Ustawa wdrażająca RODO – co warto wiedzieć

Po długim oczekiwaniu, polski system prawny „doczekał się” obszernej nowelizacji dostosowującej go do wymogów wynikających z RODO. Zakres i charakter zmian jest zróżnicowany. W artykule poruszone są najciekawsze – z perspektywy przedsiębiorców – z nich.

W dniu 3 kwietnia 2019 r. Prezydent podpisał ustawę dostosowującą polski system prawny do regulacji RODO[1].

Ustawa wdrażająca stanowi efekt ponad półtorarocznych prac, wprowadza modyfikacje do ponad 160 aktów prawnych. Przepisy te co do zasady wejdą w życie ze stosunkowo krótkim vacatio legis, bo już w 14 dni od ich publikacji.

Z uwagi na kompleksowy charakter zmian, wskazane wydaje się omówienie ich zasadniczych kierunków, a przede wszystkim należy zwrócić uwagę na nowelizacje przepisów mających istotne znacznie dla przedsiębiorców, w tym w ramach prawa pracy oraz przepisów określających reguły prowadzenia działalności gospodarczej.

Zmiany małe i duże

Zakres i charakter zmian wprowadzanych przez ustawę wdrażającą jest zróżnicowany. W części ustaw wskazano jednoznacznie, jakie dane osobowe mogą być przetwarzane przez podmioty objęte zakresem podmiotowym stosowania zmienianego aktu prawnego.

Przykładowo, art. 105a ust. 1b ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe, wymienia aż 31 kategorii danych, jakie będą mogły być przetwarzane w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w sposób zautomatyzowany (nota bene jest to jedynie przykładowy katalog).

Inne akty prawne, takie jak ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, czy ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, „utracą” własne przepisy na rzecz odwołań do przepisów o ochronie danych osobowych. W przypadku wskazanych ustaw dotyczyć to będzie wymogów uzyskiwania zgody odpowiednio abonenta lub użytkownika końcowego oraz usługobiorcy. Warto w tym miejscu wskazać na praktyczne konsekwencje, chociażby takie, że w obydwóch wskazanych przypadkach dotychczasowe przepisy wymagały, aby zgoda nie była domniemana lub dorozumiana z oświadczenia woli o innej treści. RODO takiego zakazu nie przewiduje, choć w dalszym ciągu zgoda winna być dobrowolna, konkretna, świadoma i jednoznaczna. Definicja „zgody” na gruncie RODO pozwala jednak na jej udzielenie w drodze wyraźnego działania potwierdzającego. W praktyce otwiera to możliwość podniesienia argumentu, iż w sytuacji, gdy użytkownik będzie miał udzielone wszelkie wymagane informacje, jego zgoda np. na przesyłanie informacji handlowych drogą elektroniczną będzie mogła zostać wyrażona w drodze już samego zapisania się do newslettera, bez konieczności (tak jak to miało miejsce dotychczas) wyrażenia dodatkowej, formalnie odrębnej zgody.

Oprócz zmian wskazanych powyżej, część ustaw uzyskała przepisy „potwierdzające” zgodność obowiązujących przepisów z RODO, a niektóre zostały „wzbogacone” o całe rozdziały lub działy dotyczące ochrony danych osobowych.

Zakres i charakter oraz ostateczny efekt zmian jest zatem niejednolity i wymaga analizy ad casu, m.in. z uwzględnieniem charakteru działalności prowadzonej przez podmiot podlegający takim regulacjom.

