument, który kupuje u niego towary lub zamawia usługę „nie miał możliwości” zapoznania się z informacją wywieszoną w lokalu lub udostępnioną na stronie internetowej?

Dodatkowo w nowych przepisach ustawodawca zawarł kolejne wyłączenie ze zwolnienia od wykonywania obowiązku informacyjnego: jeśli mikroprzedsiębiorca przetwarza szczególne kategorie danych osobowych konsumenta (np. informacje o jego stanie zdrowia), to zobowiązany będzie powiadomić go indywidualne.

W praktyce oznacza to, że z ułatwienia nie skorzystają małe podmioty medyczne. Ale nie tylko one. Także inni mikroprzedsiębiorcy będą musieli pamiętać o ograniczeniu. Przykładowo przedsiębiorca prowadzący na niewielką skalę firmę cukierniczą wypiekającą na życzenie klientów torty uwzględniające wymagania dietetyczne klientów (np. dietę bezglutenową) będzie zobowiązany spełnić indywidualnie obowiązek informacyjny wobec tych konsumentów, którzy podają mu informacje o swoim stanie zdrowia, a on przetwarza te dane.

Wskazane zwolnienie z wykonania obowiązku informacyjnego w sposób zindywidualizowany nie odnosi się do danych osobowych niekonsumentów przetwarzanych przez mikroprzedsiębiorcę (np. danych kontrahentów i przedstawicieli kontrahentów, danych pracowników i kandydatów do pracy). Nie odnosi się ono także do danych osobowych pozyskiwanych przez mikroprzedsiębiorców od osób trzecich. Stosowanie tego zwolnienia wymaga sporej biegłości w poruszaniu się wśród przepisów o ochronie danych osobowych.

Ponowne wykorzystanie informacji sektora publicznego

Zwolnienie z obowiązku informacyjnego zostało także zawarte w ustawie zapewniającej stosowanie RODO w odniesieniu do udostępniania lub przekazywania informacji sektora publicznego do ponownego wykorzystywania (art. 142 ustawy zapewniającej stosowanie RODO). Ustawodawca zwolnił z obowiązku informacyjnego administratorów danych. Zwolnienie to dotyczy art. 13 ust. 3 RODO (zgodnie z którym, jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem powinien poinformować osobę, której dane dotyczą, o tym innym celu).

Drugie zwolnienie wynikające ze znowelizowanych przepisów ustawy z 25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego (t.j. Dz.U. z 2018 r. poz. 1243 ze zm.) dotyczy przetwarzania przez użytkownika, w celu ponownego wykorzystania, danych osobowych:

• osób pełniących funkcje publiczne mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania tych funkcji,
• osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe,
• obejmujących nazwę (firmę), numer identyfikacji podatkowej (NIP) albo imię i nazwisko kontrahenta podmiotu zobowiązanego (zobowiązanego do udostępnienia informacji sektora publicznego).

Użytkownicy ci będą mogli skorzystać ze zwolnienia z wykonania obowiązku informacyjnego ciążącego na nich na podstawie art. 14 ust. 1–4 RODO. Wydaje się niezrozumiałe, dlaczego w katalogu tych danych znalazły się dane osób reprezentujących osoby prawne (a zatem dane z Krajowego Rejestru Sądowego dotyczące spółek z ograniczoną odpowiedzialnością oraz spółek akcyjnych, a – jak wynika z uzasadnienia projektu komentowanej ustawy – także spółek niemających osobowości prawnej na bazie szerokiego rozumienia motywu 14 RODO, ale już nie dane osób fizycznych prowadzących jednoosobowo działalność gospodarczą (dane z Centralnej Ewidencji i Informacji o Działalności Gospodarczej).

