RODO 2019. Plusy i minusy zmian od 4 maja

Ustawa o zasadach ewidencji i identyfikacji podatników i płatników

Krajowa Ewidencja Podatników - przetwarzanie danych osobowych w celu nadania numeru NIP

Ustawa o zasadach ewidencji i identyfikacji podatników i płatników reguluje m.in. zasady gromadzenia danych podatników w Centralnym Rejestrze Podmiotów - Krajowej Ewidencji Podatników (dalej "CRP KEP"). Dane gromadzone i przetwarzane w CRP KEP na podstawie ustawy o zasadach ewidencji i identyfikacji podatników i płatników są wykorzystywane przez MF oraz organy Krajowej Administracji Skarbowej do realizacji celów i zadań ustawowych. Zatem istnieje ustawowe umocowanie do gromadzenia, przetwarzania i wykorzystywania przez administrację skarbową wspomnianych danych. Wykonywanie przez administrację skarbową ustawowych zadań wymaga korzystania z danych osobowych podatników. Dane te są niezbędne dla zapewnienia prawidłowej i bezpiecznej obsługi podatników oraz zabezpieczenia finansów publicznych przez ograniczenie ryzyka nieprawidłowej identyfikacji podatnika w systemie finansowym.

W tym kontekście nie ma wątpliwości, że gromadzenie danych osób fizycznych w CRP KEP jest zgodne z przepisami o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).

Oprócz podstawy prawnej gromadzenia danych RODO wymaga również wykonania obowiązków informacyjnych wobec osób, których dane są gromadzone i przetwarzane. Ustawodawca uznał, że ze względu na liczbę osób objętych CRP KEP wykonanie tego obowiązku wobec każdego podatnika znajdującego się w ewidencji CRP KEP byłoby znacznie utrudnione, a nawet niezasadne, skoro wszystko jest szczegółowo uregulowane ustawowo.

Dlatego też w ustawie o zasadach ewidencji podatników i płatników wprowadzono pewien uproszczony mechanizm wykonania obowiązku informacyjnego nakładanego przez RODO. Zgodnie z nowo dodanym przepisem art. 15aa ustawy o NIP, wykonanie obowiązku informacyjnego następuje przez udostępnienie informacji wymaganych przez RODO (wymienionych w art. 13 ust. 1 i 2 rozporządzenia UE 2016/679):

● w miejscu publicznie dostępnym w siedzibie organu lub

● w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ,

● na stronie internetowej organu.

Aby wykonać obowiązek informacyjny wymagany przez RODO, wystarczające będzie, gdy w związku z pozyskiwaniem danych organ przekaże osobie, której dane dotyczą, informacje o tym, gdzie z tymi informacjami może się zapoznać. Będzie to wystarczające, aby uznać, że obowiązek informacyjny RODO został wykonany.

Ponadto w art. 15aa ust. 2 i 3 ustawy o NIP zostały uregulowane:

● zasady upoważniania osób zatrudnionych (pełniących służbę) w Krajowej Administracji Skarbowej do przetwarzania danych osobowych zawartych w CRP KEP oraz

● minimalne obowiązki w zakresie zabezpieczenia tych danych (zapobieganie nadużyciom lub niezgodnemu z prawem dostępowi do danych).

Ocena zmian

Nowelizacja wprowadziła ustawowe umocowanie do gromadzenia, przetwarzania i wykorzystywania przez administrację skarbową danych osobowych. Wprowadziła też pewne uproszczenia w zakresie wykonywania obowiązków informacyjnych nakładanych przez RODO. Jest to z pewnością ułatwienie dla organów podatkowych, które nie zmienia prawnej sytuacji podatników. Zasady identyfikacji podatników, zgłaszania i weryfikacji danych zostały bowiem szczegółowo uregulowane w przepisach ustawowych.

PODSTAWA PRAWNA:

● art. 15aa ustawy z 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (j.t. Dz.U. z 2019 r. poz. 63; ost.zm. Dz.U. z 2019 r. poz. 730).

Ordynacja podatkowa

Wykonywanie obowiązków RODO przez organy podatkowe

W Ordynacji podatkowej uregulowano dwie kwestie związane z obowiązkami nałożonymi przez RODO:

● obowiązek informacyjny, regulowany w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz

● prawo żądania od administratora ograniczenia przetwarzania danych regulowane w art. 18 rozporządzenia 2016/679.

Ordynacja podatkowa reguluje sposób wykonywania przez organy podatkowe obowiązku informacyjnego RODO (art. 1a Ordynacji podatkowej) i stanowi, że wykonywanie tego obowiązku:

● odbywa się niezależnie od obowiązków organów podatkowych przewidzianych w Ordynacji podatkowej, oraz

● nie wpływa na tok i wynik procedur podatkowych.

Podobnie skorzystanie przez podatnika z prawa do żądania od administratora ograniczenia przetwarzania danych (art. 18 rozporządzenia 2016/679) nie wpływa na tok i wynik procedur podatkowych.

Wyraźnie oddzielono tym samym obowiązki związane z RODO od obowiązków i procedur podatkowych.

Ocena zmian

Ustawodawca rozdzielił dwie procedury: podatkową od RODO. Dzięki temu dochodzenie praw i obowiązków wynikających z RODO nie wpływa na przebieg procedur podatkowych (i odwrotnie). Zapobiegnie to ewentualnej kolizji przepisów, która mogłaby się na tym tle pojawić.

PODSTAWA PRAWNA:

● art. 1a ustawy z 29 sierpnia 1997 r. - Ordynacja podatkowa (j.t. Dz.U. z 2018 r. poz. 800; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Obowiązek informacyjny RODO

W Ordynacji podatkowej wskazano, że informacje wymagane przez RODO w art. 13 ust. 1 i 2 rozporządzenia 2016/679 powinny być przekazane:

● w wezwaniu, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie art. 159 § 1b Ordynacji podatkowej;

● przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie (art. 165 § 9 i art. 165a § 1 Ordynacji podatkowej);

● w zawiadomieniu o przekazaniu podania do organu właściwego w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie (art. 170 § 1a, art. 171 § 1 Ordynacji podatkowej);

● upoważnieniu do przeprowadzenia kontroli podatkowej (art. 283 § 2 pkt 9 Ordynacji podatkowej);

● przy pierwszej czynności skierowanej do wnioskodawcy w procedurze wydawania zaświadczeń (art. 306aa Ordynacji podatkowej).

Ocena zmian

Ustawodawca zdecydował się na ścisłe wskazanie rodzajów czynności, w związku z którymi istnieje obowiązek informacyjny RODO. Oznacza to, że w całym szeregu pozostałych czynności obowiązek ten nie występuje. Niestety zapis tego obowiązku nie jest do końca jasny ze względu na zawarte w ww. przepisach zastrzeżenia.

PODSTAWA PRAWNA:

● art. 159 § 1b, art. 165 § 9, art. 165a § 1, art. 170 § 1a, art. 171 § 1, art. 283 § 2 pkt 9, art. 306aa ustawy z 29 sierpnia 1997 r. - Ordynacja podatkowa (j.t. Dz.U. z 2018 r. poz. 800; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo dostępu do akt na podstawie Ordynacji podatkowej i RODO

Na podstawie art. 178 Ordynacji podatkowej, stronie przysługuje prawo dostępu do akt sprawy podatkowej, czyli prawo wglądu do akt oraz prawo do sporządzania notatek, odpisów i kopii. Przepis ten nie narusza prawa do skorzystania przez osobę, której dane dotyczą, z uprawnień wskazanych w art. 15 rozporządzenia 2016/679. Powołany przepis rozporządzenia RODO również dotyczy prawa do uzyskania dostępu do przetwarzanych przez administratora danych osobowych. Ustawodawca postanowił, że obydwie regulacje są równoprawne. Zastosowanie jednej nie wyklucza prawa do skorzystania z drugiej.

Przypomnijmy, że na podstawie art. 15 rozporządzenia RODO osoba, której dane dotyczą, jest uprawniona do:

1) uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące,

2) jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji, takich jak:

a) cele przetwarzania,

b) kategorie odnośnych danych osobowych,

c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,

d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,

f) informacje o prawie wniesienia skargi do organu nadzorczego,

g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle,

h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Ocena zmian

Ze względu na regulacje art. 178 Ordynacji podatkowej, odnoszące się do prawa dostępu strony do akt, powstawała kolizja tego przepisu z przepisami RODO. Ustawodawca wyraźnie oddzielił te dwa uprawnienia i wskazał, że prawo dostępu do akt regulowane w Ordynacji podatkowej nie narusza prawa do skorzystania z takich uprawnień na podstawie RODO.

PODSTAWA PRAWNA:

● art. 179a ustawy z 29 sierpnia 1997 r. - Ordynacja podatkowa (j.t. Dz.U. z 2018 r. poz. 800; ost.zm. Dz.U. z 2019 r. poz. 730).

Przeciwdziałanie wykorzystywaniu sektora finansowego do wyłudzeń skarbowych

Nowo dodany art. 119zn § 5 Ordynacji podatkowej wskazuje, że przetwarzanie danych dla celów ustalenia wskaźnika ryzyka może opierać się na danych osobowych ujawniających pochodzenie rasowe lub etniczne oraz dane biometryczne. Istotne jest tylko, aby przetwarzanie tych danych było zgodne z działem IIIB Ordynacji podatkowej, czyli było niezbędne do osiągnięcia celu, jakim jest przeciwdziałanie wykorzystywaniu sektora finansowego do wyłudzeń skarbowych.

Należy zauważyć, że RODO dopuszcza możliwość przetwarzania wymienionych danych, jeżeli są łącznie spełnione następujące warunki:

1) jest to niezbędne ze względów związanych z ważnym interesem publicznym,

2) następuje na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które:

a) są proporcjonalne do wyznaczonego celu,

b) nie naruszają istoty prawa do ochrony danych i

c) przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. g RODO).

W kontekście przepisów RODO, zapis art. 119zn § 5 Ordynacji podatkowej był niezbędny, ponieważ wskaźnik ryzyka jest określany na podstawie różnych kryteriów, m.in. geograficznych. Możliwość przetwarzania takich danych musiała zatem zostać zapisana w ustawie.

Ocena zmian

Nowelizacja formułuje granice upoważnienia ustawowego dla przetwarzania wrażliwych danych osobowych. Należy to z pewnością ocenić pozytywnie, choć w praktyce kwestia przestrzegania tych reguł całkowicie będzie leżała po stronie organów podatkowych i będzie co najmniej trudno weryfikowalna.

PODSTAWA PRAWNA:

● art. 119zn ustawy z 29 sierpnia 1997 r. - Ordynacja podatkowa (j.t. Dz.U. z 2018 r. poz. 800; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o wzajemnej pomocy przy dochodzeniu podatków, należności celnych i innych należności pieniężnych

Zobowiązanie do ochrony danych - w procedurze pomocy w dochodzeniu podatków

W ustawie z 11 października 2013 r. o wzajemnej pomocy przy dochodzeniu podatków, należności celnych i innych należności pieniężnych (j.t. Dz.U. z 2018 r. poz. 425 ze zm.) dodano przepis wprowadzający obowiązek zabezpieczenia danych osobowych przetwarzanych w celu wykonywania zadań wynikających z tej ustawy (art. 11a).

Przetwarzanie danych osobowych ma być zabezpieczone w sposób zapobiegający nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu. Dostęp do danych osobowych mają mieć wyłącznie osoby do tego uprawnione, które pisemnie zobowiązały się do zapewnienia poufności tych danych. Mają być też zapewnione wszelkie techniczne i organizacyjne środki zapewnienia bezpieczeństwa danych.

Ocena zmian

Zmiany wprowadzone w ustawie o wzajemnej pomocy przy dochodzeniu podatków polegają na wprowadzeniu zapisów o minimalnych zabezpieczeniach służących ochronie danych osobowych, co oczywiście należy ocenić pozytywnie. Jest to zobowiązanie leżące całkowicie po stronie organów podatkowych.

PODSTAWA PRAWNA:

● art. 11a ustawy z 11 października 2013 r. o wzajemnej pomocy przy dochodzeniu podatków, należności celnych i innych należności pieniężnych (j.t. Dz.U. z 2018 r. poz. 425; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o wykonywaniu Umowy między Rządem Rzeczypospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA

Zabezpieczenie danych osobowych

W celu wykonywania zadań wynikających z ustawy i Umowy FATCA polskie podmioty (przede wszystkim instytucje finansowe) przetwarzają dane osobowe. Ustawodawca dodał przepis nakazujący tym podmiotom wprowadzenie zabezpieczeń zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

● dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

● pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

● regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

● zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;

● zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych Szefa Krajowej Administracji Skarbowej oraz innych organów upoważnionych do otrzymania danych osobowych;

● zapewnieniu integralności danych w systemach informatycznych Szefa Krajowej Administracji Skarbowej oraz innych organów upoważnionych do otrzymania danych osobowych;

● określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

Ocena zmian

FATCA (Foreign Account Tax Compliance Act) jest regulacją Stanów Zjednoczonych Ameryki Północnej, która przewiduje nałożenie na zagraniczne (nieposiadające siedziby w USA) - banki i inne instytucje finansowe (np. firmy ubezpieczeniowe, domy maklerskie, fundusze inwestycyjne) obowiązku informowania amerykańskich organów podatkowych o rachunkach prowadzonych na rzecz podatników amerykańskich. Celem FATCA jest zapewnienie, by osoby fizyczne oraz podmioty posiadające obowiązek podatkowy w USA wywiązywały się z niego. Polskie instytucje finansowe (np. banki) stosują się do przepisów FATCA i to one występują w roli administratora danych osobowych. Tym samym mają one obowiązek zabezpieczenia danych i systemu informatycznego, w którym są one przekazywane. Dodany przepis precyzuje, jaki ma być minimalny zakres tego zabezpieczenia. Ponieważ są to kolejne obowiązki nałożone na polskie instytucje finansowe, ich wprowadzenie stanowi dodatkowe dla nich obciążenie i odpowiedzialność. Tym samym można stwierdzić, że jest to niekorzystny dla nich przepis.

PODSTAWA PRAWNA:

● art. 11 ust. 3 ustawy z 9 października 2015 r. o wykonywaniu Umowy między Rządem Rzeczypospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA (Dz.U. z 2017 r. poz. 1858; ost. zm. Dz.U. z 2019 r. poz. 730).

Ustawa o szczególnych zasadach wykonywania niektórych zadań z zakresu informatyzacji działalności organów Krajowej Administracji Skarbowej

Projekty informatyczne dla działalności organów KAS

Ustawa z 29 kwietnia 2016 r. o szczególnych zasadach wykonywania niektórych zadań z zakresu informatyzacji działalności organów Krajowej Administracji Skarbowej (j.t. Dz.U. z 2017 r. poz. 2192 ze zm.) określa zasady wykonywania niektórych projektów informatycznych o publicznym zastosowaniu.

Realizacja takich projektów jest niezbędna dla MF i organów Krajowej Administracji Skarbowej. Ich celem jest stworzenie systemów i rozwiązań teleinformatycznych, wspierających:

● wykrywanie naruszenia przepisów prawa podatkowego,

● wyższą efektywność poboru podatków, opłat oraz niepodatkowych należności budżetowych.

Są to przy tym programy tworzone w oparciu o liczne dane uzyskiwane z systemów teleinformatycznych MF i KAS. Ze względu na interes publiczny gromadzenie i przetwarzanie tych danych jest uprawnione.

Wspomniane projekty informatyczne realizuje spółka celowa na rzecz Skarbu Państwa (art. 2 ust. 2). W związku z RODO niezbędne było uregulowanie ochrony danych przetwarzanych w ramach realizacji tego zadania przez tę spółkę.

Dotychczas z art. 17 tej ustawy wynikało, że:

● w celu wykonywania zadań spółki spółka celowa może przetwarzać dane osobowe bez wiedzy i zgody osoby, której te dane dotyczą.

● po dokonaniu weryfikacji dane zbędne usuwa niezwłocznie pełnomocnik do spraw kontroli przetwarzania. Z czynności tych pełnomocnik sporządza protokół zawierający w szczególności wykaz zniszczonych dokumentów lub nośników informatycznych zawierających te dane oraz sposób ich zniszczenia.

Przepisy te zostały uchylone. Nadal jednak spółka celowa przetwarza dane osobowe przez okres, w którym są one niezbędne do wykonywania zadań spółki. Spółka celowa dokonuje, nie rzadziej niż co 2 lata, weryfikacji potrzeby dalszego przetwarzania tych danych, usuwając dane zbędne (art. 17 ust. 2).

Uregulowano przy tym kwestię bezpieczeństwa danych. Mianowicie, przetwarzanie danych osobowych przez spółkę celową ma być zabezpieczone w sposób zapobiegający nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu. Dostęp do danych osobowych mają mieć wyłącznie osoby do tego uprawnione, które pisemnie zobowiązały się do zapewnienia poufności tych danych. Mają być też zapewnione wszelkie techniczne i organizacyjne środki zapewnienia bezpieczeństwa danych.

Po zmianach nad bezpieczeństwem danych ma czuwać inspektor ochrony danych (zamiast pełnomocnika). Spółka celowa została bowiem zobowiązana do wyznaczenia inspektora ochrony danych (art. 18 ust. 1). W przypadku stwierdzenia naruszenia ustawy, przepisów o ochronie danych osobowych lub przepisów o ochronie tajemnic prawnie chronionych inspektor ochrony danych podejmuje działania zmierzające do wyjaśnienia okoliczności tego naruszenia, zawiadamiając o tym niezwłocznie zarząd spółki celowej i Ministra Finansów (art. 18 ust. 6).

Ocena zmian

Do ustawy regulującej zasady tworzenia projektów informatycznych na potrzeby organów podatkowych wprowadzono zobowiązanie do ochrony danych wymagane przez RODO, co z pewnością należy ocenić pozytywnie. Wszystkie obowiązki dotyczące zapewnienia tego zabezpieczenia ciążą tu na organach podatkowych. Nad wykonaniem tych obowiązków ma czuwać inspektor ochrony danych (zamiast pełnomocnika), co również należy ocenić pozytywnie.

PODSTAWA PRAWNA:

● art. 1, art. 2 ust. 2, art. 17 ust. 4, art. 18 ust. 1 i 6 ustawy z 29 kwietnia 2016 r. o szczególnych zasadach wykonywania niektórych zadań z zakresu informatyzacji działalności organów Krajowej Administracji Skarbowej (j.t. Dz.U. z 2017 r. poz. 2192; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Krajowej Administracji Skarbowej

Zasady przetwarzania danych przez KAS

W ustawie o Krajowej Administracji Skarbowej wprowadzone zostały zmiany dostosowujące treść przepisów tej ustawy do wymogów RODO.

Wprowadzono ogólne reguły przetwarzania danych przez KAS (podobne do wprowadzonych w Ordynacji podatkowej wobec organów podatkowych). Mianowicie zapisano, że:

● organy KAS przetwarzają dane osobowe, w tym w Centralnym Rejestrze Danych Podatkowych, w celach realizacji zadań lub obowiązków określonych w ustawie, przez okres niezbędny do osiągnięcia tych celów (art. 47 ust. 1 i art. 47b),

● KAS ma prawo do zautomatyzowanego przetwarzania danych lub zautomatyzowanego podejmowania decyzji, wywołującego skutki prawne wobec osoby profilowanej lub której dane podlegają zautomatyzowanemu przetwarzaniu (art. 47c),

● KAS wykonuje obowiązek informacyjny RODO poprzez udostępnienie informacji o przetwarzaniu danych w siedzibie organu lub na stronie internetowej tego organu lub na stronie BIP (w takim przypadku organ KAS podczas pozyskiwania danych osobowych przekazuje osobie, której dane dotyczą, informacje o miejscu udostępnienia tych informacji) (art. 47d),

● wykonywanie obowiązku informacyjnego wymaganego przez RODO, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów KAS i nie wpływa na przebieg i wynik procedur podejmowanych przed tymi organami, o których mowa w działach IV i V (czyli m.in. nie wpływa na prowadzone kontrole celno-skarbowe, audyt, czynności audytowe, urzędowe sprawdzenie) (art. 47d ust. 2).

Warto dodać, że z ustawy zniknął zapis upoważniający organy KAS do przetwarzania danych osobowych bez wiedzy i zgody osoby, której dane dotyczą.

Pozostałe zmiany dotyczą:

● zabezpieczenia danych osobowych,

● upoważnienia do wprowadzania danych do Centralnego Rejestru Danych Podatkowych,

● upoważnienia do przetwarzania danych wrażliwych, w tym danych funkcjonariuszy KAS.

Ocena zmian

Ustawa o Krajowej Administracji Skarbowej upoważnia ten organ do gromadzenia licznych danych osobowych podatników, które podlegają ochronie RODO. Nowelizacja uregulowała prawa KAS do gromadzenia i przetwarzania tych danych, a także granice przetwarzania tych danych. Całość obowiązków z tego wynikających obciąża organy. Z przepisów KAS nie wynika, aby podatnicy zyskali większe prawa do kontroli wykonania tych obowiązków przez KAS. Pozytywnie należy ocenić fakt, że KAS nie może już przetwarzać danych podatników bez ich wiedzy i zgody.

PODSTAWA PRAWNA:

● art. 47 ust. 1 i 2, art. 47b-47d ustawy z 16 listopada 2016 r. o Krajowej Administracji Skarbowej (j.t. Dz.U. z 2018 r. poz. 508 ; ost.zm. Dz.U. z 2019 r. poz. 730).

Zabezpieczenia danych osobowych

W ustawie o KAS zapisano wymagany sposób zabezpieczenia danych osobowych przed nieuprawnionym dostępem i wykorzystaniem. W tym celu wprowadzono wymóg, aby:

● przetwarzanie danych osobowych przez osoby zatrudnione lub pełniące służbę w KAS odbywało się tylko na podstawie pisemnego upoważnienia i tylko w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Takie same zabezpieczenia dostępu do danych osobowych zostały wprowadzone również dla Krajowej Szkoły Skarbowości (art. 34a),

● KAS zapewniło minimalny zakres zabezpieczeń, w tym organizacyjnych i technicznych, w celu zapewnienia ochrony danych (art. 47e).

Ocena zmian

Nowelizacja zobowiązała KAS do wprowadzenia i utrzymywania co najmniej poziomu zabezpieczeń wymaganych dla ochrony danych osobowych oraz określiła, na czym te działania mają polegać. Całość obowiązków z tego wynikających obciąża organy. Z przepisów KAS nie wynika, aby podatnicy zyskali większe prawa do kontroli wykonania tych obowiązków przez KAS. Niemniej jednak w przypadku stwierdzonego naruszenia ochrony danych KAS będzie musiała wykazać, że chroniła dane osobowe co najmniej w sposób wskazany obecnie w ustawie.

PODSTAWA PRAWNA:

● art. 34a, art. 47e ustawy z 16 listopada 2016 r. o Krajowej Administracji Skarbowej (j.t. Dz.U. z 2018 r. poz. 508 ; ost.zm. Dz.U. z 2019 r. poz. 730).

Upoważnienia do wprowadzania danych do CRDP

Organy KAS wykonują swoje zadania w szczególności przy wykorzystaniu Centralnego Rejestru Danych Podatkowych, prowadzonego w systemie teleinformatycznym, zwanego dalej "CRDP". Rejestr ten służy do gromadzenia oraz przetwarzania danych wynikających z:

1) deklaracji składanych przez podatników, płatników i ich następców prawnych,

2) decyzji, postanowień oraz innych dokumentów związanych z obowiązkami wynikającymi z przepisów prawa podatkowego i celnego,

3) tytułów wykonawczych i innych dokumentów przekazanych naczelnikowi urzędu skarbowego w celu realizacji jego zadań, o których mowa w art. 28 ust. 1 pkt 4 ustawy o KAS,

4) wyników analizy ryzyka, o której mowa w art. 119zn § 1 Ordynacji podatkowej, a także danych oraz dokumentów z nimi związanych, o których mowa w dziale IIIB Ordynacji podatkowej,

5) innych dokumentów i informacji przekazanych organom KAS w celu realizacji zadań ustawowych.

Nowelizacja określiła krąg organów upoważnionych do wprowadzania danych do tego rejestru. Są to:

● Szef Krajowej Administracji Skarbowej,

● dyrektor Krajowej Informacji Skarbowej,

● dyrektor izby administracji skarbowej,

● naczelnik urzędu skarbowego oraz

● naczelnik urzędu celno-skarbowego (art. 35 ust. 3 pkt 1 i ust. 4).

Ocena zmian

Ustawa o Krajowej Administracji Skarbowej upoważnia ten organ do gromadzenia licznych danych osobowych podatników, które podlegają ochronie RODO. Jednym z zabezpieczeń wymaganych przez RODO jest określenie organów i osób upoważnionych do gromadzenia i dostępu do danych. W nowelizacji wskazano zatem, jakiego rodzaju organy mają prawo do wprowadzania danych do Centralnego Rejestru Danych Podatkowych.

PODSTAWA PRAWNA:

● art. 35 ust. 3 i 4 ustawy z 16 listopada 2016 r. o Krajowej Administracji Skarbowej (j.t. Dz.U. z 2018 r. poz. 508; ost.zm. Dz.U. z 2019 r. poz. 730).

Upoważnienia do przetwarzania danych wrażliwych

Organy KAS zyskały ustawowe upoważnienie do przetwarzania szczególnych kategorii danych osobowych, co do których RODO formułuje zakaz lub ograniczenia ich przetwarzania. W ustawie o KAS zastrzeżono jednak, że dane te mogą być przetwarzane tylko wówczas, gdy jest to niezbędne ze względu na zakres lub charakter postępowania lub przeprowadzanych czynności.

W niezbędnym zakresie KAS może zatem przetwarzać:

● dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne gromadzone w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby (art. 9 ust. 1 rozporządzenia 2016/679),

● dane osobowe dotyczące wyroków skazujących i czynów zabronionych (art. 10 rozporządzenia 2016/679).

KAS ma również prawo do przetwarzania tego rodzaju danych funkcjonariuszy tej służby na zasadach określonych w art. 145a ustawy o KAS.

Ocena zmian

Nowelizacja uregulowała prawa KAS do gromadzenia i przetwarzania danych osobowych należących do kategorii danych wrażliwych. Prawo do gromadzenia takich danych musi wynikać z przepisów prawa i być uzasadnione ważnym interesem publicznym. Wprowadzenie takiej regulacji było zatem niezbędne, aby działania organów KAS pozostawały w zgodzie z przepisami RODO.

PODSTAWA PRAWNA:

● art. 145a ustawy z 16 listopada 2016 r. o Krajowej Administracji Skarbowej (j.t. Dz.U. z 2018 r. poz. 508; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o wymianie informacji podatkowych z innymi państwami

Zabezpieczenie danych osobowych

W celu wymiany informacji podatkowych z innymi państwami konieczne jest przetwarzanie danych osobowych. W ustawie o wymianie informacji podatkowych dodano przepis regulujący, jak zabezpieczone powinny być przetwarzane dane osobowe, by zapobiec nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu. Zabezpieczenia polegać powinny na:

● dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

● pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

● regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

● zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych;

● zapewnieniu integralności danych w systemach informatycznych;

● określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

Przy tym opisane zabezpieczenia określić należy jako minimalne.

Ocena zmian

Dodany przepis precyzuje, jaki ma być zakres zabezpieczenia przetwarzanych danych osobowych. Ponieważ są to kolejne obowiązki nałożone na polskie instytucje finansowe, ich wprowadzenie stanowi dodatkowe dla nich obciążenie i odpowiedzialność. Tym samym można stwierdzić, że jest to niekorzystny dla nich przepis.

PODSTAWA PRAWNA:

● art. 6 ust. 2 ustawy z 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami (Dz.U. z 2017 r. poz. 648, ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Obowiązki raportujących instytucji finansowych

Po nowelizacji raportująca instytucja finansowa wykonuje wynikające z RODO obowiązki informacyjne wobec osoby, której dane są przetwarzane przed przekazaniem informacji, o rachunkach raportowanych oraz nieudokumentowanych. Przy tym przez raportującą instytucję finansową należy rozumieć polską instytucję finansową (z pewnymi wyjątkami, takimi jak np. powszechne fundusze emerytalne czy instytucje rządowe).

Ocena zmian

Wprowadzone w przepisie zmiany polegają na usunięciu odesłań do ustawy o ochronie danych osobowych oraz wprowadzeniu odesłania do przepisów RODO. Z tego powodu, co do zasady, pozostają one neutralne dla objętych tą regulacją podmiotów.

PODSTAWA PRAWNA:

● art. 30 ust. 1 ustawy z 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami (Dz.U. z 2017 r. poz. 648, ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o doradztwie podatkowym

+/-

Administratorzy danych

Krajowa Izba Doradców Podatkowych jest administratorem danych przetwarzanych przez organy samorządu doradców podatkowych w celu realizacji zadań lub obowiązków tych organów i do przetwarzania tych danych administrator danych dopuszcza osoby posiadające pisemne upoważnienie. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.

Natomiast minister właściwy do spraw finansów publicznych jest administratorem danych przetwarzanych w celach związanych z działalnością Państwowej Komisji Egzaminacyjnej do Spraw Doradztwa Podatkowego oraz organizacją egzaminu na doradcę podatkowego.

Ocena zmian

Przepisy mają jedynie charakter porządkujący.

PODSTAWA PRAWNA:

● art. 25a, art. 37 ust. 5-7, art. 63a ustawy z 5 lipca 1996 r. o doradztwie podatkowym (j.t. Dz.U. z 2019 r. poz. 283; ost.zm. Dz.U. z 2019 r. poz. 730).

Kodeks pracy

+/-

Nowy katalog danych wymaganych od kandydata do pracy i pracownika

Zgodnie z przepisami dostosowującymi regulacje Kodeksu pracy do przepisów RODO, pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących (art. 22¹ § 1 Kodeksu pracy):

1) imię (imiona) i nazwisko,

2) datę urodzenia,

3) dane kontaktowe wskazane przez taką osobę,

4) wykształcenie,

5) kwalifikacje zawodowe,

6) przebieg dotychczasowego zatrudnienia.

Jednak danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia pracodawca żąda tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Nowelizacja zmienia katalog danych, jakich można żądać od kandydata do pracy. Nie można będzie bowiem już wymagać od tych osób imion rodziców i adresu zamieszkania. Natomiast będzie można żądać danych kontaktowych, ale sama osoba ubiegająca się o zatrudnienie zdecyduje, jakiego rodzaju to będą dane. Ponadto w niektórych przypadkach będzie można od kandydatów do pracy wymagać informacji o kwalifikacjach zawodowych, co było dotychczas zabronione.

Tabela. Dane wymagane od kandydata do pracy - porównanie

Przed zmianą przepisów

Po zmianie przepisów

Zgodnie z dotychczasowymi przepisami, pracodawca miał prawo żądać od kandydata do pracy podania następujących danych:

1) imienia (imion) i nazwiska,

2) imion rodziców,

3) daty urodzenia,

4) miejsca zamieszkania (adresu do korespondencji),

5) wykształcenia,

6) przebiegu dotychczasowego zatrudnienia.

Zgodnie z nowymi przepisami, pracodawca ma prawo żądać od kandydata do pracy podania następujących danych:

1) imienia (imion) i nazwiska,

2) daty urodzenia,

3) danych kontaktowych wskazanych przez taką osobę,

4) wykształcenia,

5) kwalifikacji zawodowych,

6) przebiegu dotychczasowego zatrudnienia.

Pracodawca żąda podania danych osobowych, o których mowa w pkt 4-6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Nowe przepisy nakładają na pracodawców konieczności oceny, jakie dane z tych, których można wymagać od kandydata do pracy, są potrzebne do zatrudnienia określonej osoby. Nie każdy stosunek pracy uzasadnia bowiem gromadzenie informacji o wykształceniu, kwalifikacjach zawodowych lub przebiegu dotychczasowego zatrudnienia osoby ubiegającej się o zatrudnienie.

Przykład

Kandydatka do pracy ubiega się o stanowisko recepcjonistki. W swoim dotychczasowym 20-letnim okresie zatrudnienia pracowała jako pracownik biurowy, niania, pedagog szkolny. W tej sytuacji pracodawca może żądać podania danych dotyczących wykształcenia, kwalifikacji i przebiegu zatrudnienia na stanowiskach biurowych. Pozostałe dane nie są konieczne w przypadku ubiegania się przez kandydatkę o zatrudnienie na stanowisku recepcjonistki.

Po zmianie przepisów nie można żądać od kandydata do pracy adresu zamieszkania. Tym samym nie zawsze będzie można go wpisywać do umowy o pracę, która jest zawierana jeszcze z kandydatem do pracy. Adres zamieszkania będzie można wpisać tylko wtedy, gdy kandydat do pracy poda go pracodawcy w ramach wskazanych danych kontaktowych lub też za jego zgodą. Bezwarunkowo pracodawca będzie mógł żądać adresu zamieszkania dopiero od pracownika.

Obecne przepisy nie przewidują już wzorów kwestionariuszy osobowych dla kandydata do pracy i pracownika. Pomocnicze wzory w tym zakresie znajdują się na stronie resortu pracy. Posiadane dokumenty pracownicze w zakresie pozyskiwanych danych, np. kwestionariusze osobowe, należy więc dostosować do nowych przepisów. Dotyczy to jednak dokumentów gromadzonych od dnia wejścia w życie nowych przepisów. Zatem po wejściu w życie zmian pracodawcy będą mogli pozostawić w aktach osobowych pracowników - w niezmienionej postaci - kwestionariusze złożone przez pracowników przed nowelizacją. Jeżeli więc kwestionariusze te zostały złożone zgodnie ze stanem prawnym obowiązującym na dzień ich złożenia - nie będzie potrzeby ich uaktualniania do nowego stanu prawnego.

WAŻNE! Pracodawcy nie będą musieli dostosowywać kwestionariuszy osobowych do nowych przepisów Kodeksu pracy.

Po zmianie przepisów pracodawca będzie mógł natomiast żądać od kandydata do pracy danych kontaktowych. Jakiego rodzaju będą to dane, zdecyduje sam kandydat. Najczęściej będzie to np. numer telefonu, adres zamieszkania lub adres e-mail.

Dodatkowych danych osobowych można żądać od pracownika. Zgodnie z nowymi przepisami, pracodawca może żądać od pracownika podania oprócz danych osobowych wymaganych od kandydata do pracy danych obejmujących (art. 22¹ § 3 Kodeksu pracy):

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;

5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Zmiany w katalogu danych wymaganych od pracownika wynikają ze zmian danych, jakich można żądać od kandydata do pracy, co zostało opisane wcześniej. W związku z tym dopiero od pracownika można wymagać adresu zamieszkania lub w niektórych przypadkach danych o wykształceniu czy przebiegu zatrudnienia.

Przykład

Na etapie procesu rekrutacyjnego osoba ubiegająca się o pracę przedłożyła dokumenty obrazujące jej przebieg dotychczasowego zatrudnienia w ciągu ostatnich 3 lat. Pozostałe zatrudnienie nie miało związku ze stanowiskiem, o które się ubiegała. W celu naliczenia pracownicy stażu urlopowego pracodawca ma prawo żądać od pracownika udokumentowania pozostałego okresu zatrudnienia.

Pracodawca może domagać się od pracownika podania innych danych osobowych niż wprost określone w katalogu wskazanym w przepisach Kodeksu pracy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Obowiązek taki może wynikać zarówno z przepisów Kodeksu pracy, jak i z odrębnych przepisów prawnych. Przykładem takiej regulacji może być art. 4 ustawy o służbie cywilnej, zgodnie z którym w służbie cywilnej może być zatrudniona osoba, która nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.

Nadal zasadą będzie, że udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób w zakresie niezbędnym do ich potwierdzenia (art. 22 § 5 Kodeksu pracy).

Pracodawca może np. żądać okazania dowodu tożsamości przez pracownika w zakresie koniecznym do zweryfikowania jego tożsamości.

Nowe przepisy regulują również zasady przetwarzania danych osobowych za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. Do tej pory nie było szczególnych regulacji w tym zakresie. Zgoda kandydata do pracy lub pracownika pozwala na przetwarzanie innych niż wymienione w przepisach Kodeksu pracy danych, z wyłączeniem danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych (art. 10 RODO).

Oznacza to, że tego rodzaju dane osobowe będą mogły być przetwarzane wyłącznie w przypadku, kiedy przepis prawa będzie przewidywać obowiązek ich żądania przez pracodawcę lub obowiązek ich udostępnienia przez osobę ubiegającą się o zatrudnienie lub pracownika. W uzasadnieniu ustawy nowelizującej wskazuje się, że biorąc pod uwagę istniejącą praktykę, pokazującą silne dążenie pracodawców do pozyskiwania tego rodzaju danych oraz nierówność stron stosunku pracy, istnieje zbyt duże ryzyko, że dane te byłyby w stosunkach pracy pobierane za zgodą niepotrzebnie. Taka regulacja ma zatem zapobiec tego rodzaju sytuacjom.

Zgoda musi odpowiadać wszystkim wymogom przewidzianym zarówno w RODO, jak i w przepisach Kodeksu pracy. W szczególności w przypadku danych szczególnie chronionych, dane osobowe będą mogły być przetwarzane wyłącznie wtedy, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika (w przeciwieństwie do przetwarzania danych zwykłych, które mogą być pozyskiwane z inicjatywy pracodawcy, pracownika lub osoby ubiegającej się o zatrudnienie).

Aby zgoda kandydata/pracownika była wiążąca, musi mieć następujące cechy:

● powinna być dobrowolna,

● musi być konkretna,

● powinna być złożona świadomie,

● powinna być wyrażona swobodnie,

● musi być wyraźna,

● musi istnieć możliwość jej wycofania,

● forma jej wyrażenia może być dowolna: oświadczenie lub wyraźne działanie potwierdzające.

Ponadto administrator danych musi umieć wykazać, że uzyskał zgodę na przetwarzanie danych osobowych,

Jednocześnie ustawodawca zastrzega, że brak zgody lub jej wycofanie nie mogą być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie mogą powodować wobec nich jakichkolwiek negatywnych konsekwencji. Przede wszystkim nie mogą stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Nowe przepisy regulują także przetwarzanie w stosunkach pracowniczych tzw. danych wrażliwych. Zgodnie z nimi, zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych wrażliwych, o których mowa w art. 9 ust. 1 RODO (danych m.in. o pochodzeniu rasowym, stanie zdrowia czy danych biometrycznych), wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Również w tym przypadku brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji. Przede wszystkim nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Oprócz tego przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

Przykład

Pracodawca stosuje system rejestracji przyjść i wyjść na teren zakładu pracy za pomocą odcisków linii papilarnych. Zgodnie z nowymi przepisami, taka praktyka będzie zawsze dopuszczalna za zgodą pracownika. W poprzednim stanie prawnym Urząd Ochrony Danych Osobowych wypowiadał się przeciwko takiej możliwości, nawet gdyby odbywało się to za zgodą pracownika.

Do przetwarzania tzw. wrażliwych danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych, wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są zobowiązane do zachowania ich w tajemnicy.

Upoważnienie do przetwarzania danych osobowych powinno być zawsze połączone z zobowiązaniem do zachowania poufności przekazywanych danych.

Ocena zmian

Omawiana zmiana jest w pewnym zakresie niekorzystana dla pracodawców. W jej wyniku mogą oni bowiem żądać od kandydatów do pracy mniej danych niż dotychczas. Po zmianie przepisów nie można już bowiem żądać od kandydata do pracy imion rodziców czy adresu zamieszkania. Natomiast danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia pracodawca żąda tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Dotychczas natomiast od każdej osoby ubiegającej się o pracę mógł wymagać danych dotyczących wykształcenia czy przebiegu zatrudnienia. Po zmianie przepisów na pewno będzie problemem ustalenie, czy żądanie przez pracodawcę danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia jest uzasadnione. Korzystna dla pracodawców jest natomiast możliwość przetwarzania innych danych osobowych niż wskazane w przepisach Kodeksu pracy za zgodą osoby ubiegającej się o zatrudnienie lub za zgodą pracownika. Do tej pory nie było szczególnych regulacji w tym zakresie. Taka zgoda może stanowić podstawę przetwarzania przez pracodawcę danych osobowych wrażliwych np. danych biometrycznych. Dotychczas natomiast przetwarzanie danych biometrycznych było jedynie dopuszczalne wtedy, gdy podanie takich danych było niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

PODSTAWA PRAWNA:

● art. 4 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 22¹-22^1b ustawy z 26 czerwca 1974 r. - Kodeks pracy (j.t. Dz.U. z 2018 r. poz. 917; ost.zm. Dz.U. z 2019 r. poz. 730);

● art. 9-10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2).

Zmiany w zakresie monitoringu pracowników

Na podstawie omawianej nowelizacji zmianie uległy zasady prowadzenia monitoringu w pracy. W wyniku zmian wprowadzono regulację wyłączającą możliwość monitorowania pomieszczeń zakładowej organizacji związkowej. Jako uzasadnienie takiego rozwiązania wskazywano, że monitoring pomieszczeń związkowych stwarza duże prawdopodobieństwo naruszenia zasady wolności i niezależności związków zawodowych.

WAŻNE! Po zmianie przepisów nie będzie można prowadzić monitoringu pomieszczeń zakładowej organizacji związkowej.

Ponadto zostało doprecyzowane, że instalacja monitoringu wizyjnego w pomieszczeniach sanitarnych wymaga dodatkowo uzyskania przez pracodawcę uprzedniej zgody zakładowej organizacji związkowej (a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa - uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy). Pozwoli to na ochronę prywatności pracowników, a jednocześnie pracodawca zyska możliwość przekonania pracowników (w tym związków zawodowych) do stosowania ww. monitoringu w przypadku, gdy przemawiają za tym potrzeby pracodawcy (oraz gdy nie naruszy to godności i innych dóbr osobistych pracowników).

Zgodnie z przepisami przejściowymi, pracodawca, który w dniu wejścia w życie nowelizacji stosuje monitoring pomieszczeń udostępnianych zakładowej organizacji związkowej, w terminie 14 dni od dnia wejścia w życie nowelizacji powinien zaprzestać stosowania monitoringu takich pomieszczeń, o czym niezwłocznie należy poinformować zakładową organizację związkową (art. 163 ustawy nowelizującej).

Natomiast pracodawca, który w dniu wejścia w życie nowelizacji stosuje monitoring pomieszczeń sanitarnych, jest zobowiązany do uzyskania zgody zakładowej organizacji związkowej na dalsze stosowanie monitoringu tych pomieszczeń. Natomiast jeżeli u pracodawcy nie działa zakładowa organizacja związkowa, potrzebna jest zgoda przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy. Należy ją uzyskać nie później niż w terminie 30 dni od dnia wejścia w życie ustawy. W terminie 3 dni od dnia odmowy udzielenia zgody albo od dnia upływu 30-dniowego terminu na jej udzielenie pracodawca powinien zaprzestać stosowania monitoringu takich pomieszczeń, o czym niezwłocznie informuje zakładową organizację związkową albo przedstawicieli pracowników.

Ocena zmian

Ta zmiana jest niekorzystana dla pracodawców. Ogranicza bowiem możliwość prowadzenia monitoringu w zakładzie pracy. Po zmianach przepisów nie będzie można prowadzić monitoringu pomieszczeń zajmowanych przez zakładową organizację związkową. Dotychczas monitorowanie takich pomieszczeń było dopuszczalne, jeżeli było to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Taki monitoring nie mógł również naruszać godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych. Ponadto wprowadzono dodatkowy warunek w zakresie monitorowania pomieszczeń sanitarnych. Taki monitoring będzie dopuszczalny w przypadku uzyskania przez pracodawcę uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa - uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy. Dotychczas takiego warunku monitorowania pomieszczeń sanitarnych nie było.

