RODO od maja 2018 i 9 zmian dla Ciebie.

Dostosowanie polskiego środowiska prawnego do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: ogólne rozporządzenie o ochronie danych, RODO) wymaga, poza uchwaleniem nowej ustawy o ochronie danych osobowych, znowelizowania licznych przepisów branżowych.

Prawodawca, chcąc jak najlepiej przygotować się do obowiązywania ogólnego rozporządzenia o ochronie danych, przygotował projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. Projekt ustawy liczy ponad 170 stron i obejmuje zmiany w 133 ustawach. W swoim artykule przedstawię najistotniejsze zmiany w przepisach sektorowych zaproponowane przez ustawodawcę, zmieniające ustawy istotne z punktu widzenia obywateli.

Jedną z najistotniejszych zmian dotyczących ustawy – Prawo telekomunikacyjne jest uregulowanie zasad dotyczących profilowania. Aby dokonać oceny wiarygodności płatniczej użytkownika końcowego, dostawca usług będzie mógł przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie, jeśli wdroży właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Uchylone natomiast zostają przepisy art. 174a–174d Prawa telekomunikacyjnego, które zobowiązywały dostawców publicznie dostępnych usług telekomunikacyjnych do zawiadamiania Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych w ciągu 3 dni od stwierdzenia naruszenia. Zaproponowana przez ustawodawcę zmiana zdaje się całkowicie logiczna w tym zakresie, gdyż samo ogólne rozporządzenie o ochronie danych nakłada już obowiązek poinformowania organu nadzorczego o własnych naruszeniach.

W ustawie o prawie autorskim i prawach pokrewnych całkowicie zmieniony zostanie art. 35² ust. 1. Zmiany mają więc dotyczyć pisemnego oświadczenia o woli otrzymywania wynagrodzenia za użyczanie. Zgodnie z zaproponowaną nowelizacją powyższe oświadczenie będzie musiało zawierać:

1) imię i nazwisko twórcy albo twórców utworu wyrażonego słowem oraz pseudonim, jeżeli był używany w odniesieniu do danego utworu,

2) imię i nazwisko tłumacza albo tłumaczy utworu wyrażonego słowem oraz pseudonim, jeżeli był używany w odniesieniu do danego utworu,

3) tytuł utworu wyrażonego słowem,

4) nazwę wydawcy utworu wyrażonego słowem,

5) rok wydania utworu wyrażonego słowem,

6) imię, nazwisko lub nazwę oraz adres zamieszkania lub siedziby składającego oświadczenie,

7) w przypadku podmiotów, o których mowa w art. 28 ust. 5 pkt 1–3, wskazanie, do której z wymienionych w art. 28 ust. 5 kategorii uprawnionych należy dany podmiot, a także, jeżeli istnieje wielu uprawnionych, wskazanie wielkości udziału uprawnionego składającego oświadczenie, ustalonego na podstawie umowy zawartej z wydawcą wraz z jej kopią,

8) dane niezbędne do zrealizowania płatności, w tym numer rachunku bankowego,

9) w przypadku wydawców – informację o numerze ISBN utworu wyrażonego słowem,

10) w przypadku spadkobierców uprawnionych, o których mowa w art. 28 ust. 5 pkt 1–3, do oświadczenia dołącza się dokumenty potwierdzające przejście autorskich praw majątkowych do utworu wyrażonego słowem w drodze dziedziczenia oraz wskazuje przysługujący im udział.

Ponadto ograniczone zostaną prawa osób, których dane dotyczą, wynikające z art. 12 i 15 ogólnego rozporządzenia o ochronie danych. Dotyczą one przejrzystego informowania osoby, której dane dotyczą, o jej prawach, przejrzystej komunikacji z podmiotem danych oraz trybu wykonywania praw przez osobę, której dane dotyczą (art. 12 RODO), a także prawa dostępu do danych (art. 15 RODO).

Prawa osób realizowane będą bezpłatnie raz na sześć miesięcy, w pozostałych przypadkach administrator ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych.

Ponadto, niemal już tradycyjnie, zwolniono administratora z obowiązku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 ogólnego rozporządzenia o ochronie danych), jeśli ten w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.

Zmiany w ustawie z 10 kwietnia 1997 r. – Prawo energetyczne zakładają, że dane na licznikach zainstalowanych u odbiorców końcowych powinny być chronione na zasadach ogólnych, co za tym idzie – dane na tych urządzeniach będą musiały być odpowiednio zabezpieczone, co będzie się wiązało z dodatkowymi wydatkami dla przedsiębiorców z branży energetycznej.