Uproszczenie z zastrzeżeniem

Ograniczenia w udostępnieniu danych

Ustawodawca ograniczył natomiast w kilku przypadkach konieczność wykonania innego obowiązku – udostępnienia danych osobowych na żądanie podmiotu danych (zawartego w art. 15 RODO). Obowiązek ten wyłączył w całości (np. w przypadku banków, instytucji pożyczkowych, leasingodawców, dostawców usług płatniczych – w zakresie zadań wynikających z przeciwdziałania praniu brudnych pieniędzy i finansowania terroryzmu) lub tylko w części (np. w postępowaniu administracyjnym w odniesieniu do informacji o źródle pozyskania danych).

WAŻNE Mikroprzedsiębiorcy zostali zwolnieni z obowiązku informacyjnego. Jednak wprowadzone wyjątki i obostrzenia sprawiają, że w praktyce stosowanie tego zwolnienia nie będzie łatwe.

Powrót pisemnych upoważnień

Zmianą, na którą trzeba zwrócić uwagę, jest wskazanie w kilkunastu przypadkach zmienianych ustaw konieczności wystawiania przez administratorów danych osobowych pisemnych upoważnień do przetwarzania danych osobowych. Dotyczyć to będzie np. pracodawców, którzy przetwarzają dane osobowe kandydatów do pracy lub pracowników (w obszarze danych szczególnych kategorii), albo banków czy spółdzielczych kas oszczędnościowo-kredytowych – w zakresie, w jakim ich systemy informatyczne są wykorzystywane do składania wniosków o przyznanie świadczenia wychowawczego. Przepisy RODO (art. 29) wskazują na konieczność wydania polecenia przetwarzania danych osobowych. Polecenie takie może być wydane w dowolnej formie – niekoniecznie pisemnej. Polecenie takie powinno być wystarczającym instrumentem upoważniającym osobę pracującą lub współpracującą z administratorem danych osobowych do uzyskania dostępu do danych osobowych. Upoważnienia natomiast były takim instrumentem na podstawie nieobowiązującej już ustawy o ochronie danych osobowych. Tymczasem w ustawie zapewniającej stosowanie RODO następuje powrót do stosowania upoważnień (obok obowiązujących na podstawie przepisów RODO poleceń) i to upoważnień w formie pisemnej. Upoważnienia takie będą miały zastosowanie do przypadków przetwarzania danych osobowych szczególnych kategorii (np. w odniesieniu do danych osobowych pracowników lub kandydatów do pracy) lub o wyrokach skazujących, a w niektórych przypadkach – także do zwykłych danych osobowych.

Konsekwencją wprowadzenia tych przepisów będą dodatkowe obowiązki po stronie przedsiębiorców, którzy – oprócz stosowania poleceń przetwarzania danych – powinni także wydawać upoważnienia do przetwarzania danych osobowych. Przedsiębiorcy, którzy wprowadzili u siebie wyłącznie elektroniczne formy wydawania poleceń przetwarzania danych, zobowiązani będą powrócić do wydawania także pisemnych upoważnień. Dla tych, którzy mają rozbudowane struktury (np. banki mające oddziały w wielu różnych miejscowościach), oznaczać to będzie dodatkowy wysiłek organizacyjny związany z dostarczeniem pisemnych upoważnień do wszystkich tak upoważnionych osób.

WAŻNE Przedsiębiorca nie zapyta już kandydata do pracy o imiona jego rodziców, a miejsce jego zamieszkania pozna dopiero po jego zatrudnieniu – chyba że ten przekaże mu sam adres jako formę kontaktu.

Zgoda tylko taka jak w RODO

Duże zmiany zajdą w przepisach, w których przewidziane jest pobieranie zgody od użytkownika usługi. Takie odrębne regulacje obecnie zawarte są w przepisach ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2018 r. poz. 1954 ze zm.), w ustawie z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2019 r. poz. 123). Najistotniejsze modyfikacje dotyczą wymagań odnoszących się do takiej zgody. Ustawodawca postanowił bowiem, że do uzyskania zgody usługobiorcy zastosowanie znajdą przepisy RODO – choćby zbierana zgoda nie dotyczyła przetwarzania danych osobowych. Takimi zasadami wynikającymi z przepisów RODO są: dobrowolność, odrębność (odróżnienie zgody od innych kwestii, np. postanowień regulaminu lub umowy), stosowanie zrozumiałej i łatwo dostępnej formy. Zgoda powinna być przedstawiona jasnym i prostym językiem. Powinna być także konkretnym, świadomym i jednoznacznym okazaniem woli osoby, która wyraża zgodę.