PODSTAWA PRAWNA:

● art. 163 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 22² ustawy z 26 czerwca 1974 r. - Kodeks pracy (j.t. Dz.U. z 2018 r. poz. 917; ost.zm. Dz.U. z 2019 r. poz. 730).

Zmiany w zakresie badań lekarskich

Omawiana nowelizacja wprowadza zmiany redakcyjne oraz doprecyzowujące dotyczące orzeczeń lekarskich przeprowadzanych w ramach profilaktycznych badań lekarskich.

Po zmianie przepisów pracodawca będzie mógł żądać przedstawienia aktualnego orzeczenia lekarskiego, stwierdzającego brak przeciwwskazań do pracy na danym stanowisku oraz skierowania na badania będące podstawa? wydania tego orzeczenia. Uzyska takie prawo, gdy będzie przyjmował do pracy osobę posiadającą wskazane orzeczenie, która:

● pozostaje w stosunku pracy u innego pracodawcy,

● jest zatrudniana w ciągu 30 dni po rozwiązaniu lub wygaśnięciu jej poprzedniego stosunku pracy (art. 229 § 1³ Kodeksu pracy po nowelizacji).

Doprecyzowano także, że pracodawca przechowuje orzeczenia wydane na podstawie badań lekarskich oraz pozyskane orzeczenia i skierowania. W przypadku stwierdzenia, że warunki określone w skierowaniu nie odpowiadają warunkom występującym na danym stanowisku pracy, pracodawca zwraca osobie przyjmowanej do pracy to skierowanie oraz orzeczenie lekarskie wydane w wyniku tego skierowania.

Ocena zmian

Zmiany mają charakter porządkowy i doprecyzowujący. Dają pracodawcy podstawę prawną do żądania aktualnego orzeczenia lekarskiego, stwierdzającego brak przeciwwskazań do pracy na danym stanowisku oraz skierowania na badania będące podstawa? wydania tego orzeczenia od osoby, która jest jednocześnie zatrudniona u innego pracodawcy lub jest zatrudniana w ciągu 30 dni od rozwiązania poprzedniej umowy. Pracodawcy bowiem w przypadku takich osób nie muszą przeprowadzać wstępnych badań lekarskich. Omawiane rozwiązania dają pracodawcy również podstawę do przechowywania wskazanych dokumentów (orzeczenia lekarskie, skierowania na badanie lekarskie) oraz zobowiązują pracodawców do ich zwrotu po wykorzystaniu i w przypadku braku celowości dalszego przechowywania.

PODSTAWA PRAWNA:

● art. 229 ustawy z 26 czerwca 1974 r. - Kodeks pracy (j.t. Dz.U. z 2018 r. poz. 917; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zakładowym funduszu świadczeń socjalnych

+/-

Przetwarzanie danych osób korzystających z zfśs

Zgodnie ze znowelizowanymi przepisami ustawy o zfśs, udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z funduszu socjalnego, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca będzie mógł żądać udokumentowania wskazanych przez pracownika danych w zakresie niezbędnym do ich potwierdzenia. Takie potwierdzenie może nastąpić na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu socjalnego.

Mając na względzie specjalny charakter danych osobowych obejmujących informacje o sytuacji prywatnej osób uprawnionych, niezbędnych w celu przyznania i ustalenia wysokości usług i świadczeń socjalnych (w szczególności danych o sytuacji zdrowotnej), do przetwarzania tych danych będą uprawnione wyłącznie osoby upoważnione przez pracodawcę. Do przetwarzania danych osobowych dotyczących zdrowia będą mogły być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są zobowiązane do zachowania ich w tajemnicy.

WAŻNE! Do przetwarzania danych osobowych dotyczących zdrowia będą mogły być dopuszczone wyłącznie osoby posiadające wydane przez pracodawcę, pisemne upoważnienie do przetwarzania takich danych.

W związku z tymi zmianami członkowie komisji socjalnych działających w zakładzie pracy powinni posiadać pisemne upoważnienia do przetwarzania danych osobowych wraz z zobowiązaniem do zachowania ich w tajemnicy.

Znowelizowane przepisy doprecyzowują także okres przechowywania danych osobowych koniecznych do uzyskania danego świadczenia z zfśs. Zgodnie z nimi, pracodawca przetwarza dane osobowe konieczne do przyznawania ulgowych świadczeń przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń.

Ponadto pracodawca dokonuje przeglądu zgromadzonych danych osobowych nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celów, dla których zostały zebrane.

W regulaminie zfśs powinny zatem znaleźć się zapisy o usuwaniu przechowywanych danych, szczegółowe zasady i warunki ustalania sytuacji socjalnej osób uprawnionych, treści oświadczeń oraz ewentualnej dokumentacji, której pracodawca może wymagać dla weryfikacji prawdziwości złożonego przez pracownika oświadczenia.

Ocena zmian

Omawiana zmiana wprowadza dodatkowe obowiązki dla pracodawców w zakresie przetwarzania danych osobowych osób korzystających z zfśs. Udostępnianie danych osobowych osób korzystających z zfśś będzie następowało na podstawie oświadczenia złożonego przez taką osobę. Do przetwarzania danych szczególnych, np. w zakresie sytuacji zdrowotnej osób ubiegających się o świadczenia z zfśs, mogą być uprawnione osoby tylko na podstawie upoważnienia nadawanego przez pracodawcę. Ponadto pracodawca będzie musiał dokonywać przeglądu zgromadzonych danych osobowych na potrzeby zfśs nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania.

PODSTAWA PRAWNA:

● art. 27 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2);

● art. 8 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (j.t. Dz.U. z 2018 r. poz. 1316; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych

+/-

Przetwarzanie danych osobowych pracowników niepełnosprawnych

Zmiany w ustawie o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych przewidują doprecyzowanie podstawy prawnej do przetwarzania danych osobowych, w tym danych o stanie zdrowia, przez pracodawców, a także określają dodatkowe obowiązki dla podmiotów i osób realizujących zadania wynikające z ustawy o rehabilitacji.

Zgodnie z nowymi regulacjami, pracodawca będzie mógł przetwarzać dane osobowe, w tym dane o stanie zdrowia, m.in. osób:

1) pozostających z nim w stosunku pracy oraz niepracujących byłych pracowników,

2) niepełnosprawnych wykonujących pracę nakładczą,

3) uczestniczących w procesie rekrutacji, odbywających szkolenie, staż, przygotowanie zawodowe albo praktyki zawodowe lub absolwenckie,

4) będących członkami rodzin pracowników i niepracujących byłych pracowników

- dla celów określonych w ustawie o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych.

Jednocześnie ustawodawca przesądził, że przedstawienie pracodawcy dokumentów potwierdzających dane osobowe o stanie zdrowia jest dobrowolne.

Zabezpieczenia przetwarzania danych osobowych przez podmioty i osoby realizujące zadania wynikające z ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych polegają co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych,

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Pracodawca, podmioty i osoby realizujące zadania wynikające z ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych przechowują dane osobowe wyłącznie przez okres nie dłuższy, niż jest to niezbędne, i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych. Ponadto powinni oni dokonywać przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co 5 lat.

Ocena zmian

Omawiana nowelizacja wprowadza regulacje dotyczące przetwarzania danych osobowych m.in. pracowników niepełnosprawnych. Dzięki nowelizacji pracodawcy uzyskali prawo do przetwarzania danych osobowych pracowników niepełnosprawnych. Dotyczy to również danych osobowych o stanie zdrowia. Do przetwarzania tych danych mogą być dopuszczone jedynie osoby mające pisemne upoważnienie od pracodawcy. Ponadto nowelizacja nakłada na pracodawców nowe obowiązki. Powinni oni dokonywać przeglądu przydatności przetwarzania danych osobowych pracowników niepełnosprawnych nie rzadziej niż co 5 lat.

PODSTAWA PRAWNA:

● art. 2b ustawy z 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (j.t. Dz.U. z 2018 r. poz. 511; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zatrudnieniu socjalnym

Przetwarzanie danych osobowych przez centra i kluby integracji społecznej

Zmiany w ustawie o zatrudnieniu socjalnym upoważniają centra integracji społecznej i podmioty tworzące kluby integracji społecznej do przetwarzania danych osobowych uczestników tych centrów i klubów. Dotychczas brak było regulacji upoważniających do przetwarzania danych osobowych tych osób, a ze względu na fakt, że część tych danych to dane szczególnie chronione, niezbędne jest takie uregulowanie. Przetwarzanie danych dotyczy danych osobowych:

1) uczestników obejmujących imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym,

2) członków rodziny lub przedstawiciela ustawowego uczestnika obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe.

Nowelizacja nakłada obowiązek zabezpieczenia danych osobowych uczestników centrów i klubów integracji społecznej poprzez wymóg dopuszczenia do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie nadane przez administratora danych oraz zobowiązania ich do zachowania danych osobowych w tajemnicy.

Okres przechowywania danych osobowych wynosi 10 lat, licząc od końca roku kalendarzowego, w którym zakończono realizację usług.

Ocena zmian

Nowelizacja stwarza podstawy prawne do przetwarzania danych osobowych uczestników klubów i centrów integracji społecznej. Zmiany były potrzebne, ponieważ w tym przypadku dochodzi do przetwarzania danych osobowych tych osób, w tym danych wrażliwych, np. dotyczących stanu zdrowia czy nałogów.

PODSTAWA PRAWNA:

● art. 67 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 3, art. 8b, art. 18f ustawy z 13 czerwca 2003 r. o zatrudnieniu socjalnym (j.t. Dz.U. z 2019 r. poz. 217; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o rozwiązywaniu sporów zbiorowych

Dane osobowe mediatora

Według znowelizowanych przepisów, dla celów związanych z prowadzeniem listy mediatorów w sporach zbiorowych niezbędne będzie podanie imienia (imion) i nazwiska oraz danych kontaktowych osoby ubiegającej się o wpis na listę takich mediatorów. Przetwarzanie innych danych osobowych niż wyżej wymienione będzie możliwe za zgodą osoby ubiegającej się o uzyskanie wpisu.

Mediatorem w sporach zbiorowych może być osoba z listy ustalonej przez ministra właściwego do spraw pracy w uzgodnieniu z organizacjami związkowymi oraz organizacjami pracodawców reprezentatywnymi w rozumieniu ustawy z o Radzie Dialogu Społecznego i innych instytucjach dialogu społecznego. Do tej pory w obowiązujących regulacjach brak było jakichkolwiek przepisów dotyczących zakresu danych osobowych mediatorów gromadzonych przez ministra.

Ocena zmian

Zgodnie z nowymi przepisami, wpis na listę mediatorów w sporach zbiorowych danej osoby powinien obejmować jej imię i nazwisko oraz dane kontaktowe wskazane przez tę osobę ubiegającą się o wpis na taką listę. Dotychczasowe przepisy nie regulowały danych, jakie należało podać w przypadku osób wpisywanych na listę mediatorów.

PODSTAWA PRAWNA:

● art. 18 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 11 ustawy z 23 maja 1991 r. o rozwiązywaniu sporów zbiorowych (j.t. Dz.U. z 2019 r. poz. 174; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o służbie cywilnej

Uprawnienia Szefa Służby Cywilnej w zakresie przetwarzania danych osobowych

Nowelizacja dostosowała przepisy ustawy o służbie cywilnej do przepisów RODO. Zgodnie z nowymi przepisami, Szef Służby Cywilnej przetwarza dane osobowe członków korpusu służby cywilnej oraz zbiera, wykorzystuje i przetwarza inne informacje w celu realizacji ustawowych zadań. Dotychczas takie uprawnienie również przysługiwało Szefowi Służby Cywilnej, ale było wyłączone w odniesieniu do tzw. danych wrażliwych określonych w ustawie o ochronie danych osobowych. Obecnie w zakresie przetwarzania danych osobowych wrażliwych stosujemy przepisy RODO, które w szczególnych przypadkach pozwalają na przetwarzanie takich danych.

Ocena zmian

Nowelizacja wskazuje Szefa Służby Cywilnej jako podmiot uprawniony do przetwarzania danych osobowych. W jej wyniku zmieniono również zasady przetwarzania danych osobowych wrażliwych członków korpusu służby cywilnej. Dotychczas przetwarzanie takich danych przez Szefa Służby Cywilnej było zabronione. Po nowelizacji można je przetwarzać na zasadach określonych w przepisach RODO, czyli w szczególnych przypadkach, np. za zgodą danej osoby.

PODSTAWA PRAWNA:

● art. 97 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2);

● art. 15 ustawy z 21 listopada 2008 r. o służbie cywilnej (j.t. Dz.U. z 2018 r. poz. 1559; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o promocji zatrudnienia i instytucjach rynku pracy

Przetwarzanie danych osobowych przez publiczne służby zatrudnienia

Nowelizacja dostosowuje do przepisów RODO przetwarzanie danych osobowych przez publiczne służby zatrudnienia. Dotychczasowe przepisy ustawy o promocji zatrudnienia i instytucjach rynku pracy zbyt ogólnie regulowały kwestie dotyczące przetwarzania danych osobowych, dlatego zaistniała konieczność ich szczegółowego uregulowania i dostosowania do przepisów RODO.

Nowelizacja uchyla większość dotychczasowych regulacji w zakresie przetwarzania danych osobowych, które były dotychczas rozproszone w różnych częściach ustawy o promocji zatrudnienia i instytucjach rynku pracy.

Do przetwarzania danych osobowych publiczne służby zatrudnienia wykorzystują oprogramowanie udostępniane przez ministra właściwego do spraw pracy. Urzędy pracy pozyskują i udostępniają dane za pośrednictwem rejestru centralnego prowadzonego przez ministra właściwego do spraw pracy. Nowelizacja wprowadza przepisy szczegółowe, określające zawartość rejestru centralnego prowadzonego przez ministra właściwego do spraw pracy, m.in. zakres danych przekazywanych do tego rejestru przez wojewódzkie i powiatowe urzędy pracy, ale też zakres danych osób fizycznych ubiegających się o pomoc określoną w ustawie o promocji zatrudnienia i instytucjach rynku pracy.

Zgodnie z nowelizacją, dane osobowe przetwarzane w rejestrze centralnym mają być przechowywane przez okres 50 lat, licząc od końca roku kalendarzowego, w którym zakończono udzielanie pomocy.

Nowelizacja doprecyzowała również kwestie ustalania dla bezrobotnych profilu pomocy. W jej wyniku doprecyzowano, że profil pomocy dla bezrobotnego ustalany jest przez pracownika powiatowego urzędu pracy na podstawie wywiadu przeprowadzonego z bezrobotnym. Zgodnie z nowymi przepisami, wywiad ten jest wspierany systemem teleinformatycznym udostępnianym przez ministra właściwego do spraw pracy, ale decyzja dotycząca ustalenia profilu pomocy dla bezrobotnego nie jest podejmowana w sposób polegający na zautomatyzowanym przetwarzaniu danych bezrobotnego.

Ocena zmian

Nowelizacja ma charakter porządkowy. Dostosowuje przepisy ustawy o promocji zatrudnienia i instytucjach rynku pracy do przepisów RODO. W jej wyniku doprecyzowano zasady przetwarzania danych osobowych osób korzystających z pomocy publicznych służb zatrudnienia m.in. osób otrzymujących zasiłki dla bezrobotnych czy inne świadczenia z urzędów pracy.

PODSTAWA PRAWNA:

● art. 75 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 4, art. 8-9, art. 33, art. 46 ustawy z 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (j.t. Dz.U. z 2018 r. poz. 1265; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o systemie ubezpieczeń społecznych

Obowiązek informacyjny dotyczący danych osobowych przetwarzanych przez ZUS

Nowelizacja dostosowująca ustawę o systemie ubezpieczeń społecznych do przepisów RODO wprowadza uproszczoną formę obowiązku informacyjnego wynikającego z RODO w przypadku danych przetwarzanych przez ZUS. Administrator danych osobowych ma obowiązek wskazać osobie, której dane przetwarza, m.in. swoją tożsamość i dane kontaktowe, cel przetwarzania danych, okres, przez jaki będą one przechowywane, a gdy nie jest to możliwe - kryteria ustalania tego okresu (art. 13 RODO). Obowiązek ten musi być wykonany także m.in. przez ZUS. W związku z tym stosowne zmiany wprowadzono do ustawy o systemie ubezpieczeń społecznych.

Wymagane przepisami RODO informacje dotyczące administratora danych osobowych mogą być udostępniane w następującej formie:

1) podane do wiadomości w miejscu publicznie dostępnym:

a) w centrali ZUS,

b) terenowych jednostkach organizacyjnych (oddziałach, inspektoratach ZUS);

2) na stronie internetowej ZUS (www.zus.pl);

3) na stronie podmiotowej ZUS w Biuletynie Informacji Publicznej (www.bip.gov.pl).

Pozyskując dane osobowe, ZUS ma obowiązek poinformować osobę, której dane dotyczą, gdzie znajdują się informacje dotyczące administratora danych osobowych, a także zasady ich pozyskiwania i przetwarzania.

Ustawa dostosowująca wprowadza także istotną regulację, zgodnie z którą wykonywanie obowiązku informacyjnego wynikającego z RODO odbywa się niezależnie od obowiązków ZUS i nie wpływa na przebieg i wynik postępowań prowadzonych przez ten organ. Oznacza to, że niewypełnienie tego obowiązku przez ZUS nie będzie mogło być podstawą np. do zakwestionowania określonej, merytorycznej decyzji ZUS.

PRZYKŁAD

ZUS wszczął postępowanie wyjaśniające w sprawie płatnika składek, w zakresie podlegania ubezpieczeniom społecznym przez osoby zatrudniane na podstawie umów zlecenia. Pracownik prowadzący postępowanie, pozyskując dane od płatnika, nie poinformował go, w jaki sposób może zapoznać się z informacjami, do których udostępnienia ZUS zobligowany jest na mocy RODO i ustawy dostosowującej. W wyniku przeprowadzonego postępowania ZUS wydał decyzję administracyjną, która skutkuje względem płatnika obowiązkiem zapłaty zaległych składek za zleceniobiorców.

W tej sytuacji fakt niedopełnienia obowiązku wynikającego z RODO (poinformowania płatnika o sposobie i miejscu udostępnienia informacji o zasadach przetwarzania danych osobowych) nie będzie stanowiło podstawy, aby zakwestionować niekorzystną decyzję ZUS i doprowadzić do jej zmiany lub uchylenia.

Ocena zmian

Ustawa dostosowująca polskie przepisy do regulacji RODO wprowadza uproszczoną formę informowania o danych administratora oraz o zasadach przetwarzania danych osobowych przez ZUS. Nie będzie zatem konieczne każdorazowe potwierdzanie zgody na przetwarzanie danych osobowych przez zainteresowaną osobę. Każda osoba, której dane pozyskuje ZUS, powinna jednak zostać poinformowana, w jaki sposób może zapoznać się z informacją o tym, jaki podmiot i na jakich zasadach przetwarza te dane. Informacja musi być także publicznie dostępna - czy to w jednostce ZUS (w formie papierowej), czy w Internecie na stronach podmiotowych ZUS (w formie elektronicznej).

Zgodnie z nowymi przepisami, ZUS będzie mógł wykonać ten obowiązek informacyjny przez udostępnienie wymaganych informacji w miejscu publicznie dostępnym w centrali lub terenowych jednostkach organizacyjnych oraz na swojej stronie internetowej lub w Biuletynie Informacji Publicznej na stronie Zakładu. W takim przypadku ZUS podczas pozyskiwania danych osobowych informuje osobę, której dane dotyczą, o miejscu udostępnienia tych informacji. Jeżeli jednak organ nie dopełni tego obowiązku, fakt ten pozostaje bez wpływu na przebieg i wynik prowadzonych przez ZUS postępowań merytorycznych. Nie będzie można zatem na tej podstawie kwestionować np. niekorzystnych dla płatników decyzji organu.

PODSTAWA PRAWNA:

● art. 47 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 9-10, art. 13-14, art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2);

● art. 34-34a ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych (j.t. Dz.U. z 2019 r. poz. 300; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych

Doprecyzowanie zakresu danych we wniosku o potwierdzenie okresów składkowych

Zgodnie z art. 117 ust. 1 ustawy o emeryturach i rentach z FUS, dane niezbędne do ustalenia prawa do emerytury oraz jej wysokości, takie jak m.in. długość okresów składkowych i nieskładkowych, są uwzględniane przy ustalaniu prawa do świadczenia, jeżeli zostały udowodnione dokumentami (zaświadczeniami) lub wpisami w legitymacji ubezpieczeniowej bądź uznane orzeczeniem sądu. Ponadto od 1999 r. (wejście w życie powszechnej reformy systemu ubezpieczeń społecznych w Polsce), okresy składkowe i nieskładkowe, oraz dane o podstawie wymiaru składek i wysokości wpłaconych składek są uwzględniane przy ustalaniu prawa do emerytury na podstawie informacji zarejestrowanych na koncie ubezpieczonego, zapisanych w informatycznym systemie ZUS. Za okresy składkowe ustawa emerytalna uznaje m.in.:

● okresy świadczenia pracy po 1956 r. na rzecz organizacji politycznych i związków zawodowych, nielegalnych w rozumieniu przepisów obowiązujących do kwietnia 1989 r., a także

● okresy niewykonywania pracy przed dniem 31 lipca 1990 r. na skutek represji politycznych.

Ustawa dostosowująca doprecyzowuje zakres danych osobowych, które można pozyskiwać i przetwarzać we wnioskach o potwierdzenie ww. okresów (wskazanych w art. 6 ust. 1 pkt 10 oraz w art. 6 ust. 2 pkt 6a ustawy emerytalnej). Zgodnie z ustawą dostosowującą, wniosek taki powinien zawierać:

● imię lub imiona oraz nazwisko wnioskodawcy,

● datę i miejsce urodzenia,

● imiona rodziców,

● numer PESEL,

● adres miejsca zamieszkania lub adres korespondencyjny,

● numer telefonu lub adres poczty elektronicznej (o ile wnioskodawca je posiada).

Ocena zmian

W nowym, dodanym przepisie (art. 117 ust. 4a ustawy emerytalnej) szczegółowo określono wymagane dane służące do potwierdzania okresów składkowych, opisanych w ustawie. Jednoznaczne określenie tego, jakich danych może żądać organ przyznający świadczenie emerytalne, ma w zamierzeniu ustawodawcy powodować mniej błędów i nieporozumień oraz sprzyjać jakości obsługi klienta - częstokroć schorowanego i w podeszłym wieku. Jasne i niebudzące wątpliwości określenia w przepisach dotyczących kombatantów zakresu wymaganych informacji należy uznać za zasadne i korzystne dla wnioskodawców i świadczeniobiorców.

Warto wspomnieć, że do realizacji przepisów emerytalnych na gruncie krajowym dane identyfikacyjne, tj. PESEL, imię i nazwisko czy data urodzenia są wystarczające. Jednak przy realizacji umów międzynarodowych dane te nie są dostateczne. W celu identyfikacji osoby dodatkowe dane, tj. imiona rodziców, są wymagane w formularzach unijnych. Dlatego też w ustawie dostosowującej zakres danych jest szerszy, aniżeli wynikałoby to wprost wyłącznie z przepisów krajowych.

PODSTAWA PRAWNA:

● art. 48 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 117 ust. 4a ustawy z 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (j.t. Dz.U. z 2018 r. poz. 1270; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o świadczeniach przedemerytalnych

+/-

Zmiana o charakterze redakcyjnym i dostosowującym

Zmiana w ustawie o świadczeniach przedemerytalnych ma charakter dostosowujący do nowego brzmienia ustawy o emeryturach i rentach z FUS - w zakresie, w którym regulacje obu ustaw mają odpowiednie zastosowanie.

Ocena zmian

Zmiana o charakterze redakcyjnym i dostosowującym. Do postępowania w sprawie o przyznanie świadczenia przedemerytalnego odpowiednie zastosowanie mają omówione powyżej, znowelizowane przepisy ustawy o emeryturach i rentach z FUS.

PODSTAWA PRAWNA:

● art. 76 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 11 ust. 1 ustawy z 30 kwietnia 2004 r. o świadczeniach przedemerytalnych (j.t. Dz.U. z 2017 r. poz. 2148; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o osobach deportowanych do pracy przymusowej oraz osadzonych w obozach pracy przez III Rzeszę i Związek Socjalistycznych Republik Radzieckich

Ograniczenie dostępu do danych dla podmiotów trzecich

Ustawa dostosowująca polskie przepisy do RODO wprowadziła zmiany m.in. w ustawie o osobach deportowanych do pracy przymusowej oraz osadzonych w obozach pracy przez III Rzeszę i ZSRR.

Po pierwsze - ograniczono zakres dokumentacyjny przy ubieganiu się o świadczenia przyznawane osobom represjonowanym. Dotychczas były one przyznawane na podstawie wniosku zainteresowanej osoby, zaopiniowanego przez właściwe stowarzyszenie osób poszkodowanych, i dokumentów oraz dowodów potwierdzających rodzaj i okres represji. Po wejściu w życie omawianej ustawy dostosowującej wyłączony został obowiązek opiniowania wniosku przez stowarzyszenie osób poszkodowanych.

Po drugie - ustawa dostosowująca sprecyzowała zakres danych osobowych, które zawierać powinien wniosek o świadczenie. I tak, zgodnie z nowymi przepisami, wniosek ten zawierać będzie:

● imię lub imiona oraz nazwisko wnioskodawcy,

● jego nazwisko rodowe,

● datę i miejsce urodzenia,

● imiona rodziców,

● aktualne obywatelstwo i obywatelstwo w czasie podlegania represjom,

● numer PESEL,

● adres miejsca zamieszkania lub adres korespondencyjny wnioskodawcy,

● numer telefonu lub adres poczty elektronicznej, o ile wnioskodawca je posiada.

Ocena zmian

Zmiana wprowadzona przez ustawę dostosowującą doprecyzowuje zakres danych osobowych wymaganych we wniosku o przyznanie świadczenia osobie represjonowanej. Ponieważ jest to zmiana skutkująca doprecyzowaniem przepisów, należy uznać ją za korzystną. Ponadto nowelizacja ogranicza dostęp do danych osobowych podmiotom trzecim poprzez wyłączenie obowiązku opiniowania wniosku przez właściwe stowarzyszenie osób represjonowanych. Są to zmiany, które służą celowości przetwarzania danych osobowych, stanowiącej jedną z najważniejszych zasad wprowadzonych przez RODO.

PODSTAWA PRAWNA:

● art. 34 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 4 ustawy z 31 maja 1996 r. o osobach deportowanych do pracy przymusowej oraz osadzonych w obozach pracy przez III Rzeszę i Związek Socjalistycznych Republik Radzieckich (j.t. Dz.U. z 2014 r. poz. 1001; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zadośćuczynieniu rodzinom ofiar zbiorowych wystąpień wolnościowych w latach 1956-1989

Doprecyzowanie zakresu danych, których może żądać urząd od osoby ubiegającej się o zadośćuczynienie

Ustawa dostosowująca doprecyzowała zakres danych we wniosku członka rodziny o świadczenie pieniężne wypłacane z tytułu zadośćuczynienia rodzinom osób, które na skutek działań wojska, milicji i innych organów aparatu bezpieczeństwa poniosły śmierć w związku z wystąpieniami wolnościowymi.

Po zmianie omawianej ustawy wniosek ten będzie zawierać:

● imię lub imiona i nazwisko wnioskodawcy,

● datę i miejsce jego urodzenia,

● imiona rodziców,

● numer PESEL,

● numer telefonu lub adres poczty elektronicznej,

● adres miejsca zamieszkania lub adres korespondencyjny,

● stopień pokrewieństwa lub powinowactwa łączący go ze zmarłą ofiarą zbiorowego wystąpienia wolnościowego.

Ponadto we wniosku przetwarzane będą także dane zmarłej osoby, za której śmierć należne jest zadośćuczynienie, tj. jej imię lub imiona i nazwisko, nazwisko rodowe, data i miejsce urodzenia, imiona rodziców, numer PESEL (jeśli był nadany) oraz data zgonu.

Na mocy nowych przepisów, we wniosku niezbędne będzie także wskazanie formy wypłaty świadczenia pieniężnego wraz z informacją o nazwie banku i numerze rachunku bankowego wnioskodawcy.

Ocena zmian

Jest to kolejna zmiana, która precyzuje i jednoznacznie określa zakres danych, których wymaganie oraz przetwarzanie jest dopuszczalne w świetle przepisów RODO - w tym przypadku we wniosku o przyznanie świadczenia pieniężnego z tytułu zadośćuczynienia, o którym stanowi omawiana ustawa. Jednoznaczne określenie danych, których może wymagać organ przyznający świadczenie, powodować będzie mniej błędów i nieporozumień, szczególnie, że osoby wypełniające wnioski są w podeszłym wieku.

PODSTAWA PRAWNA:

● art. 100 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 4 ust. 2 ustawy z 16 lipca 2009 r. o zadośćuczynieniu rodzinom ofiar zbiorowych wystąpień wolnościowych w latach 1956-1989 (Dz.U. Nr 91, poz. 741; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zaopatrzeniu emerytalnym żołnierzy zawodowych oraz ich rodzin

+/-

Pracodawcy zobowiązani do udostępniania danych wojskowym biurom emerytalnym

Ustawa dostosowująca do RODO określa krąg podmiotów zobowiązanych do udostępniania danych służących prawidłowemu ustaleniu prawa do świadczeń emerytalnych żołnierzy zawodowych. I tak, do udostępniania danych wojskowemu organowi emerytalnemu (głównie - wojskowe biura emerytalne) zobowiązane są:

● organy administracji publicznej,

● pracodawcy,

● inne organy emerytalne,

● szkoły i uczelnie wyższe.

Na potrzeby postępowań o żołnierską emeryturę są one zobowiązane do udzielania pomocy i informacji wojskowemu organowi emerytalnemu. Muszą także, na żądanie tego organu, wydawać bezpłatnie wszelkie dokumenty i zaświadczenia, niezbędne do ustalenia prawa do świadczeń lub ich wysokości. Wojskowy organ emerytalny jest także uprawniony do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do ustalenia prawa do świadczeń lub ich wysokości - zarówno od innych organów emerytalnych (np. ZUS, KRUS, organy emerytalne służb mundurowych), jak i z rejestrów publicznych, m.in. z:

● rejestru PESEL,

● systemu informacji oświatowej,

● Centralnego Wykazu Ubezpieczonych NFZ,

● ogólnopolskiego wykazu studentów i ogólnopolskiego wykazu doktorantów.

Dane te pozyskiwane są wyłącznie w celu potwierdzenia aktualności posiadanych danych, pozyskania danych kontaktowych lub umożliwienia weryfikacji prawa do świadczeń.

Ocena zmian

Zmiana przepisów, dostosowująca ustawę do RODO, wpływa m.in. na zakres obowiązków informacyjnych pracodawców. Wojskowe biura emerytalne mogą żądać od pracodawców udostępnienia danych osób, których dotyczą postępowania o przyznanie świadczenia emerytalnego. Obowiązek ten może stanowić jakiś rodzaj obciążenia dla podmiotów zatrudniających. Z drugiej strony - jednoznaczne potwierdzenie prawa dostępu do rejestrów publicznych ma znaczenie dla sprawnego wykonywania zadań orzeczniczych przez wojskowe biura emerytalne i ustalenie emerytury żołnierskiej w prawidłowej wysokości.

PODSTAWA PRAWNA:

● art. 25 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 9-10, art. 13-14, art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2);

● art. 35 ustawy z 10 grudnia 1993 r. o zaopatrzeniu emerytalnym żołnierzy zawodowych oraz ich rodzin (j.t. Dz.U. z 2019 r. poz. 289; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zaopatrzeniu emerytalnym funkcjonariuszy Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Straży Granicznej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby Więziennej oraz ich rodzin

+/-

Pracodawcy zobowiązani do udostępniania danych wojskowemu organowi emerytalnemu

Ustawa dostosowująca do RODO określa krąg podmiotów zobowiązanych do udostępniania danych służących prawidłowemu ustaleniu prawa do świadczeń emerytalnych funkcjonariuszy: Policji, ABW, AW, SKW, SWW, CBA, Straży Granicznej, SOP, PSP, Służby Celno-Skarbowej i Służby Więziennej. I tak, do udostępniania danych organom emerytalnym ustalającym prawo do emerytury funkcjonariuszy ww. służby zobowiązane są:

● organy administracji publicznej,

● pracodawcy,

● inne organy emerytalne,

● szkoły i uczelnie wyższe.

Na potrzeby postępowań o emeryturę funkcjonariusza są one zobowiązane do udzielania pomocy i informacji organom emerytalnym prowadzącym postępowanie w tych sprawach. Muszą także na żądanie organu wydawać bezpłatnie wszelkie dokumenty i zaświadczenia niezbędne do ustalenia prawa do świadczeń lub ich wysokości. Organy emerytalne są też uprawnione do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do ustalenia prawa do świadczeń lub ich wysokości - zarówno od innych organów emerytalnych (np. ZUS, KRUS, wojskowych biur emerytalnych i in.), jak i z rejestrów publicznych, m.in. z:

● rejestru PESEL,

● systemu informacji oświatowej,

● Centralnego Wykazu Ubezpieczonych NFZ,

● ogólnopolskiego wykazu studentów i ogólnopolskiego wykazu doktorantów.

Dane te pozyskiwane są wyłącznie w celu potwierdzenia aktualności posiadanych danych, pozyskania danych kontaktowych lub umożliwienia weryfikacji prawa do świadczeń.

Ocena zmian

Zmiana przepisów, dostosowująca ustawę do RODO, wpływa m.in. na zakres obowiązków informacyjnych pracodawców. Organy emerytalne przyznające świadczenia funkcjonariuszom służb mundurowych mogą żądać od pracodawców udostępnienia danych osób, których dotyczą postępowania o przyznanie świadczenia emerytalnego. Obowiązek ten może stanowić jakiś rodzaj obciążenia dla podmiotów zatrudniających. Z drugiej strony, jednoznaczne potwierdzenie prawa dostępu do rejestrów publicznych ma znaczenie dla sprawnego wykonywania zadań orzeczniczych przez wojskowe biura emerytalne i ustalenie emerytury funkcjonariusza w prawidłowej wysokości.

PODSTAWA PRAWNA:

● art. 26 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 36 ustawy z 18 lutego 1994 r. o zaopatrzeniu emerytalnym funkcjonariuszy Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Straży Granicznej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby Więziennej oraz ich rodzin (j.t. Dz.U. z 2019 r. poz. 288; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o komisjach lekarskich podległych ministrowi właściwemu do spraw wewnętrznych

+/-

Pracodawcy zobowiązani do udostępniania danych komisjom lekarskim

Ustawa o komisjach lekarskich określa zasady działania tychże komisji oraz zasady i tryb orzekania przez nie w sprawach z zakresu m.in.:

● ustalenia zdolności fizycznej i psychicznej kandydatów do służby w służbach mundurowych (Policji, Straży Granicznej, Straży Marszałkowskiej, Państwowej Straży Pożarnej, Służbie Ochrony Państwa, Centralnym Biurze Antykorupcyjnym i Służbie Więziennej);

● oceny stanu zdrowia funkcjonariuszy ww. służb;

● ustalenia związku schorzeń ze szczególnymi właściwościami lub warunkami służby (dla celów ustalenia wysokości wynagrodzenia za okres zwolnienia od zajęć służbowych z powodu choroby);

● ustalenia stopnia uszczerbku na zdrowiu funkcjonariuszy wskutek wypadku pozostającego w związku z pełnieniem służby, choroby pozostającej w związku ze służbą, a także związku śmierci funkcjonariusza z wypadkiem lub chorobą pozostającą w związku ze służbą;

● uznania funkcjonariuszy za inwalidów lub za niezdolnych do samodzielnej egzystencji, jak również ustalenia związku ww. okoliczności ze służbą;

● kontroli prawidłowości orzekania o czasowej niezdolności do służby z powodu choroby lub prawidłowości wykorzystania zwolnienia lekarskiego przez funkcjonariuszy.

Ustawa dostosowująca do przepisów RODO nakłada na określone podmioty obowiązek udzielania komisjom lekarskim pomocy i informacji przy ich działalności orzeczniczej, a także wydawania bezpłatnie, na żądanie, dokumentów niezbędnych w działalności orzeczniczej, jak również udostępniania niezbędnych danych osobowych.

Wskazane obowiązki zostały nałożone na:

● organy administracji publicznej w rozumieniu kodeksu postępowania administracyjnego,

● pracodawców oraz

● organy emerytalne i rentowe.

Komisje lekarskie, na mocy ustawy dostosowującej, mają prawo do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do wydania orzeczenia. Dane te będą pozyskiwane od wskazanych w ustawie organów oraz z rejestrów publicznych. Katalog podmiotów, z którego dane mogą być pozyskiwane przez komisje lekarskie, ma charakter otwarty i obejmuje m.in.:

● rejestr PESEL,

● System Informacji Medycznej i inne rejestry, o których mowa w przepisach o systemie informacji w ochronie zdrowia,

● Centralny Wykaz Ubezpieczonych prowadzony przez NFZ.

Ocena zmian

Zmiana przepisów, dostosowująca ustawę do RODO, wpływa m.in. na zakres obowiązków informacyjnych pracodawców. Komisje lekarskie, orzekające w sprawach zdolności do pracy funkcjonariuszy oraz kontroli prawidłowości wykorzystywania przez nich zwolnień lekarskich, mogą żądać od pracodawców udostępnienia danych osób, których dotyczą określone postępowania. Obowiązek ten może stanowić jakiś rodzaj obciążenia dla podmiotów zatrudniających. Z drugiej strony, jednoznaczne potwierdzenie prawa dostępu do rejestrów publicznych ma znaczenie dla sprawnego wykonywania zadań orzeczniczych przez komisje lekarskie, np. w zakresie dostępu do aktualnych danych adresowych (rejestr PESEL). Może mieć to znaczenie w razie konieczności skontaktowania się z osobą podlegającą orzecznictwu lekarskiemu, która jest niedostępna pod adresem posiadanym przez komisję lekarską, a także w innych uzasadnionych przypadkach.

PODSTAWA PRAWNA:

● art. 130 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 4a ustawy z 28 listopada 2014 r. o komisjach lekarskich podległych ministrowi właściwemu do spraw wewnętrznych (j.t. Dz.U. z 2019 r. poz. 345; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o świadczeniach rodzinnych

Ochrona tzw. danych wrażliwych wnioskodawców ubiegających się o świadczenia rodzinne

Wprowadzona na mocy ustawy dostosowującej nowelizacja ustawy o świadczeniach rodzinnych służy wprowadzeniu dodatkowych mechanizmów bezpieczeństwa, które wdrożyć muszą podmioty prowadzące postępowania w sprawie świadczeń rodzinnych. Zabezpieczenie w tym przypadku jest szczególnie istotne, ponieważ do celów realizacji ustawy o świadczeniach rodzinnych częstokroć przetwarzane są tzw. wrażliwe dane osobowe (sytuacja osobista, rodzinna, majątkowa, informacje o stanie zdrowia, o zakresie pomocy, z której korzysta świadczeniobiorca itd.). W postępowaniu w sprawie świadczeń rodzinnych uprawnione organy mają kierować się przede wszystkim dobrem świadczeniobiorców oraz ochroną ich dóbr osobistych.

W miejsce uprzednio obowiązującego uprawnienia do przetwarzania danych osób ubiegających się o świadczenia rodzinne (a także członków ich rodzin) ustawa dostosowująca wprowadziła obowiązek ich przetwarzania przez organ przyznający świadczenie. RODO stanowi bowiem, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych - w tym przypadku będą to najczęściej ośrodki pomocy społecznej. Podmioty te mają obowiązek przetwarzać dane z zachowaniem zasad bezpieczeństwa - dopuszczać do przetwarzania danych osobowych wyłącznie osoby posiadające pisemne upoważnienie nadane przez administratora danych oraz zobowiązać je do zachowania danych osobowych w poufności. Ponadto należy zabezpieczyć dane osobowe tak, aby wykluczyć wszelkie ryzyka i zagrożenia nadużyć lub niezgodnego z prawem dostępu lub przekazania danych, dostosowując te zabezpieczenia do sposobu, w jaki dane będą przetwarzane.

Ocena zmian

Zmiany w ustawie o świadczeniach rodzinnych mają w świetle RODO szczególne znaczenie ze względu na dużą liczbę przetwarzanych danych wrażliwych, które objęte są szczególną ochroną. Przepisy RODO muszą być w tym zakresie przestrzegane z najwyższą skrupulatnością. Wprowadzenie dodatkowych mechanizmów bezpieczeństwa danych należy więc uznać za pożądane i korzystne.

PODSTAWA PRAWNA:

● art. 71 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);

● art. 22 ust. 3, art. 23 ust. 9 i ust. 10b, art. 29 ust. 1a-1c ustawy z 28 listopada 2003 r. o świadczeniach rodzinnych (j.t. Dz.U. z 2018 r. poz. 2220; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o świadczeniu usług drogą elektroniczną

+/-

Przetwarzanie danych osobowych w związku ze świadczeniem usług drogą elektroniczną

RODO, zakresem podmiotowym i przedmiotowym, obejmuje przetwarzanie danych osobowych w związku ze świadczeniem usług drogą elektroniczną. RODO nie daje podstaw do doprecyzowania lub zawężenia jego przepisów. W związku z tym w rozdziale IV ustawy o świadczeniu usług drogą elektroniczną uchylono przepisy dotyczące materii regulowanych treścią RODO.

Ocena zmian

W uzasadnieniu do ustawy nowelizującej podkreślono, że uchylenie w rozdziale IV ustawy o świadczeniu usług drogą elektroniczną poszczególnych przepisów nie może być traktowane ani jako zakaz przetwarzania danych osobowych (w związku ze świadczeniem usług drogą elektroniczną) w sposób określony w tych przepisach, ani jako dopuszczenie przetwarzania tych danych w sposób dowolny. Jak stwierdzono w uzasadnieniu do ustawy: Legalność takiego przetwarzania danych osobowych oceniać należy w świetle przepisów RODO, w tym przede wszystkim zasad ogólnych określonych w art. 5 tego aktu prawnego.

W tym wypadku świadczący usługi drogą elektroniczną nadal muszą przetwarzać dane osobowe z poszanowaniem przepisów regulujących ochronę danych osobowych. W tym kontekście zmiana ta jest dla nich, co do zasady, neutralna.

PODSTAWA PRAWNA:

● art. 4, art. 16, art. 17, art. 18-22 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (j.t. Dz.U. z 2019 r. poz. 123; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi

Wyłączenie funduszy z niektórych obowiązków w zakresie ochrony danych osobowych

Nowelizacja zwalnia z niektórych obowiązków w zakresie RODO:

● fundusze inwestycyjne,

● towarzystwa funduszy inwestycyjnych,

● alternatywne spółki inwestycyjne i zarządzających nimi,

● niektóre podmioty dystrybuujące jednostki uczestnictwa

- będące administratorami danych osobowych. Zwolnienie obejmuje obowiązki, o których mowa w art. 15 RODO, w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.

Ocena zmian

Wyłączenie to dotyczy prawa dostępu przysługującego osobie, której dane dotyczą, w zakresie, w jakim będzie to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom. Przetwarzanie danych osobowych podlega w tym wypadku także zabezpieczeniom i ochronie wynikającym z przepisów o tajemnicy zawodowej. Wyłączenie prawa dostępu nie sprzyja oczywiście transparentności administrowania danymi osobowymi, jednak było tu konieczne ze względu na interes bezpieczeństwa publicznego.

PODSTAWA PRAWNA:

● art. 2, art. 13b, art. 193, art. 281, art. 286b ustawy z 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz.U. z 2018 r. poz. 1355; ost.zm. Dz.U. z 2019 r. poz. 730).

