Przepisy wprowadzające ustawę o ochronie danych osobowych - cz.1

W kwietniu tego roku już pisałem o projekcie ustawy o ochronie danych osobowych https://superabi.pl/blog/admin/ustawa-o-ochronie-danych-osobowych-dodate.... Pakiet nowych dokumentów (tutaj jest nowy link, stare przestały działać, coś Ministerstwo je pozmieniało) , skierowany do konsultacji społecznych opublikowany został przez Ministerstwo Cyfryzacji. 

Opracowanie projektu nowej ustawy o ochronie danych osobowych wynika z konieczności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „Rozporządzeniem”.

Obecna ustawa nie może zostać w takim kształcie jak jest, zatem "konieczne stało się opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE".

W ocenie skutków regulacji czytamy: "zakres przedmiotowy projektu nowej ustawy o ochronie danych nie obejmie wszystkich zagadnień, które są objęte regulacją rozporządzenia 2016/679, a które na gruncie przepisów krajowych są uregulowane w ustawach szczególnych. Oceny tych regulacji pod kątem zgodności z rozporządzeniem 2016/679 dokonywały w znacznej części właściwe resorty, doręczając Ministrowi Cyfryzacji swoje propozycje zmian".

Przyjrzyjmy się więc najpierw przepisom wprowadzających ustawę - wszak wśród nich są propozycje zmian dostaczone przez właściwe resorty".

Dowiadujemy się, że zmieni się ustawa o postępowaniu egzekucyjnym - Prezes Urzędu "odziedziczy" dawne egzekucyjne prawa i obowiązki GIODO (art. 2 w § 1 pkt 12 tej ustawy).

Bardzo zaskakuje, że po dodaniu § 4 w tej samej ustawie do egzekucji nie będzie stosować się art. 12-22 i art. 34 RODO. A więc osoby pozbawia się wszelkich praw przyznanych w związku z prowadzeniem postępowania egzekucyjnego, nawet jak dane wyciekną, to nie zostaną one (ani Prezes Urzędu) o tym zawiadomione.

Kodeks pracy - słynny art. 22 "do potęgi pierwszej" otrzymuje nowe brzmienie.  Ma być, że "pracodawca żąda podania" zamiast dawnego "ma prawo żądać" następujących danych:

1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) adres do korespondencji;
4) adres poczty elektronicznej albo numer telefonu;
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.

Z tego katalogu zniknęły imiona rodziców oraz miejsce zamieszkania (zastąpione adresem do korespondencji), a dodano adres e-mail lub telefon. Dodatkowo od pracownika (czyli już od zatrudnionego) żądać musi (ciekawe dlaczego używa się sformułowania "żąda"?) podania:

1) adres zamieszkania
2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze  szczególnych uprawnień przewidzianych w prawie pracy.

Dane te udostępnia się w formie oświadczenia.  Bardzo ciekawe jest, że przetwarzanie danych przez pracodawcę "na podstawie § 1 pkt 3 i 4" ( a więc adres zamieszkania, mail, telefon - podane podczas aplikowania na dane stanowisku) po nawiązaniu stosunku pracy możliwe jest za zgodą pracownika. Ciekawe jest też, że przetwarzanie innych danych, niż tutaj wymienione (a tym także danych biometrycznych) "jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej". 

Jakiekolwiek inne dane pracodawca może (a nawet i musi) przetwarzać, jeśli potrzebne są one do wypełnienia obowiązku pracodawcy nałożonego przepisem prawa albo gdy obowiązek ich podania wynika z odrębnych przepisów (przykładowo ubezpieczenia społecznie). Brak zgody pracownika na przetwarzanie danych nie może powodować żadnych negatywnych konsekwencji. To może utrudnić np. utrzymywanie list numerów kontaktowych na potrzeby zachowania ciągłości działania. No cóż...

Dane o nałogach, stanie zdrowia czy o życiu seksualnym lub orientacji seksualnej nie mogą być przetwarzane, nawet za zgodą pracownika. Dziwi mnie, że te kategorie danych nie są kompatybilne z unijnym rozporządzeniem, a dlaczego nie ma wśród nich chociażby przekonań religijnych...?

Co do danych biometrycznych, to Minister Cyfryzacji  ma określić rozporządzeniem, jak należy je bezpiecznie przetwarzać.