Biorąc pod uwagę, że w praktyce katalog zgód, które osoba korzystająca z usług firmy telekomunikacyjnej może wyrazić, jest bardzo szeroki (np. zgoda na aktywację numeru w sieci nowego dostawcy, zgoda na świadczenie usługi o podwyższonej opłacie) – zmiana tych przepisów będzie oznaczała dołożenie przedsiębiorcom obowiązków. Przykładowo – poprzez konieczność wyodrębniania tekstu zgody od innych kwestii zawartych w danym oświadczeniu.

Usługi świadczone drogą elektroniczną

Ze względu na dążenie ustawodawcy do doprowadzenia zgodności przepisów o przetwarzaniu danych osobowych z przepisami RODO w komentowanej ustawie wprowadzono zmiany do ustawy o świadczeniu usług drogą elektroniczną. Jak wskazywano w uzasadnieniu, RODO swoim zakresem podmiotowym i przedmiotowym obejmuje już bowiem przetwarzanie danych osobowych w związku ze świadczeniem usług drogą elektroniczną. W związku z tym ustawodawca zdecydował się uchylić przepisy dotyczące materii regulowanych treścią RODO z przepisów ustawy o świadczeniu usług drogą elektroniczną. Usunięte zostały m.in. regulacje dotyczące:

• niezbędnych informacji, które powinny być przekazane usługobiorcom;
• zasad przetwarzania danych osobowych po zakończeniu świadczenia usługi;
• zasad przetwarzania danych w celu ustalenia odpowiedzialności usługobiorcy,
• zasad odmowy świadczenia usługi ze względu na nieudostępnienie danych osobowych przez usługobiorcę.

Zamiast usuniętych przepisów zastosowanie powinny znaleźć ogólne zasady wynikające wprost z przepisów RODO. Jak podkreślono w uzasadnieniu projektu ustawy zapewniającej stosowanie RODO, wskazana zmiana przepisów nie powinna być traktowana jako zakaz przetwarzania danych w związku ze świadczeniem usług drogą elektroniczną ani dopuszczenie przetwarzania danych w sposób dowolny. Zmiana ta będzie jednak skutkować koniecznością sprawdzenia przez podmioty świadczące usługi drogą elektroniczną, czy mają podstawę prawną do przetwarzania danych osobowych, np. po zakończeniu świadczenia usługi. W dotychczasowym stanie prawnym podstawa taka była wskazana wprost w przepisach.

Warto też wskazać, że na skutek wprowadzonych zmian usługobiorcy takich usług otrzymają mniej informacji. Usługodawca nie będzie już miał np. obowiązku informować ich o możliwości korzystania z usługi anonimowo lub z wykorzystaniem pseudonimu ani o udostępnianych środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych przesyłanych drogą elektroniczną.

Ramka 1

IOD pójdzie na urlop

Ustawa wdrożeniowa wprowadza ułatwienia dla podmiotów, które powołały inspektora ochrony danych. Nowe przepisy pozwalają administratorowi wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności. Przy czym powinien on ją powołać, uwzględniając kryteria, które dotyczą IOD (art. 37 ust. 5 i 6 RODO). A więc zastępca, analogicznie jak IOD, powinien spełniać m.in. kryteria niezależności czy posiadania odpowiedniej wiedzy.

Po wyznaczeniu zastępcy IOD trzeba będzie o tym fakcie zawiadomić prezesa UODO w terminie 14 dni od dnia jego wyznaczenia, a ponadto udostępnić jego dane na stronie internetowej lub w miejscu prowadzenia działalności. Pomysł budził kontrowersje. Wielu ekspertów podkreślało, że wprowadzenie tej instytucji jest zbędne i nie znajduje uzasadnienia w przepisach RODO. Pisaliśmy o tym na łamach tygodnika Firma i Prawo („Wkrótce w jednej firmie będzie mogło być dwóch inspektorów ochrony danych”, DGP nr 40 z 26 lutego 2019 r.).

