Weszła w życie ustawa wdrażająca RODO

Agnieszka Przedpełska
Agnieszka Przedpełska Młodszy prawnik
kontakt
Marcin Grott
Marcin Grott Radca Prawny
kontakt

W dniu 4 maja 2019 r. weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), przyjęta przez Sejm po burzliwych i długich dyskusjach. Ustawa nowelizuje aż 162 akty prawne.

Kolejny krok na drodze zgodności z RODO

Przyjęcie ustawy wdrażającej było następnym etapem na drodze do zapewnienia pełnego stosowania RODO w polskim porządku prawnym. Jej celem jest uspójnienie przepisów poszczególnych ustaw z rozporządzeniem, które jako akt unijny stosowany bezpośrednio w całej Unii Europejskiej ma charakter interdyscyplinarny, otwarty i zawiera wiele klauzul generalnych. RODO daje państwom członkowskim dość szeroki margines swobody, jeśli chodzi o uregulowanie pewnych szczególnych rozwiązań w odniesieniu do przetwarzania danych osobowych zarówno w sektorze prywatnym, jak publicznym.

Najważniejsze zmiany w wybranych sektorach

Ustawa wprowadza liczne zmiany, z których wybraliśmy najważniejsze dla sektora ubezpieczeń, bankowego i zatrudnienia.

Sektor ubezpieczeń

Zmiany dotyczące ustawy o działalności ubezpieczeniowej i reasekuracyjnej:

  • wskazanie dodatkowych podmiotów zobowiązanych do zachowania tajemnicy ubezpieczeniowej,
  • wyłączenie prawa dostępu do danych osobowych w przypadku przetwarzania ich przez zakład ubezpieczeń na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom,
  • rezygnacja z wymogu pisemnej zgody w przypadku uzyskiwania przez zakład ubezpieczeń z zewnętrznego źródła danych osobowych o m.in. stanie zdrowia, czy udostępniania danych osobowych innemu zakładowi ubezpieczeń,
  • wprowadzenie przepisu będącego podstawą prawną przetwarzania danych osobowych w celu:
  • zapobiegania popełnieniu przestępstwa na szkodę zakładu ubezpieczeń,
  • oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia (dla danych dotyczących zdrowia),
  • statystycznym na potrzeby ustalania wysokości składek oraz odpowiednich rezerw,
  • wykonania zadań przez m.in. zakład ubezpieczeń (dla danych o wyrokach skazujących i czynach zabronionych pozyskanych od m.in. organów ścigania),
  • umożliwienie dokonywania decyzji automatycznych w celu oceny ryzyka ubezpieczeniowego lub wykonania określonych czynności ubezpieczeniowych. Przy czym konieczne jest zapewnienie prawa do otrzymania wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej,
  • wprowadzenie zamkniętego katalogu danych, na podstawie których możliwe jest podjęcie decyzji automatycznych.
Sektor bankowy

Zmiany dotyczące ustawy Prawo bankowe:

  • określenie okresu przechowywania i katalogu danych, do których przetwarzania uprawniony jest bank w celu badania rękojmi członków zarządu, rady nadzorczej banku oraz osób pełniących inne kluczowe funkcje w banku,
  • uregulowanie przez ustawodawcę przekazywania przez banki i inne instytucje ustawowo upoważnione do udzielania kredytów wyjaśnienia dot. oceny zdolności kredytowej – banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek podmiotu ubiegającego się o kredyt zostały zobowiązane przekazywać wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej w formie pisemnej,
  • umożliwienie dokonywania decyzji automatycznych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Przy czym konieczne jest zapewnienie prawa do otrzymania wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska,
  • po żywych dyskusjach ostatecznie zdecydowano pozostawić otwarty katalog danych osobowych, w oparciu o które mogą być podejmowane decyzje automatyczne. Zastrzeżono jednak, że decyzje automatyczne nie mogą być podejmowane w oparciu o dane szczególnie chronione,
  • wprowadzenie przepisu będącego podstawą prawną przetwarzania i wymiany na potrzeby międzybankowych systemów antyfraudowych danych osobowych dotyczących wyroków skazujących,
  • wyłączenie prawa dostępu do danych osobowych w przypadku przetwarzania ich na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.
Sektor zatrudnienia

Zmiany dotyczące Kodeksu pracy:

  • modyfikacja zakresu danych osobowych, które pracodawca pozyskuje w związku z podejmowaniem przez niego działań przed zawarciem umowy o pracę oraz po jej zawarciu,
  • określenie kiedy zgoda będzie mogła stanowić podstawę przetwarzania danych osoby ubiegającej się o zatrudnienie lub pracownika, w tym również danych szczególnie chronionych,
  • wprowadzenie przepisu będącego podstawą prawną przetwarzania danych biometrycznych pracownika w celu kontroli dostępu do szczególnie ważnych informacji lub pomieszczeń wymagających szczególnej ochrony,
  • nałożenie wymogu dopuszczenia do przetwarzania danych szczególnie chronionych osoby ubiegającej się o zatrudnienie lub pracownika, osób posiadających pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę,
  • ustawa wdrażająca wprowadza także zakaz monitoringu pomieszczeń udostępnianych zakładowej organizacji związkowej oraz pomieszczeń sanitarnych, szatni, stołówek, palarni, jak i wyjątki od tego zakazu.

Nie zapominajmy, że poza zmianami we wspomnianych sektorach, ustawa wdrażająca RODO zmieniła również wiele przepisów w innych ustawach.


Bądź na bieżąco
Otrzymuj najnowsze informacje o zmianach w prawie i podatkach bezpośrednio na swojego maila.

Zapisz się na newsletter >>