Cel przetwarzania danych osobowych

Fundusz sekurytyzacyjny oraz podmiot, z którym towarzystwo zawarło umowę o zarządzanie sekurytyzowanymi wierzytelnościami, zbierają i przetwarzają dane osobowe dłużników sekurytyzowanych wierzytelności jedynie w celach związanych z zarządzaniem wierzytelnościami sekurytyzowanymi.

Ocena zmian

Przepis zawęża możliwości przetwarzania danych osobowych przez fundusze sekurytyzacyjne jedynie do celów związanych z zarządzaniem wierzytelnościami sekurytyzowanymi. Przepis ten należy uznać za korzystny dla klientów tych funduszy, ogranicza bowiem wykorzystywanie ich danych.

PODSTAWA PRAWNA:

● art. 193 ustawy z 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz.U. z 2018 r. poz. 1355; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o postępowaniu w sprawach dotyczących pomocy publicznej

+/-

Administrator danych w postępowaniach w sprawach dotyczących pomocy

W postępowaniach w sprawach dotyczących pomocy publicznej administratorem danych jest:

1) Prezes Urzędu Ochrony Konkurencji i Konsumentów - w sprawach dotyczących pomocy publicznej innej niż pomoc publiczna w rolnictwie lub rybołówstwie;

2) Minister Rolnictwa - w sprawach dotyczących pomocy publicznej w rolnictwie lub rybołówstwie;

3) Minister Finansów - w sprawach dotyczących pomocy publicznej innej niż pomoc publiczna w rolnictwie lub rybołówstwie udzielonej przez naczelników urzędów skarbowych i dyrektorów izb administracji skarbowej.

Ocena zmian

Przepisy określające, kto jest administratorem danych przedsiębiorcy ubiegającego się o pomoc, mają charakter doprecyzowujący. Naturalne jest, że administratorem danych powinien być podmiot przetwarzający dane osobowe i w tym wypadku są to podmioty, do których kierowane są wnioski o pomoc publiczną.

PODSTAWA PRAWNA:

● art. 11a ust. 1 ustawy z 30 kwietnia 2004 r. o postępowaniu w sprawach dotyczących pomocy publicznej (j.t. Dz.U. z 2018 r. poz. 362; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Zakres udostępnionych danych

Dane beneficjentów pomocy lub podmiotów udzielających pomocy obejmujące:

● numer identyfikacji podatkowej,

● nazwę,

● podstawę prawną udzielenia pomocy,

● dzień udzielenia pomocy,

● wielkość przedsiębiorcy,

● informacje o siedzibie,

● miejsce zamieszkania

● rodzaj prowadzonej działalności,

● wartość pomocy, formę oraz przeznaczenie pomocy

- udostępnia się na stronie internetowej Prezesa Urzędu Ochrony Konkurencji i Konsumentów lub Ministra Rolnictwa.

Ocena zmian

Ubieganie się o pomoc publiczną musi być działaniem transparentnym. Dlatego konieczne jest publikowanie, kto i jaką pomoc otrzymał. Stąd konieczne było wprowadzenie omawianego przepisu.

PODSTAWA PRAWNA:

● art. 11a ust. 2 ustawy z 30 kwietnia 2004 r. o postępowaniu w sprawach dotyczących pomocy publicznej (j.t. Dz.U. z 2018 r. poz. 362; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o obrocie instrumentami finansowymi

Ograniczenia w wykonywaniu obowiązków wynikających z RODO

Firmy inwestycyjne będące administratorami przetwarzającymi dane osobowe nie są obowiązane do wykonywania obowiązków, o których mowa w art. 15 RODO. Przepis ten uprawnia osobę, której dane dotyczą, do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji o zakresie przetwarzania. Wyłączenie ma zastosowanie w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.

Ocena zmian

Zmiana była konieczna z uwagi na cele przyświecające przepisom o przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. By przepisy te były skuteczne, konieczne jest ograniczenie zakresu działania regulacji RODO. Oczywiście wszystkie przepisy ograniczające stosowanie RODO są korzystne dla administratorów danych.

PODSTAWA PRAWNA:

● art. 83k ustawy z 29 lipca 2005 r. o obrocie instrumentami finansowymi (j.t. Dz.U. z 2018 r. poz. 2286; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o licencji doradcy restrukturyzacyjnego

Okres przechowywania danych osobowych

Ustawodawca określił okres przechowywania danych osobowych zgromadzonych przez doradcę restrukturyzacyjnego przy wykonywaniu uprawnień i obowiązków wynikających z licencji doradcy restrukturyzacyjnego. Okres ten wynosi 5 lat od zakończenia postępowania, w którym dane zostały zgromadzone. Po upływie tego okresu dane osobowe podlegają usunięciu, chyba że dalsze ich przechowywanie jest niezbędne dla ochrony praw lub dochodzenia roszczeń.

Ocena zmian

Określony w przepisie okres, zdaniem ustawodawcy, uwzględnia zarówno termin przedawnienia roszczeń dochodzonych przez osoby prowadzące działalność gospodarczą, jak i obowiązek doradcy restrukturyzacyjnego udzielania wyjaśnień w związku z dokonywanymi czynnościami.

Doradca restrukturyzacyjny ma obowiązek usunięcia przetwarzanych danych osobowych po upływie 5 lat. Wyjątek zrobiono tylko dla sytuacji, w której dalsze przechowywanie tych danych jest niezbędne dla ochrony praw lub dochodzenia roszczeń.

Samo uregulowanie okresu przechowywania danych należy określić jako coś pozytywnego. Stanowi bowiem odpowiedź na potencjalną wątpliwość doradców restrukturyzacyjnych.

PODSTAWA PRAWNA:

● art 20a ustawy z 15 czerwca 2007 r. o licencji doradcy restrukturyzacyjnego (j.t. Dz.U. z 2016 r. poz. 883; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych

Ograniczenia w stosowaniu niektórych przepisów RODO

Ustawodawca wyłączył lub ograniczył stosowanie niektórych przepisów RODO do przetwarzania danych osobowych o dłużniku przez biuro informacji gospodarczej w związku z udostępnianiem informacji gospodarczych. Ograniczenia obejmują:

1) obowiązek wyrażony w art. 19 RODO. Obowiązek ten polega na tym, że administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe. Ograniczenie to polega na tym, że swój obowiązek informacyjny biuro zrealizuje wyłącznie w stosunku do odbiorców, którzy danych jeszcze nie usunęli;

2) prawa do sprzeciwu (art. 21 ust. 1 RODO) - prawo to pozwala osobie, której dane dotyczą, na wniesienie sprzeciwu uniemożliwiającego dalsze ich przetwarzanie. Ograniczenie pojawia się w zakresie:

a) przetwarzania danych osobowych przez wierzyciela w związku z przekazaniem do biura informacji gospodarczych o dłużniku będącym osobą fizyczną. W tym wypadku osoby fizyczne nie mogą już wnosić sprzeciwu;

b) przetwarzania danych osobowych o dłużniku przez biuro informacji gospodarczej w związku z udostępnianiem informacji gospodarczych.

Biura informacji gospodarczej mają obowiązek poinformowania osoby, której dane dotyczą, o ograniczeniach, najpóźniej przy pierwszej czynności skierowanej do tej osoby. O opisanym ograniczeniu prawa do sprzeciwu wierzyciel informuje dłużnika w wezwaniu do zapłaty.

Ocena zmian

Wprowadzone zmiany z pewnością są korzystne dla biur informacji gospodarczej i wierzycieli. Dłużnik nie może zasłaniać się przepisami RODO, by uniknąć publikacji jego danych.

PODSTAWA PRAWNA:

● art. 3 ustawy z 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (j.t. Dz.U. z 2019 r. poz. 681; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo dostępu do informacji gospodarczych

Ustawodawca daje każdemu prawo dostępu do dotyczących go informacji gospodarczych przechowywanych przez biuro. Osoby fizyczne mają prawo dostępu do przechowywanych przez biuro danych osobowych ich dotyczących. Wysokość opłat, które biuro może pobrać zgodnie z rozporządzeniem 2016/679, określa cennik uchwalany przez zarząd biura. Przy tym dostęp do danych dla dłużników będących konsumentami, jest bezpłatny, jeżeli następuje nie częściej niż raz na 6 miesięcy. W przypadku podmiotów niebędących osobami fizycznymi (np. osób prawnych jak spółka z o.o. czy spółka akcyjna) dostęp do danych podlega opłacie zgodnie z obowiązującym w biurze cennikiem, która nie może być wyższa niż 0,5 minimalnego wynagrodzenia za pracę.

Ocena zmian

Jednoznaczne uregulowanie zasad udostępniania danych osobowych przechowywanych przez biura informacji gospodarczych to z pewnością korzystna zmiana. W uprzywilejowanej pozycji znalazły się osoby fizyczne nieprowadzące działalności gospodarczej, które z pewnymi ograniczeniami będą mogły korzystać z darmowego dostępu do tych danych.

PODSTAWA PRAWNA:

● art. 22b ustawy z 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (j.t. Dz.U. z 2019 r. poz. 681; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o prawach konsumenta

Ułatwienia dla mikroprzedsiębiorców

W ustawie o prawach konsumenta wprowadzono ułatwienia dla mikroprzedsiębiorców w zakresie wykonywania obowiązków informacyjnych wynikających z RODO.

Zgodnie z nowo dodanym art. 4a ustawy o prawach konsumenta, mikroprzedsiębiorca może wykonać obowiązki informacyjne wynikające z RODO (nałożone przepisami art. 13 rozporządzenia UE 2016/679) przez:

● wywieszenie stosownych informacji w widocznym miejscu w lokalu przedsiębiorstwa lub

● udostępnienie stosownych informacji na swojej stronie internetowej.

Mikroprzedsiębiorca może w ten sposób wypełnić swoje obowiązki informacyjne zarówno w zakresie umów zawieranych w lokalu przedsiębiorstwa (zakładzie usługowym czy sklepie), jak i w przypadku umów zawieranych poza lokalem przedsiębiorstwa lub na odległość.

Mikroprzedsiębiorca nie może skorzystać z tego uproszczenia, jeżeli:

● osoba, której dane dotyczą, nie ma możliwości zapoznania się z tymi informacjami;

● przetwarza dane wrażliwe (są to dane wskazane w art. 9 rozporządzenia UE 2016/679, czyli dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej);

● udostępnia dane wrażliwe innym administratorom, z wyjątkiem przypadku, w którym:

a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo

b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

Wprowadzenie takiego rozwiązania ma zmniejszyć obciążenia mikroprzedsiębiorców. Zasadniczo bowiem obowiązki wynikające z RODO obciążają wszystkich przedsiębiorców, bez względu na ich wielkość, możliwości organizacyjne, doświadczenie czy zakres przetwarzanych danych. Dzięki wprowadzonemu rozwiązaniu najmniejsi przedsiębiorcy (mikroprzedsiębiorcy, którzy - co do zasady - nie udostępniają przetwarzanych przez siebie danych innym administratorom) zyskali możliwość wypełnienia części ciążących na nich na podstawie art. 13 RODO obowiązków informacyjnych w opisany sposób.

Przykład

Zakład fryzjerski zbierający dane osobowe w postaci imion i nazwisk oraz numerów telefonicznych swoich klientów wypełnia ciążące na nim obowiązki informacyjne przewidziane w art. 13 RODO, umieszczając w swoim lokalu, w widocznym miejscu, wywieszkę obejmującą informacje, o których mowa w art. 13 RODO. W tej sytuacji przyjmuje się domniemanie, że każdy klient takiego zakładu, podając fryzjerowi swoje imię, nazwisko oraz numer telefonu, ma świadomość celu i zakresu przetwarzania swoich danych przez tego mikroprzedsiębiorcę.

Przypomnijmy, że mikroprzedsiębiorca to przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki:

1) zatrudniał średniorocznie mniej niż 10 pracowników oraz

2) osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczających równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro.

Ocena zmian

Uprawnienie do skorzystania z opisanego rozwiązania daje gwarancję prawidłowej realizacji obowiązku mikroprzedsiębiorcom, którzy zechcą z niego skorzystać. Przy czym możliwość skorzystania przez mikroprzedsiębiorców z opisanych ułatwień nie wyczerpuje środków, które będą oni mogli podjąć w celu pozostania w zgodzie z RODO. Specyfika konkretnych branż może bowiem wymagać podejmowania przez przedsiębiorców technicznie innych sposobów dotarcia do odbiorcy.

PODSTAWA PRAWNA:

● art. 4a ustawy z 30 maja 2014 r. o prawach konsumenta (Dz.U. z 2019 r. poz. 134; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o działalności ubezpieczeniowej i reasekuracyjnej

Ograniczenia przetwarzania danych osobowych

Ustawa o działalności ubezpieczeniowej i reasekuracyjnej została dostosowana do przepisów RODO poprzez:

● uzupełnienie słowniczka ustawowego o wyjaśnienie pojęcia profilowanie (art. 3 ust. 1 pkt 33a),

● wprowadzenie zapisu, iż Polska Izba Ubezpieczeń, Ubezpieczeniowy Fundusz Gwarancyjny i Polskie Biuro Ubezpieczycieli Komunikacyjnych oraz osoby w nich zatrudnione są zobowiązani do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia (art. 35 ust. 7),

● umożliwienie zakładom ubezpieczeniowym gromadzenia danych osobowych w celu przeciwdziałania oszustwom ubezpieczeniowym w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń w celu i zakresie niezbędnym do zapobiegania temu przestępstwu (art. 35a),

● umożliwienie zakładom ubezpieczeń przetwarzania danych osobowych w zakresie, w jakim jest to niezbędne do prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom (art. 35b),

● ograniczenie zakresu informacji o stanie zdrowia ubezpieczonego lub osoby, na rachunek której ma zostać zawarta umowa ubezpieczenia (art. 38 ust. 2 pkt 1 i 2) - zakład ubezpieczeń nie będzie mógł zbierać informacji o rokowaniach co do stanu zdrowia ww. osób,

● modyfikację dotyczącą formy wyrażenia zgody na przetwarzanie danych o stanie zdrowia przez osobę ubezpieczoną, osobę, na której rachunek ma być zawarta umowa ubezpieczenia lub przedstawiciela ustawowego każdej z tych osób (obowiązek pozyskania wyraźnej zgody wynika z art. 9 ust. 2 lit. a RODO); po zmianach forma tej zgody może być dowolna. Nie musi to być zgoda pisemna (art. 38 ust. 6 i 8, art. 39 ust. 1),

● wprowadzenie przepisu, na podstawie którego zakłady ubezpieczeń będą mogły podejmować decyzję, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, w procesie dokonywania oceny ryzyka ubezpieczeniowego oraz wykonywania czynności ubezpieczeniowych, pod warunkiem zapewnienia osobie, której dotyczy zautomatyzowana decyzja, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej (art. 41 ust 1, ust. 1a i ust. 1b),

● wprowadzenie możliwości posiadania i przetwarzania danych osobowych przez zakłady ubezpieczeń dla celów statystycznych bez zgody osoby ubezpieczonej, nie dłużej jednak niż przez 12 lat od dnia rozwiązania umowy ubezpieczenia (art. 41 ust. 1c),

● wprowadzenie podstawy prawnej umożliwiającej zakładom ubezpieczeń przetwarzanie danych osobowych dotyczących odpowiedzialności karnej osób ubezpieczonych (art. 42 ust. 2a).

Ocena zmian

Działalność ubezpieczeniowa to rodzaj działalności nierozerwalnie związanej z koniecznością zbierania licznych danych, w tym danych osobowych osób ubezpieczonych. Jest to niezbędne w celu prawidłowego wykonania obowiązków przez zakłady ubezpieczeniowe. Nowelizacja uregulowała podstawy prawne dla przetwarzania tych danych przez zakłady ubezpieczeń, ale też sprecyzowała, w jakim zakresie dane te mogą być zbierane, w jakim celu oraz w jakich granicach. Wprowadziła też pewne ograniczenia dla zakładów ubezpieczeń, które należy ocenić pozytywnie z punktu widzenia osób ubezpieczonych, np. po nowelizacji zakłady ubezpieczeń nie będą już mogły bowiem gromadzić informacji o rokowaniach lekarskich co do stanu zdrowia osób ubezpieczonych.

PODSTAWA PRAWNA:

● art. 3 ust. 1 pkt 33a, art. 35 ust. 7, art. 35a, art. 35b, art. 38 ust. 2 pkt 1 i 2 oraz ust. 6 i ust. 8, art. 39 ust. 1, art. 41 ust. 1 i ust. 1a-1c, art. 42 ust. 2a ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (j.t. Dz.U. z 2019 r. poz. 381; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu

Środki bezpieczeństwa

W związku z koniecznością dostosowania przepisów krajowych do wymogów RODO wprowadzono zmiany w ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.

Pierwsza zmiana dotyczy środków bezpieczeństwa stosowanych przez instytucje podlegające przepisom tej ustawy. Mianowicie nie będą one mogły przetwarzać informacji o beneficjentach rzeczywistych bez wiedzy osób, których informacje te dotyczą (art. 34 ust. 6 został uchylony). Dotychczas z art. 34 ust. 6 wynikało, że instytucje obowiązane miały taką możliwość.

Druga zmiana dostosowuje treść art. 66 tej ustawy do przepisów RODO. Zamiast odesłania do ustawy o ochronie danych osobowych, wprowadzono odesłanie do rozporządzenia UE 2016/679.

Zgodnie z nowym brzmieniem przepisu, instytucje obowiązane zostały zwolnione z części obowiązków informacyjnych nakładanych przez RODO, to jest z obowiązków wynikających z art. 15 ust. 1 lit. c RODO. Instytucje te nie mają zatem obowiązku informowania osoby, której dane dotyczą, o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych.

Ocena zmian

Zmiany dostosowujące treść ustawy o przeciwdziałaniu praniu pieniędzy do przepisów RODO są niewielkie. Nie wpływają one zasadniczo na zakres dotychczasowych obowiązków instytucji podlegających przepisom tej ustawy.

PODSTAWA PRAWNA:

● art. 34 ust. 6, art. 66 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2018 r. poz. 723; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy

Dostosowanie CEIDG do zmian w przepisach

W przepisach ustawy o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy został uchylony art. 50.

Przepis ten stanowił, że do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy.

Ocena zmian

Zmiana ma charakter porządkujący. Przepis ten należało uchylić w związku z uchyleniem ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych wraz z wejściem w życie RODO.

PODSTAWA PRAWNA:

● art. 158 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730).

Ustawa o ochronie danych osobowych

Kary za naruszenie RODO

W ustawie z 10 maja 2018 r. o ochronie danych osobowych wprowadzono zmiany dostosowujące do rozporządzenia RODO.

W art. 5a została wprowadzona ogólna regulacja, uniemożliwiająca wykorzystywanie RODO jako sposobu utrudnienia wykonywania ustawowych zadań przez organy publiczne, np. w ramach procedur karnych, ale także procedur podatkowych, itp. Na podstawie art. 5a administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, jest zwolniony z obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679 (RODO), w przypadku gdy podmiot przekazujący administratorowi dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego, np. mającego na celu zapobieganie przestępczości (art. 5a).

Pozostałe zmiany dotyczą:

● przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej (art. 6a),

● kwestii wyznaczania zastępcy inspektora ochrony danych w czasie nieobecności inspektora (art. 11a),

● możliwości wystąpienia przez administratora do Prezesa Urzędu Ochrony Danych Osobowych o przeprowadzenie tzw. uprzednich konsultacji, w przypadku gdy w związku z przetwarzaniem danych istnieje wysokie ryzyko naruszeń (art. 57 ust. 1).

Ponadto na podmioty, które naruszają przepisy RODO i wobec których Prezes UOKIK wszczął postępowanie w celu nałożenia administracyjnej kary pieniężnej, został nałożony obowiązek przekazania Prezesowi UOKiK danych niezbędnych do określenia podstawy wymiaru tej kary. Brak przekazania tych danych (lub dostarczenie danych, na podstawie których ustalenie podstawy wymiaru jest niemożliwe) spowoduje określenie kary w wartości szacunkowej (art. 101a). Ponadto za brak przekazania danych do określenia podstawy wymiaru bądź przekazanie danych, które uniemożliwiają ustalenie podstawy wymiaru, grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch (art. 108).

Ocena zmian

Nowelizacja zwiększa uprawnienia Prezesa UOKiK odnoszące się do nakładania administracyjnych kar pieniężnych na podmioty naruszające przepisy RODO. Prezes UOKiK zyskał prawo do żądania danych niezbędnych do ustalenia podstawy wymiaru kary i szacowania wysokości kar. Podmioty, które nie wypełnią tego żądania, albo wypełnią je niewłaściwie, poniosą odpowiedzialność karną.

PODSTAWA PRAWNA:

● art. 5a, art. 6a, art. 11a, art. 57 ust. 1, art. 101a, art. 108 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o kredycie konsumenckim

Obowiązek poinformowania o zdolności kredytowej

Jeżeli kredytodawca odmówi konsumentowi udzielenia kredytu konsumenckiego, musi na piśmie poinformować o czynnikach, jakie wpłynęły na ocenę zdolności kredytowej konsumenta.

Ocena zmian

Nowelizacja pozwala na poznanie przez konsumenta swojej zdolności kredytowej.

PODSTAWA PRAWNA:

● art. 10 ust. 2 ustawy z 12 maja 2011 r. o kredycie konsumenckim (j.t. Dz.U. z 2018 r. poz. 993; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo bankowe

Wzrost wymagań wobec członków organów banku

Członkowie zarządu i rady nadzorczej banku powinni mieć wiedzę, umiejętności i doświadczenie, odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków, oraz dawać rękojmię należytego wykonywania tych obowiązków. W celu weryfikacji kandydatów na członka rady zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku, bank może żądać wielu informacji potwierdzających, że spełniają one wymagania należytego wypełniania obowiązków. Bank będzie żądał od nich:

● dokumentów lub oświadczeń dotyczących zmiany imienia, nazwiska lub obywatelstwa oraz sytuacji materialnej i stanu majątku;

● informacji niezbędnych do oceny rękojmi dotyczących: miejsca zamieszkania lub pobytu, wykształcenia, zawodu, umiejętności i doświadczenia zawodowego, w tym dotychczasowego przebiegu pracy zawodowej, ukończonych szkoleń zawodowych, miejsca i stanowiska pracy, funkcji pełnionych w organach podmiotów sektora finansowego; postępowań karnych i postępowań w sprawach o przestępstwa skarbowe prowadzonych przeciwko kandydatowi lub osobie ubiegającej się o pełnienie kluczowej funkcji w banku albo nałożonych sankcji administracyjnych, sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata lub osoby ubiegającej się o pełnienie kluczowej funkcji w banku, postępowań sądowych, które mogą mieć negatywny wpływ na reputację kandydata lub osoby ubiegającej się o pełnienie kluczowej funkcji w banku, oraz postępowań administracyjnych, dyscyplinarnych lub egzekucyjnych, w których występował lub występuje jako strona; znajomości języka polskiego oraz języków obcych; sposobu działania w życiu, środowisku i kontaktach zawodowych oraz sposobu zachowania się wobec osób pokrzywdzonych przez jego działania.

Tak pozyskane dane osobowe będą mogły być przechowywane nie dłużej niż przez okres 25 lat.

Ocena zmian

Jest to zmiana z pewnością korzystna. Wskazany zakres danych osobowych oraz okres ich przechowywania jest bowiem niezbędny dla prawidłowego badania rękojmi osób, które mają istotny wpływ na sektor finansowy w kraju i dopuszczeniu do zajmowania funkcji w tym wrażliwym sektorze tylko osób, które w całym swoim życiu zawodowym wykazały się odpowiednim doświadczeniem i postawą. Określenie katalogu takich danych daje, z jednej strony, pewność co do wspomnianej rękojmi, jaką muszą gwarantować osoby zatrudnione w bankach na najwyższych stanowiskach, a z drugiej strony, katalog wymogów jest jawny i z góry wiadomo, jakich informacji (danych osobowych) musi spodziewać się kandydat na członka rady zarządu lub rady nadzorczej lub osoba ubiegająca się o pełnienie innej kluczowej funkcji w banku.

PODSTAWA PRAWNA:

● art. 46 ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1);

● art. 22aa ustawy z 29 sierpnia 1997 r. - Prawo bankowe (j.t Dz.U. z 2018 r. poz. 2187; ost.zm. Dz.U. z 2019 r. poz. 730).

Możliwość żądania pisemnego wyjaśnienia dokonanej przez bank oceny zdolności kredytowej wnioskującego

Banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt, muszą przekazać, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Wyjaśnienie takie obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. W przypadku przedsiębiorców bank i inna instytucja ustawowo upoważniona do udzielania kredytów może pobierać opłatę za sporządzenie wyjaśnienia. Wysokość opłaty powinna być odpowiednia do wysokości kredytu. Takie same zasady mają zastosowanie do przedsiębiorcy ubiegającego się o pożyczkę pieniężną.

Ocena zmian

Zmiana bardzo korzystna. Dotychczas tylko przedsiębiorcy mieli prawo żądania wyjaśnienia dotyczącego oceny zdolności kredytowej dokonanej przez banki i inne instytucje ustawowo upoważnione do udzielania kredytów. Na podstawie zmienionych przepisów taką możliwość zyskują także osoby fizyczne, a więc generalnie wszyscy.

PODSTAWA PRAWNA:

● art. 70, art. 70a ustawy z 29 sierpnia 1997 r. - Prawo bankowe (j.t Dz.U. z 2018 r. poz. 2187; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Zautomatyzowane przetwarzanie danych osobowych w procesie dokonania oceny kredytowej

Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych (również stanowiących tajemnicę bankową). Mogą to robić pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.

Ocena zmian

Jest to zmiana mająca na celu uwzględnić stały rozwój technologiczny. Wprowadzono bowiem regulację pozwalającą bankom na zautomatyzowane podejmowanie decyzji o zdolności kredytowej bez wiedzy i zgody osoby, której dane dotyczą (zautomatyzowane przetwarzanie danych osobowych). Jednocześnie wprowadzono przepisy, których celem jest zapewnienie osobie fizycznej zarówno prawa do zakwestionowania takiej decyzji, prawa do wyrażenia własnego stanowiska w tej sprawie oraz do uzyskania interwencji ludzkiej. Ponadto kredytodawca będzie zobowiązany do przedstawienia - na wniosek osoby, której dane dotyczą - stosownych wyjaśnień co do podstaw decyzji, która została podjęta wyłącznie na podstawie zautomatyzowanego przetwarzania, w tym profilowania. Podkreślenia wymaga, iż w celu podjęcia decyzji w oparciu o dane osobowe przetwarzane wyłącznie automatycznie, w tym poprzez profilowanie, bank będzie mógł wykorzystać tylko te dane, które zostały określone w dodawanym ust. 1b w art. 105a ustawy - Prawo bankowe. Takie rozwiązanie ma na celu zapewnienie ochrony osoby przed przetwarzaniem danych, które nie są niezbędne we wskazanych procesach takich, jak przykładowo proces dokonywania oceny zdolności kredytowej.

PODSTAWA PRAWNA:

● art. 105, art. 105a ustawy z 29 sierpnia 1997 r. - Prawo bankowe (j.t Dz.U. z 2018 r. poz. 2187; ost.zm. Dz.U. z 2019 r. poz. 730).

Wymiana informacji objętych tajemnicą bankową

Prawo bankowe zawiera przepisy pozwalające na przetwarzanie i udostępnianie informacji na potrzeby tzw. Platformy Antyfraudowej, mającej na celu zapobieganie przestępstwom popełnianym na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji pożyczkowych, podmiotów, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu (dotyczy to np. posługiwania się fałszywymi dokumentami czy składania fałszywych oświadczeń). Nowe regulacje wyłączyły konieczność wypełniania obowiązku administratora RODO w zakresie dostępu przysługującego danej osobie do informacji o przetwarzaniu jej danych osobowych. Innymi słowy, administratorzy RODO nie muszą udzielać informacji zainteresowanym osobom o przetwarzaniu danych osobowych:

● w przypadku uzasadnionych podejrzeń, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a (tu m.in. np. wykluczone są przestępstwa o charakterze terrorystycznym, masowej zagłady, zawładnięcie statkiem wodnym lub powietrznym, obrót substancjami niebezpiecznymi) lub art. 299 Kodeksu karnego (pranie pieniędzy),

● w przypadku uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z 12 maja 2011 r. o kredycie konsumenckim (tj. instytucje pożyczkowe z innych państw), i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom,

● w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.

Ocena zmian

Pozytywna zmiana o charakterze porządkującym. Daje bowiem formalne podstawy prawne dla administratora RODO, by nie udzielać dostępu przysługującego danej osobie do informacji o przetwarzaniu jej danych osobowych w sytuacjach wskazujących na możliwość popełnienia przestępstwa na szkodę instytucji finansowych i ich klientów.

PODSTAWA PRAWNA:

● art. 106d, art. 106e ustawy z 29 sierpnia 1997 r. - Prawo bankowe (j.t Dz.U. z 2018 r. poz. 2187; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o usługach płatniczych

Zapobieganie oszustwom przez dostawców usług płatniczych

Prawo do przetwarzania danych w zakresie niezbędnym do zapobiegania oszustwom związanym z wykonywanymi usługami płatniczymi zostało uzupełnione o kwestię przetwarzania danych przez organizacje płatnicze w ramach prowadzonych przez nie schematów płatniczych, ponieważ schematy te również objęte są regulacją ustawy o usługach płatniczych. Ponadto wprowadzono zapisy, że dostawcy, organizacje płatnicze i podmioty prowadzące systemy płatności nie muszą udzielać dostępu przysługującego danej osobie do informacji o przetwarzaniu jej danych osobowych w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.

Ocena zmian

Pozytywna zmiana o charakterze porządkującym. Daje bowiem prawo administratorowi RODO do przetwarzania danych w zakresie niezbędnym do zapobiegania oszustwom związanym z wykonywanymi usługami płatniczymi bez posiadania zgody osoby, której dane są przetwarzane. Daje również możliwość nieudzielenia dostępu przysługującego danej osobie do informacji o przetwarzaniu jej danych osobowych w sytuacjach dotyczących przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz zapobieganiu przestępstwom.

PODSTAWA PRAWNA:

● art. 118 ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1);

● art. 10, art. 10a ustawy z 19 sierpnia 2011 r. o usługach płatniczych (j.t Dz.U. z 2019 r. poz. 659; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o spółdzielczych kasach oszczędnościowo-kredytowych

Przetwarzanie i udostępnianie informacji objętych tajemnicą

Zmiany ustawy o spółdzielczych kasach oszczędnościowo-kredytowych polegają na wprowadzeniu regulacji tożsamych do wprowadzonych do Prawa bankowego w zakresie przetwarzania i udostępniania informacji. SKOK-i (analogicznie jak banki) nie muszą udzielać informacji zainteresowanym osobom o przetwarzaniu ich danych osobowych w zakresie konieczności przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobieganiu przestępstwom, zgodnie z art. 106d Prawa bankowego (patrz szerzej: Prawo bankowe, pkt "Wymiana informacji objętych tajemnicą bankową").

Ocena zmian

PODSTAWA PRAWNA:

● art. 103 ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1);

● art. 16b, art. 50 ust. 1a ustawy z 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (j.t Dz.U. z 2018 r. poz. 2386; ost.zm. Dz.U. z 2019 r. poz. 730).

Wzrost wymagań wobec członków rad nadzorczych i zarządu SKOK

Zmiany ustawy o spółdzielczych kasach oszczędnościowo-kredytowych polegają na wprowadzeniu regulacji tożsamej do wprowadzonych do Prawa bankowego w zakresie spełnienia przez członków rad nadzorczych i zarządu SKOK-ów wymogów gwarantujących reputację, uczciwość i rzetelność tych osób oraz zdolności do prowadzenia spraw kas. W tym celu SKOK żąda takich samych dokumentów i informacji jak w przypadku kandydatów na członka rady zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku (patrz szerzej: Prawo bankowe, pkt "Wzrost wymagań wobec członków organów banku").

Ocena zmian

Jest to zmiana z pewnością korzystna. SKOK-i mają podobne obowiązki jak banki. Dlatego też odpowiednie stosowanie zasad obowiązujących w bankach co do rękojmi, jaką muszą dawać osoby zatrudnione w SKOK-ach na najwyższych stanowiskach, jest rzeczą naturalną. Podobnie też jak w bankach weryfikacja wymagań odbywa się według jawnego katalogu informacji (danych osobowych).

PODSTAWA PRAWNA:

● art. 18 ust. 6 ustawy z 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (j.t Dz.U. z 2018 r. poz. 2386; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Narodowym Banku Polskim

+/-

Tajemnica banku centralnego

Ze względu na strategiczne znaczenie tego organu dla bezpieczeństwa ekonomicznego państwa Prezesowi Urzędu Ochrony Danych Osobowych nie przysługuje prawo dostępu do pewnych danych jednostkowych dotyczących do ustalania polityki pieniężnej i okresowych ocen sytuacji pieniężnej państwa.

Bank Centralny ma prawo żądać od osób świadczących usługi na rzecz NBP lub osób realizujących transporty wartości pieniężnych oraz ich pracowników danych biometrycznych w postaci odcisków palców, głosu, geometrii dłoni, układu naczyń krwionośnych palców lub dłoni. Dane biometryczne mogą być przechowywane wyłącznie przez czas realizacji usług świadczonych przez te osoby na rzecz NBP lub realizacji transportów pieniężnych, gdy jest to konieczne ze względu na wymagania bezpieczeństwa związane z kontrolą dostępu do informacji lub pomieszczeń.

Ocena zmian

Nowelizacja ma na celu ochronę danych strategicznych dotyczących finansów państwa.

PODSTAWA PRAWNA:

● art. 59a ustawy z 29 sierpnia 1997 r. o Narodowym Banku Polskim (j.t. Dz.U. z 2017 r. poz. 1373; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających

+/-

Wymagania wobec członka zarządu

Członkowie zarządu jednostki zarządzającej powinni mieć wiedzę, umiejętności i doświadczenie odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków oraz dawać rękojmię należytego wykonywania tych obowiązków. Rękojmia, o której mowa w zdaniu poprzedzającym, odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw jednostki zarządzającej w sposób ostrożny i stabilny.

Ocena zmian

Nowelizacja nie wpływa na prawa i obowiązki klientów tych banków.

PODSTAWA PRAWNA:

● art. 22f ust. 2 ustawy z 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających (j.t. Dz.U. z 2018 r. poz. 613; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji

+/-

Prawo przetwarzania danych

Fundusz przetwarza dane osobowe w zakresie niezbędnym do realizacji zadań określonych przez ustawę, czyli m.in. w celu: wykonywania obowiązków wynikających z gwarantowania depozytów, dokonywania wypłaty środków gwarantowanych deponentom, kontroli danych zawartych w systemach wyliczania podmiotów objętych systemem gwarantowania.

Ocena zmian

Zmiana ma charakter porządkowy i nie wpływa na prawa i obowiązki klientów banków.

PODSTAWA PRAWNA:

● art. 5a, art. 45 ust. 2a ustawy z 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji (j.t. Dz.U. z 2018 r. poz. 405; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym

Obowiązki biegłych rewidentów i firm audytorskich

Przepisy nakazują biegłym rewidentom, firmom audytorskim odpowiednie zabezpieczenie danych osobowych pozyskanych w związku z wykonywaniem obowiązków zawodowych. Minimalny zakres zabezpieczeń to:

● dopuszczenie do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

● pisemne zobowiązanie osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

● regularne testowanie i doskonalenie stosowanych środków technicznych i organizacyjnych;

● zapewnienie bezpiecznej komunikacji w sieciach teleinformatycznych oraz ochrona przed nieuprawnionym dostępem do systemów informatycznych;

● zapewnienie integralności danych w systemach informatycznych;

● określenie zasad bezpieczeństwa przetwarzanych danych osobowych.

Biegli rewidenci i firmy audytorskie mają obowiązek co najmniej raz na 5 lat dokonać przeglądu zastosowanych zabezpieczeń.

Biegły może odmówić ujawnienia danych osobowych na żądanie prezesa UODO, gdyby to miało naruszyć tajemnicę zawodową.

Ocena zmian

Przepisy mają zapewnić jak najpełniejszą ochronę danych pozyskanych m.in. przy badaniu sprawozdań finansowych.

PODSTAWA PRAWNA:

● art. 2a, art. 2b, art. 4 ust. 2 ustawy z 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (Dz.U. z 2017 r. poz. 1089; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo o adwokaturze

Przetwarzanie danych przez adwokatów

Wprowadzono ograniczenie w zakresie przetwarzania danych przez adwokatów. Gdy adwokat przetwarza danych osób trzecich, które pozyskał od swoich klientów, nie musi powiadamiać tych osób o zbieraniu i przetwarzaniu ich danych, gdyby naruszało to tajemnicę zawodową. Taka osoba trzecia nie może złożyć sprzeciwu wobec przetwarzania jego danych przez adwokata, jeśli dane osobowe pozyskane zostały przez adwokata w związku z udzielaniem pomocy prawnej.

Określono także okres przechowywania danych osobowych. który wynosi:

1) 5 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych przez organy adwokatury oraz organy izb adwokackich w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawach oraz danych osobowych przetwarzanych w ramach nadzoru nad tym samorządem zawodowym;

2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych:

a) w toku prowadzonych przez organy adwokatury oraz organy izb adwokackich postępowań:

- administracyjnych,

- w zakresie skarg i wniosków,

- innych np. postępowań dotyczących wpisów na listę adwokatów;

b) w ramach nadzoru nad postępowaniami, o których mowa wyżej (wymienionych w punkcie a);

c) przez adwokatów w ramach wykonywania zawodu;

3) 15 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy adwokatury oraz organy izb adwokackich postępowań dyscyplinarnych wobec adwokatów i aplikantów adwokackich oraz podczas wykonywania kompetencji nadzorczych nad postępowaniami dyscyplinarnymi. Po upływie okresów dane osobowe przetwarzanych przez adwokatów w ramach wykonywania zawodu muszą zostać usunięte.

Ocena zmian

Wskazanie przez ustawodawcę, w jakim zakresie tajemnica zawodowa adwokatów ma pierwszeństwo przed przepisami rozporządzenia RODO, powoduje umocnienie zaufania klienta do adwokatów. W przeciwnym wypadku dochodziłoby do sytuacji, że adwokat zobowiązany byłby poinformować osobę, np. domniemanego sprawcę przestępstwa zgłoszonego mu przez klienta, o gromadzeniu jego danych osobowych, co byłoby sprzeczne z interesem klienta i umożliwiłoby ukrycie się przestępcy. Z drugiej strony, ustawodawca wskazał, że nie można przechowywać i przetwarzać danych ponad wskazane w ustawie terminy.

PODSTAWA PRAWNA:

● art. 16a-16c ustawy z 26 maja 1982 r. - Prawo o adwokaturze (j.t. Dz.U. z 2018 r. poz. 1184; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o radcach prawnych

Przetwarzanie danych przez radców prawnych

Wprowadzono ograniczenie w zakresie przetwarzania danych przez radców prawnych. Gdy radca prawny przetwarza dane osób trzecich, które pozyskał od swoich klientów, nie musi powiadamiać tych osób o zbieraniu i przetwarzaniu ich danych, gdyby naruszało to tajemnicę zawodową. Taka osoba trzecia nie może złożyć sprzeciwu wobec przetwarzania jego danych przez radcę prawnego, jeśli dane osobowe pozyskane zostały przez radcę prawnego w związku z udzielaniem pomocy prawnej.

Określono także okres przechowywania danych osobowych. który wynosi:

1) 5 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych przez organy radców prawnych oraz organy izb radców prawnych w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawach oraz danych osobowych przetwarzanych w ramach nadzoru nad tym samorządem zawodowym;

2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych:

a) w toku prowadzonych przez organy radców prawnych oraz organy ich izb postępowań:

- administracyjnych,

- w zakresie skarg i wniosków,

- innych np. postępowań dotyczących wpisów na listę radców prawnych;

b) w ramach nadzoru nad postępowaniami, o których mowa wyżej (wymienionych w punkcie a);

c) przez radców prawnych w ramach wykonywania zawodu;

3) 15 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy radców prawnych oraz organy izb radców prawnych postępowań dyscyplinarnych wobec radców prawnych i aplikantów radcowskich oraz podczas wykonywania kompetencji nadzorczych nad postępowaniami dyscyplinarnymi. Po upływie okresów dane osobowe przetwarzanych przez radców prawnych w ramach wykonywania zawodu muszą zostać usunięte.

Ocena zmian

Wskazanie przez ustawodawcę w jakim zakresie tajemnica zawodowa radców prawnych ma pierwszeństwo przed przepisami rozporządzenia RODO, powoduje umocnienie zaufania klienta do tych podmiotów. W przeciwnym wypadku dochodziłoby do sytuacji, że radca prawny zobowiązany byłby poinformować osobę, np. domniemanego sprawcę przestępstwa zgłoszonego mu przez klienta, o gromadzeniu jego danych osobowych, co byłoby sprzeczne z interesem klienta i umożliwiłoby ukrycie się przestępcy. Z drugiej strony, ustawodawca wskazał, że nie można przechowywać i przetwarzać danych ponad wskazane w ustawie terminy.

PODSTAWA PRAWNA:

● art. 5a-5c ustawy z 6 lipca 1982 r. o radcach prawnych (j.t. Dz.U. z 2018 r. poz. 2115; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo o notariacie

Obowiązki notariusza w zakresie RODO

Ustawodawca wprowadził prymat tajemnicy notarialnej nad przepisami RODO. Notariusz nie ma obowiązku informowania osób trzecich o przetwarzaniu ich danych osobowych i może nie uwzględniać zgłoszonego przez nich sprzeciwu w tym zakresie. Przepisy wskazują, że obowiązek zachowania tajemnicy przez notariusza nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przy dokonywaniu czynności notarialnych występuje Prezes Urzędu Ochrony Danych Osobowych.

Ocena zmian

Przepisy wzmacniają zaufanie klientów do notariuszy jako podmiotów wykonujących swe czynności w oparciu o zasadę zaufania publicznego.

PODSTAWA PRAWNA:

● art. 78b-78d ustawy z 14 lutego 1991 r. - Prawo o notariacie (j.t. Dz.U. z 2019 r. poz. 540; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o komornikach sądowych

+/-

Obowiązek informacyjny w postępowaniu egzekucyjnym

Komornik przy pierwszej czynności ma obowiązek wskazania swoich danych osobowych i wskazać cel przetwarzania danych osób, wobec których wszczęte jest postępowanie egzekucyjne.

Minister Sprawiedliwości jest administratorem systemu teleinformatycznego służącego do przetwarzania danych osobowych zawartych w dokumentacji dotyczącej postępowania egzekucyjnego.

Ocena zmian

Zmiana nakłada na komorników obowiązek informowania o przetwarzaniu danych osobowych, powoduje to wzmocnienie świadomości przysługujących dłużnikom i wierzycielom.

PODSTAWA PRAWNA:

● art. 158 ust. 3 ustawy z 22 marca 2018 r. o komornikach sądowych (j.t. Dz.U. z 2018 r. poz. 771; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych

+/-

Zakres upoważnienia do przetwarzania danych osobowych

Ustawodawca zezwala Ubezpieczeniowemu Funduszowi Gwarancyjnemu i Polskiemu Biuru Ubezpieczycieli Komunikacyjnych na przetwarzanie danych dotyczących zdrowia osób fizycznych w zakresie niezbędnym do zaspokojenia podmiotów ubezpieczonych za doznane szkody na osobie i mieniu. Podmioty te są uprawnione do przetwarzania danych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa w zakresie niezbędnym do dochodzenia m.in. zwrotu odszkodowania, określenia wielkości szkody, ustalenia okoliczności zdarzenia, wypłaty należnych świadczeń.