Doktor Maciej Kawecki z Ministerstwa Cyfryzacji wyjaśniał nam, że dodanie możliwości wyznaczenia zastępcy IOD ma na celu ułatwienie podejmowania funkcji IOD w dużych organizacjach, gdzie dzisiaj pod nieobecność IOD ad hoc trzeba w każdym przypadku ustanawiać osobę zastępującą. ©℗

JAS

Nowe przestępstwo

Przepisy RODO nie zawierają przepisów karnych. Na wprowadzenie takich przepisów mogą się natomiast zdecydować ustawodawcy poszczególnych państw unijnych. Do tej pory penalizowane było przetwarzanie danych osobowych bez podstawy prawnej oraz utrudnianie lub udaremnianie prowadzenia kontroli (art. 107 i 108 ustawy z 10 maja 2018 r. o ochronie danych osobowych; Dz.U. poz. 1000 ze zm.). Teraz, w omawianej ustawie, ustawodawca zdecydował się wprowadzić dodatkowe przestępstwo polegające na niedostarczeniu danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczeniu danych, które uniemożliwiają (w związku z toczącym się postępowaniem) ustalenie podstawy wymiaru administracyjnej kary pieniężnej. Taki czyn będzie zagrożony karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. Wydaje się, że stosowanie kary pozbawienia wolności za nieprzekazanie informacji o obrocie przedsiębiorcy jest sankcją niewspółmierną do penalizowanego zdarzenia.

Co więcej, ustawodawca dodał równocześnie przepis, że w razie braku informacji potrzebnych do ustalenia wysokości sankcji organ może ustalić podstawę do jej wymiaru w sposób szacunkowy.

Kandydata nie zapytamy już o imiona rodziców

Nowa ustawa wprowadza wiele zmian do zasad przetwarzania danych osobowych pracowników i kandydatów do pracy przez pracodawców.

Zmodyfikowany został zakres danych, jakie mogą wymagać od osoby ubiegającej się o zatrudnienie. W myśl zmodyfikowanego art. 221 par. 1 ustawy z 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz.U. z 2018 r. poz. 917 ze zm.) pracodawca będzie uprawniony do zbierania następujących informacji:

• imienia i nazwiska,
• daty urodzenia,
• danych kontaktowych,
• wykształcenia,
• kwalifikacji zawodowych,
• informacji o przebiegu dotychczasowego zatrudnienia.

Przy czym gromadzenie informacji o wykształceniu, kwalifikacjach zawodowych i przebiegu dotychczasowego zatrudnienia będzie możliwe, ale tylko wtedy, gdy będzie to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku (tak wynika z nowego brzmienia art. 221 par. 2 kodeksu pracy). Oznacza to, że pracodawca zamierzający zatrudnić osobę na stanowisku niewymagającym określonego wykształcenia nie powinien domagać się podania takich informacji.

Jeśli porównamy katalog danych, które pracodawca mógł dotychczas przetwarzać o kandydacie, to okazuje się, że pojawiło się ograniczenie. Mianowicie z katalogu tego usunięto informacje o imionach rodziców oraz miejscu zamieszkania kandydata. Dodana została natomiast kategoria „kwalifikacji zawodowych”. Z perspektywy praktyki ograniczenie danych może w niektórych przypadkach prowadzić do powstania ryzyka pomylenia kandydatów do pracy (gdy będą mieli takie same imiona i nazwiska oraz daty urodzenia).

