W dniu 25 maja mija rok od rozpoczęcia bezpośredniego stosowania w całej Unii Europejskiej Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, oraz uchylenia dyrektywy 95/46/WE czyli w skrócie RODO. Przyjrzyjmy się zatem […]
W dniu 25 maja mija rok od rozpoczęcia bezpośredniego stosowania w całej Unii Europejskiej Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, oraz uchylenia dyrektywy 95/46/WE czyli w skrócie RODO. Przyjrzyjmy się zatem co wydarzyło się w Polsce w dziedzinie ochrony danych osobowych od tego czasu.
Nowa ustawa
Ustawa o ochronie danych osobowych została wprowadzona 10 maja 2018 roku (Dz. U. 2019 poz. 730 ze zm.). Zmiany w niej zawarte obejmowały m.in. powołanie Urzędu Ochrony Danych Osobowych (UODO), który zastąpił dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO), uregulowanie postępowania w sprawie naruszeń oraz procedury wyznaczania Inspektorów Ochrony Danych, jak również zmiany w przepisach obowiązujących. Te najistotniejsze dotyczyły nowelizacji Kodeksu Pracy. Wprowadzono przepisy prawa, które stanowią podstawę prowadzenia monitoringu wizyjnego oraz monitoringu poczty elektronicznej przez pracodawców (odpowiednio art. 222 i art. 223 Kodeksu Pracy) oraz warunki jego legalności (zmiany w układzie zbiorowym pracy lub regulaminie, zamieszczenie klauzuli informacyjnej itd.).
Nowe rozporządzenie
1 stycznia 2019 roku weszło w życie nowe rozporządzenie Ministra Rodziny Pracy i Polityki Społecznej w sprawie dokumentacji pracowniczej. Pośrednio dotyka ono kwestii ochrony danych osobowych ustalając zakres, sposób i warunki prowadzenia dokumentacji, jej przechowywania oraz wydawania jej kopii obecnemu bądź byłemu pracownikowi.
Pierwsza kara
Do publicznej wiadomości w dniu 26 marca 2019 roku dotarła informacja o pierwszej karze, którą nałożyła na podmiot Prezes Urzędu Ochrony Danych Osobowych. Za niedopełnienie obowiązku informacyjnego, na spółkę która przetwarzała dane osób pozyskane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG) i przetwarzała je w celach zarobkowych, została nałożona kara pieniężna w wysokości ponad 943 tys. złotych. Spółka argumentowała, że dopełnienie obowiązku informacyjnego wymagałoby od niej niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO). W ocenie Prezes UODO takie działanie było niewystarczające – mając dane kontaktowe do poszczególnych osób spółka powinna spełnić wobec nich obowiązek informacyjny. Poinformować m.in. o: swoich danych, skąd ma dane tych osób, w jakim celu i jak długo zamierza je przetwarzać oraz o przysługujących osobom prawach na gruncie RODO. Pojawiły się głosy, które zarzuciły UODO zbyt surowe podejście w przedmiocie sprawy oraz brak wystarczającego uzasadnienia prawnego wydanej decyzji.
Kompleksowa nowelizacja
Pakiet zmian legislacyjnych dostosowujących polskie prawo do RODO wszedł w życie 4 maja 2019 roku. Tego dnia znowelizowano brzmienie ponad 160 ustaw. Wśród istotniejszych obszarów, w których ustawodawca dokonał zmian należy wymienić:
– prawo bankowe, gdzie m.in. określono warunki oceny zdolności kredytowej klientów przez banki (oraz inne instytucje pożyczkowe) przy udzielaniu kredytów i pożyczek,
– prawo pracy, w którym m.in. sprecyzowano zakres danych, których pracodawca może żądać od kandydata do pracy oraz wskazano, że pracodawca żąda od kandydata do pracy wskazania danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia tylko wtedy, gdy takie informacje są niezbędne do wykonywania pracy na oferowanym stanowisku,
– prawo karne, w którym rozszerzono pojęcie groźby karalnej o groźbę spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna (w znowelizowanym brzmieniu obejmuje ona również postępowania prowadzone przed Urzędem Ochrony Danych Osobowych).
Co dalej
Biorąc pod uwagę jak RODO zmieniło podejście do zarówno litery prawa, jak i jej ducha, w najbliższym czasie możemy spodziewać się dalszych interpretacji, decyzji i zmian legislacyjnych. RODO zmieniło filozofię ochrony danych osobowych. W odróżnieniu od poprzednich regulacji, RODO nie określa wprost w jaki sposób podmioty mają zapewnić zgodność z jego przepisami. Jak czytamy w preambule tego aktu: Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Technologia zmieniła gospodarkę (…), równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych. Aby sprostać temu wyzwaniu RODO musiało zostać napisane w sposób elastyczny, nadążający za pojawiającymi się nowymi technologiami. Należy pamiętać, że niebagatelną rolę w jego stosowaniu, również w Polsce, mogą odegrać same osoby fizyczne, których dane są przetwarzane. Nigdy wcześniej nie miały one takich możliwości i narzędzi by egzekwować swoje prawa. Z tego powodu, tak ważne jest budowanie powszechnej świadomości, aby litera RODO nie pozostała jedynie na papierze, a zaistniała w codziennym funkcjonowaniu we współczesnym społeczeństwie technologicznym.
Ewa Banaszewska, Aplikant radcowski
Rachelski i Wspólnicy Kancelaria Prawna Spółka Komandytowa