Polskie Biuro Ubezpieczycieli Komunikacyjnych ma ponadto prawo podjąć decyzje w indywidualnych przypadkach w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie, a dane otrzymane przechowuje przez 21 lat.

Ocena zmian

Ustawodawca wskazuje, które dane osób ubezpieczonych i sprawców szkód mogą być przetwarzane i w jakim zakresie. Dość niepokojący jest okres przechowywania danych przez Polskie Biuro Ubezpieczycieli Komunikacyjnych - aż 21 lat.

PODSTAWA PRAWNA:

● art. 98b-98d, art. 102 ust. 7, art. 105, art. 136a-136d ustawy z 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (j.t. Dz.U. z 2018 r. poz. 473; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o działalności ubezpieczeniowej i reasekuracyjnej

+/-

Przetwarzanie danych osobowych przez zakłady ubezpieczeń

Zakład ubezpieczeń może przetwarzać dane osobowe, w tym dane osobowe objęte obowiązkiem zachowania tajemnicy, w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń w celu i zakresie niezbędnym do zapobiegania temu przestępstwu. Ponadto ma prawo przetwarzania danych wrażliwych, np. dotyczących stanu zdrowia klienta, jeszcze przed zawarciem umowy oraz automatycznego profilowania danych.

Ocena zmian

Zmiany umożliwiają prawidłowe funkcjonowanie zakładów ubezpieczeń.

PODSTAWA PRAWNA:

● art. 3 ust. 1 pkt 33a, art. 35 ust. 7, art. 35a-35b, art. 39, art. 41, art. 42 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (j.t. Dz.U. z 2018 r. poz. 999; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo łowieckie

+/-

Wniosek o dopuszczenie do egzaminu

Określony został zakres danych osobowych na wniosku składanym przez osobę, która chce przystąpić do egzaminu ze znajomości wykonywania polowania. Żadnych innych danych niż: imię i nazwisko, adres miejsca zamieszkania, data i miejsce urodzenia, numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość, dane kontaktowe - nie można żądać od kandydata.

Ocena zmian

Zmiana określa zakres danych, jakich może żądać komisja egzaminacyjna.

PODSTAWA PRAWNA:

● art. 21a ustawy z 13 października 1995 r. - Prawo łowieckie (j.t. Dz.U. z 2018 r. poz. 2033; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o samorządach zawodowych architektów oraz inżynierów budownictwa

+/-

Organy krajowych i okręgowych izb samorządu zawodowego architektów i inżynierów budownictwa

Podmioty te mogą nie informować o źródłach pozyskania danych, jeżeli wpływa to na ochronę praw i wolności osoby, od której dane pozyskano.

Ocena zmian

Generalnie osoba, której dane są przetwarzane przez samorządy zawodowe, ma prawo wiedzieć, z jakiego źródła zostały pozyskane jej dane.

PODSTAWA PRAWNA:

● art. 8d, art. 8e ustawy z 15 grudnia 2000 r. o samorządach zawodowych architektów oraz inżynierów budownictwa (j.t. Dz.U. z 2016 r. poz. 1725; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o usługach detektywistycznych

Przetwarzanie danych osobowych przez detektywów

Przepisy pozwalają detektywom na przetwarzanie danych osobowych zebranych w toku wykonywania swoich czynności bez zgody osób, których dane dotyczą, wyłącznie w zakresie realizacji usługi detektywistycznej. Po zrealizowaniu usługi detektywistycznej detektyw musi je przekazać zleceniodawcy.

Ponadto detektywi mają obowiązek zniszczenia danych po upływie 5 lat od dnia zakończenia realizacji usługi detektywistycznej, nie później niż bezpośrednio po wykreśleniu przedsiębiorcy z rejestru.

Ocena zmian

Zmiany pozwalają wykonywać detektywom swoje zadania zawodowe bez informowania osób, które sprawdzają. W przeciwnym wypadku świadczenie usług detektywistycznych nie miałoby sensu.

PODSTAWA PRAWNA:

● art. 28a-28d ustawy z 6 lipca 2001 r. o usługach detektywistycznych (j.t. Dz. U. z 2018 r. poz. 2163; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo telekomunikacyjne

Dane przekazywane przez operatora Prezesowi UKE

Zmniejszono zakres danych przekazywanych przez operatora Prezesowi Urzędu Komunikacji Elektronicznej. Dostawca usług telekomunikacyjnych ma obowiązek zapewnienia należytej ochrony posiadanych danych i poinformowania osoby, że jej dane osobowe zostały naruszone. Prezes Urzędu Ochrony Danych Osobowych może nałożyć karę operatorowi w wysokości do 3 przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym.

Ocena zmian

Zwiększenie obowiązków dostawców usług telekomunikacyjnych ze względu na posiadanie przez nich baz danych klientów.

PODSTAWA PRAWNA:

● art. 78, art. 159, art. 174, art. 1741, art. 174a-174d, art. 210 ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne (j.t. Dz.U. z 2018 r. poz. 1954; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o świadczeniu przez prawników zagranicznych pomocy prawnej w Rzeczypospolitej Polskiej

Świadczenie pomocy prawnej w Rzeczypospolitej Polskiej przez prawników zagranicznych

Ustawodawca wprowadził prymat tajemnicy zawodowej nad przepisami RODO (patrz: uwagi do podrozdziałów: Przetwarzanie danych przez adwokatów, Przetwarzanie danych przez radców prawnych).

Ocena zmian

Rozwiązanie korzystne zarówno dla klientów, jak i prawników zagranicznych mających prawo świadczenia pomocy prawnej w Polsce.

PODSTAWA PRAWNA:

● art. 43a ustawy z 5 lipca 2002 r. o świadczeniu przez prawników zagranicznych pomocy prawnej w Rzeczypospolitej Polskiej (j.t. Dz.U. z 2016 r. poz. 1874; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o wykonywaniu prac podwodnych

Przetwarzanie danych osobowych w związku z wykonywaniem prac podwodnych

Wykonywanie prac podwodnych wymaga uzyskania zezwolenia właściwego miejscowo dyrektora urzędu morskiego albo dyrektora urzędu żeglugi śródlądowej, wydanego w drodze decyzji administracyjnej. W sytuacji niecierpiącej zwłoki organ wydający pozwolenie na wykonanie tych prac ma prawo ujawnienia danych osobowych w Biuletynie Informacji Publicznej.

Żądanie osoby, której dane zostały ujawnione do ograniczenia ich przetwarzania, nie wstrzymuje ani nie ogranicza wykonywania przez dyrektora urzędu morskiego albo dyrektora urzędu żeglugi śródlądowej zadań.

Ocena zmian

Ustawodawca dał prymat wykonywania ratowania dobra wspólnego przed dobrem osobistym, jakim jest ochrona danych osobowych.

PODSTAWA PRAWNA:

● art. 6a ustawy z 17 października 2003 r. o wykonywaniu prac podwodnych (j.t. Dz.U. z 2017 r. poz. 1970; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zawodzie tłumacza przysięgłego

+/-

Tajemnica zawodowa tłumacza przysięgłego a RODO

Przepisy nakazują stosowanie przepisów RODO w zakresie, w jakim nie naruszają tajemnicy zawodowej tłumacza przysięgłego. Obowiązek zachowania tajemnicy zawodowej nie może być naruszony nawet, gdy z żądaniem ujawnienia informacji uzyskanych w związku z tłumaczeniem występuje Prezes Urzędu Ochrony Danych Osobowych. Okres przechowywania danych osobowych zgromadzonych przez tłumacza przysięgłego w związku z tłumaczeniem wynosi 4 lata od zakończenia roku kalendarzowego, w którym dane zostały zgromadzone.

Ocena zmian

Zmiana korzystna dla klientów tłumacza, powodująca zwiększenie zaufania między nim a klientem.

PODSTAWA PRAWNA:

● art. 29a-29c ustawy z 25 listopada 2004 r. o zawodzie tłumacza przysięgłego (j.t. Dz.U. z 2017 r. poz. 1505; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o izbach morskich

+/-

Obowiązki informacyjne

Izby morskie muszą poinformować osoby fizyczne, że gromadzą i przetwarzają ich dane przy pierwszej czynności skierowanej do osoby, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.

Ponadto wskazano, że nadzór nad przetwarzaniem danych osobowych w postępowaniach przed izbami morskimi sprawują:

1) w zakresie działalności Izby Morskiej w Gdańsku i Izby Morskiej w Szczecinie - Przewodniczący Odwoławczej Izby Morskiej;

2) w zakresie działalności Odwoławczej Izby Morskiej - Prezes Sądu Okręgowego w Gdańsku.

Ocena zmian

Przepis chroni osoby fizyczne poprzez poinformowanie, że dane gromadzą odpowiednie izby morskie.

PODSTAWA PRAWNA:

● art. 19a, art. 19b ustawy z 1 grudnia 1961 r. o izbach morskich (j.t. Dz.U. z 2016 r. poz. 1207; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej

+/-

Zabezpieczenie możliwości kontrolnych nałożonych na dyrektora urzędu morskiego

W przypadku niecierpiącym zwłoki dyrektor urzędu morskiego, realizując zadania nadzorcze w zakresie przestrzegania prawa, może zebrane dane podmiotu kontrolowanego udostępnić w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego tego dyrektora, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.

Ocena zmian

Przepisy w szczególnych wypadkach dają prymat ustawie o obszarach morskich przez rozporządzeniem RODO.

PODSTAWA PRAWNA:

● art. 49a ustawy z 21 marca 1991 r. o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej (j.t. Dz.U. z 2018 r. poz. 2214; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo atomowe

+/-

Informacja o pozyskanych danych

Prezes Państwowej Agencji Atomistyki ma prawo udostępniać dane osobowe i informacje w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Agencji, jego stronie internetowej oraz w miejscu powszechnie dostępnym w siedzibie Agencji, związanych z przyjmowaniem, weryfikacją i przetwarzaniem informacji o zdarzeniach radiacyjnych, a także informacji o próbach nielegalnego przywozu na terytorium Rzeczypospolitej Polskiej lub wywozu z terytorium Rzeczypospolitej Polskiej substancji promieniotwórczych.

Ocena zmian

Nowelizacja ma na celu ochronę interesów i bezpieczeństwa państwa.

PODSTAWA PRAWNA:

● art. 86c ust. 2-5 ustawy 29 listopada 2000 r. - Prawo atomowe (j.t. Dz.U. z 2018 r. poz. 792; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o żegludze śródlądowej

+/-

Jawność danych

W przypadku niecierpiącym zwłoki dyrektor urzędu żeglugi śródlądowej, realizując zadania dotyczące głównie nadzoru nad bezpieczeństwem żeglugi śródlądowej, ma prawo udostępniać dane osobowe podmiotów kontrolowanych w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.

Osoba fizyczna może wystąpić z żądaniem ograniczenia przetwarzania jego danych osobowych, ale to żądanie nie ma wpływu na działania nadzorcze i kontrolne dyrektora urzędu.

Ocena zmian

Nowelizacja nie wpływa na prawa i obowiązki klientów tych banków.

PODSTAWA PRAWNA:

● art. 9 ust. 2h i 2i ustawy z 21 grudnia 2000 r. o żegludze śródlądowej (j.t. Dz.U. z 2017 r. poz. 2128; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o rybołówstwie morskim

+/-

Ujawnienie danych osobowych

W przypadku niecierpiącym zwłoki Główny Inspektor Rybołówstwa Morskiego, realizując zadania kontrolne, może ujawnić dane osobowe kontrolowanych podmiotów: w Biuletynie Informacji Publicznej, na swojej stronie podmiotowej, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.

Żądanie osoby fizycznej o ograniczeniu przetwarzania jej danych przez Głównego Inspektora Rybołówstwa Morskiego nie ma wpływu na postępowania kontrolne prowadzone przez organ.

Ocena zmian

Wykonywanie zadań kontrolnych i nadzorczych Głównego Inspektora Rybołówstwa Morskiego uzyskały pierwszeństwo przed ochroną danych osobowych.

PODSTAWA PRAWNA:

● art. 114a ustawy z 19 grudnia 2014 r. o rybołówstwie morskim (j.t. Dz.U. z 2019 r. poz. 586; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo spółdzielcze

+/-

Zabezpieczenie interesu społecznego

Minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa ma prawo żądania informacji, danych i dokumentów dotyczących organizacji i działalności spółdzielni mieszkaniowych, niezbędnych do dokonywania oceny zgodności z prawem i gospodarności działalności spółdzielni. Może on odmówić podania źródła informacji o danych osobowych osoby trzeciej, jeżeli wpływa to na ochronę praw i wolności osoby, od której dane pozyskano. Prawo żądania ograniczenia przetwarzania przez osobę, której dane są właśnie przetwarzane, nie mogą wpływać na przebieg i wynik postępowań.

Ocena zmian

Przepisy równoważą interes ochrony danych osobowych i interesu społecznego w zakresie nadzoru nad przestrzeganiem prawa przez spółdzielnie mieszkaniowe.

PODSTAWA PRAWNA:

● art. 93b, art. 93c ustawy z 16 września 1982 r. - Prawo spółdzielcze (j.t. Dz.U. z 2018 r. poz. 1285; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo geodezyjne i kartograficzne

Ograniczenie stosowania niektórych przepisów RODO

1. Prawo do informacji o źródle pozyskania danych

Zgodnie z art. 15 ust. 1 lit. g RODO, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, osobie tej przysługuje prawo uzyskania dostępu do wszelkich dostępnych informacji o źródle pozyskania jej danych osobowych.

Ustawodawca wprowadził ograniczenie stosowania art. 15 ust. 1 lit. g RODO w związku z przetwarzaniem danych osobowych uzyskanych przy realizacji zadań związanych z:

1) prowadzeniem państwowego zasobu geodezyjnego i kartograficznego,

2) przechowywaniem kopii zabezpieczających baz danych, w szczególności baz danych ewidencji gruntów i budynków,

3) koordynacją usytuowania projektowanych sieci uzbrojenia terenu,

4) tworzeniem i utrzymywaniem zintegrowanego systemu informacji o nieruchomościach,

5) prowadzeniem kontroli działalności wojewódzkich inspektorów nadzoru geodezyjnego i kartograficznego,

6) wydawaniem dzienników praktyki zawodowej przez właściwego miejscowo wojewódzkiego inspektora nadzoru geodezyjnego i kartograficznego, oraz prowadzeniem rejestrów wydanych dzienników praktyki zawodowej,

7) nadawaniem uprawnień zawodowych w dziedzinie geodezji i kartografii oraz prowadzeniem centralnego rejestru osób posiadających uprawnienia zawodowe w dziedzinie geodezji i kartografii,

8) prowadzeniem postępowań dyscyplinarnych.

Prawo, o którym mowa w art. 15 ust. 1 lit. g RODO, w zakresie wystąpień zawierających dane osobowe osób trzecich, które nie skutkują wszczęciem postępowania administracyjnego, przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osób, od których dane pozyskano.

Przykładowo chodzi tu np. o sytuację wszczęcia kontroli lub postępowania dyscyplinarnego na podstawie zawiadomienia osoby trzeciej. W takim przypadku dane osoby będącej źródłem informacji nie powinny być udostępniane wnioskującemu podmiotowi.

2. Dodatkowe obowiązki administratora

Administrator z uwagi na ograniczenie art. 15 ust. 1 lit. g RODO musi poinformować o ograniczeniu przy pierwszej czynności skierowanej do osoby, której dane są przetwarzane.

Ponadto w przypadku, gdy okres przechowywania danych osobowych nie wynika z przepisów ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553) albo z przepisów odrębnych, Główny Geodeta Kraju, marszałkowie województw, starostowie albo prezydenci miast na prawach powiatu, wojewodowie, organy i podmioty tworzące i utrzymujące zintegrowany system informacji o nieruchomościach oraz wojewódzcy inspektorzy nadzoru geodezyjnego i kartograficznego ustalają okres ich przechowywania w przepisach wydawanych na podstawie art. 6 ust. 2 i 2b tej ustawy.

Do przetwarzania danych osobowych dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie wydane przez administratora. Ponadto osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania ich w tajemnicy.

3. Żądanie ograniczenia przetwarzania danych

Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO (prawo żądania przez osobę, której dane osobowe dotyczą, ograniczenia przetwarzania jej danych), nie wpływa na realizację zadań wskazanych w art. 5a ust. 1 pkt 1-5, 7 i 8, czyli zadań związanych z:

1) prowadzeniem państwowego zasobu geodezyjnego i kartograficznego,

2) przechowywaniem kopii zabezpieczających baz danych, w szczególności baz danych ewidencji gruntów i budynków,

3) koordynacją usytuowania projektowanych sieci uzbrojenia terenu,

4) tworzeniem i utrzymywaniem zintegrowanego systemu informacji o nieruchomościach,

5) prowadzeniem kontroli działalności wojewódzkich inspektorów nadzoru geodezyjnego i kartograficznego,

6) nadawaniem uprawnień zawodowych w dziedzinie geodezji i kartografii oraz prowadzeniem centralnego rejestru osób posiadających uprawnienia zawodowe w dziedzinie geodezji i kartografii,

7) prowadzeniem postępowań dyscyplinarnych.

Ocena zmian

Nowelizacja przepisów ma na celu ograniczenie prawa do informacji o źródle pozyskania danych, jeżeli dane osobowe nie zostały zebrane od osoby, której dotyczą. Wyłączenie tego obowiązku ma szczególne znaczenie w przypadku prowadzenia czynności kontrolnych inicjowanych na skutek zawiadomień osób trzecich. Skorzystanie z przedmiotowego ograniczenia nie jest automatyczne i zależy od oceny spełnienia odpowiednich przesłanek przez organ przetwarzający dane osobowe. Zmiany mają również uniemożliwiać wykorzystywanie prawa do ograniczenia przetwarzania danych do przedłużania lub blokowania działań organów w ustawowo wskazanym zakresie. Z uwagi na wprowadzone ograniczenia stosowania niektórych przepisów RODO dodano dodatkowe gwarancje dla osób, których dane dotyczą w postaci obowiązku informacyjnego oraz wprowadzenia zabezpieczeń zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu danych.

PODSTAWA PRAWNA:

● art. 5a, art. 5b ustawy z 17 maja 1989 r. - Prawo geodezyjne i kartograficzne (j.t. Dz.U. z 2019 r. poz. 725; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo budowlane

Ograniczenie stosowania niektórych przepisów RODO

1. Prawo do informacji o źródle pozyskania danych

Zgodnie z art. 15 ust. 1 lit. g RODO, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, osobie tej przysługuje prawo dostępu do wszelkich dostępnych informacji o źródle pozyskania jej danych osobowych. Ustawodawca wprowadził jednak ograniczenie stosowania art. 15 ust. 1 lit. g RODO w zakresie wystąpień zawierających dane osobowe osób trzecich, które nie skutkują wszczęciem postępowania administracyjnego i tylko w zakresie, w jakim ma to wpływ na ochronę praw i wolności osób, których dane dotyczą.

Przykładowo chodzi tu np. o sytuację wszczęcia kontroli organów nadzoru budowlanego w zakresie przestrzegania i stosowania przepisów prawa budowlanego (dotyczące m.in. samowolnego wykonywania robót budowlanych lub budowy obiektów budowlanych) na podstawie zawiadomienia osoby trzeciej. Wówczas zasadne jest wyłączenie obowiązku organu nadzoru budowlanego polegającego na poinformowaniu osoby fizycznej podejrzanej o nieprzestrzeganie przepisów prawa budowlanego o wszelkich danych dotyczących źródła pozyskania jej danych osobowych. Wykonanie ww. obowiązków przez organy nadzoru budowlanego spowodowałoby z kolei naruszenie prawa do ochrony danych osobowych osoby zgłaszającej nieprawidłowości.

2. Dodatkowe obowiązki administratora

Administrator z uwagi na ograniczenie art. 15 ust. 1 lit. g RODO musi poinformować o ograniczeniu przy pierwszej czynności skierowanej do osoby, której dane są przetwarzane.

Ponadto w przypadku, gdy okres przechowywania danych osobowych nie wynika z przepisów ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553) albo z przepisów odrębnych organy administracji architektoniczno-budowlanej i nadzoru budowlanego ustalają okres ich przechowywania w przepisach wydawanych na podstawie art. 6 ust. 2 i 2b tej ustawy.

3. Żądanie ograniczenia przetwarzania danych

Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO (prawo żądania przez osobę, której dane osobowe dotyczą, ograniczenia przetwarzania jej danych), nie wpływa na:

1) prowadzenie rejestrów i ewidencji, o których mowa w art. 82b ust. 1 i 1a, w art. 84 ust. 2 pkt 2-4 i w art. 88a ust. 1 pkt 3 ustawy,

2) przebieg i wynik postępowań, o których mowa w art. 97 ust. 1 ustawy (wszczynanie postępowań w sprawie odpowiedzialności zawodowej w budownictwie),

3) czynności związane z kontrolą przestrzegania i stosowania prawa budowlanego.

Ocena zmian

PODSTAWA PRAWNA:

● art. 84aa, art. 84ab ustawy z 7 lipca 1994 r. - Prawo budowlane (j.t. Dz.U. z 2018 r. poz. 1202; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o szczególnych zasadach odbudowy, remontów i rozbiórek obiektów budowlanych zniszczonych lub uszkodzonych w wyniku działania żywiołu

Ograniczenie stosowania niektórych przepisów RODO

1. Prawo do informacji o źródle pozyskania danych

Zgodnie z art. 15 ust. 1 lit. g RODO, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, osobie tej przysługuje prawo dostępu do wszelkich dostępnych informacji o źródle pozyskania jej danych osobowych. Ustawodawca w celu ochrony osób biorących udział i składających wnioski w ramach wyżej wskazanych konsultacji wprowadził jednak ograniczenie stosowania art. 15 ust. 1 lit. g RODO. Lokalny charakter tych procesów, prowadzonych często w ramach małych lokalnych społeczności, w pełni uzasadnia wprowadzenie ochrony danych osób biorących w nich udział. Prawo, o którym mowa w art. 15 ust. 1 lit. g RODO, w zakresie wystąpień zawierających dane osobowe osób trzecich, przysługiwać będzie w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osób, od których dane pozyskano.

Skorzystanie z przedmiotowego ograniczenia nie jest automatyczne i zależy od oceny spełnienia odpowiednich przesłanek przez organ przetwarzający dane osobowe.

2. Żądanie ograniczenia przetwarzania danych

Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO (prawo żądania przez osobę, której dane osobowe dotyczą, ograniczenia przetwarzania jej danych), nie wpływa na przebieg i wynik postępowań w przedmiocie uchwalania miejscowych planów odbudowy.

3. Dodatkowe obowiązki administratora

Ponadto w przypadku, gdy okres przechowywania danych osobowych nie wynika z przepisów ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553), wójt, burmistrz, prezydent miasta oraz wojewoda ustalają okres ich przechowywania w przepisach wydawanych na podstawie art. 6 ust. 2 i 2b tej ustawy.

Ocena zmian

Zmiany wprowadzone do ustawy mają na celu usprawnienie procesu sporządzania i uchwalania aktów planowania przestrzennego. Proces sporządzania i późniejszego uchwalania aktów planistycznych z uwagi na ich zasięg przestrzenny oraz stopień skomplikowania (interdyscyplinarność) wymaga szerokich konsultacji publicznych z wieloma podmiotami, zarówno osobami fizycznymi, jak i przedsiębiorstwami, organizacjami lokalnymi. Każdorazowe informowanie wszystkich zainteresowanych osób o dokonywanych czynnościach administracyjnych znacząco opóźniłoby proces planistyczny. Zmiany mają również uniemożliwiać wykorzystywanie prawa do ograniczenia przetwarzania danych do przedłużania lub blokowania działań organów w ustawowo wskazanym zakresie. Z uwagi na wprowadzone ograniczenia stosowania niektórych przepisów RODO dodano dodatkowe gwarancje dla osób, których dane dotyczą w postaci obowiązku informacyjnego oraz wprowadzenia zabezpieczeń zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu danych.

PODSTAWA PRAWNA:

● art. 13d ust. 18, art. 13da, art. 13db ustawy z 11 sierpnia 2001 r. o szczególnych zasadach odbudowy, remontów i rozbiórek obiektów budowlanych zniszczonych lub uszkodzonych w wyniku działania żywiołu (j.t. Dz.U. z 2018 r. poz. 1345; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o planowaniu i zagospodarowaniu przestrzennym

Ograniczenie stosowania niektórych przepisów RODO

1.Prawo do informacji o źródle pozyskania danych

Zgodnie z art. 15 ust. 1 lit. g RODO, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, osobie tej przysługuje prawo dostępu do wszelkich dostępnych informacji o źródle pozyskania jej danych osobowych. Ustawodawca w celu ochrony osób biorących udział i składających wnioski w ramach wyżej wskazanych konsultacji wprowadził jednak ograniczenie stosowania art. 15 ust. 1 lit. g RODO. Lokalny charakter tych procesów, prowadzonych często w ramach małych lokalnych społeczności, w pełni uzasadnia wprowadzenie ochrony danych osób biorących w nich udział. Prawo, o którym mowa w art. 15 ust. 1 lit. g RODO, w zakresie wystąpień zawierających dane osobowe osób trzecich, przysługiwać będzie w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osób, od których dane pozyskano.

Skorzystanie z przedmiotowego ograniczenia nie jest automatyczne i zależy od oceny spełnienia odpowiednich przesłanek przez organ przetwarzający dane osobowe.

2. Żądanie ograniczenia przetwarzania danych

3. Dodatkowe obowiązki administratora

Ponadto w przypadku, gdy okres przechowywania danych osobowych nie wynika z przepisów ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553), wójt, burmistrz, prezydent miasta, marszałek województwa, wojewoda, zarząd województwa albo zarząd związku metropolitalnego ustalają okres ich przechowywania w przepisach wydawanych na podstawie art. 6 ust. 2b tej ustawy.

Do przetwarzania danych osobowych dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie, wydane przez administratora. Ponadto osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania ich w poufności.

Ocena zmian

Zmiany wprowadzone do ustawy mają na celu usprawnienie procesu sporządzania i uchwalania aktów planowania przestrzennego. Proces sporządzania i późniejszego uchwalania aktów planistycznych z uwagi na ich zasięg przestrzenny oraz stopień skomplikowania (interdyscyplinarność) wymaga szerokich konsultacji publicznych z wieloma podmiotami, zarówno osobami fizycznymi, jak i przedsiębiorstwami, organizacjami lokalnymi. W związku z powyższym, każdorazowe informowanie wszystkich zainteresowanych osób o dokonywanych czynnościach administracyjnych znacząco opóźniłoby proces planistyczny. Zmiany mają również uniemożliwiać wykorzystywanie prawa do ograniczenia przetwarzania danych do przedłużania lub blokowania działań organów w ustawowo wskazanym zakresie. Z uwagi na wprowadzone ograniczenia stosowania niektórych przepisów RODO dodano dodatkowe gwarancje dla osób, których dane dotyczą, w postaci obowiązku informacyjnego oraz wprowadzenia zabezpieczeń zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu danych.

PODSTAWA PRAWNA:

● art. 8a, art. 8b, art. 11a, art. 17a, art. 37b ust. 7, art. 38b ust. 6, art. 41 ust. 3 ustawy z 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (j.t. Dz.U. z 2018 r. poz. 1945; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o wyrobach budowlanych

Ograniczenie stosowania niektórych przepisów RODO

Żądanie ograniczenia przetwarzania danych

1) gromadzeniu informacji o wynikach zleconych badań próbek wyrobów budowlanych, przeprowadzonych kontrolach wyrobów budowlanych wprowadzonych do obrotu lub udostępnianych na rynku krajowym, wydanych postanowieniach, decyzjach i opiniach,

2) prowadzeniu krajowego wykazu zakwestionowanych wyrobów budowlanych, o którym mowa w art. 15 ustawy.

Ocena zmian

Nowelizacja przepisów ma na celu uniemożliwienie wykorzystywania prawa do ograniczenia przetwarzania danych do przedłużania lub blokowania działań organów w ustawowo wskazanym zakresie

PODSTAWA PRAWNA:

● art. 3a ustawy z 16 kwietnia 2004 r. o wyrobach budowlanych (j.t. Dz.U. z 2019 r. poz. 266; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o infrastrukturze informacji przestrzennej

Włączenie do infrastruktury zbiorów i usług danych przestrzennych należących do osób trzecich

Włączenie do infrastruktury zbiorów i usług danych przestrzennych należących do osób trzecich może nastąpić na ich wniosek za zgodą właściwego organu wiodącego lub z inicjatywy organu wiodącego za zgodą osób trzecich, jeżeli jest to zgodne z interesem publicznym, a włączane zbiory i usługi danych przestrzennych odpowiadają obowiązującym standardom technicznym.

Część danych wchodzących w skład takich zbiorów może zostać uznana za dane osobowe np. poprzez możliwość powiązania określonych informacji, np. numeru księgi wieczystej przypisanej do danego gruntu z osobą fizyczną, w przypadku, gdy numer takiej księgi jest przedmiotem zbioru.

Dlatego ustawodawca zdecydował o wprowadzeniu nowego warunku, że włączane zbiory i usługi danych przestrzennych muszą być zgodne z powszechnie obowiązującymi przepisami prawa. Celowo nie wskazano w tym przypadku odesłania do przepisów o ochronie danych osobowych, gdyż w niektórych przypadkach mogą to być również np. prawa autorskie.

Ocena zmian

Nowelizacja ma na celu dostosowanie przepisów ustawy do RODO tak, by spełnione zostały przesłanki legalizujące dane osobowe przetwarzane w zbiorze.

PODSTAWA PRAWNA:

● art. 10 ust. 1 ustawy z 4 marca 2010 r. o infrastrukturze informacji przestrzennej (j.t. Dz.U. z 2018 r. poz. 1472; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o charakterystyce energetycznej budynków

Ograniczenie stosowania niektórych przepisów RODO

1. Prawo do informacji o źródle pozyskania danych

Ustawodawca wprowadził ograniczenie stosowania art. 15 ust. 1 lit. g RODO w związku z przetwarzaniem danych osobowych uzyskanych przy realizacji zadań związanych z:

1) prowadzeniem centralnego rejestru charakterystyki energetycznej budynków, o którym mowa w art. 31 ustawy, w tym jego tworzeniem, ewidencjonowaniem i utrzymywaniem oraz aktualizacją i udostępnianiem danych,

2) wpisywaniem i aktualizacją danych osób uprawnionych do sporządzania świadectw charakterystyki energetycznej oraz osób uprawnionych do kontroli systemu ogrzewania lub systemu klimatyzacji,

3) prowadzeniem postępowań w sprawie wydania decyzji, o których mowa w art. 19, art. 21, art. 25 oraz art. 26 ustawy;

4) dokonywaniem weryfikacji świadectw charakterystyki energetycznej oraz protokołów z kontroli systemu ogrzewania lub systemu klimatyzacji.

Prawo, o którym mowa w art. 15 ust. 1 lit. g RODO, przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osób, od których dane pozyskano.

Przykładowo chodzi tu np. o sytuacje, w których wszczęto postępowanie w sprawie wykreślenia z wykazu, o którym mowa w art. 31 ust. 1 pkt 1 lub 2 ustawy, na podstawie wniosku/zawiadomienia osoby trzeciej. W takim przypadku dane osoby będącej źródłem informacji nie powinny być udostępniane kontrolowanemu podmiotowi.

2. Żądanie ograniczenia przetwarzania danych

Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO (prawo żądania przez osobę, której dane osobowe dotyczą, ograniczenia przetwarzania jej danych), nie wpływa na realizację przez ministra właściwego do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa zadań w zakresie:

1) prowadzenia kontroli;

2) prowadzenia centralnego rejestru charakterystyki energetycznej budynków;

3) wpisywania i aktualizacji danych osób uprawnionych do sporządzania świadectw charakterystyki energetycznej oraz osób uprawnionych do kontroli systemu ogrzewania lub systemu klimatyzacji, spełniających wymagania, o których mowa odpowiednio w art. 17, art. 22, art. 24, art. 27 oraz art. 34 do wykazów osób uprawnionych;

4) weryfikacji świadectw charakterystyki energetycznej oraz protokołów z kontroli systemu ogrzewania lub systemu klimatyzacji, o których mowa w art. 36 ustawy.

Ocena zmian

Nowelizacja przepisów ma na celu ograniczenie prawa do informacji o źródle pozyskania danych, jeżeli dane osobowe nie zostały zebrane od osoby, której dotyczą. Wyłączenie tego obowiązku ma szczególne znaczenie w przypadku prowadzenia czynności kontrolnych inicjowanych na skutek zawiadomień osób trzecich. Skorzystanie z przedmiotowego ograniczenia nie jest automatyczne i zależy od oceny spełnienia odpowiednich przesłanek przez organ przetwarzający dane osobowe. Zmiany mają również uniemożliwiać wykorzystywanie prawa do ograniczenia przetwarzania danych do przedłużania lub blokowania działań organów w ustawowo wskazanym zakresie. Z uwagi na wprowadzone ograniczenia stosowania niektórych przepisów RODO dodano dodatkowe gwarancje dla osób, których dane dotyczą, w postaci wprowadzenia zabezpieczeń zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu danych.

PODSTAWA PRAWNA:

● art. 38a, art. 38b ustawy z 29 sierpnia 2014 r. o charakterystyce energetycznej budynków (j.t. Dz.U. z 2018 r. poz. 1984; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o rewitalizacji

Ograniczenie stosowania niektórych przepisów RODO

1. Prawo do informacji o źródle pozyskania danych

Zgodnie z art. 15 ust. 1 lit. g RODO, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, osobie tej przysługuje prawo dostępu do wszelkich dostępnych informacji o źródle pozyskania jej danych osobowych. Ustawodawca w celu ochrony osób biorących udział i składających wnioski w ramach wyżej wskazanych konsultacji wprowadził jednak ograniczenie stosowania art. 15 ust. 1 lit. g RODO. Lokalny charakter tych procesów, prowadzonych często w ramach małych lokalnych społeczności, w pełni uzasadnia wprowadzenie ochrony danych osób biorących w nich udział. Prawo, o którym mowa w art. 15 ust. 1 lit. g RODO, w zakresie wystąpień zawierających dane osobowe osób trzecich przysługiwać będzie w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osób, od których dane pozyskano.

Skorzystanie z przedmiotowego ograniczenia nie jest automatyczne i zależy od oceny spełnienia odpowiednich przesłanek przez organ przetwarzający dane osobowe.

2. Żądanie ograniczenia przetwarzania danych

3. Dodatkowe obowiązki administratora

Administrator z uwagi na ograniczenie art. 15 ust. 1 lit. g RODO musi poinformować o ograniczeniu przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie, a w przypadku konsultacji społecznych, dodatkowo w obwieszczeniu i ogłoszeniu.

Ponadto w przypadku, gdy okres przechowywania danych osobowych nie wynika z przepisów ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553), wójt, burmistrz albo prezydent miasta ustalają okres ich przechowywania w przepisach wydawanych na podstawie art. 6 ust. 2b tej ustawy.

Ocena zmian

Zmiany wprowadzone do ustawy mają na celu usprawnienie procesu sporządzania i uchwalania aktów planowania przestrzennego. Proces sporządzania i późniejszego uchwalania aktów planistycznych z uwagi na ich zasięg przestrzenny oraz stopień skomplikowania (interdyscyplinarność) wymaga szerokich konsultacji publicznych z wieloma podmiotami, zarówno osobami fizycznymi, jak i przedsiębiorstwami, organizacjami lokalnymi. W związku z powyższym, każdorazowe informowanie wszystkich zainteresowanych osób o dokonywanych czynnościach administracyjnych znacząco opóźniłoby proces planistyczny. Zmiany mają również uniemożliwiać wykorzystywanie prawa do ograniczenia przetwarzania danych do przedłużania lub blokowania działań organów w ustawowo wskazanym zakresie. Z uwagi na wprowadzone ograniczenia stosowania niektórych przepisów RODO dodano dodatkowe gwarancje dla osób, których dane dotyczą w postaci obowiązku informacyjnego oraz wprowadzenia zabezpieczeń zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu danych.

PODSTAWA PRAWNA:

● art. 6a, art. 24a, art. 24b ustawy z 9 października 2015 r. o rewitalizacji (j.t. Dz.U. z 2018 r. poz. 1398; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o transporcie drogowym

+/-

Zgoda na automatyczne przetwarzanie danych

Na podstawie przepisów ustawy - Prawo o ruchu drogowym, Inspekcja Transportu Drogowego wykonuje zadania polegające na ujawnianiu za pomocą stacjonarnych, przenośnych lub zainstalowanych w pojeździe urządzeń rejestrujących naruszeń przepisów ruchu drogowego przez uczestników ruchu. Na podstawie ww. danych (zbieranych i przetwarzanych w sposób zautomatyzowany) są wydawane decyzje. Zgodnie z art. 22 ust. 1 RODO, osoba, której dane dotyczą, ma prawo do tego, aby nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Art. 22 ust. 2 RODO dopuszcza jednak taką możliwość, jeżeli pozwala na to przepis prawa państwa członkowskiego. Dlatego też w ustawie o transporcie drogowym została wprowadzona podstawa prawna. Dzięki temu przepisy ustawy o transporcie drogowym zostały uzgodnione z przepisami RODO.

Ocena zmian

Prawo do automatycznego zbierania i przetwarzania informacji i na tej podstawie wydawanie decyzji wobec konkretnych osób może być dokonywane wyłącznie na podstawie konkretnych przepisów prawa krajowego. Zmiana wprowadzona w ustawie o ruchu drogowym ma charakter formalny - dostosowujący przepisy krajowe do wymogów RODO.

PODSTAWA PRAWNA:

● art. 55a ust. 11, art. 55c ustawy z 6 września 2001 r. o transporcie drogowym (j.t. Dz.U. z 2019 r. poz. 58; ost.zm. Dz.U. z 2019 r. poz. 690).

Wykonanie obowiązku informacyjnego

Inspekcja Transportu Drogowego realizuje obowiązki informacyjne wymagane przez RODO (wynikające z art. 13 ust. 1 i 2 RODO), przy pierwszej czynności skierowanej do osoby, której dane przetwarza. W założeniu ustawodawcy, we wszystkich postępowaniach administracyjnych zostaną wdrożone tego samego rodzaju rozwiązania w zakresie wykonania obowiązków informacyjnych przez organy administracji.

Ocena zmian

Wprowadzone rozwiązanie ma zapewnić spójność krajowego systemu prawnego w zakresie realizacji obowiązków informacyjnych z RODO przez organy administracji publicznej.

PODSTAWA PRAWNA:

● art. 55a ust. 12 ustawy z 6 września 2001 r. o transporcie drogowym (j.t. Dz.U. z 2019 r. poz. 58; ost.zm. Dz.U. z 2019 r. poz. 690).

Prawa wynikające z RODO - w osobnym postępowaniu

Z art. 18 ust. 1 RODO wynika, że osoba, której dane dotyczą, może wystąpić z żądaniem do ograniczenia przetwarzania danych osobowych. W ustawie o transporcie drogowym zapisano, że wystąpienie z takim żądaniem nie wpływa na wykonywanie zadań przez Inspekcję Transportu Drogowego. Przepis art. 55a ust. 13 jasno wskazuje, że realizacja praw związanych z ochroną danych osobowych odbywa się niezależnie od zadań wykonywanych przez Inspekcję. Zainteresowana osoba ma więc prawo do skorzystania z prawa, o którym mowa w art. 18 ust. 1 RODO, ale nie wpływa to na możliwości wykonywania przez Inspekcję zadań wymienionych w art. 50 ustawy o transporcie drogowym.

Ocena zmian

Wyraźne oddzielenie procedury RODO od procedur administracyjnych realizowanych przez Inspekcję Transportu Drogowego należy ocenić pozytywnie. Dzięki temu nie ma wątpliwości, jaki obowiązuje tryb dochodzenia praw - w przypadku naruszeń przepisów o ochronie danych, a jaki w przypadku naruszeń przepisów ustawy o transporcie drogowym.

PODSTAWA PRAWNA:

● art. 55a ust. 13 ustawy z 6 września 2001 r. o transporcie drogowym (j.t. Dz.U. z 2019 r. poz. 58; ost.zm. Dz.U. z 2019 r. poz. 690).

Udostępnianie danych osobowych

Zmodyfikowane zostały zasady udostępniania danych przez Głównego Inspektora Transportu Drogowego w ten sposób, że:

● rozszerzono katalog podmiotów, którym Inspektor ma obowiązek udostępniać dane osobowe (w zakresie niezbędnym do realizacji ich zadań ustawowych), o Biuro Nadzoru Wewnętrznego i Służbę Ochrony Państwa,

● nadano kompetencję do udostępniania danych osobowych również wojewódzkim inspektorom transportu drogowego.

Ocena zmian

Nowelizacja poszerzyła listę podmiotów uprawnionych do dostępu do danych posiadanych przez Głównego Inspektora Transportu Drogowego. Kolejne służby zyskały zatem dostęp do danych gromadzonych przez Inspektora Transportu Drogowego. Dostęp ten ma być jednak udzielany w ramach określonych procedur i w zakresie wyznaczonym zadaniami realizowanymi przez te podmioty. Dodatkowo prawo dostępu do tzw. danych wrażliwych mogą mieć tylko podmioty ustawowo upoważnione do pozyskiwania takich danych.

PODSTAWA PRAWNA:

● art. 55b ustawy z 6 września 2001 r. o transporcie drogowym (j.t. Dz.U. z 2019 r. poz. 58; ost.zm. Dz.U. z 2019 r. poz. 690).

+/-

Kontrola a uprawnienia wynikające z RODO

W ustawie o transporcie drogowym dodano przepis art. 89d. Zgodnie z tym przepisem, wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg kontroli prowadzonych na podstawie przepisów niniejszego rozdziału ani na uprawnienie właściwego organu do nałożenia kary.

Przepis ten został wprowadzony, aby zapobiec blokowaniu kontroli prowadzonych na podstawie przepisów ustawy o transporcie drogowym. Ustawodawca uznał, że przepis art. 18 ust. 1 RODO rodzi realne niebezpieczeństwo pojawienia się prób wpływania na przebieg kontroli prowadzonych na podstawie rozdziału 10 ustawy o transporcie drogowym, a zwłaszcza na szybkość ich realizacji. Żądanie ograniczenia przetwarzania danych, w szczególności kwestionowanie prawidłowości danych przez osobę, której one dotyczą, prowadziłoby do wstrzymywania realizacji kontroli. Każda taka interwencja wpływałaby na ograniczenie przetwarzania danych osobowych przez uprawniony do kontroli organ.

Ocena zmian

Wykorzystanie przez osobę, której dane dotyczą, uprawnień przewidzianych w art. 18 ust. 1 RODO może znacznie utrudnić bądź uniemożliwić realizację kontroli prowadzonych na podstawie rozdziału 10 ustawy o transporcie drogowym. Dlatego ustawodawca wprowadził jasny zapis, że skorzystanie z prawa do ograniczenia przetwarzania danych osobowych, o którym mowa w art. 18 ust. 1 RODO, nie wpływa na przebieg kontroli prowadzonych na podstawie rozdziału 10 ustawy o transporcie drogowym oraz uprawnienia właściwego organu do nałożenia kary. Z punktu widzenia organów transportu drogowego, jest to z pewnością ułatwienie. Osoba, której kontrola dotyczy, musi tym samym dochodzić ochrony swoich praw wynikających z RODO w osobnym postępowaniu. Realizacja praw związanych z ochroną danych osobowych odbywa się niezależnie od wykonywanej kontroli.