Ustawodawca proponuje zmiany dotyczące katalogu danych, jakie mają być przetwarzane w centralnej ewidencji pojazdów oraz centralnej ewidencji kierowców. W przypadku centralnej ewidencji pojazdów katalog ma zawierać:

• imię i nazwisko,
• PESEL, a w przypadku osoby, która go nie ma – serię, numer i nazwę dokumentu potwierdzającego tożsamość,
• datę i miejsce urodzenia,
• adres zamieszkania.

Zakres danych w centralnej ewidencji kierowców ma ponadto zawierać:

• unikalny numer identyfikujący profil kandydata na kierowcę,
• fotografię,
• wzór podpisu,
• numer telefonu,
• adres poczty elektronicznej.

Ponadto administrator danych i informacji zgromadzonych w tych ewidencjach jest zwolniony z obowiązku informacyjnego wynikającego z przepisów ogólnego rozporządzenia o ochronie danych. Osobom, których dane znajdują się w tych ewidencjach, nie będzie przysługiwało także prawo dostępu do danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo sprzeciwu.

Dodatkowo administrator danych zawartych w tych ewidencjach nie zawiadamia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeśli w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.

Ustawodawca zaproponował, jakie dane osobowe należy przetwarzać w zakresie odwoływania i powoływania Rady do Spraw Narodowego Zasobu Bibliotecznego. Enumeratywnie zostały też wymienione dane przetwarzane przez Dyrektora Biblioteki Narodowej oraz biblioteki.

Ciekawym zabiegiem jest zwolnienie szeroko rozumianych bibliotek z zasady rozliczalności wywodzącej się z ogólnego rozporządzenia o ochronie danych.

W przypadku pracowników, którzy mają dostęp do danych dotyczących banku lub klientów banku, i osób ubiegających się o zatrudnienie bank może żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji, czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. Dodatkowo bank może żądać od pracowników danych biometrycznych takich jak odciski palców, próbki głosu obraz rogówki i sieci żył palców, jeśli potrzebne jest to do kontroli dostępu.

Uregulowane zostały też zagadnienia dotyczące profilowania osób fizycznych. Bank będzie mógł używać go w celu oceny zdolności kredytowej oraz zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.

Bank zyska też podstawę prawną do kserowania dowodów osobistych swoich klientów:

„Art. 112b. 1. Banki w zakresie realizowanych zadań mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych”.

W ustawie o spółdzielniach mieszkaniowych dodano zapis regulujący, kto ma zostać administratorem danych w zakresie danych osobowych członków spółdzielni oraz osób niebędących członkami spółdzielni, którym przysługuje tytuł prawny do lokalu znajdującego się w zasobach spółdzielni mieszkaniowej. Ma nim zostać spółdzielnia mieszkaniowa.

W przypadku ustawy o własności lokali administratorem danych w zakresie spraw związanych z zarządem nieruchomością ma być wspólnota mieszkaniowa.

Artykuł 23 ust. 9 ustawy o świadczeniach rodzinnych otrzymuje brzmienie:

„Art. 9. Informacje, o których mowa w ust. 8, mogą być przetwarzane przez ministra właściwego do spraw rodziny w celu umożliwienia organom właściwym i marszałkom województw weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10 w celu, w którym informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe i marszałkowie województw przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 7”.

Poza oczywistymi zamianami, jak np. powołanie się na przepisy ogólnego rozporządzenia o ochronie danych, a nie na przepisy ustawy o ochronie danych osobowych, w ustawie o prawach pacjenta i rzeczniku praw pacjenta uregulowano kwestię powierzenia danych podmiotowi przetwarzającemu przez podmiot udzielający świadczeń zdrowotnych.

Dodano też zapis umożliwiający rzecznikowi praw pacjenta na przetwarzanie danych osobowych, w tym tzw. „danych wrażliwych” do realizacji swoich ustawowych zadań. Ma być on również administratorem tych danych.

Adam Lipiński, specjalista ds. ochrony danych, prawnik, swoje zainteresowania zarówno praktyczne, jak i naukowe koncentruje wokół ochrony danych osobowych i szeroko rozumianego prawa administracyjnego, doświadczenie zawodowe zdobywał jako pracownik kancelarii radcowskiej oraz asystent w katedrze Prawa Administracyjnego na Uczelni Łazarskiego, gdzie pełnił również funkcję administratora bezpieczeństwa informacji

(źródło: ODO)