Ustawa wykonująca RODO już w Dzienniku Ustaw (wiele, bardzo wiele zmian)

Krótko i na temat: w Dzienniku Ustaw opublikowano wałkowaną od dawien dawna „ustawę wykonującą RODO” — czyli ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730).


ustawa wykonująca RODO

Jakiś czas już nie byłem we wrocławskim OH Kinie, będzie trzeba kiedyś zajrzeć, zobaczyć czy coś zrobili z monitoringiem w klozecie — bo przecież sama ustawa wykonująca RODO (i uszczegóławiająca zasady przetwarzania danych osobowych) to za mało, trzeba jeszcze realnych działań (fot. Olgierd Rudak, CC-BY-SA 3.0)


Trudno opisywać wszystkie zmiany (przepisy dostosowujące akty prawne do RODO zajmują 118 stron, z czego sama wyliczanka nowelizowanych ustaw zajmuje przeszło jedną stronę drobnym maczkiem), niemniej dziś warto napomknąć, iż:

  • obowiązek informacyjny o przetwarzaniu danych osobowych będzie dotyczył także postępowania administracyjnego (szereg zmian w kpa);
  • zmienia się katalog danych pracownika, które może przetwarzać pracodawca (art. 22(1) kp); wprowadzona zostaje podstawa do przetwarzania danych biometrycznych pracownika — a więc wreszcie skanowanie tęczówek i palców wreszcie nie będzie nielegalne (por. „Przetwarzanie danych biometrycznych pracownika (art. 22(1b) par. 2 kp)”; zmieniają się nieco przepisy o monitoringu w zakładzie pracy (art. 22(2) kp); nie będzie można prześwietlać kandydatów do pracy bez ich wyraźnej i niewymuszonej zgody (por. „Pracodawca nie może już „weryfikować” kandydata do pracy w LinkedIn i na Fejsbóku”);
  • szczegóły czają się w przepisach przejściowych: pracodawcy mają 14 dni na zaprzestanie monitoringu pomieszczeń, którymi dysponują związki zawodowe (art. 163 ust. 1 ustawy) oraz 30 dni na uzyskanie zgody na monitoring pomieszczeń sanitarnych lub wyłączenie tego monitoringu (art. 163 ust. 2 ustawy);
  • przepisy o przetwarzaniu danych osobowych pojawiają się w ustawie prawo o adwokaturze, ustawie o radcach prawnych i ustawie prawo o notariacie;
  • generalne uprawnienie do przetwarzania danych uzyskuje Rzecznik Praw Obywatelskich (także szczególnych kategorii danych osobowych, które jednak może przetwarzać wyłącznie w celu ochrony wolności i praw człowieka);
  • w prawie bankowym pojawia się przepis nakazujący bankom przekazanie kredytobiorcy wyjaśnienia dotyczącego oceny zdolności kredytowej — czyli powodów, dla których odmówiono udzielenia kredytu (lub go przyznano) (art. 70a pr. bankowego), zaś bank będzie mógł profilować kredytobiorców w ocenie scoringu tylko pod warunkiem prawa do „interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska” (art. 105a ust. 1a pr. bankowego); profilowanie w celu scoringu będzie mogło dotyczyć zamkniętego katalogu danych o kretytobiorcy (art. 105a ust. 1b pr. bankowego;  na ten temat mocno naciskała Fundacja Panoptykon); podobne obowiązki będą spoczywać na kredytodawcach (art. 10 ust. 2 ustawy o kredycie konsumenckim; por. „Bank musi wyjaśnić przesłanki oceny scoringowej kredytobiorcy”);
  • dookreślone zostają zasady przetwarzania danych osobowych przez detektywów — nadal mogą oni przetwarzać dane osobowe innych osób bez ich zgody (i bez informowania zainteresowanych osób), ale tylko w zakresie związanym ze świadczeniem usług,
  • istotne zmiany pojawiają się w ustawie o świadczeniu usług drogą elektroniczną: zgoda usługobiorcy będzie „mierzona” przepisami RODO (art. 4 uośude); uchyla się też szereg szczegółowych regulacji dotyczących przetwarzania danych osobowych usługobiorców (por. „Zgoda na wysyłanie mejlingów musi być „kompatybilna” z RODO”);
  • podobnej nowelizacji doczekało się prawo telekomunikacyjne — znowelizowany art. 174 PT stanowi, iż „Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych”, co oznacza, że można się spodziewać kolejnej „rewolucji w ciasteczkach”, a także być może odbierania zgód na telemarketing (art. 172 PT; por. „Zgoda na cookies też musi być „w stylu” RODO”);
  • podmioty publiczne zyskują uprawnienie do korzystania ze zgromadzonych w rejestrach publicznych danych kontaktowych obywateli — ale tylko w celu ochrony naszych interesów (art. 15b ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne);
  • zmienia się zakres danych podawanych we wniosku o wydanie paszportu (art. 13a ustawy o dokumentach paszportowych); sprecyzowane są także okresy przechowywania danych biometrycznych zgromadzonych w ewidencji paszportowej (są też zmiany w ustawie o dowodach osobistych i ewidencji ludności);
  • rekordowy (?) jest okres przetwarzania niektórych danych osobowych wynikający z ustawy o odpadach — 100 lat (art. 80 ust. 1b pkt 2 ustawy o odpadach);
  • przedsiębiorcy administrujący danymi osobowymi konsumentów będą mieli obowiązek wywiesić klauzule informacyjne w lokalu lub na swojej stronie internetowej (art. 4a ustawy o prawach konsumenta — por. „Uproszczone wykonanie obowiązku informacyjnego RODO przez mikroprzedsiębiorców”);
  • w ustawie o CEIDG uchyla się art. 50 (który i tak już nie działa, por. „Dane osobowe przedsiębiorców wpisanych w CEIDG”);
  • są nawet zmiany w ustawie z 2018 r. o ochronie danych osobowych! m.in. wyłączenie obowiązku informacyjnego w przypadku otrzymania danych osobowych od podmiotu realizującego zdania publiczne; włączenie Prezydenta RP w system ochrony danych osobowych (!).

Dla jasności:

  • ustawa wykonująca RODO wchodzi w życie po 14-dniowym vacatio legis (art. 173 ustawy);
  • wyjątki dotyczą: nowych wniosków paszportowych (90 dni), nowych przepisów dotyczących udostępnienia danych z rejestru PESEL (te dla odmiany będą obowiązywały już od 1 maja 2019 r.), zmian w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (od 13 października 2019 r.)

12
Dodaj komentarz

avatar
2 Comment threads
10 Thread replies
2 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
SpeX
Gość

„przepis nakazujący bankom przekazanie kredytobiorcy wyjaśnienia dotyczącego oceny zdolności kredytowej”
Czyli banki będą musiały mi napisać gdzie w ich rankingu dostałem i straciłem punkty, przy ocenie kredytobiorcy?

Anna
Gość
Anna

co z atrapami kamer? czy lokalizacje w których się znajdują należy traktować jako strefy monitorowane?

Darek-
Gość
Darek-

No, pominąwszy stan prawny, to skoro generalnie przy każdej prawdziwej kamerze będzie wisieć info o RODO to jaki sens ma atrapa bez takiego samego info? :)