PODSTAWA PRAWNA:

● art. 89d ustawy z 6 września 2001 r. o transporcie drogowym (j.t. Dz.U. z 2019 r. poz. 58; ost.zm. Dz.U. z 2019 r. poz. 690).

Prawo lotnicze

+/-

Regulacje kwestii RODO w Prawie lotniczym

Prezes Urzędu Lotnictwa Cywilnego (Prezes ULC) jest centralnym organem administracji rządowej w zakresie lotnictwa cywilnego, a do jego kompetencji należy wykonywanie funkcji organu administracji lotniczej i nadzoru lotniczego, określonych w ustawie, oraz funkcji władzy lotniczej w rozumieniu umów i przepisów międzynarodowych.

Szczególną kompetencją Prezesa ULC jest podejmowanie działań na rzecz bezpieczeństwa lotów (art. 21 ust. 2 pkt 15 ustawy - Prawo lotnicze). Prawo lotnicze przyznaje Prezesowi ULC w tym zakresie uprawnienia do podejmowania z urzędu szeregu działań o charakterze nadzorczym, kontrolnym czy inspekcyjnym, służącym zapewnieniu bezpieczeństwa, a jednocześnie nienaruszających istoty podstawowych praw i wolności, w tym ochrony danych osobowych. Jako przykład takiego postępowania wskazać można postępowanie prowadzone na podstawie art. 100 ustawy - Prawo lotnicze, które umożliwia Prezesowi ULC wszczęcie z urzędu postępowania w sprawie zawieszenia albo cofnięcia licencji członka personelu lotniczego (m.in. pilota), w przypadku gdy uzyskał licencję lub uprawnienia w oparciu o sfałszowane dokumenty, sfałszował zapisy w licencji lub poświadczył nieprawdę w dokumentach obsługi technicznej, utracił kwalifikacje wymagane do wykonywania określonych czynności lotniczych, wykonuje czynności lotnicze, do których uprawnia go licencja, zagraża bezpieczeństwu ruchu lotniczego lub wykonywał czynności lotnicze pod wpływem alkoholu lub środków odurzających.

W związku z wykonywaniem tych kompetencji w art. 21b ust. 1 ustawy - Prawo lotnicze wprowadzono wyłączenie stosowania art. 15 ust. 1 lit. g RODO.

Ponadto w art. 21b ust. 2-4 ustawy - Prawo lotnicze (zgodnie z wymaganiami z art. 23 ust. 2 RODO) uregulowano:

● kwestie związane z prawem osoby, której dane dotyczą, do uzyskania informacji o ograniczeniu praw wynikających z RODO przy pierwszej czynności do tej osoby skierowanej, a także o zamieszczeniu tej informacji w Biuletynie Informacji Publicznej na stronie Prezesa ULC,

● kwestię zabezpieczeń mających na celu zapobieganie nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu, a tym samym zapewniające gwarancje przestrzegania przepisów RODO (poprzez dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora i wprowadzenie wymogu pisemnego zobowiązania się osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy),

● okres przechowywania danych osobowych, odwołując się do okresu ustalonego zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2b ustawy o narodowym zasobie archiwalnym i archiwach.

Ocena zmian

Wprowadzone regulacje są spójne z rozwiązaniami wprowadzanymi w innych ustawach. Dostosowują przepisy Prawa lotniczego do wymogów RODO i mają charakter porządkujący tę materię.

PODSTAWA PRAWNA:

● art. 21b ustawy z 3 lipca 2002 r. - Prawo lotnicze (j.t. Dz.U. z 2018 r. poz. 1183; ost.zm. Dz.U. z 2019 r. poz. 235).

Bezpieczeństwo lotów a RODO

W art. 27 ust. 8 ustawy - Prawo lotnicze zostało jasno wskazane, że wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO, nie wpływa na przebieg i wynik kontroli prowadzonych przez Prezesa Urzędu Lotnictwa Cywilnego. Przepis ten ma zapobiegać utrudnianiu i blokowaniu postępowania w związku ze stosowaniem prawa do ograniczenia przetwarzania danych osobowych na podstawie art. 18 ust. 1 RODO.

Ocena zmian

Prezes ULC wykonuje zadania publiczne w zakresie nadzoru nad działalnością podmiotów mającą wpływ na bezpieczeństwo ruchu lotniczego. Realizacja tych zadań obejmująca zarówno czynności o charakterze regulacyjnym, inspekcyjnym i kontrolnym w rozumieniu art. 23 ust. 1 lit. h RODO, ma na celu zapewnienie bezpieczeństwa w transporcie lotniczym oraz prawidłowego funkcjonowania rynku lotniczego. Dlatego też uzasadnione jest wprowadzenie regulacji, zgodnie z którą skorzystanie z prawa do ograniczenia przetwarzania danych osobowych (art. 18 ust. 1 RODO) nie wpływa na przebieg kontroli prowadzonych przez Prezesa ULC. Nie wpływa to na istotę prawa do ochrony danych osobowych, a nie blokuje postępowania Prezesa ULC.

PODSTAWA PRAWNA:

● art. 27 ust. 8 ustawy z 3 lipca 2002 r. - Prawo lotnicze (j.t. Dz.U. z 2018 r. poz. 1183; ost.zm. Dz.U. z 2019 r. poz. 235).

Przetwarzanie danych osobowych przez Komisję Wypadków Lotniczych

Nowo dodane przepisy art. 134 ust. 1g i 1h regulują zasady przetwarzania danych osobowych przez Komisję Wypadków Lotniczych.

W związku z badaniem okoliczności i przyczyn zdarzeń lotniczych Państwowa Komisja Badania Wypadków Lotniczych oraz Komisja Lotnictwa Państwowego są uprawnione do przetwarzania danych osobowych wrażliwych w zakresie danych dotyczących zdrowia. Komisje realizują swoje zadania również w ważnym interesie publicznym, badając przyczyny zdarzeń wypadków i incydentów lotniczych i prowadząc postępowania w tym zakresie. Dlatego też uzasadnione jest, aby Komisja posiadała dostęp do tych danych.

Ponadto w art. 134 ust. 1h ustawy - Prawo lotnicze wprowadzono przepis mówiący, że Państwowa Komisja Badania Wypadków Lotniczych i Komisja Lotnictwa Państwowego, wykonując zadania określone w ustawie, realizują obowiązki informacyjne, o których mowa w art. 13 ust. 1 i 2 RODO, przy pierwszej czynności skierowanej do osoby.

Ocena zmian

Wprowadzone przepisy są konieczne z uwagi na prawidłowość prowadzenia przez Komisje postępowania wyjaśniającego w związku z zaistniałym zdarzeniem lotniczym. Komentowany przepis umożliwia realizację zadań wykonywanych przez Komisję zgodnie z przepisami RODO, w odniesieniu do przetwarzania wrażliwych danych osobowych dotyczących zdrowia.

Z kolei rozwiązanie wprowadzone w art. 134 ust. 1h ma zapewnić spójność krajowego systemu prawnego w zakresie realizacji obowiązków informacyjnych z RODO przez organy administracji publicznej, jako że takie samo rozwiązanie znalazło się także w innych ustawach regulujących obowiązki administracji publicznej.

PODSTAWA PRAWNA:

● art. 134 ust. 1g i 1h ustawy z 3 lipca 2002 r. - Prawo lotnicze (j.t. Dz.U. z 2018 r. poz. 1183; ost.zm. Dz.U. z 2019 r. poz. 235).

Ustawa o transporcie kolejowym

Bezpieczeństwo ruchu kolejowego a RODO

Prezes Urzędu Transportu Kolejowego wykonuje zadania publiczne w zakresie nadzoru mające wpływ na bezpieczeństwo ruchu kolejowego i bezpieczeństwo systemu kolei, w tym dokonuje kontroli przewozu koleją towarów niebezpiecznych. Realizacja tych zadań ma na celu zapewnienie bezpieczeństwa w transporcie kolejowym i prawidłowego funkcjonowania rynku kolejowego.

Dlatego w ustawie o transporcie kolejowym dodano przepis art. 15 ust. 3, który ma zapobiegać utrudnianiu i blokowaniu postępowania prowadzonego przez UTK poprzez stosowanie prawa do ograniczenia przetwarzania danych osobowych na podstawie art. 18 ust. 1 RODO.

Wprowadzenie tego zapisu umożliwia przeprowadzanie kontroli oraz nałożenie stosownej kary, niezależnie od dochodzenia praw wynikających z art. 18 RODO. Skorzystanie z prawa do ograniczenia przetwarzania danych osobowych (art. 18 ust. 1 RODO) nie wpłynie zatem na przebieg kontroli prowadzonych przez Prezesa UTK ani na uprawnienia tego organu do nałożenia kary. Nie ograniczy jednak prawa do ochrony danych osobowych.

Ocena zmian

Brak komentowanego przepisu mógłby osłabić sprawność i efektywność wykonywania zadań kontrolnych Prezesa UTK. W skrajnym przypadku uniemożliwiłby lub utrudniłby wykonywanie zadań. Mogłoby się to również przyczynić do obniżenia poziomu bezpieczeństwa przewozów kolejowych oraz bezpieczeństwa uczestników ruchu kolejowego.

PODSTAWA PRAWNA:

● art. 15 ust. 3 ustawy z 28 marca 2003 r. o transporcie kolejowym (j.t. Dz.U. z 2019 r. poz. 710).

Przetwarzanie danych osobowych przez Komisję Badania Wypadków Kolejowych

W ustawie o transporcie kolejowym został dodany przepis art. 28h ust. 1a. Wprowadzono w nim zapis mówiący, że w związku z badaniem poważnych wypadków, wypadków lub incydentów Państwowa Komisja Badania Wypadków Kolejowych (PKBWK) jest uprawniona do przetwarzania danych osobowych wrażliwych w zakresie danych dotyczących zdrowia.

Ponadto w nowo dodanym ust. 1b w art. 28h wprowadzono przepis mówiący, że Państwowa Komisja Badania Wypadków Kolejowych wykonując zadania określone w ustawie, realizuje obowiązki, o których mowa w art. 13 ust. 1 i 2 RODO, przy pierwszej czynności skierowanej do osoby.

Ocena zmian

Wprowadzenie ww. zapisu ustawowego jest w pełni uzasadnione, ponieważ Komisja realizuje swoje zadania w ważnym interesie publicznym, badając przyczyny zdarzeń kolejowych i prowadząc postępowania w tym zakresie. Komisja w trakcie prowadzonych dochodzeń, co do zasady, w każdym przypadku przetwarza wrażliwe dane osobowe w rozumieniu przepisów rozporządzenia. Są to dane osób uczestniczących w wypadku (ofiar, pracowników kolei). Przepis umożliwia realizację zadań wykonywanych przez Komisję zgodnie z przepisami RODO w odniesieniu do przetwarzania wrażliwych danych osobowych dotyczących zdrowia.

Z kolei zapis zawarty w art. 28h ust. 1b ma zapewnić spójność krajowego systemu prawnego w zakresie realizacji obowiązków informacyjnych z RODO przez organy administracji publicznej, jako że takie samo rozwiązanie znalazło się także w innych ustawach regulujących obowiązki administracji publicznej.

PODSTAWA PRAWNA:

● art. 28h ust. 1a i 1b ustawy z 28 marca 2003 r. o transporcie kolejowym (j.t. Dz.U. z 2019 r. poz. 710).

Ustawa o drogowych spółkach specjalnego przeznaczenia

Udostępnianie i przetwarzanie danych osobowych przez spółki specjalnego przeznaczenia

W ustawie o drogowych spółkach specjalnego przeznaczenia dodano art. 5a. Przepis ten reguluje sytuację, w której spółce powierzane jest wykonywanie zadania obejmującego przeciwdziałanie niszczeniu dróg. Zgodnie z art. 5a, w takim przypadku odpowiednie zastosowanie mają przepisy art. 20h ustawy z 21 marca 1995 r. o drogach publicznych, regulujące tryb udostępniania uprawnionym organom państwa danych osobowych zgromadzonych przez spółkę przy realizacji tego zadania.

Ponadto w art. 7a ust. 4 uregulowano kwestię przeniesienia na drogową spółką specjalnego przeznaczenia prawa do przetwarzania danych osobowych, których administratorem był Generalny Dyrektor Dróg Krajowych i Autostrad (GDDKiA) w związku z decyzjami administracyjnymi i postanowieniami wydanymi na rzecz GDDKiA oraz umowami i porozumieniami zawartymi przez ten organ w celu przygotowania lub realizacji przedsięwzięcia drogowego.

Ocena zmian

Przepisy dodane w ustawie o drogowych spółkach specjalnego przeznaczenia stanowią podstawę prawną do:

● udostępniania danych osobowych posiadanych przez te spółki w związku z wykonywaniem zadań obejmujących przeciwdziałanie niszczeniu dróg. Przy czym dane te mogą być udostępniane tylko uprawnionym organom wymienionym w art. 20h ustawy o drogach publicznych,

● przeniesienia na drogową spółkę specjalnego przeznaczenia prawa do przetwarzania danych osobowych pozyskanych od administratora tych danych (GDDKiA).

Obie zmiany mają charakter formalny, dostosowujący treść komentowanej ustawy do wymogów RODO. Dodane do ustawy zapisy umożliwiają wykonywanie zadań przez drogowe spółki specjalnego przeznaczenia w zgodzie z wymogami RODO.

PODSTAWA PRAWNA:

● art. 5a, art. 7a ust. 4 ustawy z 12 stycznia 2007 r. o drogowych spółkach specjalnego przeznaczenia (Dz.U. z 2017 r. poz. 2093; ost.zm. Dz.U. z 2018 r. poz. 1693).

Ustawa o publicznym transporcie zbiorowym

Kontrole w transporcie publicznym a RODO

W ustawie o publicznym transporcie zbiorowym dodano nowy przepis art. 6a. Zgodnie z treścią tego przepisu, wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO, nie wpływa na przebieg kontroli oraz na uprawnienie właściwego organu do nałożenia kary.

Ocena zmian

Dodany przepis ma przeciwdziałać utrudnianiu i blokowaniu postępowania w związku ze stosowaniem prawa do żądania ograniczenia przetwarzania danych osobowych na podstawie art. 18 ust. 1 RODO. Przeprowadzanie kontroli oraz nakładanie kar dokonywane na podstawie przepisów tej ustawy stanowi zatem procedurę niezależną od procedury ochrony danych osobowych wynikającej z RODO. Jednocześnie nie pozbawia prawa do żądania ograniczenia przetwarzania danych osobowych przysługującego na podstawie art. 18 RODO.

PODSTAWA PRAWNA:

● art. 6a ustawy z 16 grudnia 2010 r. o publicznym transporcie zbiorowym (j.t. Dz.U. z 2018 r. poz. 2016; ost.zm. Dz.U. z 2018 r. poz. 2435).

Ustawa o przewozie towarów niebezpiecznych

Kontrole przewozów towarów niebezpiecznych a RODO

W ustawie o przewozie towarów niebezpiecznych dodano nowy przepis art. 14a. Zgodnie z brzmieniem tego przepisu, wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO, czyli z żądaniem ograniczenia przetwarzania danych osobowych, pozostaje bez wpływu na przebieg kontroli, o której mowa w art. 99 ust. 1 ustawy o przewozie towarów niebezpiecznych.

Ocena zmian

Organy administracji publicznej i inne podmioty realizujące zadania publiczne na podstawie ustawy z 19 sierpnia 2011 r. o przewozie towarów niebezpiecznych przetwarzają dane osobowe uczestników przewozu towarów niebezpiecznych będących osobami fizycznymi oraz osób wykonujących czynności związane z przewozem towarów niebezpiecznych. Osoby przeprowadzające kontrolę, o których mowa w art. 99 ust. 1 ustawy o przewozie towarów niebezpiecznych, dokonują kontroli na warunkach i w trybie określonych w przepisach określających zakres ich działania. Wprowadzony przepis ma zapobiegać utrudnianiu i blokowaniu postępowania kontrolnego poprzez występowanie na podstawie art. 18 ust. 1 RODO z żądaniem ograniczenia przetwarzania danych osobowych.

W związku z dodaniem komentowanego przepisu wystąpienie z takim żądaniem pozostanie bez wpływu na procedurę kontroli i wymierzania stosownej kary. Z punktu widzenia organu, jest to niewątpliwie uproszczenie procedury kontrolnej, uzasadnione również ze względu na cel publiczny kontroli, jakim jest zapewnienie bezpieczeństwa uczestnikom ruchu drogowego.

PODSTAWA PRAWNA:

● art. 14a ustawy z 19 sierpnia 2011 r. o przewozie towarów niebezpiecznych (j.t. Dz.U. z 2019 r. poz. 382; ost.zm. Dz.U. z 2019 r. poz. 534).

Ustawa o systemie monitorowania drogowego i kolejowego przewozu towarów

Obowiązki informacyjne

Nowelizacja uchyla przepis, na podstawie którego do danych gromadzonych w rejestrze zgłoszeń nie stosuje się przepisu, o którym mowa w art. 24 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Przepis ten odsyłał do uchylonej już ustawy i nakładał obowiązki informacyjne na administratora danych osobowych.

Obecnie administratorzy danych realizujący zadania publiczne, w tym Szef Krajowej Administracji Skarbowej, mogą powołać się na treść art. 3-5 nowej ustawy o ochronie danych osobowych i w konsekwencji odmówić realizacji praw przysługujących osobie, której dane dotyczą.

Ocena zmian

Wprowadzenie ustawy z 10 maja 2018 r. o ochronie danych osobowych oznaczało, że uchylony art. 4 ust. 6 ustawy o systemie monitorowania drogowego i kolejowego przewozu towarów był przepisem martwym. Ze względu na istnienie w nowej ustawie o ochronie danych osobowych przepisów art. 3-5, przewidujących możliwość ograniczenia (wyłączenia) stosowania niektórych przepisów RODO w odniesieniu do administratorów realizujących zadania publiczne, nie istnieje potrzeba wprowadzania dodatkowej regulacji w miejsce uchylanego ust. 6. Warto dodać, że ewentualne ograniczenia w realizacji obowiązków informacyjnych wobec osób, których dane są przetwarzane, mogą być stosowane, gdy ograniczenie to będzie służyło ważnym celom leżącym w ogólnym interesie publicznym UE lub państwa członkowskiego. W szczególności służą ważnemu interesowi gospodarczemu lub finansowemu UE lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu (art. 23 ust. 1 lit. e RODO).

PODSTAWA PRAWNA:

● art. 4 ust. 6 ustawy z 9 marca 2017 r. o systemie monitorowania drogowego i kolejowego przewozu towarów (Dz.U. z 2018 r. poz. 2332).

Ustawa o autostradach płatnych oraz o Krajowym Funduszu Drogowym

Zakres nieodpłatnego udostępniania danych

W związku z poborem opłat za przejazd autostradą podmioty zarządzające poborem mają obowiązki w zakresie ochrony danych osobowych wynikające z RODO. Nowość stanowi szczegółowe określenie, jakim podmiotom udostępniane są nieodpłatnie dane osobowe przetwarzane w związku z poborem opłat za przejazd autostradą. Prawo do nieodpłatnego otrzymania danych osobowych w zakresie powierzonych im zadań mają:

● Policja,

● Inspekcja Transportu Drogowego,

● Żandarmeria Wojskowa,

● Straż Graniczna,

● Biuro Nadzoru Wewnętrznego,

● Agencja Bezpieczeństwa Wewnętrznego,

● Agencja Wywiadu,

● Centralne Biuro Antykorupcyjne,

● Służba Kontrwywiadu Wojskowego,

● Służba Wywiadu Wojskowego,

● prokurator,

● sąd,

● Szef Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,

● Służba Ochrony Państwa.

Pobierający opłaty za przejazd autostradą udostępnia wymienionym podmiotom dane osobowe na ich wniosek.

Ocena zmian

Omawiany przepis obejmuje swym zakresem przede wszystkim Generalnego Dyrektora Dróg Krajowych i Autostrad lub drogowe spółki specjalnego przeznaczenia. Warto zauważyć że w przepisach tych nie wprowadzono odniesienia do tzw. prawa do sprzeciwu wobec przetwarzania danych osobowych. W tym przypadku przetwarzanie danych osobowych odbywa się na podstawie art. 6 ust. 1 lit. c RODO i prawo do sprzeciwu nie przysługuje.

PODSTAWA PRAWNA:

● art 37aa, art. 37ab ustawy z 27 października 1994 r. o autostradach płatnych oraz o Krajowym Funduszu Drogowym (j.t. Dz.U. z 2018 r. poz. 2014; ost.zm. Dz.U. z 2018 r. poz. 2244).

Obowiązki informacyjne

Dodane przepisy o RODO regulują kwestie przetwarzania danych osobowych przy kontroli budowy i eksploatacji autostrady w zakresie przestrzegania warunków umowy o budowę i eksploatację autostrady. W przypadku przetwarzania danych osobowych w związku z prowadzoną kontrolą organ kontrolny realizuje obowiązki informacyjne, o których mowa w art. 13 ust. 1 i 2 RODO, przy pierwszej czynności skierowanej do tej osoby. Przedmiotowy przepis jest niezbędny z tego powodu, że w omawianej procedurze kontrolnej nie stosuje się przepisów Kodeksu postępowania administracyjnego.

Ocena zmian

Należy zauważyć, że przy przetwarzaniu danych osobowych na tej podstawie prawo do sprzeciwu nie przysługuje. Skorzystanie z tego prawa przez kontrolowany podmiot nie wpływa na realizację zadań przez Generalnego Dyrektora Dróg Krajowych i Autostrad oraz drogową spółkę specjalnego przeznaczenia.

PODSTAWA PRAWNA:

● art. 63d ustawy z 27 października 1994 r. o autostradach płatnych oraz o Krajowym Funduszu Drogowym (j.t. Dz.U. z 2018 r. poz. 2014; ost.zm. Dz.U. z 2018 r. poz. 2244).

Ustawa o drogach publicznych

Obowiązki informacyjne

Zarząd drogi albo zarządca drogi przetwarza dane osobowe w związku z poborem opłat za postój pojazdów samochodowych na drogach publicznych w strefie płatnego parkowania. Pobierający opłatę wykonuje swe obowiązki informacyjne poprzez zamieszczenie stosownych informacji w miejscu, w którym opłata ta jest wnoszona. W tym wypadku informacja o RODO jest bezpośrednio przekazywana obowiązanemu do uiszczenia opłaty poprzez umieszczenie jej np. na parkometrze. Pozostałe informacje wymagane zgodnie z art. 13 ust. 1 i 2 RODO są zamieszczane na stronie podmiotowej w Biuletynie Informacji Publicznej podmiotu pobierającego opłatę. Informacja o tym (odnośnik do strony BIP) powinna być dostępna w miejscu, w którym opłata jest pobierana.

Ocena zmian

Ustawodawca nowelizacją określa, jak pobierający opłaty parkingowe realizuje swój obowiązek informacyjny. Sposób informowania powinien tu zabezpieczyć podstawowe interesy osób, których dane są przetwarzane i jednocześnie nie obciąża za bardzo pobierającego opłatę. Przy tym najważniejsze informacje, dotyczące m.in. administratora danych osobowych, celu przetwarzania danych osobowych oraz jego podstawy prawnej, są bezpośrednio przekazywane korzystającemu z drogi publicznej w formie informacji na parkomacie.

PODSTAWA PRAWNA:

● art 13b ustawy z 21 marca 1985 r. o drogach publicznych (j.t. Dz.U. z 2018 r. poz. 2068; ost.zm. Dz.U. z 2019 r. poz. 698).

Zakres nieodpłatnego udostępniania danych

Nowelizacja szczegółowo określa, jakim podmiotom udostępniane są nieodpłatnie dane osobowe przetwarzane w związku z poborem opłat. Prawo do nieodpłatnego otrzymania danych osobowych w zakresie powierzonych im zadań mają:

● Policja,

● Inspekcja Transportu Drogowego,

● Żandarmeria Wojskowa,

● Straż Graniczna,

● Biuro Nadzoru Wewnętrznego,

● Agencja Bezpieczeństwa Wewnętrznego,

● Agencja Wywiadu,

● Centralne Biuro Antykorupcyjne,

● Służba Kontrwywiadu Wojskowego,

● Służba Wywiadu Wojskowego,

● prokurator,

● sąd,

● Szef Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,

● Służba Ochrony Państwa.

Pobierający opłaty udostępnia wymienionym podmiotom dane osobowe na ich wniosek.

Ocena zmian

Analogiczny przepis znalazł się także w przepisach ustawy o autostradach płatnych. Warto także zauważyć, że w przepisach tych nie wprowadzono odniesienia do tzw. prawa do sprzeciwu wobec przetwarzania danych osobowych. W tym przypadku przetwarzanie danych osobowych odbywa się na podstawie art. 6 ust. 1 lit. c RODO i prawo do sprzeciwu nie przysługuje. Nowelizacja określiła także tryb udostępniania danych zgromadzonych przez zarządców dróg.

PODSTAWA PRAWNA:

● art 20h ustawy z 21 marca 1985 r. o drogach publicznych (j.t. Dz.U. z 2018 r. poz. 2068; ost.zm. Dz.U. z 2019 r. poz. 698).

Prawo zamówień publicznych

Przetwarzanie danych dotyczących wyroków skazujących i naruszeń prawa

Zmiana dotyczy ograniczenia możliwości przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa. W praktyce dotyczy ona ograniczenia możliwości udostępniania przez zamawiającego protokołu postępowania i załączników zawierających takie dane osobowe.

Co do zasady, postępowanie o udzielenie zamówienia publicznego jest jawne. Zamawiający może jednak ograniczyć dostęp do niektórych informacji związanych z postępowaniem. Przy czym zawsze musi istnieć ku temu podstawa prawna w przepisach Prawa zamówień publicznych.

Przepisy RODO (w art. 10) zezwalają na przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Warunkiem jest jednak, aby przetwarzanie to było dozwolone również prawem państwa członkowskiego. Pozostawiono tu więc ustawodawcy możliwość wyłączenia, ograniczenia lub zmiany zakresu tego prawa.

Zmiany wprowadzone w Prawie zamówień publicznych (nowy art. 8 ust. 5) polegają na tym, że zamawiający może udostępnić dokumenty zawierające dane osobowe dotyczące wyroków skazujących i naruszeń prawa wyłącznie w celu korzystania ze środków ochrony prawnej. Może je zatem udostępnić tylko podmiotom uprawnionym (np. wykonawcom, uczestnikom konkursu). Dodatkowo może to zrobić tylko w terminie na wniesienie tych środków ochrony prawnej.

Ocena zmian

Zmianę należy ocenić jako negatywną. Każda zasada ograniczająca jawność i transparentność postępowania zamówieniowego jest niekorzystna. Konieczne było jednak wprowadzenie takiego zastrzeżenia, aby zapewnić prawa uprawnionych podmiotów wynikające z przepisów działu VI Prawa zamówień publicznych (środki ochrony prawnej).

W praktyce zmiana polega na tym, że zamawiający, w określonych okolicznościach, przed udostępnieniem dokumentacji będzie musiał w odpowiedni sposób przygotować dokumenty zawierające dane osobowe dotyczące wyroków i naruszeń prawa - poprzez ich pseudonimizację.

PODSTAWA PRAWNA:

● art. 8 ust. 5 ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (j.t. Dz.U. z 2018 r. poz. 1986; ost.zm. Dz.U. z 2019 r. poz. 730).

Możliwość wydania komunikatu o przetwarzaniu danych osobowych

Zmiana polega na ułatwieniu spełnienia przez zamawiającego wymogu informowania wykonawców o zasadach przetwarzania ich danych osobowych.

Przepisy RODO nakładają na administratora danych obowiązek każdorazowego indywidualnego informowania osoby, której dotyczą dane, o celu, terminie, sposobach ich przetwarzania, osobie administratora itp. (art. 13). Wprowadzony do Prawa zamówień publicznych przepis umożliwia natomiast przekazanie tych informacji jednorazowo - w formie komunikatu. W komunikacie trzeba jednak zawrzeć wszystkie wymagane przez przepisy RODO informacje. Komunikat zamieszcza się w ogłoszeniu o zamówieniu (konkursie) lub w SIWZ albo w regulaminie konkursu. Trzeba pamiętać, że informacje te muszą być zamieszczone w łatwo dostępnej formie i opisane przejrzystym, zrozumiałym jasnym i prostym językiem.

Ocena zmian

Zmiana jest korzystna - zarówno dla zamawiających, jak i wykonawców. Przyspieszy i ułatwi prowadzenie postępowania o udzielenie zamówienia publicznego. Dzięki tej regulacji zamawiający wypełni obowiązki RODO poprzez zamieszczenie standardowego komunikatu w ogłoszeniu o zamówieniu lub w SIWZ. Wykonawca będzie miał natomiast możliwość (i obowiązek) zapoznania się z informacjami o przetwarzaniu jego danych osobowych już na samym początku procedury.

PODSTAWA PRAWNA:

● art. 8a ust. 1 ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (j.t. Dz.U. z 2018 r. poz. 1986; ost.zm. Dz.U. z 2019 r. poz. 730).

Ułatwienia dotyczące informowania o przetwarzanych danych

Wprowadzono rozwiązania, które - przy zachowaniu wymogów RODO - mają "zdjąć" z zamawiających nadmierne uciążliwości związane z prawem osób, których dotyczą dane, do uzyskania informacji na temat przetwarzania ich danych osobowych.

Ponieważ często oznaczałoby to dla zamawiającego kłopotliwe przeszukiwanie dużych ilości dokumentacji w celu ustalenia, czy konkretne dane były przetwarzane, wprowadzono zapis, że jeśli wymagałoby to niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania. W szczególności chodzi o podanie nazwy lub daty postępowania o udzielenie zamówienia publicznego lub konkursu.

Zamawiający musi poinformować uprawnione osoby o takiej możliwości na stronie internetowej prowadzonego postępowania oraz dodatkowo przynajmniej w jednej z następujących form:

● w ogłoszeniu o zamówieniu/konkursie,
● w specyfikacji istotnych warunków zamówienia,
● w inny sposób dostępny dla osoby, której dane osobowe dotyczą.

Analogiczne rozwiązanie wprowadzono w zakresie przetwarzania danych osobowych zawartych w protokole i załącznikach na etapie przechowywania dokumentacji postępowania.

Ocena zmian

Zmiany należy ocenić pozytywnie. Jest to niezbędne i racjonalne ograniczenie stosowania przepisów RODO. Uwzględnia ono specyfikę postępowań zamówieniowych. Ma na celu dążenie do ograniczenia obowiązków administracyjnych w odniesieniu do zamawiających. Jednocześnie osoba, której dotyczą dane, nie zostaje pozbawiona należnego prawa do uzyskania żądanych informacji na temat jej danych osobowych.

PODSTAWA PRAWNA:

● art. 8a ust. 2 i ust. 5, art. 97 ust. 1a ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (j.t. Dz.U. z 2018 r. poz. 1986; ost.zm. Dz.U. z 2019 r. poz. 730).

Rozwiązania dla sprawnego i efektywnego przeprowadzenia postępowania

Osoby, których dotyczą dane, mają też prawo w określonych przypadkach żądać ograniczenia przetwarzania ich danych osobowych (np. gdy kwestionują poprawność tych danych). Łatwo sobie wyobrazić, że takie żądania mogłyby nawet sparaliżować proces udzielania zamówienia publicznego. Dlatego wprowadzono zapis, który wprost stanowi, że wystąpienie z takim żądaniem nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania zamówieniowego. Przy czym zamawiający musi poinformować o tym osoby, których dotyczą dane. Informację zamieszcza się na stronie internetowej postępowania i np. w ogłoszeniu o zamówieniu lub w SIWZ.

Ponadto skorzystanie z uprawnienia do sprostowania lub uzupełnienia danych osobowych nie może skutkować ingerencją w treść przechowywanego protokołu oraz jego załączników. Wszelkie sprostowania lub uzupełnienia będą możliwe wyłącznie w postaci nowych dokumentów składanych jako załączniki do dokumentów, w których dane osobowe będą prostowane lub uzupełniane.

Ocena zmian

To korzystne zmiany. Stosowanie wprost bardzo szczegółowych i restrykcyjnych zapisów RODO spowodowałoby spowolnienie i wydłużenie postępowania o udzielenie zamówienia publicznego. Ponadto na zamawiającego nałożono by dużą ilość obowiązków "administracyjnych". Uelastycznienie tych zapisów w zakresie postępowań zamówieniowych zapobiegnie wystąpieniu tych negatywnych skutków. Zgromadzona dokumentacja postępowania zachowa spójność i systematykę. Jednocześnie wszelkie prawa osób, których dane są przetwarzane, zostaną zachowane.

PODSTAWA PRAWNA:

● art. 8a ust. 3, ust. 4 i ust. 5, art. 97 ust. 1b ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (j.t. Dz.U. z 2018 r. poz. 1986; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Zabezpieczenie danych przez zamawiającego

Do przepisów Prawa zamówień publicznych wprowadzono zapis, który wymagany jest przez przepisy RODO (art. 23 ust. 2 lit d i g). Zgodnie z nowym przepisem, zamawiający ma obowiązek zabezpieczyć dane osobowe zebrane w postępowaniu o udzielenie zamówienia przed bezprawnym rozpowszechnianiem. Przepis ten dotyczy wszystkich przypadków przetwarzania danych osobowych na gruncie zamówień publicznych.

Szczególne zasady w zakresie zabezpieczenia dotyczą natomiast przetwarzania (w tym udostępniania) danych dotyczących wyroków skazujących i naruszeń prawa. W tym przypadku prowadzony przepis wymaga dodatkowo pisemnego upoważnienia dla osoby, którą dopuszczono do przetwarzania takich danych. Upoważnienie wydaje administrator danych osobowych (tu: zamawiający). Ponadto osoby dopuszczone do przetwarzania takich danych muszą zachować je w poufności.

Ocena zmian

Wskazanie zamawiającego jako osoby odpowiedzialnej za zabezpieczenie danych osobowych jest niewątpliwie korzystne. Jest to ogólna zasada, która wynika z przepisów RODO. Taki zapis wprost w ustawie ograniczy możliwość "przeoczenia" tego obowiązku. Techniczna strona zabezpieczenia danych osobowych - zwłaszcza dotyczących wyroków i naruszeń prawa - nakłada jednak na zamawiającego dodatkowe czynności i procedury.

PODSTAWA PRAWNA:

● art. 8a ust. 6 i ust. 7 ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (j.t. Dz.U. z 2018 r. poz. 1986; ost.zm. Dz.U. z 2019 r. poz. 730).

Odpowiedzialność za informowanie o przetwarzaniu danych osobowych zawartych w BZP

Zmiana polega na określeniu, kto jest odpowiedzialny za informowanie o przetwarzaniu danych osobowych publikowanych w Biuletynie Zamówień Publicznych (BZP). BZP prowadzi Prezes Urzędu Zamówień Publicznych. Ale to zamawiający zamieszczają w nim ogłoszenia. Dlatego osoby chcące uzyskać informacje o przetwarzaniu swoich danych osobowych powinny kierować żądania do zamawiającego. Prezes UZP musi tylko zapewnić techniczne utrzymanie systemu teleinformatycznego, przy użyciu którego udostępniany jest BZP. Musi też wskazać okres przechowywania danych osobowych zamieszczanych w BZP.

Ocena zmian

Nowy przepis jest korzystny. Przede wszystkim wprowadzony zapis usuwa wątpliwości, kto jest administratorem danych osobowych zamieszczanych w BZP. Obciążenie wprost zamawiającego tym obowiązkiem jest logiczne, skoro to na jego potrzeby jest prowadzone postępowanie, w ramach którego przetwarzane są te dane osobowe.

PODSTAWA PRAWNA:

● art. 11 ust. 6a i ust. 6b ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (j.t. Dz.U. z 2018 r. poz. 1986; ost.zm. Dz.U. z 2019 r. poz. 730).

Doprecyzowanie zasady jawności w zamówieniach publicznych

Zasada jawności w postępowaniu o udzielenie zamówienia publicznego wyraża się przede wszystkim w tym, że jawny jest protokół i załączniki do protokołu. Załączniki te to: oferty, opinie biegłych, oświadczenia, informacje z zebrania, zawiadomienia, wnioski, inne dokumenty i informacje, a także umowa w sprawie zamówienia publicznego. W praktyce jest to zatem cała dokumentacja zgromadzona w postępowaniu. Prawie zawsze zawiera ona dane osobowe.

Wprowadzona zmiana doprecyzowuje, że zasada jawności ma zastosowanie do wszystkich danych osobowych - oprócz danych, o których mowa w art. 9 RODO. Chodzi o tzw. dane wrażliwe: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące zdrowia czy orientacji seksualnej tej osoby. Przy czym te dane również można przetwarzać - ale tylko w przypadkach i na warunkach wskazanych w art. 9 RODO. A ponieważ zamawiający może przetwarzać i udostępniać dane tylko w takim zakresie, w jakim jest to potrzebne do prowadzonego postępowania, to co do zasady nie będzie miał możliwości udostępniania danych wrażliwych.

Ocena zmian

Zmianę można ocenić jako korzystną. Opisane zasady przetwarzania (zwłaszcza udostępniania) danych osobowych wynikają wprawdzie z przepisów ogólnych Prawa zamówień publicznych. Przesądzenie jednak wprost, że zamawiający ma prawo i obowiązek udostępniania wszystkich danych osobowych zawartych w protokole oraz załącznikach - za wyjątkiem szczególnych kategorii danych wrażliwych - pozwoli wyeliminować potencjalne wątpliwości w tym zakresie.

PODSTAWA PRAWNA:

● art. 96 ust. 3a ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (j.t. Dz.U. z 2018 r. poz. 1986; ost.zm. Dz.U. z 2019 r. poz. 730).

Dokumenty, których może żądać zamawiający

Zgodnie z przepisami Prawa zamówień publicznych, zamawiający w opisie przedmiotu zamówienia na usługi lub roboty budowlane określa wymagania zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności (art. 29 ust. 3b). Obecnie w przepisach ustawy wskazano wprost, że w ramach uprawnień kontrolnych spełniania przez wykonawcę lub podwykonawcę tych wymagań, zamawiający ma prawo do zażądania:

1) oświadczenia wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,

2) poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika,

3) innych dokumentów

- zawierających informacje, w tym dane osobowe niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę. W szczególności chodzi o imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę, zakres obowiązków pracownika.

Kwestie te mają być uregulowane w SIWZ, a na etapie realizacji - w umowie.

Ocena zmian

Wprowadzony przepis przesądza, że zamawiający otrzymał odpowiednie uprawnienia - również w zakresie przetwarzania danych osobowych - aby skutecznie pełnić uprawnienia kontrolne nad wykonawcami i podwykonawcami w kwestii stosowanych form zatrudniania, które są wymagane przez przepisy Prawa zamówień publicznych.

PODSTAWA PRAWNA:

● art. 143e ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (j.t. Dz.U. z 2018 r. poz. 1986; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o spłacie niektórych niezaspokojonych należności przedsiębiorców, wynikających z realizacji udzielonych zamówień publicznych

Poinformowanie o zbieraniu i przetwarzaniu danych osobowych

Zmiana polega na uregulowaniu w przepisach ustawy, że Generalny Dyrektor Dróg Krajowych i Autostrad - jako administrator danych osobowych - ma obowiązek przekazać osobom, od których uzyskuje dane osobowe, informacje wymagane przez art. 13 RODO. Są to m.in. informacje o:

● danych kontaktowych administratora,
● osobie inspektora danych osobowych,
● celach przetwarzania,
● odbiorcach danych osobowych,
● okresie, przez który dane będą przechowywane,
● prawie do dostępu do danych, cofnięciu zgody na przetwarzanie itp.

W nowym art. 12a ust. 1 ustawy wskazano, że Generalny Dyrektor ma obowiązek przekazania tych informacji przy pierwszej czynności skierowanej do wykonawcy lub przedsiębiorcy. Generalny Dyrektor może z tego zrezygnować tylko w przypadku, gdy osoby te posiadają już te informacje i wiadomo, że ich zakres lub treść nie uległy zmianie.

Ocena zmian

Zmiana jest korzystna. GDDKiA, realizując zadania określone w ustawie, jako administrator pozyskiwanych danych musi wypełnić obowiązki związane z art. 13 RODO. Wprowadzony przepis nie nakłada zatem nowego obowiązku. Treść nowego przepisu spowoduje natomiast, że już przy pierwszym kontakcie z osobą, której dotyczą dane, zostanie spełniony podstawowy obowiązek administratora danych osobowych. W praktyce będzie należało opracować standardowy wzór pisma zawierającego wymagane informacje i dołączać go do korespondencji.

PODSTAWA PRAWNA:

● art. 12a ust. 1 ustawy z 28 czerwca 2012 r. o spłacie niektórych niezaspokojonych należności przedsiębiorców, wynikających z realizacji udzielonych zamówień publicznych (j.t. Dz.U. z 2019 r. poz. 580; ost.zm. Dz.U. z 2019 r. poz. 730).

Żądanie ograniczenia przetwarzania danych osobowych

Do ustawy dodano przepis wskazujący, że wystąpienie z żądaniem ograniczenia przetwarzania danych osobowych (uregulowanym w art. 18 ust. 1 RODO) przez osobę, której dane dotyczą, nie wpływa na prawa i obowiązki Generalnego Dyrektora, wynikające z ustawy. Zasada ta nie ma zastosowania w przypadku skorzystania z prawa do sprzeciwu wobec przetwarzania danych osobowych.

Ocena zmian

Zmianę należy ocenić pozytywnie. Wprowadzony przepis nie ogranicza praw osób, których dotyczą dane. Wskazuje natomiast, że realizacja praw związanych z ochroną danych osobowych odbywa się niezależnie od wykonywania przez Generalnego Dyrektora zadań wskazanych w ustawie. Innymi słowy, zainteresowana osoba może skorzystać z prawa, o którym mowa w art. 18 ust. 1 RODO, ale nie wpływa to w żaden sposób na czynności podejmowane przez Generalnego Dyrektora na podstawie ustawy.

PODSTAWA PRAWNA:

● art. 12a ust. 2 ustawy z 28 czerwca 2012 r. o spłacie niektórych niezaspokojonych należności przedsiębiorców, wynikających z realizacji udzielonych zamówień publicznych (j.t. Dz.U. z 2019 r. poz. 580; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o koncesji na roboty budowlane i usługi

Przetwarzanie danych dotyczących wyroków skazujących i czynów zabronionych

Zmiana dotyczy ograniczenia możliwości przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Przepisy RODO (w art. 10), co do zasady, zezwalają na przetwarzanie takich danych osobowych. Zmiany wprowadzone w ustawie koncesyjnej polegają na tym, że zamawiający udostępnia dokumenty zawierające dane osobowe dotyczące wyroków skazujących i naruszeń prawa wyłącznie w celu korzystania ze środków ochrony prawnej. Może je zatem udostępnić tylko podmiotom uprawnionym. Dodatkowo może to zrobić tylko w terminie na wniesienie tych środków ochrony prawnej.

Ocena zmian

Jest to zasada analogiczna do tej wprowadzonej w Prawie zamówień publicznych. Ogranicza ona jawność i transparentność postępowania koncesyjnego. Konieczne było jednak wprowadzenie takiego zastrzeżenia, aby zapewnić prawo uprawnionych podmiotów wynikające z przepisów Rozdziału 10 ustawy koncesyjnej (środki ochrony prawnej).

PODSTAWA PRAWNA:

● art. 13 ust. 2a ustawy z 21 października 2016 r. o koncesji na roboty budowlane i usługi (j.t. Dz.U. z. 2016 r. poz. 1920; ost.zm. Dz.U. z 2019 r. poz. 730).