W Kodeksie pracy jest uregulowany monitoring wideo! Poważnie! Ale "monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika" i "nie obejmuje pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni".

Dane pracowników pojawiają się także w innych ustawa, przykładowo w ustawie o usługach płatniczych - art. 10a i 10b pozwalają na żadanie przedłożenia "informacji dotyczących karalności, a w szczególności informacji czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym" - dotyczy to pracownika, osoby ubiegającej się o zatrudnienie u administratora oraz także procesora ("u agenta lub przedsiębiorcy, któremu instytucja płatnicza instytucja pieniądza elektronicznego powierzyła wykonywanie określonych czynności operacyjnych związanych ze świadczeniem usług płatniczych lub z działalnością w zakresie wydawania pieniądza elektronicznego"). Dowiadujemy się także, że:

2. Instytucja płatnicza oraz instytucja pieniądza elektronicznego mają prawo żądać od pracownika danych biometrycznych w szczególności w postaci odcisków palców,głosu, obrazu rogówki i sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do informacji i pomieszczeń.

Karta Nauczyciela - określa się jakie dane osobowe można przetwarzać w celu "realizacji zadań, o których mowa w art. 9b (awans nauczyciela) , art. 9g (awans na stopień nauczyciela kontraktowego), art. 9h (nadzór nad tymi awansami), art. 77 (sprawy dyscyplinarne) oraz art. 78 (komisje dyscyplinarne)".

Dodaje się też, że ogranicza się stosowanie art. 12 i art. 15 rozporządzenia unijnego, że:

prawa osoby, której dane dotyczą, określone w tych przepisach realizowane są bezpłatnie raz na sześć miesięcy. W pozostałych przypadkach administrator danych ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych.

Ciekawi mnie, co przemawiało za uregulowaniem tej materii w tym obszarze... Ale są jeszcze lepsze kwiatki, bo znajdujemy tam ciekawe wyłączenie:

5. Przepisu art. 34 rozporządzenia 2016/679 nie stosuje się, jeśli administrator w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji publicznej lub na swojej stronie internetowej.

Oznacza to, że nie ma obowiązku raportowania naruszeń do Prezesa Urzędu Ochrony Danych, nie ma też obowiązku dokumentowania naruszeń ochrony danych osobowych o ile na swojej stronie internetowej opublikuje odpowiedni komunikat! Nie mówiąc o tym, że w ustawie Karta Nauczyciela wprowadza się nowy termin "rozporządzenie 2016/679". Wow! A jeszcze bardziej rozbawił mnie ten zapis

6. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu i są przechowywane wyłącznie przez okres niezbędny do realizacji zadań.

Czyli jak już tych zadań nie realizuje się, to nie ma potrzeby danych zabezpieczać? I może właśnie dlatego później mamy takie opuszczone szkoły pełne papierów, tak jak na tym wideo   

W ustawie Prawo o adwokaturze tez używa się (ponownie) terminu "rozporządzenia 2016/679". Tu Agent 007, przedstawiam dokument 679. Cóż, chyba musimy do niego przywyknąć.

Ustawa o drogach publicznych określa jakie dane można przetwarzać w celu poboru opłat. Dane te mają być usuwane po 12 miesiącach o ile nie będą niezbędne w celu postępowania np. sądowego.

W celu realizacji zadania, o którym mowa w ust. 3, operator może przetwarzać dane dotyczące pojazdów oraz użytkowników dróg publicznych, w tym dane osobowe, pozyskane w związku z funkcjonowaniem systemu poboru opłaty elektronicznej.

Nie brzmi to najlepiej - bo oznacza, że to co system zbierze (a nie wiemy co zbierze), to można przetwarzać...? A może tylko mi się wydaje. Tak czy siak, pojawią się też:

a) obrazy pojazdów, w tym zawierające wizerunek kierującego pojazdem,
b) numer rejestracyjny pojazdu,
c) dane umożliwiające określenie miejsca i czasu przemieszczania się pojazdu na sieci dróg krajowych

No i kolejne wyłączenie:

2d. Generalny Dyrektor Dróg Krajowych i Autostrad, przetwarzając dane, o których mowa w ust. 2a, zwolniony jest z obowiązków informacyjnych, o których mowa w art. 13 i 14 rozporządzenia 2016/679.