Kiedy prawo staje się obowiązkiem

Kilka przykładów dotyczących prawa pracy. Ustawodawca, w ślad za nowelizacją z dnia 10 maja 2018 r. wprowadzającą przepisy o prowadzeniu przez pracodawcę monitoringu wizyjnego, wprowadził modyfikacje do ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy. W szczególności, dotychczasowy art. 22[1] określający zakres danych, jakich pracodawca może żądać od osoby ubiegającej się o zatrudnienie (oraz od pracownika) uległ zmianie w dwójnasób. Po pierwsze, zmodyfikowany został katalog danych. Przykładowo, ustawa nie wskazuje już takich danych jak imiona rodziców pracownika, natomiast obok przebiegu dotychczasowego zatrudnienia dodane zostały kwalifikacje zawodowe. Po drugie zaś, w miejsce uprawnienia do żądania danych osobowych, przepisy wskazanego artykułu jednoznacznie nakazują pracodawcy odebranie określonych danych („pracodawca żąda”). Powyższa zmiana ma na celu rozstrzygnięcie wątpliwości istniejących na gruncie dotychczasowego stanu prawnego co do podstawy prawnej dla przetwarzania danych osobowych wskazanych w omawianym przepisie. Do czasu nowelizacji brak było bowiem silnej podstawy do stwierdzenia, iż w odniesieniu do danych, które pracodawca przetwarza w oparciu o przepisy art. 22[1]  przetwarzanie takie wynika z obowiązku prawnego ciążącego na nim jako na administratorze (art. 6 ust.1 lit. c) RODO). Było tak z uwagi na brak prawnej podstawy „obowiązku” przetwarzania danych osobowych (wymaganego przez RODO), a występujące w odpowiednim przepisie jedynie „uprawnienie” do żądania przez pracodawcę podania przez pracownika określonych danych.

Inna istotna zmiana zawarta została w nowo dodanych art. 22[1a] i art. 22[1b], w których ustawodawca jednoznacznie przesądził, iż zgoda osoby ubiegającej się o zatrudnienie (kandydata do pracy) lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22[1] § 1 i 3, z wyjątkiem danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Jest to ważna zmiana z uwagi na dotychczasowy stan niepewności prawnej w przypadku wykorzystywania przez pracodawców danych osobowych pracowników w postaci np. wizerunku pracownika (przykładowo, w celu umożliwienia zidentyfikowania pracownika przez klienta) w oparciu o podstawę zgody udzielanej przez pracownika, przy jednoczesnych poglądach, prezentowanych m.in. przez GIODO, iż z uwagi na podległość służbową pracownik nie może udzielić zgody dobrowolnie, co wyklucza możliwość powoływania się przez pracodawcę na zgodę jako skuteczną prawnie podstawę przetwarzania danych osobowych pracownika. Co jednak istotne, pomimo dopuszczenia zgody jako podstawy przetwarzania danych, brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

W przypadku danych szczególnych kategorii (np. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne), zgoda może być podstawą ich przetwarzania wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Dodatkowo, przetwarzanie danych biometrycznych[2] pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Przetwarzanie takich danych może być zatem uzasadnione w celu zabezpieczenia pomieszczeń zawierających informacje stanowiące tajemnicę przedsiębiorstwa pracodawcy, jak np. serwerownia.

Łatwiejszy (?) obowiązek informacyjny

Zmiany dotykają również bardzo kontrowersyjnej, a jednocześnie budzącej powszechne zainteresowanie i praktycznie doniosłej kwestii obowiązku informacyjnego.

Interesująca zmiana w tym zakresie została przewidziana w ustawie z dnia 30 maja 2014 r. o prawach konsumenta. Nowo dodany art. 4a ust. 1 stanowi, iż administrator, będący mikroprzedsiębiorcą[3] wykonuje obowiązki, o których mowa w art. 13 RODO (obowiązek informacyjny) w zakresie umów zawieranych poza lokalem przedsiębiorstwa lub na odległość oraz innych umowach, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji.

Ustawa przewiduje jednak szereg wyjątków od powyższej zasady.

Po pierwsze, przywołanego przepisu nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 RODO.

Po drugie, komentowany przepis nie znajdzie zastosowania w przypadku administratora danych, który przetwarza szczególne kategorie danych osobowych lub udostępnia je innym administratorom, z wyjątkiem przypadku, gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

O ile drugie ze wskazanych wyłączeń jest dość jednoznaczne, o tyle problem powstaje w zakresie interpretacji braku możliwości zapoznania się z informacjami o przetwarzaniu danych osobowych.

Teoretycznie, możliwość spełnienia obowiązku informacyjnego poprzez zamieszczenie klauzuli informacyjnej na stronie internetowej powinna skutkować spełnieniem wymogu umożliwienia zapoznania się z jej treścią. Istnieją jednak przypadki „graniczne”, jak chociażby przedsiębiorcy prowadzący sprzedaż telefoniczną (telemarketing), których klienci mogą nie być świadomi istnienia lokalu przedsiębiorstwa, ani adresu strony internetowej. Po drugie, powstaje problem oceny, z jakiej perspektywy rzeczona przesłanka powinna być badana. Czy brak możliwości winien w pierwszej kolejności uwzględniać osoby, które z przyczyn niezależnych od nich, np. niepełnosprawności, nie mogą zapoznać z informacjami (niemożliwość obiektywna)? Czy obejmuje to także sytuacje, w których klient nie może zapoznać się z treścią informacji z uwagi na brak woli po jego stronie, np. z uwagi brak dostępu do Internetu, przy generalnie szerokim dostępie do sieci w Polsce (niemożliwość subiektywna)? Przepis nie rozstrzyga tej kwestii.