Okres przechowywania dokumentacji

W ustawie koncesyjnej określono okres przechowywania dokumentacji postępowania. Wynosi on 5 lat od dnia zakończenia postępowania o zawarcie umowy koncesji. Jeśli koncesja została udzielona na czas dłuższy niż 5 lat - zamawiający przechowuje umowę (ale już nie całą dokumentację) przez cały czas jej trwania. Zaznaczono jednocześnie wymóg przechowywania dokumentów w sposób gwarantujący ich nienaruszalność.

Ocena zmian

Zmiana korzystna. Określono wprost, jakie dokumenty i przez jaki okres mają być przechowywane przez zamawiającego. Dokumentacja postępowania zawiera dane osobowe. Dlatego uzasadnione było wprowadzenie okresu przechowywania powiązanego z okresem, na jaki z reguły zawierane są umowy koncesji.

PODSTAWA PRAWNA:

● art. 13a ustawy z 21 października 2016 r. o koncesji na roboty budowlane i usługi (j.t. Dz.U. z. 2016 r. poz. 1920; ost.zm. Dz.U. z 2019 r. poz. 730).

Możliwość wydania komunikatu informującego o przetwarzaniu danych osobowych

Zmiana polega na ułatwieniu spełnienia przez zamawiającego wymogu informowania wykonawców o zasadach przetwarzania ich danych osobowych.

Przepisy RODO nakładają na administratora danych obowiązek każdorazowego indywidualnego informowania osoby, której dotyczą dane, o celu, terminie, sposobach ich przetwarzania, osobie administratora itp. (art. 13). Wprowadzona regulacja umożliwia nieprzekazywanie powyższych informacji odrębnie każdej osobie ubiegającej się o zawarcie umowy koncesji, której dane dotyczą, ale przekazanie ich w formie komunikatu poprzez zawarcie wszystkich niezbędnych informacji przez zamawiającego w ogłoszeniu o koncesji, wstępnym ogłoszeniu informacyjnym, zaproszeniu do ubiegania się o zawarcie umowy koncesji lub w dokumentach koncesji.

Trzeba pamiętać, że informacje te muszą być zamieszczone w łatwo dostępnej formie i opisane przejrzystym, zrozumiałym jasnym i prostym językiem.

Ocena zmian

Zmiana jest korzystna. Przyspieszy i ułatwi prowadzenie postępowania koncesyjnego. Dzięki tej regulacji zamawiający wypełni obowiązki RODO - zamieszczając standardowy komunikat - np. w ogłoszeniu o koncesji. Wykonawca będzie miał natomiast możliwość (i obowiązek) zapoznania się z informacjami o przetwarzaniu jego danych osobowych już na samym początku procedury.

PODSTAWA PRAWNA:

● art. 16a ust. 1 ustawy z 21 października 2016 r. o koncesji na roboty budowlane i usługi (j.t. Dz.U. z. 2016 r. poz. 1920; ost.zm. Dz.U. z 2019 r. poz. 730).

Ułatwienia dotyczące informowania o przetwarzanych danych

Do ustawy koncesyjnej wprowadzono rozwiązanie, które ma ograniczyć nadmierne uciążliwości dla zamawiającego, związane z prawem osób, których dotyczą dane, do uzyskania informacji na temat przetwarzania ich danych osobowych.

Przepisy RODO w art. 15 umożliwiają osobom, których dane są przetwarzane, do uzyskania od administratora (tu: zamawiającego) w każdym czasie szeregu informacji (np. czy dane są przetwarzane, jaki jest tego cel, jakie są to dane, kto je otrzymuje, jak długo będą przetwarzane itp.). Ponieważ często oznaczałoby to dla zamawiającego kłopotliwe przeszukiwanie dużych ilości dokumentacji w celu ustalenia, czy konkretne dane były przetwarzane, wprowadzono zapis, że jeśli wymagałoby to niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania. W szczególności chodzi o podanie nazwy lub daty postępowania o zawarcie umowy koncesji.

Zamawiający musi poinformować o wprowadzeniu takiej możliwości na stronie internetowej prowadzonego postępowania, w ogłoszeniu o koncesji, wstępnym ogłoszeniu informacyjnym, zaproszeniu do ubiegania się o zawarcie umowy koncesji, w dokumentach koncesji lub w inny sposób dostępny dla osoby, której dane dotyczą. Jak wynika z uzasadnienia do ustawy zmieniającej, chodzi o jeden z tych sposobów.

Ocena zmian

Zmianę należy ocenić pozytywnie. Proponowane ograniczenie jest środkiem niezbędnym i proporcjonalnym do celów gromadzenia oraz przechowywania - w interesie publicznym - dokumentacji postępowania. Ma na celu dążenie do ograniczenia obowiązków administracyjnych w odniesieniu do zamawiających. Jednocześnie osoba, której dotyczą dane, nie zostaje pozbawiona należnego prawa do uzyskania żądanych informacji na temat jej danych osobowych.

PODSTAWA PRAWNA:

● art. 16a ust. 2 i ust. 5 ustawy z 21 października 2016 r. o koncesji na roboty budowlane i usługi (j.t. Dz.U. z. 2016 r. poz. 1920; ost.zm. Dz.U. z 2019 r. poz. 730).

Sprawne i efektywne przeprowadzenie postępowania koncesyjnego

Zgodnie z przepisami RODO, osoby, których dane dotyczą, mają prawo żądania od administratora niezwłocznego sprostowania czy uzupełnienia ich danych osobowych, które są nieprawidłowe (art. 16 RODO). W przepisach ustawy koncesyjnej wprowadzono zapis, który wprost przesądza o tym, że zgłoszenie takiego żądania nie może skutkować zmianą wyniku postępowania o zawarcie umowy koncesji, ani zmianą postanowień umowy koncesji w zakresie niezgodnym z ustawą oraz naruszeniem integralności przechowywanej dokumentacji postępowania. Innymi słowy, dzięki temu przepisowi nie jest możliwa niezgodna z ustawą koncesyjną zmiana reguł toczącego się postępowania o zawarcie umowy koncesji czy postanowień umowy, w oparciu o przysługujące uprawnienie z art. 16 RODO.

Osoby, których dotyczą dane, mają też prawo w określonych przypadkach żądać ograniczenia przetwarzania ich danych osobowych (np. gdy kwestionują poprawność tych danych). Dlatego wprowadzono zapis, który wprost stanowi, że wystąpienie z takim żądaniem nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania koncesyjnego. Zamawiający musi natomiast poinformować o tej zasadzie na stronie internetowej prowadzonego postępowania, w ogłoszeniu o koncesji, wstępnym ogłoszeniu informacyjnym, zaproszeniu do ubiegania się o zawarcie umowy koncesji, w dokumentach koncesji lub w inny sposób dostępny dla osoby, której dane dotyczą. W praktyce chodzi o wybór jednego ze wskazanych sposobów informowania.

Ocena zmian

To korzystne zmiany. Stosowanie wprost bardzo szczegółowych i restrykcyjnych zapisów RODO spowodowałoby spowolnienie i wydłużenie postępowania koncesyjnego. Ponadto na zamawiającego nałożono by dużą ilość obowiązków "administracyjnych". Uelastycznienie tych zapisów w zakresie postępowań koncesyjnych zapobiega wystąpieniu tych negatywnych skutków. Zgromadzona dokumentacja postępowania zachowa spójność i systematykę. Jednocześnie wszelkie prawa osób, których dane są przetwarzane, zostaną zachowane.

PODSTAWA PRAWNA:

● art. 16a ust. 3-5 ustawy z 21 października 2016 r. o koncesji na roboty budowlane i usługi (j.t. Dz.U. z. 2016 r. poz. 1920; ost.zm. Dz.U. z 2019 r. poz. 730).

Odpowiedzialność za informowanie o przetwarzaniu danych osobowych zawartych w BZP

Ocena zmian

PODSTAWA PRAWNA:

● art. 18a ustawy z 21 października 2016 r. o koncesji na roboty budowlane i usługi (j.t. Dz.U. z. 2016 r. poz. 1920; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo żądania dokumentów potwierdzających zatrudnienie na umowę o pracę

Do przepisów ustawy koncesyjnej wprowadzono przepis, który umożliwia zamawiającemu żądanie dokumentów (zawierających dane osobowe) niezbędnych do weryfikacji zatrudniania przez koncesjonariusza lub podwykonawcę na podstawie umów o pracę. Chodzi o oświadczenia o zatrudnieniu pracownika na podstawie umowy o pracę, poświadczoną za zgodność z oryginałem kopię umowy o pracę zatrudnionego pracownika oraz inne dokumenty tego typu.

Ocena zmian

Wprowadzony przepis przesądza, że zamawiający otrzymał odpowiednie uprawnienia - również w zakresie przetwarzania danych osobowych - aby skutecznie pełnić uprawnienia kontrolne nad koncesjonariuszami i podwykonawcami w kwestii stosowanych przez nich form zatrudniania, które są wymagane przez przepisy ustawy koncesyjnej w art. 26 ust. 6.

PODSTAWA PRAWNA:

● art. 26 ust. 8 ustawy z 21 października 2016 r. o koncesji na roboty budowlane i usługi (j.t. Dz.U. z. 2016 r. poz. 1920; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Zabezpieczenie danych przez zamawiającego

Do przepisów ustawy koncesyjnej wprowadzono zapis, który wymagany jest przez przepisy RODO (art. 23 ust. 2 lit d i g). Zgodnie z nowym przepisem, zamawiający ma obowiązek zabezpieczyć dane osobowe zebrane w postępowaniu koncesyjnym przed bezprawnym rozpowszechnianiem. Przepis ten dotyczy wszystkich przypadków przetwarzania danych osobowych na gruncie ustawy koncesyjnej.

Szczególne zasady w zakresie zabezpieczenia dotyczą natomiast przetwarzania (w tym udostępniania) danych dotyczących wyroków skazujących i naruszeń prawa (określonych w art. 10 RODO). W tym przypadku prowadzony przepis wymaga dodatkowo pisemnego upoważnienia dla osoby, którą dopuszczono do przetwarzania takich danych. Upoważnienie wydaje administrator danych osobowych (tu: zamawiający). Ponadto osoby dopuszczone do przetwarzania takich danych muszą zachować je w poufności.

Ocena zmian

PODSTAWA PRAWNA:

● art. 29 ust. 7, art. 30 ust. 6 ustawy z 21 października 2016 r. o koncesji na roboty budowlane i usługi (j.t. Dz.U. z. 2016 r. poz. 1920; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Inspekcji Ochrony Środowiska

+/-

Zadania Inspekcji Ochrony Środowiska (IOŚ)

Zmiany wprowadzone przez RODO polegają na dodaniu w art. 2 kolejnych przepisów, tj. ust. 4-8.

Zgodnie z art. 2 ust. 4, w przypadku niecierpiącym zwłoki organy Inspekcji Ochrony Środowiska (IOŚ), realizując swoje ustawowe zadania, wykonują obowiązek wynikający z art. 13 ust. 1 i 2 RODO (informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą) przez udostępnienie tych informacji w Biuletynie Informacji Publicznej (BIP), na stronie podmiotowej urzędu, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.

Dane osobowe pozyskiwane przez IOŚ w toku prowadzonych czynności kontrolnych mają charakter podrzędny w stosunku do wykonywanych przez IOŚ zadań. Dlatego też dopełnienie obowiązku wynikającego z art. 13 ust. 1 i 2 RODO poprzez publikowanie informacji w niezbędnym zakresie w BIP albo na stronie podmiotowej administratora danych umożliwi kontrolowanemu skupienie się na tematyce ochrony środowiska. Ponadto uprości postępowanie kontrolne.

Z kolei art. 2 ust. 5 ogranicza prawo osobie, której dane są przetwarzane do uzyskania informacji o wszelkich źródłach pozyskania danych jej dotyczących, jeżeli dane osobowe zostały pozyskane z innych źródeł (nie od niej). Taka osoba może uzyskać informację o źródłach pozyskania danych, w zakresie, w jakim nie ma on wpływu na ochronę praw i wolności osoby, od której dane pozyskano. Dodany przepis ma szczególne znaczenie, w przypadku prowadzenia przez IOŚ spraw dotyczących nielegalnych działań, np. w gospodarowaniu odpadami. IOŚ wówczas w szerokim zakresie współpracuje z organami ścigania, Krajową Administracją Skarbową czy Strażą Graniczną. Pozyskuje również informacje od osób fizycznych. Przekazanie informacji o źródłach danych ograniczyłoby skuteczne prowadzenie przez szereg organów działań sankcyjnych. Dlatego też przekazanie informacji o źródłach danych dotyczy tylko takiego zakresu, w jakim nie ma on wpływu na ochronę praw i wolności osoby, od której te dane zostały pozyskane.

Art. 2 ust. 6 wskazuje na możliwe sposoby przekazywania informacji o ograniczeniach stosowania RODO przez IOŚ. IOŚ informuje o ograniczeniu, o którym mowa w art. 2 ust. 5, odpowiednio przy pierwszej czynności skierowanej do osoby, której dane dotyczą. Może to zrobić w formie publicznego obwieszczenia, publicznego ogłoszenia zwyczajowo przyjętego w danej miejscowości lub przez udostępnienie pisma w BIP, na stronie podmiotowej właściwego organu IOŚ.

Wystarczające wydaje się spełnienie obowiązku informowania o tych ograniczeniach tylko w jeden ze sposobów wymienionych w art. 2 ust. 6.

Przepis art. 2 ust. 7 przewiduje wymóg wprowadzenia dodatkowego zabezpieczenia praw i wolności osób, których dane dotyczą. Zgodnie z tym przepisem, do przetwarzania danych osobowych będą dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez administratora danych. Ponadto osoby te będą obowiązane zachować w poufności dane osobowe.

Artykuł 18 ust. 1 RODO daje prawo osobie, której dane dotyczą, do żądania od administratora ograniczenia przetwarzania jej danych. Ustawodawca w art. 2 ust. 8 wskazał, że wystąpienie osoby z żądaniem ograniczenia do przetwarzania jej danych osobowych na podstawie art. 18 ust. 1 RODO nie wstrzymuje ani nie ogranicza zadań wykonywanych przez organy IOŚ.

Ocena zmian

Dodanie w ustawie o Inspekcji Ochrony Środowiska nowych przepisów ma na celu ograniczenie uprawnienia osoby, której dane są przetwarzane, tj. prawa uzyskania informacji o źródle danych, jeżeli nie zostały zebrane od tej osoby - art. 15 ust. 1 lit. g RODO. Z punktu widzenia osoby, której dane są przetwarzane, zmiany te są niekorzystne, natomiast ułatwiają prowadzenie spraw przez IOŚ. Przepisy te stanowią spełnienie wymagań wynikających z RODO, zgodnie z którymi to przepis prawa krajowego określa obowiązek, którego realizacja wiąże się z koniecznością przetwarzania danych osobowych.

PODSTAWA PRAWNA:

● art. 2 ust. 1-8 z 20 lipca 1991 r. o Inspekcji Ochrony Środowiska (Dz.U. z 2018 r. poz. 1471; ost.zm. Dz.U. z 2019 r. poz. 730);

● art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2).

Ustawa o utrzymaniu czystości i porządku w gminach

Wzór deklaracji o wysokości opłaty za gospodarowanie odpadami komunalnymi składanej przez właścicieli nieruchomości

Rada gminy, zgodnie z art. 6n ustawy o utrzymaniu czystości i porządku w gminach (dalej: u.c.p.g.), określa wzór deklaracji o wysokości opłaty za gospodarowanie odpadami komunalnymi składanej przez właścicieli nieruchomości. Zgodnie ze zmienionym art. 6n u.c.p.g., wzór deklaracji, o którym mowa powyżej, obejmuje objaśnienia dotyczące sposobu jej wypełnienia, informacje wskazane w art. 13 ust. 1 i 2 RODO (informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą) oraz pouczenie, że deklaracja stanowi podstawę do wystawienia tytułu wykonawczego.

Ocena zmian

Celem zmiany artykułu 6n u.c.p.g. było dodanie podstawy prawnej do podania we "wzorze deklaracji o wysokości opłaty za gospodarowanie odpadami komunalnymi" informacji o przetwarzaniu danych osobowych zbieranych na podstawie deklaracji.

PODSTAWA PRAWNA:

● art. 6n ust. 1 pkt 1 ustawy z 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (j.t. Dz.U. z 2018 r. poz. 1454; ost.zm. Dz.U. z 2019 r. poz. 730);

Prawo energetyczne

Wniosek o przyznanie dodatku energetycznego

Zgodnie z art. 5d ustawy - Prawo energetyczne (dalej: pr. energ.), dodatek energetyczny przyznaje wójt, burmistrz lub prezydent miasta, w drodze decyzji, na wniosek odbiorcy wrażliwego energii elektrycznej. Do wniosku dołącza się kopię umowy kompleksowej lub umowy sprzedaży energii elektrycznej.

Zmiana polega na dodaniu do artykułu 5d ust. 2 i 3.

Ocena zmian

Zgodnie ze zmianą wprowadzoną w art. 5d, rada gminy została zobowiązana do określenia w drodze uchwały wzoru wniosku o wypłatę dodatku energetycznego (art. 5d ust. 2). Jest to zmiana korzystna zarówno dla podmiotu wypełniającego wniosek, jak i organu go rozpatrującego. Stanowi ułatwienie procedury ubiegania się o wniosek. Ponadto w art. 5d ust. 3 ustawodawca dodał przepis, zgodnie z którym okres przechowywania danych osobowych w związku z wypłaceniem dodatku energetycznego wynosi maksymalnie 5 lat. Termin ten jest liczony od dnia zaprzestania wypłacania dodatku.

PODSTAWA PRAWNA:

● art. 5d ustawy z 10 kwietnia 1997 r. - Prawo energetyczne (j.t. Dz.U. z 2018 r. poz. 755; ost.zm. Dz.U. z 2019 r. poz. 730);
● art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2).

+/-

Zmiana wpisu lub wykreślenie z rejestru podmiotów przywożących

Ustawodawca zmienił art. 32d pr. energ., zastępując wyraz "przekazuje" wyrazem "udostępnia".

Ocena zmian

Zmiana w art. 32d ma charakter doprecyzowujący z uwagi na fakt, iż udostępnianie danych osobowych jest jednym ze sposobów przetwarzania danych osobowych określonych w RODO.

PODSTAWA PRAWNA:

● art. 32d ust. 4 ustawy z 10 kwietnia 1997 r. - Prawo energetyczne (j.t. Dz.U. z 2018 r. poz. 755; ost.zm. Dz.U. z 2019 r. poz. 730);

Ustawa o rolnictwie ekologicznym

Przekazywanie wykazu producentów rolnych

Ustawodawca zmienił treść artykułu 17 ust. 1 pkt 1 ustawy z 25 czerwca 2009 r. o rolnictwie ekologicznym. Zmiana polega na ograniczeniu zakresu instytucji, którym jednostki certyfikujące przekazują wykazy producentów rolnych spełniających określone wymogi w rolnictwie ekologicznym.

Zmiana wprowadzona w art. 17 ust. 1a jest konsekwencją zmiany art. 17 ust. 1 pkt 1 i polega na zwolnieniu jednostki certyfikującej z obowiązku przekazywania uzupełnienia lub zmiany wykazu producentów ministrowi właściwemu do spraw rolnictwa. W wyniku dokonanych zmian jednostka certyfikująca przekazuje uzupełnienie lub zmianę wykazu producentów do Głównego Inspektora oraz Prezesa Agencji i Restrukturyzacji i Modernizacji Rolnictwa.

Ocena zmian

Obecnie wykazy producentów rolnych przekazywane są ministrowi właściwemu do spraw rolnictwa, Głównemu Inspektorowi Jakości Handlowej Artykułów Rolno-Spożywczych oraz Prezesowi Agencji Restrukturyzacji i Modernizacji Rolnictwa. Po zmianach będą przekazywane wyłącznie Głównemu Inspektorowi Jakości Handlowej Artykułów Rolno-Spożywczych oraz Prezesowi Agencji Restrukturyzacji i Modernizacji Rolnictwa. Jest to zmiana korzystna dla jednostek certyfikujących, ponieważ zostały one zwolnione z obowiązku przekazywania wykazu producentów ministrowi do spraw rolnictwa.

PODSTAWA PRAWNA:

● art. 17 ust. 1 pkt 1 i ust. 1a ustawy z 25 czerwca 2009 r. o rolnictwie ekologicznym (Dz.U. z 2017 r. poz. 1054, ost.zm. z 2019 r. poz. 730).

Ustawa o systemie zarządzania emisjami gazów cieplarnianych i innych substancji

Krajowy system bilansowania i prognozowania emisji (Krajowy system)

W wyniku wprowadzonej zmiany w art. 6 ust. 2 pkt 1 ustawy o systemie zarządzania emisjami gazów cieplarnianych i innych substancji, Krajowy system obejmuje nie tylko informacje o podmiotach korzystających ze środowiska, ale także o osobach uprawnionych do reprezentowania podmiotów korzystających ze środowiska oraz o osobach będących użytkownikami Krajowej bazy. Celem zmiany było ustanowienie upoważnienia ustawowego dla Krajowego ośrodka bilansowania i zarządzania emisjami do przetwarzania danych osobowych osób fizycznych w związku z prowadzeniem Krajowej bazy o emisjach gazów cieplarnianych i innych substancji, a także procesem rejestracji podmiotów korzystających ze środowiska w Krajowej bazie.

Ponadto ustawodawca w art. 6 dodał ust. 5, który przewiduje ochronę prawną uzasadnionych interesów osób, których dane dotyczą, w postaci:

● dopuszczenia do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie nadane przez administratora danych;
● pisemnego zobowiązania osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Ocena zmian

Przepis art. 6 ust. 2 pkt 1 wskazuje katalog przetwarzanych danych, tj. imię i nazwisko, nazwę podmiotu i jego formę prawną, adres miejsca zamieszkania, adres siedziby, adres poczty elektronicznej, adres strony internetowej, numer telefonu komórkowego, numer telefonu stacjonarnego, numer PESEL, a w przypadku braku numeru PESEL - serię i numer dokumentu potwierdzającego tożsamość, numer identyfikacyjny w krajowym rejestrze urzędowym podmiotów gospodarki narodowej, numer identyfikacji podatkowej oraz numer w Krajowym Rejestrze Sądowym.

Zmiany wprowadzone w art. 6 ust. 5 stanowią dodatkowe zabezpieczenie interesów osób, których dane dotyczą.

PODSTAWA PRAWNA:

● art. 6 ust. 2 pkt 1 i ust. 5 ustawy z 17 lipca 2009 r. - o systemie zarządzania emisjami gazów cieplarnianych i innych substancji (j.t. Dz.U. z 2018 r. poz. 1271; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o odpadach

+/-

Kompetencje marszałka województwa w zakresie bazy danych o produktach i opakowaniach oraz o gospodarce odpadami (BDO)

Zmiany wprowadzone w art. 80 polegają na dodaniu ust. 1a-1c, zgodnie z którymi marszałek województwa przetwarza dane osobowe związane z prowadzeniem bazy danych o produktach i opakowaniach oraz o gospodarce odpadami (BDO). W wyniku zmiany wskazano również okresy przechowywania danych osobowych, które wynoszą odpowiednio 5 lat od końca roku kalendarzowego, w którym zostały wskazane dokumenty ewidencji odpadów, a w przypadku pozostałych danych 100 lat od końca roku kalendarzowego, w którym zostały sporządzone dokumenty zawierające te dane. Ponadto określono zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu danych.

W art. 81 ust. 1a wskazano właściwego ministra do spraw środowiska jako administratora danych osobowych zawartych w systemie BDO.

Ocena zmian

W art. 80 ust. 1a-1c określono obowiązki marszałka województwa w zakresie danych osobowych uzyskiwanych i przetwarzanych w związku z prowadzeniem BDO. Z kolei artykuł 81 ust. 1a rozstrzyga wątpliwości w kwestii administratora danych osobowych zawartych w systemie BDO.

PODSTAWA PRAWNA:

● art. 80 ust. 1a-1c ustawy z 14 grudnia 2012 r. - o odpadach (j.t. Dz.U. z 2019 r. poz. 701; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o odnawialnych źródłach energii

+/-

Administrowanie i przetwarzanie danych osobowych zawartych w rejestrach

W ustawie o odnawialnych źródłach energii (dalej: oze) ustawodawca uchylił art. 159 ust 1.

Z przepisów oze wynika, iż Prezes Urzędu Dozoru Technicznego jest administratorem danych osobowych rejestrów, o których mowa w art. 158 oze, tj.:

● certyfikowanych instalatorów, wydanych certyfikatów i ich wtórników;
● akredytowanych organizatorów szkoleń.

Ocena zmian

Uchylenie art. 159 ust. 1 jest zasadne i ma charakter porządkujący.

PODSTAWA PRAWNA:

● art. 159 ust. 1 ustawy z 20 lutego 2015 r. o odnawialnych źródłach energii (j.t. Dz.U. z 2018 r. poz. 2389; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o systemie handlu uprawnieniami do emisji gazów cieplarnianych

+/-

Administrowanie systemem handlu

Ustawodawca w art. 7 wprowadził numerację oraz dodał ust. 2. Przepis ten przewiduje środki chroniące prawnie interesy osób, których dane dotyczą. Są nimi:

● dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie nadane przez administratora danych;
● pisemne zobowiązanie osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Ocena zmian

Wprowadzenie takich środków na poziomie ustawowym pozwoli administratorowi danych zastosować odpowiednie środki chroniące prawnie interesy osoby, której dane dotyczą.

PODSTAWA PRAWNA:

● art. 7 ust. 2 ustawy z 12 czerwca 2015 r. o systemie handlu uprawnieniami do emisji gazów cieplarnianych (Dz.U. z 2018 r. poz. 1201; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o biokomponentach i biopaliwach ciekłych

Ochrona danych w rejestrze rolników

Zmiana w ustawie o biokomponentach i biopaliwach ciekłych wynika z konieczności zapewnienia należytej ochrony danych osobowych podmiotu wpisywanego do rejestru, zgodnie z wymaganiami nałożonymi przez RODO. Ochronie tej podlegają adresy zamieszkania rolników oraz adresy członków grup rolniczych.

Ocena zmian

Zmiana ma charakter techniczny - dostosowuje przepisy ustawy dotyczące ochrony danych znajdujących się w rejestrze rolników do RODO.

PODSTAWA PRAWNA:

● art. 15 ust. 3 ustawy z 25 sierpnia 2006 r. o biokomponentach i biopaliwach ciekłych (j.t. Dz.U. z 2018 r. poz. 1344; ost.zm. Dz.U. z 2019 r. poz. 730).

Karta Nauczyciela

+/-

Dostosowanie przepisów: pominięcie powołania poprzedniej ustawy

Wprowadzona zmiana ma charakter dostosowawczy i polega jedynie na pominięciu w dotychczasowej treści przepisu powołania ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.

Ocena zmian

Wprowadzone w przepisie zmiany polegają na usunięciu odesłania do ustawy o ochronie danych osobowych. Z tego powodu, co do zasady, nowelizacja jest neutralna dla objętych tą regulacją podmiotów.

PODSTAWA PRAWNA:

● art. 85w ust. 4 ustawy z 26 stycznia 1982 r. - Karta Nauczyciela (j.t. Dz.U. z 2018 r. poz. 967; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o systemie oświaty

Podmioty zobowiązane, przetwarzające dane osobowe

Ustawodawca wprowadził do ustawy nowy art. 13b w celu doprecyzowania obowiązków wymienionych podmiotów w obszarze przetwarzania danych osobowych. Przepis wskazuje podmioty zobowiązane, które w zakresie niezbędnym dla realizacji zadań i obowiązków nałożonych ustawą przetwarzają dane osobowe. Wymienione zostały:

● szkoły,
● placówki,
● organy prowadzące szkoły lub placówki,
● organy sprawujące nadzór pedagogiczny,
● inne formy wychowania przedszkolnego,
● inne podmioty realizujące zadania i obowiązki określone w ustawie o systemie oświaty.

Ocena zmian

Celem nowelizacji jest doprecyzowanie, jakie podmioty w procesie realizacji zadań z obszaru oświaty przetwarzają dane osobowe. Nowelizacja jasno wskazuje podmioty odpowiedzialne, co ma pozytywny walor porządkujący.

PODSTAWA PRAWNA:

● art. 13b ust. 1 ustawy z 7 września 1991 r. o systemie oświaty (j.t. Dz.U. z 2018 r. poz. 1457; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek zachowania poufności

Na nauczycieli oraz na inne osoby pełniące funkcje lub wykonujące pracę na rzecz podmiotów przetwarzających dane osobowe (wskazanych powyżej) nałożono obowiązek zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.

Wyraźne określenie obowiązku zachowania w tajemnicy danych wrażliwych ma na celu wzmocnienie gwarancji ochrony podstawowych praw i interesów osób, których dane są przetwarzane na podstawie przepisów prawa w celu realizacji praw i obowiązków edukacyjnych.

Obowiązek zachowania danych w poufności zostaje zawieszony:

● w przypadku zagrożenia zdrowia ucznia,
● jeżeli uczeń, a w przypadku ucznia niepełnoletniego - jego rodzic, wyrazi zgodę na ujawnienie określonych informacji,
● w przypadku, gdy zezwalają na to przepisy szczególne.

Ocena zmian

Nowelizacja precyzuje obowiązki nauczycieli oraz innych osób pełniących funkcję lub wykonujących pracę na rzecz podmiotów przetwarzających dane osobowe w zakresie ich zabezpieczenia. Celem jest wzmocnienie ochrony danych uczniów, także tych wrażliwych. Dane mogą być przetwarzane wyłącznie w celu realizacji praw i obowiązków edukacyjnych. Z tego względu zmiany należy uznać za pozytywne, pomimo nałożenia nowych obowiązków na określone ustawowo podmioty. Nowelizacja dodatkowo jasno wskazuje wyjątkowe przypadki, w których obowiązek zachowania w poufności danych osobowych ucznia zostaje zawieszony.

PODSTAWA PRAWNA:

● art. 13b ust. 2-3 ustawy z 7 września 1991 r. o systemie oświaty (j.t. Dz.U. z 2018 r. poz. 1457; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Dostosowanie przepisów: pominięcie powołania poprzedniej ustawy

Wprowadzona zmiana art. 92k ust. 2 pkt 2 ma jedynie charakter dostosowawczy i polega na pominięciu w dotychczasowej treści przepisu powołania ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.

Ocena zmian

PODSTAWA PRAWNA:

● art. 92k ust. 2 pkt 2 ustawy z 7 września 1991 r. o systemie oświaty (j.t. Dz.U. z 2018 r. poz. 1457; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo oświatowe

Podmioty zobowiązane, przetwarzające dane osobowe

Do ustawy - Prawo oświatowe dodano nowy art. 30a w celu doprecyzowania obowiązków wymienionych podmiotów w obszarze przetwarzania danych osobowych. Przepis wskazuje podmioty zobowiązane, które w zakresie niezbędnym dla realizacji zadań i obowiązków nałożonych ustawą przetwarzają dane osobowe. Wymienione zostały:

Ocena zmian

PODSTAWA PRAWNA:

● art. 30a ust. 1 ustawy z 14 grudnia 2016 r. - Prawo oświatowe (j.t. Dz.U. z 2018 r. poz. 996; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek zachowania poufności

Ustawodawca nałożył na nauczycieli oraz na inne osoby pełniące funkcje lub wykonujące pracę na rzecz podmiotów przetwarzających dane osobowe (wskazanych powyżej) obowiązek zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.

Obowiązek zachowania danych w poufności zostaje zawieszony:

Ocena zmian

Nowelizacja precyzuje obowiązki nauczycieli oraz innych osób pełniących funkcje lub wykonujących pracę na rzecz podmiotów przetwarzających dane osobowe w zakresie ich zabezpieczenia. Celem jest wzmocnienie ochrony danych uczniów, także tych wrażliwych. Dane mogą być przetwarzane wyłącznie w celu realizacji praw i obowiązków edukacyjnych. Z tego względu zmiany należy uznać za pozytywne, pomimo nałożenia nowych obowiązków na określone ustawowo podmioty. Nowelizacja dodatkowo jasno wskazuje wyjątkowe przypadki, w których obowiązek zachowania w poufności danych osobowych ucznia zostaje zawieszony.

PODSTAWA PRAWNA:

● art. 30a ust. 2-3 ustawy z 14 grudnia 2016 r. - Prawo oświatowe (j.t. Dz.U. z 2018 r. poz. 996; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek odpowiedniego zabezpieczenia procesów przetwarzania danych osobowych przez dyrektora

Dodanie nowego przepisu w katalogu obowiązków dyrektora ma na celu uzupełnienie zakresu zadań dyrektora szkoły lub placówki zawartych w tym przepisie o zobowiązanie do odpowiedniego zabezpieczenia technicznych i organizacyjnych procesów przetwarzania danych osobowych przez szkołę lub placówkę, tak aby zapewnić ich zgodność z przepisami obowiązującymi w tym zakresie.

Ocena zmian

Nowelizacja wprowadza nowe zobowiązanie ciążące na dyrektorze, związane z odpowiednim zabezpieczeniem technicznych i organizacyjnych procesów przetwarzania danych osobowych przez szkołę lub placówkę. Celem jest wzmocnienie ochrony danych uczniów, także tych wrażliwych. Dane mogą być przetwarzane wyłącznie w celu realizacji praw i obowiązków edukacyjnych. Z tego względu zmiany należy uznać za pozytywne, pomimo nałożenia na dyrektora dodatkowego obowiązku.

PODSTAWA PRAWNA:

● art. 68 ust. 1 pkt 12 ustawy z 14 grudnia 2016 r. - Prawo oświatowe (j.t. Dz.U. z 2018 r. poz. 996; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo o szkolnictwie wyższym i nauce

Nowelizacja ma na celu dostosowanie przepisów ustawy o szkolnictwie wyższym i nauce do wymogów i zasad przetwarzania danych osobowych, wprowadzonych przepisami ogólnego rozporządzenia o ochronie danych. W tym celu wprowadzono nowy dział XIVa. Przetwarzanie danych osobowych, w którym są ujęte przepisy dotyczące ochrony danych osobowych w zakresie szkolnictwa wyższego i nauki.

Sprostowanie danych osobowych

Art. 469a ustawy dotyczy sprostowań danych osobowych przetwarzanych w celu realizacji zadań wynikających z ustawy o szkolnictwie wyższym i nauce. Stanowi, że sprostowań dokonują te podmioty, które pozyskały dane od osób fizycznych.

Ocena zmian

Celem nowelizacji jest doprecyzowanie, jakie podmioty są odpowiedzialne za dokonanie sprostowań danych osobowych przetwarzanych w celu realizacji zadań wynikających z ustawy o szkolnictwie wyższym i nauce. Zmiana ma pozytywny walor porządkujący.

PODSTAWA PRAWNA:

● art. 469a ustawy z 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz.U. z 2018 r. poz. 1668; ost.zm. Dz.U. z 2019 r. poz. 730).

Prowadzenie badań naukowych i prac rozwojowych z wykorzystaniem danych osobowych

Art. 469b wyłącza stosowanie przepisów ogólnego rozporządzenia o ochronie danych (art. 15, art. 16, art. 18 i art. 21) przy realizacji badań naukowych i prac rozwojowych ze względu na specyfikę działalności badawczo-rozwojowej i gwarantowanej przez prawo wolności badawczej.

Ogólne rozporządzenie o ochronie danych dopuszcza możliwość ograniczenia w ustawodawstwie krajowym praw osób fizycznych, związanych z ochroną ich danych osobowych, jeżeli miałoby to umożliwić prowadzenie działalności badawczej i byłoby podyktowane interesem publicznym. Warunkiem jest, aby cele działalności badawczej, w ramach których dane osobowe są przetwarzane, nie naruszały istoty prawa do ochrony tych danych i przewidywały odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby fizycznej, której dane dotyczą.

W zakresie niezbędnym do prowadzenia badań naukowych i prac rozwojowych dopuszcza się przetwarzanie danych osobowych ujawniających:

● pochodzenie rasowe lub etniczne,
● poglądy polityczne,
● przekonania religijne lub światopoglądowe,
● przynależność do związków zawodowych

oraz przetwarzanie:

● danych genetycznych,
● danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej,
● danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Warunkiem przetwarzania i użycia danych jest, aby publikowanie wyników tych badań i prac następowało w sposób uniemożliwiający identyfikację osoby fizycznej, której dane zostały przetworzone.

Ust. 3 i 4 omawianego artykułu nakłada na administratora danych obowiązek szczególnych zabezpieczeń technicznych i organizacyjnych, pozyskanych i przetwarzanych danych osób fizycznych.

Wprowadzone przepisy rozdziału XIVa stosuje się także do przetwarzania danych osobowych w celu przygotowania pracy dyplomowej lub rozprawy doktorskiej wymaganej do uzyskania dyplomu ukończenia studiów lub stopnia naukowego.

Aby dostosowanie ustawy o szkolnictwie wyższym i nauce do RODO było kompleksowe, zmodyfikowano art. 176 pkt 1 tak, aby zmiany dotyczyły także federacji podmiotów systemu szkolnictwa wyższego i nauki. Usunięto także ustęp 3 art. 258.

Ocena zmian

Celem wprowadzenia nowych regulacji jest przede wszystkim umożliwienie prowadzenia działalności naukowej i badawczej z wykorzystaniem danych. Dodawane przepisy pozwolą zabezpieczyć szereg sytuacji, w których przetwarzanie danych osobowych jest niezbędne do realizacji celów badawczych. Wobec tego zmiany należy uznać za pozytywne.

PODSTAWA PRAWNA:

● art. 176 pkt 1, art. 258 ust. 3, art. 469a-469b ustawy z 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz.U. z 2018 r. poz. 1668; ost.zm. Dz.U. z 2019 r. poz. 730).

Kodeks postępowania administracyjnego

+/-

Rozdzielenie sfery ochrony danych osobowych w zakresie obowiązków informacyjnych od postępowań administracyjnych

Wprowadzony do ustawy z 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (dalej: k.p.a.) art. 2a normuje sposób przekazywania danych w toku postępowań związanych ze zbieraniem danych osobowych. Zgodnie z tym przepisem, przekazywanie informacji, o których mowa w art. 13 ust. 1 i 2 RODO, odbywa się niezależnie od obowiązków organów administracji publicznej przewidzianych w Kodeksie postępowania administracyjnego i nie ma wpływu na ich przebieg i wynik postępowań. Ponadto wystąpienie do administratora z żądaniem ograniczenia przetwarzania danych także nie wpływa na tok i wynik postępowania.

1. Dane osobowe zawarte w dokumentach urzędowych

Zgodnie z art. 86 RODO - dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlega ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy RODO. W związku z tym przepisem wprowadzono zmiany do art. 73 oraz 236 k.p.a.

Wgląd w akta sprawy w sytuacji opisanej w art. 73 k.p.a. następuje z pominięciem danych osobowych osoby składającej skargę - art. 236 § 2 k.p.a.

Zgodnie z nowo dodanym art. 74a k.p.a. - przepis art. 73 § 1 k.p.a. nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 RODO, tj. prawa osoby, której dane dotyczą, do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji wskazanych w art. 15 RODO.

W przypadku wszczęcia albo wznowienia postępowania, stwierdzenia nieważności decyzji, jej uchylenia albo zmiany na skutek skargi, o której mowa w art. 233 zdanie drugie, art. 234 pkt 2 lub art. 235, w stosunku do strony i uczestnika postępowania przepisu art. 15 ust. 1 lit. g RODO nie stosuje się.

Na każdym etapie postępowania skarżący może zezwolić organowi na udostępnienie swoich danych stronie postępowania.

2. Wezwanie do udziału w czynnościach procesowych

Zgodnie z art. 54 k.p.a., wezwanie do udziału w czynnościach procesowych zawiera:

1) nazwę i adres organu wzywającego;

2) imię i nazwisko wzywanego;

3) w jakiej sprawie oraz w jakim charakterze i w jakim celu zostaje wezwany;

4) czy wezwany powinien się stawić osobiście lub przez pełnomocnika, czy też może złożyć wyjaśnienie lub zeznanie na piśmie lub w formie dokumentu elektronicznego;

5) termin, do którego żądanie powinno być spełnione, albo dzień, godzinę i miejsce stawienia się wezwanego lub jego pełnomocnika;

6) skutki prawne niezastosowania się do wezwania.

Ponadto, jak wskazano w nowo dodanym art. 54 § 1a k.p.a., w wezwaniu zawiera się również informacje, o których mowa w art. 13 ust. 1 i 2 RODO, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie.

3. Wszczęcie postępowania administracyjnego

Postępowanie administracyjne wszczyna się na wniosek strony lub z urzędu. Wszczęcie postępowania następuje na skutek doręczenia postanowienia w tej kwestii bądź żądania wszczęcia postępowania.

Organ administracji publicznej ma obowiązek przekazać informacje, o których mowa w art. 13 ust. 1 i 2 RODO przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres i treść nie uległy zmianie.

4. Zawiadomienie o przekazaniu sprawy do organu właściwego

Jeżeli organ administracji publicznej, do którego podanie wniesiono, jest niewłaściwy w sprawie, niezwłocznie przekazuje je do organu właściwego, zawiadamiając jednocześnie o tym wnoszącego podanie. Na mocy dodanego art. 65 § 1a, do zawiadomienia o przekazaniu sprawy dołącza się także informację, o której mowa w art. 13 ust. 1 i 2 RODO, w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie.

Regulacja ta ma zastosowanie także do zawiadomienia wysyłanego przez organ administracji publicznej, do którego podanie wniesiono - do wnoszącego podanie w przypadku, gdy dotyczy ono kilku spraw podlegających załatwieniu przez różne organy (art. 66 k.p.a.).

5. Milczące załatwienie sprawy

Zgodnie z nowo dodanym art. 122h § 1 k.p.a. - w sprawach załatwianych milcząco organ administracji publicznej udostępnia informacje, o których mowa w art. 13 ust. 1 i 2 RODO:

● w Biuletynie Informacji Publicznej na swojej stronie podmiotowej,
● na swojej stronie internetowej,
● w widocznym miejscu w swojej siedzibie.

Przekazanie tej informacji w powyższy sposób nie zwalnia organu administracji publicznej z obowiązku ich przekazania przy pierwszej czynności skierowanej do strony.

6. Wydawanie zaświadczeń

Organ administracji publicznej wydając zaświadczenia, na mocy art. 217 k.p.a. ma obowiązek przekazania informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.

7. Skargi i wnioski

Również w przypadku skarg i wniosków składanych na mocy art. 221 i nast. k.p.a., organy właściwe w sprawach skarg i wniosków przekazują informacje, o których mowa w art. 13 ust. 1 i 2 RODO, skarżącemu lub wnioskodawcy przy pierwszej czynności skierowanej do tych osób - art. 226a k.p.a.

Analogicznie jak w przypadku wcześniej omówionych przepisów, w sytuacji gdy organ, który otrzymał skargę, nie jest właściwy do jej rozpatrzenia, obowiązany przekazać ją właściwemu organowi, zawiadamiając równocześnie o tym skarżącego, albo wskazać mu właściwy organ. Organ, który uznał siebie za niewłaściwy, jest zobowiązany do zawiadomienia o przekazaniu skargi dołączyć informacje, o których mowa w art. 13 ust. 1 i 2 RODO, w zakresie danych przetwarzanych przez ten organ - art. 231 § 1 k.p.a.