Najciekawsza jest lista potencjalnych odbiorców danych:

2e. Jeżeli przepisy odrębne nie stanowią inaczej, Generalny Dyrektor Dróg Krajowych i Autostrad lub osoba przez niego upoważniona, na podstawie pisemnego wniosku, udostępnia nieodpłatnie dane, o których mowa w ust. 2a:
1) Policji,
2) Inspekcji Transportu Drogowego,
3) Żandarmerii Wojskowej,
4) Straży Granicznej,
5) Agencji Bezpieczeństwa Wewnętrznego,
6) Agencji Wywiadu,
7) Centralnemu Biuru Antykorupcyjnemu,
8) Służbie Kontrwywiadu Wojskowego,
9) Służbie Wywiadu Wojskowego,
10) prokuratorowi,
11) sądom,
12) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego

Wystarczy tylko wypełnić wniosek, trochę go uzasadnić i poprosić o dane. A można mieć nawet stały dostęp, bez składania żadnych wniosków. 

Wygląda też na to, że w końcu statystyka zauważy i uporządkuje kwestie przetwarzania danych osobowych. Zmian w tej ustawie jest całe mnóstwo! Trochę pominąłem, bo to akurat nie jest branża fascynująca mnie jakoś szczególnie, ale dobrze wiedzieć!

3. Przekazywanie danych do celów statystycznych nie stanowi naruszenia tajemnic prawnie chronionych, z wyłączeniem informacji, o których mowa w przepisach o ochronie informacji niejawnych.”;
(...)
Art. 10. Dane jednostkowe identyfikowalne zebrane przez statystykę publiczną podlegają bezwzględnej ochronie.

Nowy termin - bezwzględna ochrona - podoba mi się

Ustawa o zasadach ewidencji i identyfikacji podatników i płatników - Centralny Rejestr Podmiotów Krajowej Ewidencji Podatników nie będzie podlegał 12-22 i art. 34 unijnego rozporządzenia. Pamiętamy, że art. 34 dotyczy "zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych". Zaś od 12 do 22 mamy prawa osoby, które dane dotyczą.

Ktoś, kto proponował zmiany do ustawy o muzeach powinien dostać medal - to jest najbardziej "przejrzysta" treść - przykład poniżej:

Do przetwarzania danych osobowych, o których mowa w art. 2 ust.2, art. 5b ust. 2 pkt 3, art. 6 ust. 8, art. 6a ust. 2a, art. 7 ust. 4a, art. 10 ust. 3c, art. 12a, art. 13 ust. 7, art. 19 ust. 1a, art. 19a ust. 5, art. 20 ust. 5, art. 23 ust. 2a, art. 29 ust. 1a, art. 29a ust. 3a, art. 31e ust. 2 pkt 1 i 3, art. 33d ust. 2a oraz art. 33e przepisów art. 13, 14 i 19 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim dane te są niezbędne do zapewnienia prawidłowej realizacji zadań, o których mowa w art. 2 ust.1, art. 5b ust.1, art. 6 ust. 1 i 7, art. 6a ust. 1, art. 7 ust. 4, art. 10 ust. 3c, art. 11 ust. 1, art. 12 ust. 1, art. 13 ust. 1 i 6, art. 19 ust. 1, art. 19a ust. 1, art. 20 ust. 1 i 2, art. 23 ust. 1 i 2, art. 29 ust. 1, art. 29a ust. 3, art. 31e ust. 1 i 3, art. 33c ust. 1 oraz art. 33d ust. 1 i 2.

Patrząc na to już dzisiaj czuję, że muzea będą mieć trochę problem ze stosowaniem art. 12 ust. 1 rozporządzenia 2016/679:

Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji (...)

Nawet prawo energetyczne pojawiło się wśród zmian - co nie dziwi - poprzedni GIODO uważnie przyglądał się inteligentnym licznikom

Operatorzy systemów dystrybucyjnych instalujący u odbiorców końcowych przyłączonych do ich sieci liczniki zdalnego odczytu są obowiązani chronić dane pomiarowe dotyczące tych odbiorców, na zasadach określonych w przepisach o ochronie danych osobowych.

Uff, dużo tego, trzeba podzielić na części - to dopiero jedna trzecia, a jeszcze jest ustawa i uzasadnienie. Ciąg dalszy nastąpi, bo lektura jest... hm... fascynująca!

EDIT: Częśc druga -> kliknij