Ustawa sektorowa wdrażająca RODO zaczęła obowiązywać od 4 maja 2019 roku. Jej głównym zadaniem jest dostosowanie blisko 170 ustaw do wymogów unijnego rozporządzenia o ochronie danych. Jakie zmiany przyniesie dla firm i przedsiębiorców?
Z dniem 4 maja zaczęły obowiązywać zmiany do prawie 170 aktów prawnych, wprowadzone tzw. „Ustawą sektorową”, czyli Ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Celem Ustawy sektorowej jest dostosowanie polskich przepisów do wymogów unijnego Rozporządzenia.
Akty prawne, które uległy zmianie
Ustawą sektorową zmienione zostały w szczególności przepisy następujących ustaw – Kodeks pracy, Prawo bankowe, ustawa o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji, ustawa o działalności ubezpieczeniowej i reasekuracyjnej, ustawa o świadczeniu usług drogą elektroniczną, Prawo telekomunikacyjne, ustawa o obrocie instrumentami finansowymi, ustawa o prawach konsumenta, czy ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu; zmiany wprowadzono także do ustaw regulujących ochronę zdrowia.
Czego dotyczą zmiany
Zgodnie z uzasadnieniem do projektu ustawy – zmiany wprowadzone Ustawą sektorową mają na celu dostosowanie polskiego porządku prawnego do wymogów Rozporządzenia, m.in. poprzez usunięcie przepisów, które są sprzeczne z RODO lub które powielają wprowadzone przez RODO rozwiązania; w Ustawie zostały wprowadzone także przepisy, które stanowią ograniczenia RODO, a które zostały wprowadzone zgodnie z art. 23 Rozporządzenia. Należy podkreślić, iż niektóre zmiany mają charakter fundamentalny, inne zaś – zaledwie kosmetyczny.
Zmiany dotyczą w szczególności zakresu oraz sposobu wykonywania obowiązku informacyjnego oraz pozyskiwania zgody, profilowania, czy sposobu realizacji praw podmiotów danych, a także – wprowadzają konkretne przepisy, jako podstawę prawną do przetwarzania danych. – Agata Jankowska-Galińska, Radca prawny, Senior Managing Associate Deloitte Legal.
Zgodnie z nowym brzmieniem przepisów ustawy o działalności ubezpieczeniowej i reasekuracyjnej:
a) zakład ubezpieczeń będzie mógł przetwarzać dane osobowe, w tym dane osobowe objęte obowiązkiem zachowania tajemnicy ubezpieczeniowej, w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń w celu i zakresie niezbędnym do zapobiegania temu przestępstwu;
b) art. 15 RODO przyznaje osobie, której dane dotyczą, prawo uzyskania od administratora potwierdzenia, czy przetwarzane są jej dane osobowe, a jeśli ma to miejsce – osoba ta jest uprawniona do uzyskania do nich dostępu oraz wskazanych w Rozporządzeniu informacji; regulacji dotyczącej prawa dostępu nie będzie jednak zobowiązany stosować zakład ubezpieczeń w zakresie, w jakim będzie to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom;
c) do ustawy o działalności ubezpieczeniowej i reasekuracyjnej wprowadzona została definicja profilowania oraz przepis stanowiący prawną podstawę podejmowania indywidualnych decyzji w oparciu o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu dokonania oceny ryzyka ubezpieczeniowego; w przeciwieństwie do sektora bankowego, decyzje oparte o zautomatyzowane przetwarzanie będą mogły być podejmowane wyłącznie w oparciu o zamknięty katalog kategorii danych osobowych wskazany w ustawie o działalności ubezpieczeniowej i reasekuracyjnej;
d) zmieniona ustawa o działalności ubezpieczeniowej i reasekuracyjnej pozwala zakładowi ubezpieczeń wprost przetwarzać dane dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia;
e) istotne zmiany wprowadzono także w zakresie obowiązku pozyskiwania przez zakład ubezpieczeń – pisemnej zgody; pisemna zgoda nie będzie w szczególności wymagana na przekazywanie pomiędzy zakładami ubezpieczeń danych osobowych osób ubezpieczonych, ubezpieczających i zamierzających zawrzeć umowę ubezpieczenia – potrzebnych do oceny ryzyka kredytowego i oceny poprawności danych (art. 39 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej), a także – w sytuacji pozyskiwania przez zakład ubezpieczeń od podmiotów wykonujących działalność leczniczą, które udzielały świadczeń zdrowotnych ubezpieczonemu lub osobie, na rachunek której ma zostać zawarta umowa ubezpieczenia, informacji o okolicznościach związanych z oceną ryzyka ubezpieczeniowego i weryfikacją podanych przez tę osobę danych o jej stanie zdrowia, ustaleniem prawa tej osoby do świadczenia z zawartej umowy ubezpieczenia i wysokością tego świadczenia (art. 38 ustawy o działalności ubezpieczeniowej i reasekuracyjnej).
Wykonywanie obowiązku informacyjnego przez mikroprzedsiębiorców
Jednym z najważniejszych obowiązków, nałożonych na przedsiębiorców przez RODO, jest ten dotyczący przekazania podmiotowi danych istotnych informacji związanych z przetwarzaniem jego danych osobowych. Informacji udzielić można (w zależności od sytuacji) na piśmie, elektronicznie lub ustnie. W praktyce, sposób realizacji obowiązku informacyjnego powoduje po stronie przedsiębiorców szereg wątpliwości. Pisaliśmy o tym 5 rzeczy, których dowiedzieliśmy się z decyzji opublikowanych przez PUODO.
Ustawa sektorowa przewiduje ułatwienie dla mikroprzedsiębiorców1 w zakresie realizacji obowiązku informacyjnego. Zgodnie z art. 4a ustawy o prawach konsumenta2, mikroprzedsiębiorca (jako administrator danych osobowych) wykonuje obowiązek informacyjny, o którym mowa w art. 13 RODO, przez wywieszenie stosownych informacji w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie ich na swojej stronie internetowej. Rozwiązanie to niewątpliwie umożliwi mikroprzedsiębiorcom redukcję kosztów związanych z wypełnieniem obowiązku informacyjnego. Niemniej jednak należy zwrócić uwagę, że wskazany powyżej sposób realizacji obowiązku informacyjnego możliwy jest wyłącznie w przypadku pozyskiwania danych osobowych bezpośrednio od podmiotu danych.
Co powinineś wiedzieć o stosowanych w dziale HR rozwiązaniach technologicznych, aby umieć ocenić zgodność z RODO?
Ułatwienie dotyczące przekazywania klauzuli informacyjnej wyłączone jest w przypadku przetwarzania szczególnych kategorii danych, a także w sytuacji gdy osoba, której dane dotyczą nie ma możliwości zapoznania się z klauzulą informacyjną zamieszczoną na stronie internetowej lub w lokalu przedsiębiorstwa. Julia Rojewska, Senior Associate, Aplikantka adwokacka Deloitte Legal.
Przypisy:
1) Mikroprzedsiębiorca w rozumieniu art. 7 ust. 1 pkt 1 Ustawy prawo przedsiębiorców z dnia 6 marca 2018 r. (Dz.U. z 2018 r. poz. 646) to przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki: a) zatrudniał średniorocznie mniej niż 10 pracowników oraz b) osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro.
2) Ustawa o prawach konsumenta z dnia 30 maja 2014 r. (Dz.U. z 2014 r. poz. 827 z późn. zm).