Jednak najistotniejszym mankamentem dla wielu pracodawców może być niewprowadzenie do katalogu informacji o numerze PESEL kandydata do pracy. Ustawodawca nie zdecydował się na to. Jest to numer, który nie tylko umożliwia rozróżnienie pomiędzy kandydatami noszącymi takie samo nazwisko, lecz także potrzebny jest do skierowania kandydata (po złożeniu mu oświadczenia o przyjęciu do pracy) na badania lekarskie, czy – w przypadku sektora finansowego – umożliwiający dokonanie weryfikacji kandydata pod kątem występowania w określonych bazach danych.

Biorąc pod uwagę zmieniony zakres danych osobowych, które pracodawcy mogą pozyskiwać o kandydacie do pracy, warto dokonać przeglądu stosowanych przez pracodawcę formularzy i wprowadzić w nich zmiany odzwierciedlające nowe przepisy.

Jeśli pracownik pozwoli

Podstawowy zakres danych, jakich pracodawca może żądać od pracownika, nie został znacząco zmodyfikowany. Jednak nowością jest wprowadzenie do przepisów regulacji, dzięki której przedsiębiorca będzie mógł przetwarzać inne informacje na podstawie jego zgody.

Na podstawie nowych przepisów (zmienionego art. 221 par. 3 kodeksu pracy) pracodawca będzie uprawniony do żądania od pracownika podania (oprócz danych pozyskanych uprzednio od kandydata):

• adresu zamieszkania,
• numeru PESEL (jeśli pracownik nie ma numeru PESEL – rodzaju i numeru dokumentu potwierdzającego tożsamość,
• innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
• informacji o wykształceniu i przebiegu dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od kandydata do pracy,
• numeru rachunku bankowego (chyba że kandydat złoży wniosek o wypłatę wynagrodzenia do rąk własnych.

Innych danych osobowych pracownika pracodawca będzie mógł żądać tylko wtedy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (nowe brzmienie art. 221 par. 4 kodeksu pracy).

W porównaniu do dotychczasowego zestawu danych, których pracodawca mógł żądać od pracownika, brak jest istotnej zmiany wpływającej na poszerzenie lub ograniczenie podstawowego zakresu danych, którymi będzie dysponował pracodawca.

Istotną zmianą jest natomiast uwzględnienie wprost w przepisach ustawy możliwości zbierania dalszych kategorii danych pracowników lub kandydatów na pracowników na podstawie ich zgody. Ma to znaczenie o tyle, że dotychczasowe interpretacje przepisów prawa pracy w odniesieniu do zakresu danych osobowych pracownika, które może przetwarzać pracodawca, szły w kierunku kwestionowania zgody wyrażonej przez pracownika jako udzielonej niedobrowolnie. Nowe przepisy natomiast wskazują na taką możliwość, z wyłączeniem kategorii danych obejmującej informacje o wyrokach skazujących, czynach zabronionych i zastosowanych środkach bezpieczeństwa (te informacje będzie można zbierać tylko, gdy przepis ustawy tak stanowi). Natomiast zgoda na przetwarzanie danych osobowych szczególnych kategorii (ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych, danych dotyczących zdrowia, seksualności lub orientacji seksualnej) będzie mogła być wyrażona wyłącznie w odniesieniu do danych, które kandydat do pracy lub pracownik przekaże pracodawcy z własnej inicjatywy (nie na żądanie pracodawcy).

Nowym, dodatkowym obciążeniem dla pracodawców jest konieczność wystawiania pisemnych upoważnień i odbierania oświadczeń o zachowaniu danych osobowych w tajemnicy od tych pracowników, którzy u danego pracodawcy będą dopuszczeni do przetwarzania danych osobowych szczególnych kategorii o kandydatach do pracy lub pracownikach. W praktyce oznaczać to będzie konieczność wystawienia takich upoważnień dla pracowników działów HR. Dla wielu przedsiębiorstw, które zrezygnowały z papierowych form upoważnień (a właściwie poleceń przetwarzania danych pod przepisami RODO), będzie to oznaczało konieczność wprowadzenia zmian organizacyjnych i powrót do tradycyjnej formy dokumentu.