Ocena zmian

Celem przedstawionych regulacji jest wprowadzenie do Kodeksu postępowania administracyjnego przepisów wskazujących na sytuacje, w których organy administracji publicznej będą zobowiązane realizować art. 13 RODO oraz jednoznaczne podkreślenie odrębności tych regulacji od postępowania administracyjnego. Od strony proceduralnej przepisy Kodeksu postępowania administracyjnego zapewniają stronom i uczestnikom postępowania gwarancje prawno-procesowe związane z ich sytuacją prawną, w tym uwzględniające poszanowanie ich danych osobowych (np. ograniczające jawność akty postępowania). Zasadność podkreślenia na gruncie Kodeksu postępowania administracyjnego rozdzielenia sfery ochrony danych osobowych w zakresie obowiązków informacyjnych od postępowań prowadzonych na gruncie Kodeksu postępowania administracyjnego potwierdza art. 77 RODO, który wskazuje, iż każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza RODO. W konsekwencji należy uznać, iż osobie, której dane dotyczą, przysługują na gruncie RODO odrębne od uprawnień wynikających z k.p.a. uprawnienia związane z przetwarzaniem danych osobowych.

PODSTAWA PRAWNA:

● art. 2a, art. 54, art. 65, art. 66, art. 73, art. 74, art. 122h, art. 217, art. 221, art. 226a, art. 231, art. 236 ustawy z 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (j.t. Dz.U. z 2018 r. poz. 2096; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o postępowaniu egzekucyjnym w administracji

+/-

Przetwarzanie danych przez organy egzekucyjne

Zgodnie z dodanym art. 5a ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (dalej: u.p.e.a.), dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych,

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności,

3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych,

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez pozyskiwanie danych osobowych i przekazywanie ich podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych,

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych organów,

6) zapewnieniu integralności danych w systemach informatycznych organów,

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

Ocena zmian

Przepis art. 5a u.p.e.a. został wprowadzony w celu określenia minimalnych zabezpieczeń zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu danych osobowych przetwarzanych w celu wykonywania zadań wynikających z ustawy o postępowaniu egzekucyjnym w administracji.

PODSTAWA PRAWNA:

● art. 5a ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (j.t. Dz.U. z 2018 r. poz. 1314; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne

Organ poinformuje osobę o sprawach ważnych z punktu widzenia jej interesu prawnego

Dodano przepisy umożliwiające podmiotom publicznym wykorzystanie danych kontaktowych osoby fizycznej (posiadanych w rejestrach i systemach teleinformatycznych) w celu powiadomienia jej o ważnych okolicznościach związanych z jej prawami i obowiązkami, które wymagają podjęcia przez nią działania w celu ochrony jej interesu prawnego lub faktycznego.

Ocena zmian

Przepis spełnia przesłankę celu, jakim jest ochrona osoby, której dane dotyczą np. przed negatywnymi konsekwencjami braku działania z jej strony. Jednocześnie chodzi tu o działania związane z realizacją usług, które administracja świadczy na jej rzecz (np. poinformowanie o zbliżającym się terminie wygaśnięcia jakiegoś świadczenia okresowego i konieczności złożenia ponownego wniosku).

PODSTAWA PRAWNA:

● art. 15b ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (j.t. Dz.U. z 2019 r. poz. 700; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o ponownym wykorzystywaniu informacji sektora publicznego

Dodanie normy kolizyjnej regulującej pierwszeństwo stosowania przepisów dotyczących ponownego wykorzystania informacji sektora publicznego

Zmienione brzmienie art. 7 ust. 1 ustawy o ponownym wykorzystywaniu informacji sektora publicznego (dalej: u.p.w.) ma na celu uporządkowanie normy kolizyjnej określającej relację u.p.w. z przepisami innych ustaw określających zasady, warunki i tryb dostępu lub ponownego wykorzystywania informacji będących informacjami sektora publicznego.

Ocena zmian

Zmiana pozytywna. Niektóre inne ustawy przewidują szczególne przepisy o ponownym wykorzystywaniu, które powinny mieć pierwszeństwo przed stosowaniem przepisów ustawy o ponownym wykorzystywaniu informacji sektora publicznego.

PODSTAWA PRAWNA:

● art. 7 ust. 1 ustawy z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (j.t Dz.U. z 2018 r. poz. 1243; ost.zm. Dz.U. z 2019 r. poz. 730).

Wyłączenie stosowania RODO

Dodane do art. 7 u.p.w. nowe ustępy 3 i 4 regulują sytuacje, w których do przetwarzania danych osobowych nie stosuje się przepisów RODO.

Zgodnie z art. 7 ust. 3 u.p.w., do przetwarzania danych osobowych w celu udostępniania lub przekazywania informacji sektora publicznego do ponownego wykorzystywania przepisu art. 13 ust. 3 RODO nie stosuje się. Zgodnie z tym przepisem RODO, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

Ocena zmian

Z samej definicji ponownego wykorzystywania, o której mowa w art. 2 ust. 2 u.p.w., wynika, że dane te w procesie ponownego wykorzystywania będą przetwarzane w innym celu niż cel, dla którego zostały zebrane.

PODSTAWA PRAWNA:

● art. 7 ust. 3 ustawy z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (j.t Dz.U. z 2018 r. poz. 1243; ost.zm. Dz.U. z 2019 r. poz. 730).

Przetwarzanie danych o osobach pełniących funkcje publiczne

Zgodnie z art. 7 ust. 4 u.p.w., przepisów RODO nie stosuje się do ponownego przetwarzania danych osobowych:

● osób pełniących funkcje publiczne mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji;
● osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe;
● obejmujących nazwę (firmę), NIP albo imię i nazwisko kontrahenta podmiotu zobowiązanego.

Ocena zmian

Dane dotyczące osób publicznych pełniących funkcje publiczne mające związek z pełnieniem tych funkcji pozostają jawne na gruncie przepisów ustawy z 6 września 2001 r. o dostępie do informacji publicznej.

PODSTAWA PRAWNA:

● art. 7 ust. 4 ustawy z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (j.t Dz.U. z 2018 r. poz. 1243; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Zasady prostowania danych osobowych

Art. 7 ust. 5 u.p.w. wskazuje sposób wypełnienia obowiązku wynikającego z art. 19 RODO (obowiązek sprostowania lub usunięcia danych osobowych lub ograniczenie przetwarzania w odniesieniu do danych osobowych).

Ocena zmian

Wykonanie następuje poprzez zaktualizowanie danych odpowiednio w Biuletynie Informacji Publicznej, w centralnym repozytorium lub w inny sposób.

PODSTAWA PRAWNA:

● art. 7 ust. 5 ustawy z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (j.t Dz.U. z 2018 r. poz. 1243; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o statystyce publicznej

Definicje ustawowe

Zmiany w przepisach ogólnych obejmują m.in. dodanie nowych definicji w art. 2 ustawy o statystyce publicznej (dalej: u.s.p.):

● osoby fizycznej prowadzącej działalność gospodarczą - osoba fizyczna będąca przedsiębiorcą w rozumieniu ustawy z 6 marca 2018 r. - Prawo przedsiębiorców (Dz.U. poz. 646, 1479, 1629, 1633 i 2212), inna osoba fizyczna prowadząca działalność na własny rachunek w celu osiągnięcia zysku oraz osoba fizyczna prowadząca indywidualne gospodarstwo rolne (pkt 11b);
● niepublicznych systemów informacyjnych - systemy zbierania, gromadzenia i przetwarzania informacji prowadzone przez podmioty inne niż organy i podmioty, o których mowa w pkt 13, w szczególności podmioty wykonujące działalność w zakresie (pkt 15):

1) sprzedaży lub dostawy energii elektrycznej,

2) zbiorowego odprowadzania ścieków i zbiorowego zaopatrzenia w wodę,

3) przesyłu, dystrybucji i obrotu paliwami gazowymi,

4) obrotu, przesyłu i wytwarzania energii cieplnej,

5) telekomunikacji,

6) ubezpieczeń,

7) transportu i leasingu,

8) zarządzania portami lotniczymi,

9) zarządzania i administrowania nieruchomościami.

Ocena zmian

Definicja osoby fizycznej prowadzącej działalność gospodarczą została przeniesiona z dotychczasowego art. 42 ust. 2 ustawy.

Wprowadzenie nowej definicji niepublicznych systemów informacyjnych wynika ze wskazania tych systemów jako jednego ze źródeł danych, z których statystyka publiczna może zbierać dane, jeżeli jest to konieczne w celu realizacji zadań ustawowych. Związane jest to również z faktem, że zgodnie z obowiązującym art. 13 ust. 5 i art. 18 ust. 3 ustawy, służby statystyki publicznej są obowiązane do wykorzystywania danych już zgromadzonych i przechowywanych w istniejących rejestrach i systemach informacyjnych prowadzonych przez różnego rodzaju podmioty i organy. Możliwość pozyskiwania danych z tych systemów stanowić będzie istotne źródło danych ze względu na ich duży wpływ na efektywny proces tworzenia oficjalnych statystyk. Korzyści z wykorzystania danych z niepublicznych systemów informacyjnych wyrażają się w:

● redukcji obciążeń administracyjnych - zmniejszeniu obciążeń respondentów obowiązkami związanymi z dostarczaniem informacji dla statystyki: ograniczenie zakresu i częstotliwości zbieranych danych bezpośrednio od respondentów,
● większej elastyczności i szybszej reakcji na nowe potrzeby informacyjne użytkowników - dostarczaniu informacji adekwatnych do ich potrzeb (zakresu informacyjnego, dezagregacji przestrzennej i dziedzinowej),
● poprawie efektywności tworzenia statystyk,
● zwiększeniu dokładności danych wynikowych, oszacowań,
● zwiększeniu aktualności danych wynikowych - skróceniu czasu przetwarzania danych,
● możliwości rezygnacji z tradycyjnego zbierania danych na formularzach statystycznych w całości lub części.

PODSTAWA PRAWNA:

● art. 2 pkt 11b, pkt 15 ustawy z 29 czerwca 1995 r. o statystyce publicznej (j.t. Dz.U. z 2019 r. poz. 649; ost.zm. Dz.U. z 2019 r. poz. 730).

Źródła pochodzenia danych wykorzystywanych do celów statystycznych

Nowelizacja wyjaśnia, że służby statystyki publicznej zbierają dane, w tym dane osobowe, z dostępnych źródeł określonych w ustawie i wydanych na jej podstawie aktach wykonawczych albo odrębnych ustawach (art. 5a ust. 1 u.s.p.). Natomiast ust. 2 i 3 art. 5a u.s.p. wskazują, że dane do celów statystycznych pozyskiwane są z: rejestrów urzędowych; systemów informacyjnych administracji publicznej; niepublicznych systemów informacyjnych; od respondentów oraz z innych źródeł.

Ocena zmian

Przepisy porządkują i określają źródła danych. Zakłada się, że głównymi źródłami danych wykorzystywanych do celów statystycznych będą rejestry urzędowe i systemy informacyjne administracji publicznej, następnie niepubliczne systemy informacyjne i dane pozyskiwane bezpośrednio od respondentów. Działanie takie związane jest z dążeniem służb statystyki publicznej do redukcji obciążeń informacyjnych respondentów na rzecz wykorzystywania danych już znajdujących się w systemach informacyjnych i rejestrach publicznych i niepublicznych.

PODSTAWA PRAWNA:

● art. 5a ust. 1, 2 i 3 ustawy z 29 czerwca 1995 r. o statystyce publicznej (j.t. Dz.U. z 2019 r. poz. 649; ost.zm. Dz.U. z 2019 r. poz. 730).

Zasady udziału w badaniach statystycznych

Nowelizacja precyzuje metody zbierania danych od respondentów, wskazując, że są one zbierane metodą obserwacji pełnej lub metodą reprezentacyjną na wylosowanej próbie danej zbiorowości lub metodą doboru celowego (art. 6 ust. 1 u.s.p.) Ponadto w art. 6 ust. 2 i 3 u.s.p. uregulowano zasady udziału w badaniach statystycznych osób fizycznych i osób fizycznych prowadzących działalność gospodarczą.

Ocena zmian

Ważnym rozwiązaniem jest doprecyzowanie w przepisach, że osoby fizyczne mają obowiązek uczestniczyć w badaniach statystycznych tylko i wyłącznie w sytuacji, w której badanie dotyczy prowadzonej przez nie działalności gospodarczej.

PODSTAWA PRAWNA:

● art. 6 ust. 1, 2 i 3 ustawy z 29 czerwca 1995 r. o statystyce publicznej (j.t. Dz.U. z 2019 r. poz. 649; ost.zm. Dz.U. z 2019 r. poz. 730).

Zasady przetwarzania danych wrażliwych (sensytywnych)

Zgodnie z nową treścią art. 8 u.s.p.: dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 04.05.2016, s. 1, z późn.zm.), zwanego dalej "rozporządzeniem 2016/679", nie mogą być zbierane na zasadzie obowiązku w badaniach statystycznych prowadzonych z udziałem osób fizycznych.

Ocena zmian

Nowelizacja tego przepisu była konieczna w związku z uchyleniem ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. W związku z utratą mocy tego aktu konieczne stało się odwołanie do obowiązujących przepisów w tym zakresie. Zasada, że dane te nie mogą być zbierane na zasadzie obowiązku w badaniach statystycznych prowadzonych z udziałem osób fizycznych, została utrzymana.

PODSTAWA PRAWNA:

● art. 8 ustawy z 29 czerwca 1995 r. o statystyce publicznej (j.t. Dz.U. z 2019 r. poz. 649; ost.zm. Dz.U. z 2019 r. poz. 730).

Standardy niepublicznych systemów informacyjnych

Nowelizacja precyzuje, że podmioty publiczne mają obowiązek stosować ustalone przez prezesa GUS standardy gromadzenia danych. Jednocześnie ustawodawca postanowił zwolnić z tego obowiązku podmioty prywatne przetwarzające dane statystyczne (w tym dane osobowe) w niepublicznych systemach informatycznych.

Ocena zmian

Zmiany wprowadzone do art. 13 u.s.p. wynikają z wprowadzenia do przepisów ustawy konstrukcji niepublicznych systemów informacyjnych. Ze względu na fakt, że są one prowadzone przez inne podmioty niż podmioty publiczne, odstąpiono od wymogu stosowania przez te systemy standardów klasyfikacyjnych, numeru identyfikacyjnego i oznaczeń kodowych przyjętych w krajowym rejestrze urzędowym podziału terytorialnego kraju, przekazywania informacji o zawartości informacyjnej eksploatowanych systemów oraz informowania o projektowanym zakresie informacyjnym, uznając to za nadmierne obciążenie. Również wyłączone zostało uprawnienie Prezesa Głównego Urzędu Statystycznego wobec podmiotów prowadzących niepubliczne systemy informacyjne zgłaszania wniosków dotyczących zawartości informacyjnej i wymogów jakości danych.

PODSTAWA PRAWNA:

● art. 13 ustawy z 29 czerwca 1995 r. o statystyce publicznej (j.t. Dz.U. z 2019 r. poz. 649; ost.zm. Dz.U. z 2019 r. poz. 730).

Zasady przetwarzania danych osobowych dla celów statystycznych

Zmiany w rozdziale 4a "Przetwarzanie danych osobowych dla celów statystycznych" są generalnie związane z wprowadzeniem przepisów dostosowujących do RODO oraz wynikami analizy ex post obowiązujących przepisów.

Ocena zmian

W art. 35a określone zostały cele statystyczne, w realizacji których niezbędne jest przetwarzanie danych osobowych.

Dodawany nowy art. 35aa stanowi, że dane osobowe, bez względu na źródło ich pozyskania, z chwilą ich zebrania przez służby statystyki publicznej, stają się danymi statystycznymi i są objęte tajemnicą statystyczną.

Natomiast w znowelizowanym art. 35b u.s.p. wskazano, jakie dane osobowe mogą być dla celów statystycznych przetwarzane. Przepis ten rozszerzono o tzw. dane wrażliwe (sensytywne), wskazując, że służby statystyki publicznej przetwarzają w celu statystycznym następujące dane biometryczne, genetyczne czy dotyczące seksualności lub orientacji seksualnej. W tym miejscu trzeba zwrócić uwagę, że zgodnie z motywem 52 RODO możliwe są wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych - o ile przewiduje to prawo Unii lub prawo państwa członkowskiego i podlega to odpowiednim zabezpieczeniom chroniącym dane osobowe i inne prawa podstawowe. Dodawany do art. 35b u.s.p. ust. 2a wskazuje, że służby statystyki publicznej są upoważnione do przetwarzania nie tylko danych osobowych "uzyskanych" np. od osób fizycznych (wywiad, ankieta), ale także danych "uzyskanych" w wyniku analizy danych osobowych pozyskanych bezpośrednio od osoby fizycznej lub z rejestrów i systemów informacyjnych, tj. danych wywiedzionych i danych wywnioskowanych.

Zmiany w art. 35c u.s.p. polegają na wprowadzeniu centralnej bazy danych ksiąg wieczystych do katalogu źródeł danych oraz doprecyzowaniu obowiązujących przepisów w związku z wprowadzeniem niepublicznych systemów administracyjnych jako potencjalnego źródła danych osobowych dla potrzeb realizacji celów statystycznych.

Art. 35d u.s.p. wskazuje, że dane osobowe po ich zebraniu przez służby statystyki publicznej są pseudonimizowane, jeżeli pozwala na to cel ich przetwarzania. Co do zasady, opracowywanie danych statystycznych, a takimi danymi są również i dane osobowe zebrane w ramach statystyki publicznej, odbywa się z odłączeniem lub zakodowaniem informacji pozwalających na identyfikację konkretnego podmiotu obserwacji statystycznej. Odwrócenie tego procesu będzie następowało wyłącznie w przypadku, i tylko w takim zakresie, w jakim będzie to niezbędne do osiągnięcia celu statystycznego, np. łączenia danych lub ich porównania, a następnie dane będą dalej opracowywane, zgodnie z zasadami, czyli z odłączeniem lub zakodowaniem informacji pozwalających na zidentyfikowanie konkretnej osoby fizycznej. Sposób i tryb pseudonimizacji danych osobowych na potrzeby realizacji przez służby statystyki publicznej zadań określonych w ustawie będzie określał dokument opracowany i wydany przez Prezesa Głównego Urzędu Statystycznego, w drodze zarządzenia.

PODSTAWA PRAWNA:

● art. 35a, art. 35aa, art. 35b, art. 35c, art. 35d ustawy z 29 czerwca 1995 r. o statystyce publicznej (j.t. Dz.U. z 2019 r. poz. 649; ost.zm. Dz.U. z 2019 r. poz. 730).

Operat do badań statystycznych

Nowy rozdział 5a. Operat do badań statystycznych (art. 39a, art. 39c). Operat do badań statystycznych (dalej: OBS) jest narzędziem ułatwiającym prowadzenie badań statystycznych, w tym spisów powszechnych.

Ocena zmian

Ze względu na jego istotną rolę w pracach służb statystyki publicznej i przetwarzanie w nim danych osobowych, dotychczasowe przepisy ustawy o statystyce publicznej dotyczące operatu do badań statystycznych zostały przeniesione do nowego rozdziału i uszczegółowione. Głównym celem funkcjonowania OBS jest zapewnienie informacji służących realizacji przez statystykę publiczną badań prowadzonych we wszystkich obszarach badawczych ujętych w Programach Badań Statystycznych Statystyki Publicznej, zgodnie z zapotrzebowaniem zgłaszanym przez użytkowników krajowych i zagranicznych, w tym zgodnie z wymogami organizacji międzynarodowych. OBS:

● zawiera wszystkie typy jednostek podlegających obserwacjom statystycznym,
● zawiera minimalny zakres cech identyfikujących badaną jednostkę,
● umożliwia precyzyjny wybór próby pod względem podmiotowym i przestrzennym, co służy minimalizacji obciążenia respondentów i minimalizuje koszty badań oraz poprawia precyzje wyników uzyskiwanych w badaniach reprezentacyjnych,
● pozwala na ograniczenie dostępu do niezbędnego minimum informacji, w zależności od celu statystycznego.

Operat do badań statystycznych, w którym umieszcza się informacje o podmiotach podlegających obserwacji statystycznej według określonych cech prowadzi Prezes Głównego Urzędu statystycznego (art. 39a ust. 1). OBS jest prowadzony w systemie teleinformatycznym (ust. 2). Dane osobowe zgromadzone w OBS są przechowywane maksymalnie przez okres 100 lat (ust. 3).

OBS podlega stałej i bieżącej aktualizacji w celu umożliwienia prowadzenia obserwacji statystycznej podmiotu tej obserwacji w czasie i przestrzeni (art. 39b ust. 1 u.s.p.). OBS jest aktualizowany z wykorzystaniem danych pochodzących z rejestrów urzędowych i systemów informacyjnych oraz badań statystycznych, w tym spisów powszechnych (ust. 2).

Dane gromadzone w OBS są wykorzystywane wyłącznie przez służby statystyki publicznej do prowadzenia badań statystycznych, w tym spisów powszechnych (art. 39c ust. 1 u.s.p.). Natomiast jak wynika z ust. 2 art. 39c u.s.p., dane gromadzone w OBS mogą być udostępniane wyłącznie w trybie, o którym mowa w art. 20 ust. 4 tej ustawy. Zgodnie z tym przepisem: Prezes Głównego Urzędu Statystycznego, na wniosek prowadzącego badanie statystyczne, udostępnia prowadzącemu badanie z operatu do badań statystycznych dane adresowe podmiotów wylosowanych lub wybranych na podstawie wskazanych przez prowadzącego badanie cech, z wyłączeniem danych adresowych osób fizycznych nieprowadzących działalności gospodarczej.

PODSTAWA PRAWNA:

● art. 39a-39c ustawy z 29 czerwca 1995 r. o statystyce publicznej (j.t. Dz.U. z 2019 r. poz. 649; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zmianie imienia i nazwiska

Przetwarzanie danych w trakcie postępowania administracyjnego w sprawie zmiany imienia i nazwiska

Doprecyzowano sposób przetwarzania danych przez kierownika urzędu stanu cywilnego podczas prowadzenia postępowania administracyjnego w przedmiocie zmiany imienia i nazwiska. Kierownik urzędu stanu cywilnego w prowadzonym postępowaniu wykorzystuje dane zgromadzone w rejestrze stanu cywilnego i rejestrze PESEL.

Ocena zmian

Zmiana jest korzystna, gdyż obywatele są zwolnieni z przedstawiania kierownikowi urzędu stanu cywilnego dodatkowych dokumentów stanu cywilnego, takich jak np. odpisy aktów urodzenia. Kierownik urzędu stanu cywilnego na mocy ustawy - Prawo o aktach stanu cywilnego oraz ustawy o ewidencji ludności ma dostęp do rejestru stanu cywilnego. Dodany przepis nie wpływa na przetwarzanie danych w tych rejestrach, gdyż nie zmienia się ani krąg podmiotów uprawnionych, ani zakres danych w nich przetwarzanych.

PODSTAWA PRAWNA:

● art. 11a ustawy z 17 października 2008 r. o zmianie imienia i nazwiska (j.t. Dz.U. z 2016 r. poz. 10; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o obywatelstwie polskim

Postępowanie o nadanie i o zrzeczenie się obywatelstwa polskiego

Obowiązek przekazywania Prezydentowi Rzeczypospolitej Polskiej przez właściwe organy lub instytucje informacji w postępowaniu o nadanie obywatelstwa albo w postępowaniu o wyrażenie zgody na zrzeczenie się obywatelstwa polskiego.

Ocena zmian

Uprawnienie Prezydenta Rzeczypospolitej Polskiej w zakresie nadawania obywatelstwa polskiego i wyrażania zgody na zrzeczenie się obywatelstwa polskiego stanowi prerogatywę wynikającą z art. 137 Konstytucji.

Zainteresowana osoba składa wniosek o nadanie obywatelstwa polskiego zawsze za pośrednictwem właściwego wojewody lub konsula. Organy te, po sprawdzeniu prawidłowości oraz kompletności dokumentacji, przekazują ją wraz ze swoją opinią Prezydentowi RP, co odbywa się za pośrednictwem ministra właściwego do spraw wewnętrznych. Przekazanie to nie kończy jednak właściwej procedury przed organami administracyjnymi. Minister właściwy do spraw wewnętrznych ma obowiązek zwrócić się do Komendanta Głównego Policji oraz Szefa ABW, a w razie potrzeby do innych organów, o udzielenie informacji, które mogą mieć istotne znaczenie w sprawie o nadanie obywatelstwa polskiego. Po zapoznaniu się z odpowiedziami wystosowanymi przez te organy minister sporządza własną opinię, którą wraz z pozostałymi dokumentami przedstawia Prezydentowi RP. Z uwagi na fakt, że nadawanie obywatelstwa polskiego ma charakter prerogatywy, Prezydent RP może zobowiązać wojewodę, konsula lub ministra właściwego do spraw wewnętrznych do przekazania wniosku o nadanie obywatelstwa polskiego bezpośrednio urzędowi prezydenckiemu, i to bez względu na stadium postępowania.

W toku realizacji prerogatywy konieczne może być pogłębienie informacji otrzymanych w toku postępowania lub zasięgnięcie nowych informacji. Z wyżej wymienionej prerogatywy wynika uprawnienie Prezydenta RP do określania, jakie informacje są mu przydatne w swobodnym realizowaniu tej prerogatywy, dlatego w przepisie jest mowa o "właściwych organach, organizacjach i instytucjach".

PODSTAWA PRAWNA:

● art. 21 ust. 6 i 7, art. 49 ust. 6 ustawy z 2 kwietnia 2009 r. o obywatelstwie polskim (j.t. Dz.U. z 2018 r. poz. 1829; Dz.U. z 2019 r. poz. 730).

Ustawa o dowodach osobistych

Organ prowadzący Rejestr Dowodów Osobistych

Zmiana zakłada nadanie nowego brzmienia art. 55 ustawy o dowodach osobistych, a w konsekwencji rozbudowanie przepisu o katalog zadań składających się na utrzymanie i rozwój rejestru. Określono również zasady współdziałania współadministratorów, w tym sposób zapewnienia prawa dostępu osobie, której dane dotyczą, na podstawie art. 15 RODO.

Ocena zmian

Dowód osobisty jest jednym z dwóch rodzajów dokumentów, który potwierdza tożsamość obywatela polskiego. W celu jednoznacznego przypisania określonej osoby do wydanego jej dokumentu i zapewnienia pewności obrotu prawno-administracyjnego prowadzony jest Rejestr Dowodów Osobistych oraz gromadzona jest odpowiednia dokumentacja.

PODSTAWA PRAWNA:

● art. 55 ustawy z 6 sierpnia 2010 r. o dowodach osobistych (j.t. Dz.U. z 2019 r. poz. 653; ost.zm Dz.U. z 2019 r. poz. 730).

Nieusuwalność danych zgromadzonych w Rejestrze Dowodów Osobistych

Ustawodawca doprecyzował kwestię nieusuwania danych zgromadzonych w rejestrze i kwestię rodzaju przechowywanych danych.

Ocena zmian

Uregulowano kwestię sprawdzenia danych z urzędu i następstw stwierdzenia niezgodności poszczególnych kategorii danych.

PODSTAWA PRAWNA:

● art. 56 ust. 2 i 3, art. 56a, art. 56b ustawy z 6 sierpnia 2010 r. o dowodach osobistych (j.t. Dz.U. z 2019 r. poz. 653; Dz.U. z 2019 r. poz. 730).

Ustawa o ewidencji ludności

Rejestr PESEL

Rozbudowano katalog zadań składających się na utrzymanie i rozwój rejestru. Określono zasady współdziałania współadministratorów, w tym sposób zapewnienia prawa dostępu osobie, której dane dotyczą, na podstawie art. 15 RODO. Wskazano organ prowadzący rejestr mieszkańców (wójt, burmistrz lub prezydenta miasta - zgodnie z właściwością miejscową). Doprecyzowano okres przechowywania danych i usuwania niezgodności danych zawartych w rejestrze PESEL.

Ocena zmian

Prowadzenie ewidencji ludności i nadawanie osobom numeru PESEL służy stworzeniu jednej, podstawowej bazy danych osobowych - rejestru PESEL - umożliwiającej jednoznaczną identyfikację osób fizycznych, którym nadano numer PESEL, zawierającą przede wszystkim ich aktualne dane. Rejestr PESEL jest rejestrem referencyjnym dla wielu innych rejestrów państwowych. W związku z powyższym dane w tym rejestrze muszą być pewne, a dostęp do rejestru jednoznacznie określony, co już obecnie jest jasno uregulowane w ustawie o ewidencji ludności.

PODSTAWA PRAWNA:

● art. 6, art. 6a, art. 10 ust. 6a, art. 11 ust. 2b i 2c, art. 12a ustawy z 24 września 2010 r. o ewidencji ludności (j.t. Dz.U. z 2018 r. poz. 1382; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o dokumentach paszportowych

Dane we wniosku o wydanie paszportu

Ustawowe uregulowanie zakresu danych wskazywanych we wnioskach o wydanie paszportu albo paszportu tymczasowego.

Ocena zmian

Ze względu na charakter dokumentów paszportowych, które są dokumentami podróży oraz dokumentami potwierdzającymi tożsamość i obywatelstwo posiadacza, w zakresie danych w nich zawartych, celowe jest ustawowe określenie zakresu danych, jakie wpisywane są we wnioskach o wydanie dokumentów paszportowych, analogicznie jak w ustawie z 6 sierpnia 2010 r. o dowodach osobistych w odniesieniu do innego dokumentu tożsamości, tj. dowodu osobistego.

PODSTAWA PRAWNA:

● art. 13a ustawy z 13 lipca 2006 r. o dokumentach paszportowych (j.t. Dz.U. z 2018 r. poz. 1919; ost.zm. Dz.U. z 2019 r. poz. 730).

Przetwarzanie danych osobowych na potrzeby wydawania dokumentów paszportowych

Nowelizacja ustawy o dokumentach paszportowych służy wyjaśnieniu:

1) zasad przetwarzania danych osobowych w związku z wykonywaniem zadania publicznego, jakim jest wydawanie obywatelom polskim dokumentów paszportowych;

2) jakie organy i w jakim zakresie przetwarzają dane osobowe oraz wskazania jasnego podziału zadań związanych z przetwarzaniem danych osobowych w centralnej ewidencji wydanych i unieważnionych dokumentów paszportowych oraz w ewidencjach paszportowych, w tym określenie właściwości poszczególnych podmiotów, tj. ministra właściwego do spraw informatyzacji, ministra właściwego do spraw wewnętrznych, ministra właściwego do spraw zagranicznych, w zakresie zapewnienia bezpieczeństwa przetwarzania danych osobowych centralnej ewidencji wydanych i unieważnionych dokumentów paszportowych i ewidencji paszportowych i przetwarzanych w nich danych osobowych. Doprecyzowano także kwestie wykonywania art. 15 RODO poprzez wskazanie, które organy będą odpowiedzialne za realizację obowiązku, o którym mowa w art. 15 RODO (odpowiednio minister właściwy do spraw informatyzacji oraz organy paszportowe);

3) jakiego rodzaju dane są przetwarzane w centralnej ewidencji wydanych i unieważnionych dokumentów paszportowych i w ewidencjach paszportowych, a także określeniu, iż danych zgromadzonych w ww. ewidencjach nie usuwa się, z wyjątkiem danych określonych w art. 46 ust. 4 pkt 4 ustawy o dokumentach paszportowych (tj. biometrycznych w postaci odcisków palców);

4) zasad i trybu udostępniania danych osobowych z centralnej ewidencji wydanych i unieważnionych dokumentów paszportowych oraz z ewidencji paszportowych na wniosek uprawnionych, ściśle określonych w ustawie podmiotów i tylko w zakresie niezbędnym do wykonywania ustawowych zadań (np. Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu czy Centralnemu Biuru Antykorupcyjnemu). Ponadto wprowadzono możliwość uzyskania przez osobę, której dane dotyczą, tzw. zaświadczenia o ,,danych własnych", które ma charakter zaświadczenia w rozumieniu przepisów postępowania administracyjnego. Zaświadczenie będzie posiadało określoną wartość dowodową i może być wykorzystywane, np. w postępowaniach sądowych lub administracyjnych.

Ocena zmian

Dokumenty paszportowe są jednym z dwóch rodzajów dokumentów, które potwierdzają tożsamość obywateli polskich, umożliwiając przede wszystkim przekraczanie granic. Dokument ten daje rękojmię prawdziwości zawartych w nim danych nie tylko polskim organom, ale przede wszystkim organom innych państw. W związku z tym, w celu jednoznacznego przypisania określonej osoby do wydanego jej dokumentu i zapewnienie tym samym pewności obrotu prawno-administracyjnego, prowadzone są ewidencje paszportowe, centralna ewidencja wydanych i unieważnionych dokumentów paszportowych oraz gromadzona jest odpowiednia dokumentacja.

Ustawa o dokumentach paszportowych przed nowelizacją nie zawierała szczegółowych regulacji dotyczących przetwarzania danych osobowych, w tym zasad ich zbierania, zakresu zbieranych danych, wskazania właściwości i zadań organów w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, trybu usuwania niezgodności w zakresie gromadzonych danych, zasad dostępu do danych dla osób, których dane dotyczą czy też czasu przechowywania danych.

PODSTAWA PRAWNA:

● art. 46 ust. 3 i 4, art. 47, art. 47a, art. 47b, art. 49, art. 49a, art. 49b, art. 49c, art. 53, rozdział 6a (art. 54a-54h) ustawy z 13 lipca 2006 r. o dokumentach paszportowych (j.t. Dz.U. z 2018 r. poz. 1919; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi

Administrator danych osobowych

Wójt (burmistrz, prezydent miasta) jest administratorem danych osób, które w związku z nadużywaniem alkoholu powodują rozkład życia rodzinnego, demoralizację małoletnich, uchylają się od obowiązku zaspokajania potrzeb rodziny albo systematycznie zakłócają spokój lub porządek publiczny, które kieruje się na badanie przez biegłego w celu wydania opinii w przedmiocie uzależnienia od alkoholu i wskazania rodzaju zakładu leczniczego.

Dane te mogą być gromadzone i przetwarzane w zakresie niezbędnym do realizacji zadań związanych z procedurą zobowiązania do poddania się leczeniu odwykowemu, bez zgody i wiedzy tych osób, dotyczące stanu zdrowia, nałogów, skazań, mandatów karnych, orzeczeń o ukaraniu, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, w zakresie:

1) imienia (imion) i nazwiska;

2) daty i miejsca urodzenia;

3) płci;

4) numeru PESEL, a w przypadku gdy dana osoba nie posiada numeru PESEL - serii i numeru dokumentu potwierdzającego tożsamość;

5) stanu cywilnego;

6) daty zawarcia małżeństwa, jeżeli dotyczy;

7) daty ustania małżeństwa, jeżeli dotyczy;

8) wykształcenia;

9) zawodu;

10) miejsca pracy lub nauki;

11) stopnia niezdolności do pracy, posiadania orzeczenia o niepełnosprawności i stopnia niepełnosprawności;

12) adresu miejsca zamieszkania lub adresu miejsca pobytu;

13) adresu do korespondencji;

14) adresu poczty elektronicznej;

15) numeru telefonu.

Wójt (burmistrz, prezydent miasta) jest także administratorem danych członków rodzin osób uzależnionych w następującym zakresie:

1) imienia (imion) i nazwiska;

2) daty i miejsca urodzenia;

3) płci;

4) stopnia pokrewieństwa lub powinowactwa;

5) adresu do korespondencji lub numeru telefonu, lub adresu poczty elektronicznej.

Ocena zmian

Przed zmianą przepisów nie było wyjaśnione, kto jest administratorem danych osobowych osób objętych opieką gminnej komisji rozwiązywania problemów alkoholowych. W aktualnym stanie prawnym administratorem danych przetwarzanych przez komisje jest wójt, burmistrz albo prezydent miasta.

PODSTAWA PRAWNA:

● art. 25b ustawy z 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (j.t. Dz.U. z 2018 r. poz. 2137; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o narodowym zasobie archiwalnym i archiwach

Forma dostępu do archiwum państwowego

Zmiany wprowadzają zakres przetwarzanych danych w pisemnym wniosku zainteresowanego o udostępnienie państwowych materiałów archiwalnych. Podmioty prowadzące działalność archiwalną udostępniają materiały archiwalne w oryginale albo reprodukcje tych materiałów:

1) w dostosowanych do tego celu pomieszczeniach, po pisemnym zgłoszeniu, w postaci papierowej lub elektronicznej;

2) za pośrednictwem systemów teleinformatycznych wraz z metadanymi reprodukcji.

Dotychczasowe przepisy nie przewidywały w pisemnym zgłoszeniu zakresu danych osobowych zainteresowanego. Po zmianach zgłoszenie o udostępnienie materiałów archiwalnych zawiera następujące dane zainteresowanego lub jego upoważnionego przedstawiciela:

1) imię i nazwisko;

2) adres zamieszkania;

3) adres korespondencyjny;

4) numer telefonu lub adres poczty elektronicznej, jeżeli zostały podane do wykorzystania;

5) rodzaj i numer dokumentu potwierdzającego tożsamość;

6) podpis własnoręczny, kwalifikowany podpis elektroniczny, podpis zaufany lub podpis osobisty.

Ocena zmian

Zgłoszenie o udostępnienie zbiorów jest spersonalizowane i służy zidentyfikowaniu osoby zainteresowanej. Sprecyzowanie zakresu danych osobowych w zgłoszeniu porządkuje zakres informacji o wnioskodawcy i stanowi jeden z elementów równoważenia ochrony danych osobowych z działalnością archiwalną.

PODSTAWA PRAWNA:

● art. 16d ust. 2a ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Zakres działania naczelnego dyrektora archiwów państwowych

Po modyfikacji przepisów do zakresu działania Naczelnego Dyrektora Archiwów Państwowych należy m.in.:

1) koordynowanie działalności archiwalnej na terenie państwa;

2) wydawanie zezwoleń na czasowy wywóz określonych materiałów archiwalnych;

3) nadzór nad gromadzeniem, ewidencjonowaniem, przechowywaniem, opracowywaniem, udostępnianiem i zabezpieczaniem materiałów archiwalnych oraz brakowaniem dokumentacji niearchiwalnej;

4) nadzór nad działalnością naukową i wydawniczą prowadzoną w archiwach państwowych;

5) prowadzenie współpracy międzynarodowej w zakresie spraw archiwalnych;

6) prowadzenie ewidencji przechowawców akt osobowych i płacowych;

7) popularyzacja wiedzy o materiałach archiwalnych i archiwach oraz prowadzenie działalności informacyjnej i wydawniczej;

8) koordynowanie zadań w dziedzinie informatyzacji, telekomunikacji i teleinformatyki oraz zarządzania informacją podległych mu archiwów państwowych, w szczególności w zakresie:

a) zakupu, projektowania, budowy, wdrażania, rozwoju, integracji i eksploatacji systemów informatycznych i teleinformatycznych wyposażonych w środki zabezpieczające dane osobowe przetwarzane w tych systemach,

w tym udostępniania tych systemów archiwom państwowym oraz realizacji dostaw i robót budowlanych niezbędnych do wykonywania tych zadań,

b) wymiany danych pomiędzy systemami, o których mowa w lit. a;

9) wykonywanie zadań określonych w przepisach ustawy z 25 maja 2017 r. o restytucji narodowych dóbr kultury;

10) zapewnienie utrzymania i serwisu systemów informatycznych i teleinformatycznych oraz zabezpieczanie danych osobowych przetwarzanych w tych systemach.

Zmieniony przepis dodaje uprawnienie Naczelnemu Dyrektorowi Archiwów Państwowych do stanowienia aktów prawa wewnętrznego w zakresie działania polegającego na koordynacji projektowania, tworzenia i funkcjonowania takich systemów.

Ocena zmian

Potrzeba zmodyfikowania przepisu określającego zakres działania Naczelnego Dyrektora Archiwów Państwowych wynika z tego, że w poprzednim brzmieniu wskazywał on mylnie na odpowiedzialność Dyrektora za zabezpieczenie danych osobowych w systemach informatycznych i teleinformatycznych obsługujących działalność archiwalną, w stosunku do których Dyrektor nie był administratorem ani przetwarzającym dane.

Zmiana polega na doprecyzowaniu, że Dyrektor koordynuje zadania w dziedzinie informatyzacji telekomunikacji i teleinformatyki oraz zarządzania informacją tylko w podległych mu archiwach państwowych i tylko wówczas odpowiada za bezpieczeństwo przetwarzanych w nich danych osobowych.

PODSTAWA PRAWNA:

● art. 21 ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Uniemożliwienie ingerencji w gromadzone dane

Do przetwarzania danych osobowych w zakresie działalności archiwalnej, a także w zakresie przechowywania przez jednostki dokumentacji archiwalnej ogranicza się stosowanie art. 16 rozporządzenia RODO, który daje prawo osobie, której dane dotyczą, żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Zgodnie z nowymi przepisami, przetwarzający te dane przyjmują od osoby, której dane dotyczą, pisemne sprostowanie lub uzupełnienie dotyczące jej danych osobowych, nie dokonując ingerencji w materiały archiwalne. Sprostowanie lub uzupełnienie jest przechowywane i udostępniane odrębnie od materiałów archiwalnych, a informację o ich wniesieniu zamieszcza się w odpowiednich środkach ewidencyjnych.

Administrator danych informuje o ograniczeniach w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.

Ocena zmian

Zmiana treści gromadzonych materiałów rażąco kolidowałoby z celami działalności archiwalnej. Ustawodawca wprowadza zatem ograniczenie ingerowania w dane, co mogłyby spowodować ich zatarcie. Daje jednak możliwość dołączenia dodatkowych informacji przez osoby zainteresowane.

PODSTAWA PRAWNA:

● art. 22b ust. 1 pkt 1, ust. 2 i 4 ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Wadliwość informacji nie powoduje przerwania przetwarzania informacji

Do przetwarzania danych osobowych w zakresie działalności archiwalnej, a także w zakresie przechowywania przez jednostki dokumentacji archiwalnej ogranicza się również stosowanie art. 18 ust. 1 lit. a i b rozporządzenia RODO. Osoba, której gromadzone w archiwum dane budzą jej wątpliwości, nie ma prawa żądania od administratora ograniczenia przetwarzania tych danych. Przepis art. 18 rozporządzenia RODO ogranicza się zatem w zakresie niezbędnym do zapewnienia korzystania z materiałów archiwalnych zgodnie z ustawą, bez naruszania istoty ochrony danych osobowych zawartych w tych materiałach, także w przypadku pierwotnego zbierania danych w sposób bezprawny albo w przypadku nieprawdziwości, nieścisłości lub niekompletności danych.

Ocena zmian

Materiały archiwalne gromadzone są przez archiwa ze względu na ich trwałą wartość informacyjną, a ich ewentualne wady - w tym nieprawidłowość lub sprzeczność z prawem - uważane są za chronioną cechę oryginalną, świadectwo przeszłości. Wady te nie sprzeciwiają się przetwarzaniu informacji, w tym danych osobowych, z zastrzeżeniem odrębnego statusu ich udostępniania.

PODSTAWA PRAWNA:

● art. 22b ust. 1 pkt 2 ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Prawo dostępu do archiwalnych informacji

Zgodnie z art. 15 rozporządzenia RODO, osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

1) cele przetwarzania;

2) kategorie odnośnych danych osobowych;

3) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

4) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

5) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

6) informacje o prawie wniesienia skargi do organu nadzorczego;

7) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle;

8) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 rozporządzenia RODO, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Zgodnie z art. 22b ust. 3 ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach, wykonanie obowiązku, o którym mowa w art. 15 ust. 1 i 3 rozporządzenia RODO, następuje tylko w takim zakresie, w jakim dane osobowe podlegające udostępnieniu mogą być ustalone za pomocą istniejących środków ewidencyjnych.

Administrator danych informuje o ograniczeniach w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.