Należy przy tym mieć na uwadze, iż ostatnia decyzja Prezesa Urzędu Ochrony Danych (PUODO) nakładająca pierwszą administracyjną karę pieniężną wskazuje na formalistyczne i rygorystyczne rozumienie przepisów dotyczących obowiązku informacyjnego przez organ nadzorczy. Nadto, art. 13 RODO przewiduje tylko jeden wyjątek w zakresie wykonania obowiązku informacyjnego, tj. w sytuacji i w zakresie, w jakim osoba, której dane dotyczą, dysponuje już informacjami objętymi obowiązkiem informacyjnym. Niewykluczone zatem, iż PUODO stanie na stanowisku przyznającym pierwszeństwo prawa wspólnotowego nad krajowym. W praktyce może to oznaczać, że wywieszenie stosownych informacji będzie skutecznym wykonaniem obowiązku informacyjnego jedynie w przypadku, gdy osoba fizyczna dysponuje już tymi informacjami.

W efekcie, rozwiązaniem bezpieczniejszym dla mikroprzedsiebiorcy będzie póki co kontynuowanie wykonywania obowiązku informacyjnego w sposób dotychczasowy w oczekiwaniu na praktykę wykładni i stosowania tego nowego przepisu.

Pojawia się jednak kolejna kwestia wymagająca oceny, wynikająca ze sposobu, w jaki skonstruowano komentowany przepis. Jego literalne odczytanie („administrator (…) wykonuje obowiązki”) prowadzić może do wniosku, iż wykonanie obowiązku informacyjnego przez mikroprzedsiębiorcę w inny sposób, aniżeli określony przepisem, w braku wystąpienia wskazanych powyżej wyjątków, skutkowałoby nieprawidłowym wykonaniem obowiązku informacyjnego. Trudno jednak byłoby – jak się wydaje – pogodzić taką wykładnię z obowiązkiem dokonywania tzw. prounijnej wykładni prawa krajowego.

Szersze uprawnienia PUODO

Na koniec kary administracyjne. Jak wszyscy wiemy, wśród katalogu sankcji, jakimi na gruncie RODO dysponuje organ nadzorczy znalazło się uprawnienie do nakładania administracyjnych kar pieniężnych o powszechnie znanej już wysokości: do 10 000 000 / 20 000 000 EUR, a w przypadku przedsiębiorstwa do 2% / 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie mają kwoty wyższe.

Ustawa wdrażająca wprowadza do ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych art. 101a, stanowiący w ust. 1, iż w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot obowiązany do przestrzegania przepisów RODO[4], jest obowiązany do dostarczenia Prezesowi Urzędu, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.

Powyższe rozwiązanie ma charakter blankietowy, tzn. pozwala PUODO na kierowanie do przedsiębiorcy wydania wszelkich dokumentów uznanych przez siebie za niezbędne do określenia podstawy wymiaru administracyjnej kary pieniężnej. Mogą to zatem być także dokumenty stanowiące tajemnicę przedsiębiorstwa.

Warto zauważyć, że konsekwencje niepodania informacji mogą być co najmniej dwojakie. Po pierwsze, kolejny ustęp komentowanego artykułu przewiduje, iż w przypadku niedostarczenia danych przez podmiot obowiązany do przestrzegania przepisów RODO, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes Urzędu ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu. Niewykluczone, iż w takim wypadku PUODO „przeszacuje” możliwości finansowe podmiotu objętego postępowaniem. Po drugie, uznanie przez organ, iż nieudostępnienie powyższych informacji udaremnia lub utrudnia mu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych skutkować może wymierzeniem grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat dwóch.

 

[1] Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne

[3] Przedsiębiorcą, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki:

– zatrudniał średniorocznie mniej niż 10 pracowników oraz

– osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro;

[4] Inny niż:

– jednostka sektora finansów publicznych,

– instytut badawczy,

– Narodowy Bank Polski



ZESPÓŁ

NASZE DANE