Ramka 2

Podmioty medyczne wydadzą dokumentację bezpłatnie

Liczne drobne zmiany, które zawarto w ustawie zapewniającej stosowanie RODO, w praktyce mogą mieć duże znaczenie dla zobowiązanych przedsiębiorców. W art. 96 wprowadzone zostały zmiany w ustawie o prawach pacjenta i rzeczniku praw pacjenta. Zmieniono m.in. art. 28 ust. 2a, zgodnie z którym placówka udzielająca świadczeń medycznych będzie musiała wydać pacjentowi dokumentację medyczną nieodpłatnie. – To dotyczy pierwszego żądania wydania konkretnych dokumentów. Za każdą kolejna kopię tego samego dokumentu będzie można pobrać opłatę – mówi Marta Miszczuk z kancelarii prawnej Affre i Wspólnicy. Obecnie wiele placówek pobiera opłatę już przy pierwszej kopii. ©℗

JP

Monitoring z ograniczeniami

Nowe przepisy wpływają też na zakres monitoringu wizyjnego stosowanego w przedsiębiorstwach. Wprowadzają ograniczenie, zgodnie z którym nie będzie już można stosować kamer czy innych urządzeń umożliwiających podgląd w pomieszczeniach udostępnionych zakładowej organizacji związkowej (przesądza o tym wprowadzony w art. 222 kodeksu pracy nowy par. 11). Co z już zainstalowanymi kamerami? Zgodnie z art. 163 ust. 1 ustawy zapewniającej stosowanie RODO pracodawca, który w dniu wejścia w życie ustawy stosuje monitoring takich pomieszczeń, w terminie 14 dni od dnia jej wejścia w życie musi zaprzestać tych działań. O czym niezwłocznie powinien poinformować zakładową organizację związkową.

Zmiany dotyczą też monitoringu pomieszczeń sanitarnych. Z nowego brzmienia art. 222 par. 2 kodeksu pracy wynika, że: „stosowanie takiego monitoringu wymagać będzie uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – od przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy”.

Ci przedsiębiorcy, którzy już obecnie stosują monitoring w pomieszczeniach sanitarnych (w myśl art. 163 ust. 2 ustawy zapewniającej stosowanie RODO), stosowne decyzje od wyżej wymienionych organizacji lub osób powinni uzyskać nie później niż w terminie 30 dni od dnia wejścia w życie ustawy Z kolei brak takiej zgody będzie skutkował koniecznością wyłączenia monitoringu takich pomieszczeń.

Zakładowy fundusz świadczeń socjalnych

Pracodawcy prowadzący zakładowy fundusz świadczeń socjalnych zobowiązani będą zweryfikować sposób i zakres gromadzenia danych osobowych przekazywanych przez osoby wnioskujące o świadczenie z funduszu. Udostępnienie pracodawcy danych osobowych takiego wnioskodawcy powinno następować w formie oświadczenia. Oznacza to, że wnioskodawca nie ma obowiązku przedkładania dokumentów (np. dokumentacji medycznej), a jedynie oświadczenia o swojej sytuacji materialnej, zdrowotnej czy rodzinnej. Pracodawca będzie mógł natomiast zażądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu.

W praktyce pracodawcy powinni ograniczyć zakres zbieranych dokumentów na potrzeby przyznawania świadczeń z funduszu. Wystarczającym działaniem powinno być zebranie oświadczeń (i ewentualnie zaświadczeń), dokumenty potwierdzające sytuację wnioskodawcy pracodawca będzie mógł zaś przejrzeć i odnotować udokumentowanie takiej sytuacji (bez przechowywania jednak takiej rozbudowanej dokumentacji).

Pracodawca zobowiązany będzie do wydania pisemnych upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą miały dostęp do danych osobowych szczególnych kategorii w związku z rozpatrywaniem wniosków o przyznanie świadczenia z funduszu. Osoby takie będą także musiały zobowiązać się do zachowanie danych osobowych w tajemnicy.

