Krótko i na temat: w Dzienniku Ustaw opublikowano wałkowaną od dawien dawna „ustawę wykonującą RODO” — czyli ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730).
Trudno opisywać wszystkie zmiany (przepisy dostosowujące akty prawne do RODO zajmują 118 stron, z czego sama wyliczanka nowelizowanych ustaw zajmuje przeszło jedną stronę drobnym maczkiem), niemniej dziś warto napomknąć, iż:
- obowiązek informacyjny o przetwarzaniu danych osobowych będzie dotyczył także postępowania administracyjnego (szereg zmian w kpa);
- zmienia się katalog danych pracownika, które może przetwarzać pracodawca (art. 22(1) kp); wprowadzona zostaje podstawa do przetwarzania danych biometrycznych pracownika — a więc wreszcie skanowanie tęczówek i palców wreszcie nie będzie nielegalne (por. „Przetwarzanie danych biometrycznych pracownika (art. 22(1b) par. 2 kp)”; zmieniają się nieco przepisy o monitoringu w zakładzie pracy (art. 22(2) kp); nie będzie można prześwietlać kandydatów do pracy bez ich wyraźnej i niewymuszonej zgody (por. „Pracodawca nie może już „weryfikować” kandydata do pracy w LinkedIn i na Fejsbóku”);
- szczegóły czają się w przepisach przejściowych: pracodawcy mają 14 dni na zaprzestanie monitoringu pomieszczeń, którymi dysponują związki zawodowe (art. 163 ust. 1 ustawy) oraz 30 dni na uzyskanie zgody na monitoring pomieszczeń sanitarnych lub wyłączenie tego monitoringu (art. 163 ust. 2 ustawy);
- przepisy o przetwarzaniu danych osobowych pojawiają się w ustawie prawo o adwokaturze, ustawie o radcach prawnych i ustawie prawo o notariacie;
- generalne uprawnienie do przetwarzania danych uzyskuje Rzecznik Praw Obywatelskich (także szczególnych kategorii danych osobowych, które jednak może przetwarzać wyłącznie w celu ochrony wolności i praw człowieka);
- w prawie bankowym pojawia się przepis nakazujący bankom przekazanie kredytobiorcy wyjaśnienia dotyczącego oceny zdolności kredytowej — czyli powodów, dla których odmówiono udzielenia kredytu (lub go przyznano) (art. 70a pr. bankowego), zaś bank będzie mógł profilować kredytobiorców w ocenie scoringu tylko pod warunkiem prawa do „interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska” (art. 105a ust. 1a pr. bankowego); profilowanie w celu scoringu będzie mogło dotyczyć zamkniętego katalogu danych o kretytobiorcy (art. 105a ust. 1b pr. bankowego; na ten temat mocno naciskała Fundacja Panoptykon); podobne obowiązki będą spoczywać na kredytodawcach (art. 10 ust. 2 ustawy o kredycie konsumenckim; por. „Bank musi wyjaśnić przesłanki oceny scoringowej kredytobiorcy”);
- dookreślone zostają zasady przetwarzania danych osobowych przez detektywów — nadal mogą oni przetwarzać dane osobowe innych osób bez ich zgody (i bez informowania zainteresowanych osób), ale tylko w zakresie związanym ze świadczeniem usług,
- istotne zmiany pojawiają się w ustawie o świadczeniu usług drogą elektroniczną: zgoda usługobiorcy będzie „mierzona” przepisami RODO (art. 4 uośude); uchyla się też szereg szczegółowych regulacji dotyczących przetwarzania danych osobowych usługobiorców (por. „Zgoda na wysyłanie mejlingów musi być „kompatybilna” z RODO”);
- podobnej nowelizacji doczekało się prawo telekomunikacyjne — znowelizowany art. 174 PT stanowi, iż „Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych”, co oznacza, że można się spodziewać kolejnej „rewolucji w ciasteczkach”, a także być może odbierania zgód na telemarketing (art. 172 PT; por. „Zgoda na cookies też musi być „w stylu” RODO”);
- podmioty publiczne zyskują uprawnienie do korzystania ze zgromadzonych w rejestrach publicznych danych kontaktowych obywateli — ale tylko w celu ochrony naszych interesów (art. 15b ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne);
- zmienia się zakres danych podawanych we wniosku o wydanie paszportu (art. 13a ustawy o dokumentach paszportowych); sprecyzowane są także okresy przechowywania danych biometrycznych zgromadzonych w ewidencji paszportowej (są też zmiany w ustawie o dowodach osobistych i ewidencji ludności);
- rekordowy (?) jest okres przetwarzania niektórych danych osobowych wynikający z ustawy o odpadach — 100 lat (art. 80 ust. 1b pkt 2 ustawy o odpadach);
- przedsiębiorcy administrujący danymi osobowymi konsumentów będą mieli obowiązek wywiesić klauzule informacyjne w lokalu lub na swojej stronie internetowej (art. 4a ustawy o prawach konsumenta — por. „Uproszczone wykonanie obowiązku informacyjnego RODO przez mikroprzedsiębiorców”);
- w ustawie o CEIDG uchyla się art. 50 (który i tak już nie działa, por. „Dane osobowe przedsiębiorców wpisanych w CEIDG”);
- są nawet zmiany w ustawie z 2018 r. o ochronie danych osobowych! m.in. wyłączenie obowiązku informacyjnego w przypadku otrzymania danych osobowych od podmiotu realizującego zdania publiczne; włączenie Prezydenta RP w system ochrony danych osobowych (!).
Dla jasności:
- ustawa wykonująca RODO wchodzi w życie po 14-dniowym vacatio legis (art. 173 ustawy);
- wyjątki dotyczą: nowych wniosków paszportowych (90 dni), nowych przepisów dotyczących udostępnienia danych z rejestru PESEL (te dla odmiany będą obowiązywały już od 1 maja 2019 r.), zmian w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (od 13 października 2019 r.)