Dodatkowym obowiązkiem będzie także konieczność weryfikowania przez pracodawców co rok, czy dane, które pracodawca przechowuje w związku z udzielaniem świadczeń z funduszu, są mu wciąż niezbędne. Jeśli stwierdzi, że nie są niezbędne, pracodawca będzie zobowiązany takie dane usunąć.

Zmiany dla zakładów ubezpieczeń i ich agentów

Komentowana ustawa zawiera również zmiany do ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (t.j. Dz.U. z 2019 r. poz. 381). Poza kwestiami formalnymi, np. dodania definicji profilowania danych, zmianie ulegają również przepisy merytoryczne. Omawiamy tylko wybrane zmiany.

• Podstawa do przyglądania się nieuczciwym agentom. Warto wskazać na przepisy ustanawiające dla zakładów ubezpieczeń wyraźną podstawę prawną do przetwarzania danych osobowych w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń w celu i zakresie niezbędnym do zapobiegania temu przestępstwu. Zmiana stanowić ma uzupełnienie regulacji zapisanej w art. 35 ust. 6 ustawy, zgodnie z którym nie narusza obowiązku zachowania tajemnicy złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa na szkodę zakładu ubezpieczeń albo o tym, że działalność zakładu ubezpieczeń jest wykorzystywana w celu ukrycia przestępstwa lub przestępstwa skarbowego lub dla celów mających związek z przestępstwem lub przestępstwem skarbowym. Z kolei projektowany art. 35b wyłączy prawa dostępu osoby, której dane dotyczą, do jej danych osobowych (wynikającego z art. 15 RODO), w zakresie, w jakim przetwarzanie prowadzone przez zakład ubezpieczeń jest niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.
• Zgoda niekoniecznie pisemna. Jedną z nowości legislacyjnych jest też zniesienie obowiązku uzyskiwania w formie pisemnej zgody na przetwarzanie danych osobowych od osoby ubezpieczonej, osoby, na której rachunek ma być zawarta umowa ubezpieczenia, lub przedstawiciela ustawowego każdej z tych osób. Wprowadzana zmiana zapewnia zgodność przepisów ustawy z przepisami RODO. Zatem możliwe będą inne niż pisemna formy uzyskiwania zgody, dopuszczone w przepisach RODO. To umożliwi bardziej praktyczne pozyskiwanie zgód przez zakłady ubezpieczeń, np. za pomocą środków komunikacji elektronicznej.

Jest wyjątek. Nie zmieniono bowiem zasad pozyskiwania „wyraźnej” zgody na przetwarzanie danych osobowych szczególnych kategorii.

Wymóg pisemności został z kolei również zniesiony w odniesieniu do pozyskiwania zgód na udostępnienie danych osobowych innym zakładom ubezpieczeń.

• Ułatwienia w profilowaniu. Z perspektywy zakładów ubezpieczeń jedną z najistotniejszych zmian merytorycznych, zawartych w projekcie, jest również wprowadzenie możliwości podejmowania przez zakład ubezpieczeń decyzji w indywidualnych przypadkach, wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie. Może to mieć miejsce w celu dokonania oceny ryzyka ubezpieczeniowego (przetwarzanie danych osobowych dotyczących ubezpieczonych) lub w celu wykonywania czynności ubezpieczeniowych w postaci ustalania przyczyn i okoliczności zdarzeń losowych oraz ustalania wysokości szkód oraz rozmiaru odszkodowań oraz innych świadczeń należnych uprawnionym z umów ubezpieczenia lub umów gwarancji ubezpieczeniowych (przetwarzanie danych osobowych dotyczących ubezpieczonych, ubezpieczających i uprawnionych z umowy ubezpieczenia).

Jednocześnie ustawodawca zdecydował się na wprowadzenie przepisów, których celem jest zapewnienie osobie fizycznej prawa do zakwestionowania takiej decyzji, wyrażenia własnego stanowiska w tej sprawie oraz do uzyskania interwencji ludzkiej. Zakład ubezpieczeń będzie dodatkowo zobowiązany do przedstawienia – na wniosek osoby, której dane dotyczą – stosownych wyjaśnień, co do podstaw podjętej decyzji wyłącznie na podstawie zautomatyzowanego przetwarzania, w tym profilowania. W ocenie ustawodawcy proponowane rozwiązania zapewniają możliwość usprawnienia procedury oceny ryzyka ubezpieczeniowego i procesów likwidacyjnych, przy jednoczesnym zabezpieczeniu interesów osoby, której danych dotyczą.

W dodawanych przepisach zawarty został katalog danych, które zakład ubezpieczeń może wziąć pod uwagę w procesie wskazanego zautomatyzowanego podejmowania decyzji. Katalog takich danych obejmuje:

1) imię (imiona) i nazwisko;

2) nazwisko rodowe,

3) imiona rodziców,

4) datę i miejsce urodzenia,

5) wiek,

6) płeć,

7) obywatelstwo,

8) numer PESEL, o ile został nadany,

9) numer identyfikacji podatkowej, o ile został nadany,

10) numer i serię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,

11) charakter wykonywanej pracy (branża),

12) miejsce zamieszkania,

13) okres ubezpieczenia,

14) przebieg ubezpieczenia,

15) sumę ubezpieczenia,

16) stan cywilny,

17) stan zdrowia ubezpieczonego,

18) sytuację finansową,

19) datę i numer rejestracji szkody, datę wystąpienia szkody oraz datę zgłoszenia szkody lub roszczenia,

20) dane identyfikujące umowę ubezpieczenia, której szkoda dotyczy,

21) dane identyfikujące przedmiot ubezpieczenia.

• Tylko przez określony termin. Zakład ubezpieczeń będzie mógł także przetwarzać dane osobowe w celu ustalania na ich podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw techniczno-ubezpieczeniowych dla celów wypłacalności i rezerw techniczno-ubezpieczeniowych dla celów rachunkowości. W tym celu zakład ubezpieczeń będzie mógł przetwarzać dane osobowe maksymalnie przez 12 lat rozwiązania umowy ubezpieczenia.
• Podstawa do przetwarzania danych uczestników wypadków. Projektowane zmiany wprowadzają również wyraźną, wymaganą przez RODO podstawę prawną dla przetwarzania przez zakład ubezpieczeń, Ubezpieczeniowy Fundusz Gwarancyjny, Polskie Biuro Ubezpieczycieli Komunikacyjnych i rzecznika finansowego danych osobowych osób odpowiedzialnych za zajście zdarzenia losowego, które dotyczą naruszeń prawa lub wyroków skazujących (art. 10 RODO), w przypadku gdy sąd, prokuratura, Policja oraz inne organy i instytucje udzielają informacji o stanie sprawy oraz udostępniają tym podmiotom zebrane materiały, w zakresie ustalenia okoliczności wypadków i zdarzeń drogowych.

W gąszczu przepisów

Ustawodawca polski podjął niemały wysiłek, by przygotować niezbędne przepisy wymagające uzupełnienia w związku ze stosowaniem przepisów RODO. W niektórych przypadkach wprowadzone przepisy ułatwią przedsiębiorcom poruszanie się w przepisach RODO. Jednak co najmniej w kilku przypadkach przepisy te nałożą na przedsiębiorców dodatkowe obowiązki (np. w odniesieniu do udzielania pisemnych upoważnień i odbierania pisemnych zobowiązań do zachowania danych osobowych w tajemnicy). Stosowanie przepisów RODO będzie wymagało sprawnego poruszania się po przepisach rozporządzenia i wielu ustaw prawa polskiego. Przykład sformułowania zwolnień z obowiązków nakładanych przepisami RODO zastosowanych wobec mikroprzedsiębiorców pokazuje, że ich stosowanie w praktyce nie zawsze będzie łatwe. Podobnie jak przy rozpoczęciu stosowania przepisów RODO, tak i teraz potrzeba będzie czasu, aby przedsiębiorcy przyswoili nowe przepisy i nauczyli się stosować je w swojej działalności. ©℗