Ocena zmian

Ze względu na ograniczenia wiedzy archiwów co do zawartości materiałów archiwalnych przejmowanych od ich wytwórców albo dysponentów powstało ryzyko niepełnej realizacji przez archiwa prawa dostępu przysługującego osobie, której dane dotyczą. Z tego powodu ustawodawca zastrzega możliwość ograniczenia uzyskania danych, o które wnioskuje zainteresowana osoba.

PODSTAWA PRAWNA:

● art. 22b ust. 3 i 4 ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Minimalna ochrona danych osobowych

Zabezpieczenia stosowane przez jednostki archiwalne polegają co najmniej na:

1) dopuszczeniu do przetwarzania chronionych danych osobowych wyłącznie pracowników posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu tych pracowników do zachowania przetwarzanych danych w poufności.

Jednostki archiwalne w ramach swojej działalności archiwalnej wdrażają zabezpieczenia wolności i praw osób, których dotyczą dane zawarte w materiałach archiwalnych, w szczególności w trakcie ich udostępniania przez anonimizację danych osobowych, zawieranie z użytkownikami zasobu archiwalnego umów wyłączających dalsze przetwarzanie danych osobowych oraz przez pseudonimizację danych w systemach informatycznych i teleinformatycznych. Zabezpieczenia wolności i praw stosuje się także do dokumentacji niestanowiącej materiałów archiwalnych, o ile nie sprzeciwia się to celom postępowania z tą dokumentacją.

Stosowanie zabezpieczeń w postaci anonimizacji i pseudonimizacji nie jest obowiązkowe, jeżeli:

1) przetwarza się, w tym udostępnia, dane osobowe za zgodą osoby, której dane dotyczą, jej pełnomocnika, przedstawiciela ustawowego lub opiekuna prawnego;

2) osoba, której dane dotyczą, dobrowolnie i świadomie podała je uprzednio do publicznej wiadomości.

Zabezpieczenia wolności i praw, o których mowa w ust. 1, stosuje się odpowiednio do dokumentacji niestanowiącej materiałów archiwalnych, o ile nie sprzeciwia się to celom postępowania z tą dokumentacją.

Ocena zmian

Co do zasady zabezpieczenia danych osobowych zasobów archiwalnych obejmują typowe środki - zwłaszcza anonimizację i pseudonimizację, oraz ustawowe ograniczenia prawa do korzystania z materiałów archiwalnych. W sytuacjach, gdy gwarancje korzystania z informacji nie mogłyby zostać urzeczywistnione w razie anonimizacji albo pseudonimizacji danych - przewiduje się umowne zobowiązywanie użytkowników zasobu archiwalnego do nierozpowszechniania danych, z którymi się zapoznali w archiwum. Ustawodawca rozszerza także zabezpieczenia na dokumentację niestanowiącą materiałów archiwalnych, gdyż na mocy przepisów szczególnych również ona podlega przechowywaniu - z zasady przejściowo - przez archiwa.

PODSTAWA PRAWNA:

● art. 22b ust. 5, art. 22c ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Okres przechowywania danych osobowych

Jednostki prowadzące państwową sieć archiwalną przetwarzają dane osobowe odpowiednio:

1) wieczyście;

2) przez okresy wynikające z obowiązku przechowywania dokumentacji niearchiwalnej.

Ocena zmian

Składniki narodowego zasobu archiwalnego z mocy ustawy przechowywane są bezterminowo (wieczyście). Natomiast okresy przetwarzania pozostałej dokumentacji (dokumentacji niearchiwalnej) zależne są od okresów przechowywania akt spraw i zbiorów dokumentacji, określonych w przepisach kancelaryjnych. Tak ustalane okresy obejmują czas bezpośredniej przydatności dokumentacji oraz czas, w którym zachowuje ona ewentualne znaczenie dowodowe, przydatna jest ze względu na roszczenia, kontrole, dochodzenia itp.

PODSTAWA PRAWNA:

● art. 22d ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2019 r. poz. 553; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o organizowaniu i prowadzeniu działalności kulturalnej

Zmiany przepisów ustawy z 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (dalej: u.o.p.d.k.) uwzględniają brzmienie art. 6 ust. 1 lit. c RODO (określającego podstawę przetwarzania danych osobowych), zgodnie z którym przepis prawa krajowego powinien określać obowiązek, którego realizacja wiązałaby się z koniecznością przetwarzania danych osobowych. W związku z tym w przepisach ustawy wprowadzono zmiany polegające na określeniu zakresu przetwarzanych danych.

+/-

Zamknięty katalog danych osobowych przetwarzanych w rejestrach publicznych

Zgodnie z nowo dodanym art. 14 ust. 1a u.o.p.d.k., w rejestrze instytucji kultury gromadzone są następujące dane:

1) oznaczenia instytucji kultury, w szczególności podmiotu, z którym organizator wspólnie prowadzi instytucję kultury, oraz imię i nazwisko pełnomocnika organizatora dokonującego wpisu;

2) organizacji instytucji kultury, w szczególności:

a) imię i nazwisko dyrektora instytucji kultury i jego zastępców albo oznaczenie osoby fizycznej, której powierzono pełnienie obowiązków dyrektora, albo której powierzono zarządzanie instytucją kultury,

b) imiona i nazwiska pełnomocników instytucji kultury uprawnionych do dokonywania czynności prawnych w imieniu instytucji oraz zakres ich upoważnień,

c) imię i nazwisko pełnomocnika organizatora dokonującego wpisu;

3) dotyczące mienia instytucji kultury, w szczególności imię i nazwisko pełnomocnika organizatora dokonującego wpisu;

4) połączenia, podziału i likwidacji instytucji kultury, w szczególności imię i nazwisko likwidatora oraz imię i nazwisko pełnomocnika organizatora dokonującego wpisu.

Ocena zmian

Zmiany wprowadzane do art. 14 u.o.p.d.k. mają na celu określenie na poziomie ustawowym, w sposób precyzyjny, zamkniętego katalogu danych osobowych przetwarzanych w rejestrach publicznych, tj. rejestrach instytucji kultury prowadzonych przez poszczególnych organizatorów. Przewidziane katalogi danych obejmują jedynie te dane osobowe, które są aktualnie przetwarzane w ww. rejestrach publicznych.

PODSTAWA PRAWNA:

● art. 14 ust. 1a ustawy z 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (j.t. Dz.U. z 2018 r. poz. 1983; ost.zm. Dz.U. z 2019 r. poz. 730).

+/-

Okres przechowywania danych

W zakresie okresu przechowywania danych osobowych w związku z nadaniem odznak i medali oraz laureatów nagród doprecyzowano poszczególne przepisy.

Wskazano 80-letni okres przechowywania danych osobowych w związku z:

● nadaniem odznaki honorowej "Zasłużony dla Kultury Polskiej",
● nadaniem Medalu "Zasłużony Kulturze Gloria Artis",
● przyznaniem nagrody za osiągnięcia w dziedzinie twórczości artystycznej, upowszechniania i ochrony kultury,
● przyznaniem stypendium osobom zajmującym się twórczością artystyczną, upowszechnianiem kultury oraz opieką nad zabytkami.

W przypadku danych zawartych we wnioskach o przyznanie stypendium albo o przyznanie dorocznych nagród dane te przetwarzane są przez okres niezbędny do realizacji zadań związanych z przyznawaniem tych stypendiów albo dorocznych nagród. Z zastrzeżeniem obowiązku przeglądu tych danych co 5 lat przez organy przyznające stypendia albo doroczne nagrody.

Ocena zmian

Dane osobowe laureatów trzystopniowego Medalu "Zasłużony Kulturze Gloria Artis" (złotego, srebrnego i brązowego) i odznaki honorowej "Zasłużony dla Kultury Polskiej" powinny być przechowywane przez 80 lat, ponieważ:

1) każde z tych odznaczeń można otrzymać tylko raz, nie zawsze wnioskodawca ma wiedzę na temat otrzymanych przez kandydata odznaczeniach i zdarzają się powtórne wnioski o to samo odznaczenie;

2) ustawa o organizowaniu i prowadzeniu działalności kulturalnej określa minimum 5-letni okres między przyznaniem kolejnych stopni Medalu "Zasłużony Kulturze Gloria Artis", a ich nadanie uzasadnione jest wyłącznie znaczącymi osiągnięciami kandydata po otrzymaniu stopnia niższego (w związku z tym okres przyznania następnego stopnia Medalu może się wydłużyć);

3) laureaci odznaczeń resortowych lub ich spadkobiercy występują o potwierdzenie przyznania odznaczenia, wydanie miniatury oraz duplikatu medalu i legitymacji nawet po kilkudziesięciu latach.

PODSTAWA PRAWNA:

● art. 6a, art. 7, art. 7a, art. 7b ustawy z 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (j.t. Dz.U. z 2018 r. poz. 1983; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o ochronie zabytków i opiece nad zabytkami

+/-

Katalog danych osobowych przetwarzanych w rejestrze zabytków i ewidencjach zabytków

Nowelizacja ustawy z 23 lipca 2003 r. o ochronie zabytków i opiece nad zabytkami (dalej: ustawa o ochronie zabytków) uregulowała zakres danych, które powinny znaleźć się w rejestrze oraz ewidencji zabytków.

Zgodnie z art. 8 ust. 3 ustawy o ochronnie zabytków, rejestr zabytków zawiera dane osobowe obejmujące

● imię, nazwisko i adres zamieszkania lub
● nazwę i adres siedziby

- właściciela lub posiadacza zabytku lub użytkownika wieczystego gruntu, na którym znajduje się zabytek nieruchomy.

Natomiast ewidencje zabytków, o których mowa w art. 22 ustawy o ochronie zabytków, obejmują jedynie te dane osobowe, które są aktualnie przetwarzane w rejestrach publicznych, tj.:

● imię, nazwisko i adres lub nazwę i adres siedziby właściciela lub posiadacza zabytku lub użytkownika wieczystego gruntu, na którym znajduje się zabytek nieruchomy - w odniesieniu do rejestru zabytków,
● imię, nazwisko i adres lub nazwę i adres siedziby właściciela lub użytkownika zabytku, imię, nazwisko i podpis autora karty ewidencyjnej lub adresowej, imię i nazwisko osoby, która wypełniła kartę ewidencyjną, lub imię i nazwisko lub nazwę wykonawcy prac konserwatorskich, prac restauratorskich, badań konserwatorskich lub badań archeologicznych przy zabytku - w odniesieniu do ewidencji zabytków,
● imię, nazwisko i adres lub nazwę i adres siedziby właściciela lub posiadacza zabytku - w odniesieniu do krajowego wykazu zabytków skradzionych lub wywiezionych za granicę niezgodnie z prawem.

Ocena zmian

Zmiany w ustawie o ochronie zabytków mają na celu określenie na poziomie ustawowym, w sposób precyzyjny, zamkniętego katalogu danych osobowych przetwarzanych w następujących rejestrach publicznych: rejestrze zabytków, krajowej, wojewódzkiej i gminnej ewidencji zabytków oraz w krajowym wykazie zabytków skradzionych lub wywiezionych za granicę niezgodnie z prawem.

PODSTAWA PRAWNA:

● art. 8 ust. 3, art. 22 ustawy z 23 lipca 2003 r. o ochronie zabytków i opiece nad zabytkami (j.t. Dz.U. z 2018 r. poz. 2067; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Radzie Ministrów

Przetwarzanie danych wrażliwych

Rada Ministrów albo imiennie wskazany jej członek ma prawo przetwarzać dane wrażliwe osób fizycznych, jeśli jest to związane w zakresie niezbędnym do przygotowania projektu dokumentu rządowego, przygotowania i prowadzenia uzgodnień, konsultacji publicznych, opiniowania tego projektu oraz jego rozpatrywania.

Ocena zmian

Organy państwa otrzymują źródło informacji o obywatelach, które dotyczą najbardziej intymnych sfer życia obywateli.

PODSTAWA PRAWNA:

● art. 39a ustawy z 8 sierpnia 1996 r. o Radzie Ministrów (j.t. Dz.U. z 2012 r. poz. 392; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o ochronie dziedzictwa Fryderyka Chopina

+/-

Zakres danych osobowych gromadzonych w związku z nadaniem odznaki honorowej

Osobom fizycznym i jednostkom organizacyjnym wyróżniającym się w ochronie dziedzictwa Fryderyka Chopina, w szczególności w kultywowaniu wiedzy i pamięci o kompozytorze, prowadzeniu badań i współdziałaniu w rozwijaniu wiedzy o twórczości i osobie Fryderyka Chopina, popularyzowaniu jego twórczości, a także pozyskiwaniu, gromadzeniu, zabezpieczaniu i udostępnianiu przedmiotów oraz miejsc związanych z jego życiem i twórczością, można nadać odznakę honorową "Zasłużony dla Ochrony Dziedzictwa Fryderyka Chopina". Ustawa określa, jakie dane osobowe mogą być gromadzone i przetwarzane w związku z nadaniem tej odznaki.

Ocena zmian

Nowelizacja nie wpływa na prawa i obowiązki odznaczonych.

PODSTAWA PRAWNA:

● art. 6 ustawy z 3 lutego 2001 r. o ochronie dziedzictwa Fryderyka Chopina (Dz.U. Nr 16 poz. 168; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo o aktach stanu cywilnego

+/-

Rejestr aktów

Rejestr stanu cywilnego jest prowadzony w systemie teleinformatycznym. Ze względu na dane osobowe w nim przechowywane minister właściwy do spraw informatyzacji m.in. zapewnia ochronę przed nieuprawnionym dostępem, jego integralność oraz zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych.

Dokumenty z rejestru stanu cywilnego wydaje się przez okresy przechowywania aktów, odpowiednio 100 i 80 lat, a także po upływie tych okresów, a przed przekazaniem aktów stanu cywilnego do właściwego archiwum państwowego.

Co istotne, po przeniesieniu aktu stanu cywilnego do rejestru stanu cywilnego dane wykorzystane do przeniesienia aktu ulegają trwałemu usunięciu z systemu komputerowego. Do tego kierownik urzędu stanu cywilnego jest administratorem danych zgromadzonych w systemie komputerowym.

Ocena zmian

Zmiana ma charakter porządkujący.

PODSTAWA PRAWNA:

● art. 5, art. 28 ust. 3 i 4, art. 51, art. 124 ust. 8, art. 128 ust. 1a i 1b, art. 13 ust. 4 i 5, art. 130a, art. 131 ustawy z 28 listopada 2014 r. - Prawo o aktach stanu cywilnego (j.t. Dz.U. z 2018 r. poz. 2224; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020

+/-

Administrator danych osobowych

Minister właściwy do spraw rozwoju regionalnego jest administratorem danych osobowych gromadzonych w centralnym systemie teleinformatycznym.

Ocena zmian

Zmiana ma charakter porządkujący.

PODSTAWA PRAWNA:

● art. 71 ust. 1 ustawy z 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020 (j.t. Dz.U. z 2018 r. poz. 1431; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o orderach i odznaczeniach

+/-

Prawa Prezydenta RP

Prezydent może zwrócić się do właściwych organów, organizacji lub instytucji o przekazanie informacji, które mogą mieć istotne znaczenie w sprawie o nadanie orderu lub odznaczenia. Może to zrobić przed podjęciem decyzji o nadaniu orderu lub odznaczenia.

Ocena zmian

Przepisy nie wpływają na prawa i obowiązki osób odznaczonych.

PODSTAWA PRAWNA:

● art. 32a ustawy z 16 października 1992 r. o orderach i odznaczeniach (j.t. Dz.U. z 2019 r. poz. 25; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o działaczach opozycji antykomunistycznej oraz osobach represjonowanych z powodów politycznych

+/-

Dane zawarte we wniosku o uznanie za osobę represjonowaną

Status działacza opozycji antykomunistycznej lub osoby represjonowanej z powodów politycznych potwierdza, w drodze decyzji administracyjnej, Szef Urzędu do Spraw Kombatantów i Osób Represjonowanych po stwierdzeniu przez Prezesa Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, iż osoba ubiegająca się o potwierdzenie statusu działacza opozycji antykomunistycznej lub osoby represjonowanej z powodów politycznych spełnia warunki formalne.

Nowelizacja wskazuje, jakie dane osobowe oraz dodatkowe dokumenty o stanie zdrowia musi przedstawić osoba ubiegająca się o status osoby represjonowanej.

Ocena zmian

Zmiana ma charakter porządkowy i nie wpływa na prawa i obowiązki ubiegających się o status osoby represjonowanej.

PODSTAWA PRAWNA:

● art. 5 ust. 2a i 2b, art. 8 ust. 2-4, art. 10 ustawy z 20 marca 2015 r. o działaczach opozycji antykomunistycznej oraz osobach represjonowanych z powodów politycznych (j.t. Dz.U. z 2018 r. poz. 2389; ost.zm. Dz.U. z 2019 r. poz. 730)

Ustawa o odpowiedzialności za naruszenie dyscypliny finansów publicznych

Ustawa o odpowiedzialności za naruszenie dyscypliny finansów publicznych to akt prawny regulujący zasady postępowania w przypadku naruszenia dyscypliny finansów publicznych. Zgodnie z tą ustawą, osoba, która naruszyła dyscyplinę finansów publicznych, podlega pewnego rodzaju sankcjom. W aktach dotyczących postępowania dyscyplinarnego mogą znaleźć się dane osobowe dotyczące tej osoby, a także innych osób, np. takich, które zostały lub mogłyby zostać wezwane do złożenia zeznań w charakterze świadka, czy też takich, które zostały wymienione z imienia i nazwiska. W związku z tym ustawodawca zdecydował się na wprowadzenie w tej ustawie zapisów dotyczących administratora danych.

+/-

Podmioty zapewniające organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych siedzibę, obsługę prawną i administracyjno-techniczną jako administratorzy danych

1. Obowiązek przetwarzania danych

Zdecydowano o dodaniu do ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych art. 3a, zgodnie z którym podmioty, które zapewniają organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych siedzibę, obsługę prawną i administracyjno-techniczną, są administratorami danych przetwarzanych przez te organy, w celu umożliwienia realizacji zadań lub obowiązków tych organów.

Wprowadzone rozwiązanie umożliwia tym podmiotom zastosowanie spójnych zasad przetwarzania danych obowiązujących w odniesieniu do wszystkich danych przetwarzanych w ramach określonej organizacji.

Kategorie danych osobowych, które są przetwarzane przez organy właściwe w sprawach o naruszenie dyscypliny finansów publicznych, dotyczą - co do zasady - osób, w stosunku do których jest prowadzone postępowanie o naruszenie dyscypliny finansów publicznych oraz innych uczestników postępowania, np. świadków, a także osób pełniących funkcje w organach właściwych w sprawach o naruszenie dyscypliny finansów publicznych oraz kandydatów do pełnienia tych funkcji. Zakres przetwarzanych danych o osobach wynikający z przepisów ustawy obejmuje imiona i nazwiska, imiona rodziców, datę i miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, miejsce pracy, zawód, wykształcenie, serię i numer dowodu osobistego.

Ponadto organy właściwe w sprawach o naruszenie dyscypliny finansów publicznych mogą przetwarzać takie dane jak: nazwa i adres aktualnego pracodawcy oraz stanowisko zajmowane przez osobę podejrzaną o naruszenie dyscypliny finansów publicznych. Organy mogą też przetwarzać dane dotyczące stanu zdrowia osób, w stosunku do których prowadzone jest postępowanie o naruszenie dyscypliny finansów publicznych (lub innych osób, np. świadków) w sytuacji powoływania się przez strony lub innych uczestników postępowania, na występowanie przesłanki uniemożliwiającej lub utrudniającej prowadzenie postępowania lub konkretnych czynności w postępowaniu. Przetwarzane są też dane dotyczące skazań, orzeczeń o ukaraniu w sprawach o naruszenie dyscypliny finansów publicznych i orzeczeń wydawanych w postępowaniu sądowym i administracyjnym.

Ustawodawca zapobiegł także ewentualnym próbom podważania przebiegu i wyniku postępowania. Wprowadzono art. 3a ust. 5 ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych, który ma na celu uniknięcie rozbieżności interpretacyjnych i wykluczenie sytuacji, w których - z powołaniem się na niedopełnienie obowiązków informacyjnych, o których mowa w art. 13 ust. 1 i 2 RODO - ktoś próbowałby podważać przebieg i wynik postępowania.

Także wystąpienie z żądaniem ograniczenia przetwarzania danych osobowych nie wstrzymuje ani nie ogranicza wykonywania przez organy właściwe w sprawach o naruszenie dyscypliny finansów publicznych realizacji zadań wynikających z przepisów prawa - art. 3a ust. 7 ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych.

2. Rejestr osób uprawnionych do przetwarzania danych

Na administratorów danych nałożony został obowiązek prowadzenia rejestru osób uprawnionych do przetwarzania danych na podstawie upoważnień lub w związku z pełnieniem funkcji w organach właściwych w sprawach o naruszenie dyscypliny finansów publicznych.

Przepis art. 3a ust. 3 ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych jednoznacznie potwierdza, że prawo do przetwarzania danych przez osoby powołane do organów właściwych w sprawach o naruszenie dyscypliny finansów wynika wprost z przepisów prawa.

3. Poufność danych osobowych

Osoby przetwarzające dane, na mocy art. 3a ust. 4 ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych zobowiązane zostały do zachowania w poufności danych osobowych oraz sposobów ich zabezpieczenia. Jednak w szeregu przypadków dane osobowe lub sposoby ich zabezpieczeń, zgodnie z obowiązującym prawem, powinny być udostępniane, dlatego też obowiązek zachowania w poufności takich informacji nie będzie dotyczył sytuacji, w których przepisy szczególne stanowią inaczej.

4. Realizowanie obowiązków informacyjnych

Zgodnie z wprowadzonym art. 3a ust. 6 ustawy o odpowiedzialnosci za naruszenie dyscypliny finansów publicznych, obowiązki informacyjne są realizowane przy okazji pierwszej czynności skierowanej do osoby, której dane są przetwarzane (np. strony postępowania, albo świadka).

Ustawodawca miał tutaj na celu wykluczenie takiej interpretacji przepisów, w myśl której obowiązki informacyjne miałyby być realizowane poprzez kierowanie specjalnych, odrębnych pism do tych osób. Art. 13 ust. 1 i 2 RODO stanowi, że obowiązki w tym zakresie realizuje administrator. W związku z tym w ustępie 6 omawianego przepisu wskazano na obowiązki administratora w tym zakresie, ale należy założyć, iż w praktyce ten obowiązek administrator będzie zazwyczaj realizował za pośrednictwem organu.

Ocena zmian

Ustawa o odpowiedzialności za naruszenie dyscypliny finansów publicznych zawiera wiele przepisów w zakresie praw osób, których dotyczy postępowanie o naruszenie dyscypliny finansów publicznych. Wprowadzone regulacje mają na celu przede wszystkim uniknięcie rozbieżności interpretacyjnych w przedmiocie kategorii administratorów danych. Wskazano katalog podmiotów (w tym osób, których dane dotyczą), którym przysługuje prawo pozyskania informacji zawartych w rejestrze, w którym znajdują się dane o osobach, którym przypisano odpowiedzialność za naruszenie dyscypliny finansów publicznych. Określono także podmioty właściwe do przetwarzania danych w postępowaniu w sprawach o naruszenie dyscypliny finansów publicznych.

PODSTAWA PRAWNA:

● art. 82 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);
● art. 3a ustawy z 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (j.t. Dz.U. z 2018 r. poz. 1458; ost.zm. Dz.U. z 2019 r. poz. 730).

Dostęp do akt sprawy dla strony postępowania

Do ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych dodany został art. 173a. Przepis ten jednoznacznie określa, że także strona postępowania (lub każda inna uprawniona osoba), która może skorzystać z prawa dostępu do akt sprawy, ma prawo do skorzystania z uprawnień wynikających z art. 15 RODO.

Ocena zmian

PODSTAWA PRAWNA:

● art. 82 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730);
● art. 173a ustawy z 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (j.t. Dz.U. z 2018 r. poz. 1458; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o kontroli w administracji rządowej

+/-

Metody zabezpieczania danych osobowych

Zmiany dotyczą sposobu zabezpieczenia danych kontroli, udostępnianych kierownikowi kontrolowanej jednostki rządowej. W dalszym ciągu kontroler ma obowiązek udostępnić akta kontroli po anonimizacji w dokumentach danych osobowych pracownika lub innej osoby, jeżeli zastrzegły one nieujawnianie danych umożliwiających ich identyfikację, a zachodzi uzasadniona obawa, że udzielone informacje w sprawach objętych kontrolą mogą narazić tego pracownika lub osobę na jakikolwiek uszczerbek lub zarzut z powodu udzielenia tych informacji.

Przed zmianą przepisów anonimizacja była jedyną możliwością zabezpieczania danych. Po zmianach ustawy kontroler udostępni dane po anonimizacji bądź pseudonimizacji.

Anonimizacja jest procesem nieodwracalnym. Pseudonimizacja to przetwarzanie danych osobowych w taki sposób, aby nie było możliwe zidentyfikowanie, do kogo one należą, bez dostępu do innych informacji, przechowywanych bezpiecznie w innym miejscu. Proces pseudonimizacji jest odwracalny, co oznacza, że dane, które zostały zaszyfrowane, można odszyfrować za pomocą odpowiedniego klucza.

Ocena zmian

Wprowadzona zmiana uwzględnia pseudonimizację jako nową metodę zabezpieczania danych udostępnianych kierownikowi w trakcie prowadzonej kontroli jednostki administracji rządowej.

PODSTAWA PRAWNA:

● art. 55 ust. 2 ustawy z 15 lipca 2011 r. o kontroli w administracji rządowej (Dz.U. Nr 185, poz. 1092; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zasadach zarządzania mieniem państwowym

Informacje o wspólnikach (udziałowcach spółek Skarbu Państwa)

Kancelaria Prezesa Rady Ministrów będzie m.in. mogła prowadzić listę osób będących akcjonariuszami albo wspólnikami spółek z udziałem Skarbu Państwa reprezentującymi co najmniej jedną dwudziestą kapitału zakładowego spółki.

Ocena zmian

Dane o akcjonariuszach będą pozyskiwane od spółek z udziałem Skarbu Państwa na podstawie postanowień statutów, a także przepisów art. 342 § 7 Kodeksu spółek handlowych, uprawniającego każdego z akcjonariuszy do otrzymania odpisu z księgi akcyjnej spółki.

PODSTAWA PRAWNA:

● art. 8a ustawy z 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym (j.t. Dz.U. z 2018 r. poz. 1182; ost.zm. Dz.U. z 2019 r. poz. 730).

Przepisy wprowadzające ustawę o zasadach zarządzania mieniem państwowym

System do przetwarzania danych o nabywcach akcji (udziałów) spółek Skarbu Państwa

Dodano przepis art. 109a, na podstawie którego minister właściwy do spraw gospodarki może powierzyć Kancelarii Prezesa Rady Ministrów wykonywanie zadań związanych z wdrożeniem, utrzymaniem i rozwojem systemu.

Ocena zmian

W systemie przetwarzane będą dane osobowe nabywców akcji i udziałów spółek Skarbu Państwa oraz nabywców mienia Skarbu Państwa w ramach prywatyzacji bezpośredniej, w tym będących dłużnikami Skarbu Państwa z tytułu zobowiązań cenowych i pozacenowych (kapitałowych, korporacyjnych, pracowniczych, sprawozdawczych).

PODSTAWA PRAWNA:

● art. 109a ustawy z 16 grudnia 2016 r. - Przepisy wprowadzające ustawę o zasadach zarządzania mieniem państwowym (Dz.U. z 2016 r. poz. 2260; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o opłatach abonamentowych

Przetwarzanie danych osobowych po wyrejestrowaniu odbiornika

W art. 5 ustawy o opłatach abonamentowych dodaje się ust. 5, 6 i 7, które stanową, że po wyrejestrowaniu odbiornika usunięcie danych osobowych następuje po upływie 5 lat, licząc od końca roku kalendarzowego, w którym dokonano wyrejestrowania odbiornika, pod warunkiem że osoby te nie są zadłużone w uiszczaniu opłat abonamentowych. W takim wypadku usunięcie danych osobowych następuje po upływie 5 lat, licząc od końca roku kalendarzowego, w którym nastąpiło wygaśnięcie zobowiązania.

Ocena zmian

Rozwiązanie należy ocenić pozytywnie, a to dlatego, że wskazuje terminy, po upływie których dane osobowe związane z abonamentem powinny zostać usunięte.

PODSTAWA PRAWNA:

● art. 5 ust. 5, 6 i 7 ustawy z 21 kwietnia 2005 r. o opłatach abonamentowych (j.t. Dz.U. z 2014 r. poz. 1204; ost.zm. Dz.U z 2019 r. poz. 730).

Ustawa o wspieraniu zrównoważonego rozwoju sektora rybackiego z udziałem Europejskiego Funduszu Morskiego i Rybackiego

Administrator danych osobowych

Nowelizacja ustawy o wspieraniu zrównoważonego rozwoju sektora rybackiego z udziałem Europejskiego Funduszu Morskiego i Rybackiego wskazuje, że administratorem danych zgromadzonych w systemie elektronicznej rejestracji i przechowywania danych jest Agencja Restrukturyzacji i Modernizacji Rolnictwa.

Ocena zmian

W związku z wejściem w życie RODO powstaje konieczność jednoznacznego wskazania podmiotu odpowiedzialnego za administrowanie danymi osobowymi. Ustawodawca postanowił, że w zakresie danych przetwarzanych na podstawie przepisów ustawy o wspieraniu zrównoważonego rozwoju sektora rybackiego z udziałem Europejskiego Funduszu Morskiego i Rybackiego zadania te będzie wykonywać Agencja Restrukturyzacji i Modernizacji Rolnictwa.

PODSTAWA PRAWNA:

● art. 25 ust. 1a ustawy z 10 lipca 2015 r. o wspieraniu zrównoważonego rozwoju sektora rybackiego z udziałem Europejskiego Funduszu Morskiego i Rybackiego (j.t. Dz.U. z 2017 r. poz. 1267; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o pomocy społecznej

Obowiązek prowadzenia centralnego rejestru danych

Wprowadzono obowiązek prowadzenia i rozwijania rejestru centralnego obejmującego dane gromadzone przez jednostki organizacyjne pomocy społecznej na podstawie przepisów ustawy. Chodzi o dane dotyczące jednostek organizacyjnych pomocy społecznej, a także dane dotyczące osób i rodzin ubiegających się o świadczenia z pomocy społecznej lub korzystających z tych świadczeń oraz form udzielonej pomocy społecznej. Podmiotem, na którym ciąży obowiązek prowadzenia rejestru, jest minister do spraw zabezpieczenia społecznego.

Konsekwencją nowelizacji jest użycie wprost sformułowania, że w rejestrze dane są przetwarzane. Dotychczas przepis kształtował jedynie uprawnienie do prowadzenia rejestru i przetwarzania danych. Celem przetwarzania jest realizacja zadań nałożonych na ministra w art. 23 ust. 1.

Zadania ministra właściwego do spraw zabezpieczenia społecznego:

● tworzenie koncepcji i określanie kierunków rozwoju w obszarze pomocy społecznej;
● zlecanie i finansowanie badań, ekspertyz i analiz w obszarze pomocy społecznej;
● monitorowanie standardów jakości usług;
● analiza skuteczności pomocy społecznej;
● inspirowanie i promowanie nowych form i metod działania, a także szkolenie kadr;

● nadzór merytoryczny nad szkoleniem w zakresie organizacji pomocy społecznej i specjalizacji w zawodzie pracownik socjalny oraz nad szkoleniem dla superwizorów pracy socjalnej;
● opracowywanie i finansowanie programów osłonowych;
● finansowe wspieranie programów w określonym przez ministra obszarze pomocy społecznej, realizowanych przez jednostki samorządu terytorialnego lub podmioty uprawnione;
● określanie zadań administracji publicznej w zakresie utrzymania i rozwoju systemu informatycznego w jednostkach organizacyjnych pomocy społecznej w województwach, przekazywanie środków na współfinansowanie oraz sprawowanie nadzoru nad funkcjonowaniem tego systemu;
● współdziałanie z organizacjami pozarządowymi.

Jednostki organizacyjne pomocy społecznej przekazują dane do rejestru centralnego, wykorzystując oprogramowanie udostępnione nieodpłatnie przez ministra właściwego do spraw zabezpieczenia społecznego.

Ocena zmian

Nowelizacją nałożono na ministra do spraw zabezpieczenia społecznego obowiązek prowadzenia i rozwijania rejestru centralnego obejmującego dane dotyczące jednostek organizacyjnych pomocy społecznej, a także dane osób i rodzin ubiegających się o świadczenia z pomocy społecznej lub korzystających z tych świadczeń oraz form udzielonej pomocy społecznej. Pomimo że jest to dodatkowe zobowiązanie nałożone na ministra, to zmianę należy uznać za pozytywną ze względu na cel, jakim jest ochrona danych zgromadzonych przez jednostki pomocy społecznej.

PODSTAWA PRAWNA:

● art. 23 ust. 4a ustawy z dnia 12 marca 2004 r. o pomocy społecznej (j.t. Dz.U. z 2018 r. poz. 1508; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawowe upoważnienie do przetwarzania danych osobowych

Mając na uwadze szeroki krąg podmiotów przetwarzających dane osobowe osób korzystających ze świadczeń pomocy społecznej, jak również innych osób, do których ustawa ma zastosowanie (np. członków rodzin ponoszących opłaty za pobyt innej osoby w domu pomocy społecznej), wprowadzono jedno upoważnienie mające zastosowanie do wszystkich podmiotów wskazanych w art. 2 ust. 2, realizujących zadania ustawy o pomocy społecznej.

Treść przepisu art. 2 ust. 2 ustawy o pomocy społecznej:

2. Pomoc społeczną organizują organy administracji rządowej i samorządowej, współpracując w tym zakresie, na zasadzie partnerstwa, z organizacjami społecznymi i pozarządowymi, Kościołem Katolickim, innymi kościołami, związkami wyznaniowymi oraz osobami fizycznymi i prawnymi.

Dane mogą być przetwarzane jedynie w celu i zakresie niezbędnym do realizacji zadań ustawy o pomocy społecznej.

Ocena zmian

Nowelizacja wprowadziła w jednym przepisie upoważnienie do przetwarzania danych osobowych dla wszystkich wskazanych podmiotów realizujących zadania ustawy o pomocy społecznej. Pomimo że zmiany nakładają dodatkowe obowiązki na instytucje, to jednocześnie wzmacniają ochronę danych osób, wobec których stosuje się ustawę oraz wobec członków ich rodzin. Z tego względu należy je traktować jako zmiany pozytywne.

PODSTAWA PRAWNA:

● art. 100 ust. 2 ustawy z 12 marca 2004 r. o pomocy społecznej (j.t. Dz.U. z 2018 r. poz. 1508; ost.zm. Dz.U. z 2019 r. poz. 730).

Administratorzy danych osobowych przetwarzanych w celu przyznawania i udzielania świadczeń z pomocy społecznej

Administratorami danych w systemie pomocy społecznej są zasadniczo publiczne jednostki organizacyjne pomocy społecznej.

W przypadku zlecenia realizacji zadania podmiotem odpowiedzialnym za przetwarzanie danych osobowych osób, którym są udzielane świadczenia, jest podmiot przyjmujący zlecenie. W sytuacji, gdy podmiot ten udziela świadczeń w prowadzonej przez siebie jednostce organizacyjnej pomocy społecznej, administratorem danych osobowych jest ta jednostka organizacyjna, np. dom pomocy społecznej, ośrodek wsparcia.

Podmiot, który przyjął zlecenie realizacji zadania z zakresu pomocy społecznej, jest niezależny od organu udzielającego zlecenia. Z tego właśnie względu jest odrębnym administratorem danych osobowych.

Ocena zmian

Celem nowelizacji jest doprecyzowanie, jakie podmioty w procesie realizacji zadań z obszaru pomocy społecznej są administratorami przetwarzania danych. Nowelizacja jasno wskazuje podmioty odpowiedzialne, co ma pozytywny walor porządkujący.

PODSTAWA PRAWNA:

● art. 25 ust. 7, art. 100 ust. 5 ustawy z 12 marca 2004 r. o pomocy społecznej (j.t. Dz.U. z 2018 r. poz. 1508; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek zabezpieczenia danych osobowych przez administratora danych

W celu zrealizowania ustawowego obowiązku zabezpieczenia danych osobowych osób, do których stosuje się ustawę o pomocy społecznej oraz członków ich rodzin, administrator powinien spełnić co najmniej następujące wymagania:

● dopuścić do przetwarzania danych osobowych wyłącznie osoby posiadające pisemne upoważnienie, wydane przez administratora danych;
● przyjąć pisemne zobowiązania osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

Podmioty i osoby realizujące zadania w zakresie pomocy społecznej obowiązane są do zachowania w poufności wszelkich informacji i danych, które uzyskały przy wykonywaniu tych zadań.

Ocena zmian

Zmiany dookreślają obowiązki instytucji oraz osób przetwarzających dane w zakresie ich zabezpieczenia. Celem nowelizacji jest wzmocnienie ochrony danych osób, do których stosuje się przepisy ustawy o pomocy społecznej oraz członków ich rodzin, także tych wrażliwych. Z tego względu zasadniczo zmiany należy uznać za pozytywne, pomimo nałożenia nowych obowiązków na określone ustawowo podmioty.

PODSTAWA PRAWNA:

● art. 100 ust. 6-7 ustawy z 12 marca 2004 r. o pomocy społecznej (j.t. Dz.U. z 2018 r. poz. 1508; ost.zm. Dz.U. z 2019 r. poz. 730).

Ograniczenie obowiązku informacyjnego

Ogólne rozporządzenie o ochronie danych w art. 23 ust. 1 lit. e) daje możliwość państwom członkowskim wprowadzenia pewnych ograniczeń w stosowaniu obowiązków nałożonych przez ten akt prawa unijnego. Skorzystano z tej możliwości w art. 100 ust. 3-4 ustawy o pomocy społecznej. Ustawodawca polski postanowił, że w celu udzielania świadczeń, o których mowa w art. 106 ust. 2, oraz w celu świadczenia usług w ośrodkach wsparcia, rodzinnych domach pomocy, mieszkaniach chronionych i domach pomocy społecznej, realizacja obowiązku informacyjnego następuje poprzez umieszczenie informacji o przetwarzaniu danych osobowych w widocznym miejscu w budynku, w którym udzielane są świadczenia.

Treść przepisu art. 106 ust. 2 ustawy o pomocy społecznej:

2. Udzielenie świadczeń w postaci interwencji kryzysowej, pracy socjalnej, poradnictwa, uczestnictwa w zajęciach klubu samopomocy, klubu samopomocy dla osób z zaburzeniami psychicznymi, schronienia w formie ogrzewalni i noclegowni, sprawienia pogrzebu, a także przyznanie biletu kredytowanego nie wymaga wydania decyzji administracyjnej.

Powyższy sposób realizacji obowiązków informacyjnych dotyczy udzielania:

● świadczeń, które nie są przyznawane decyzją administracyjną;
● świadczeń w formie usług udzielanych w jednostkach organizacyjnych przez te jednostki.

Wprowadzono jednocześnie obowiązek informowania o ograniczeniu obowiązku informacyjnego osób, których ograniczenie dotyczy, najpóźniej przy pierwszej czynności skierowanej do osoby, której dane dotyczą.

Niezbędnym warunkiem wprowadzenia ograniczeń, przewidzianym w ogólnym rozporządzeniu o ochronie danych, jest zagwarantowanie, że ograniczenie nie będzie naruszało istoty podstawowych praw i wolności. Omawiany tu art. 100 ust. 3 nie ingeruje w istotę praw osób fizycznych związanych z ochroną danych, czyli w uprawnienie do żądania dostępu, sprostowania czy usunięcia danych gromadzonych przez administratora. Ograniczenie przewidziane w tym przepisie ma na celu jedynie zmniejszenie obciążeń administracyjnych spoczywających na organach administracji publicznej. Ma służyć także sprawnemu załatwianiu spraw zarówno o charakterze zbiorowym, jak i indywidualnym.

Ocena zmian

Nowelizacja wprowadziła ułatwienia w realizacji obowiązków informacyjnych wynikających z RODO dla podmiotów udzielających świadczeń lub świadczących usługi wskazane w przepisie. Postanowiono, że realizacja obowiązku informacyjnego następuje poprzez umieszczenie informacji o przetwarzaniu danych osobowych w widocznym miejscu w budynku, w którym udzielane są świadczenia. Jednocześnie przepisy nałożyły obowiązek informowania o ograniczeniu obowiązku informacyjnego osób, których ograniczenie dotyczy, najpóźniej przy pierwszej czynności skierowanej do osoby, której dane dotyczą. Zmiany należy ocenić pozytywnie ze względu na zmniejszenie obciążeń administracyjnych zobowiązanych podmiotów, co służy szybszemu realizowaniu zadań. Wprowadzone ograniczenie nie narusza praw osób fizycznych związanych z ochroną danych.

PODSTAWA PRAWNA:

● art. 100 ust. 3-4 ustawy z 12 marca 2004 r. o pomocy społecznej (j.t. Dz.U. z 2018 r. poz. 1508; ost.zm. Dz.U. z 2019 r. poz. 730).

Przetwarzanie danych osobowych osób korzystających z Programu Operacyjnego Pomoc Żywnościowa 2014-2020

Z Programu Operacyjnego udzielana jest pomoc w postaci paczek żywnościowych i posiłków, a także tzw. działań towarzyszących (np. organizacja warsztatów na temat zdrowego żywienia czy szkoleń z zakresu zarządzania budżetem domowym).

Aby ułatwić realizację obowiązków informacyjnych wynikających z RODO małym, lokalnym organizacjom, wprowadzono dla nich możliwość umieszczenia informacji o przetwarzaniu danych osobowych w widocznym miejscu w budynku, w którym udzielana jest pomoc.

Konieczność doręczania każdej osobie korzystającej z pomocy indywidualnie informacji wskazanych w ogólnym rozporządzeniu o ochronie danych mogłoby spowodować rezygnację części z organizacji z udziału w Programie Operacyjnym, a tym samym pozostawienie danej społeczności bez pomocy oferowanej w jego ramach.

W stosunku do Krajowego Ośrodka Wsparcia Rolnictwa, przetwarzającego dane osobowe osób korzystających z pomocy w toku czynności kontrolnych, umożliwia się realizację obowiązku informacyjnego poprzez umieszczenie informacji o przetwarzaniu danych osobowych na stronie podmiotowej w Biuletynie Informacji Publicznej lub na stronie internetowej KOWR.

Nałożono obowiązek zabezpieczenia danych osobowych w ramach Programu Operacyjnego co najmniej poprzez wymóg dopuszczenia do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie nadane przez administratora danych oraz zobowiązania ich do zachowania danych osobowych w tajemnicy.

Ocena zmian

Nowelizacja wprowadziła ułatwienia w realizacji obowiązków informacyjnych wynikających z RODO dla organizacji biorących udział w Programie Operacyjnym Pomoc Żywnościowa 2014-2020. Zmiany objęły również określenie minimalnych zabezpieczeń dla zgromadzonych i przetwarzanych danych. Pomimo odejścia od sztywnych reguł ogólnego rozporządzenia o ochronie danych dotyczących informowania o przetwarzaniu danych i uprawnieniach z tym związanych, zmiany należy uznać za korzystne, gdyż odpowiednia informacja zostanie upubliczniona, przy tym zabezpieczenia danych zostaną wzmocnione. Jednocześnie ograniczono ryzyko rezygnacji organizacji z udziału w Programie Operacyjnym, co mogłoby nastąpić wskutek nałożenia na nie rygorystycznych obowiązków, związanych z obowiązkiem informacyjnym.

PODSTAWA PRAWNA:

● art. 134m ustawy z 12 marca 2004 r. o pomocy społecznej (j.t. Dz.U. z 2018 r. poz. 1508; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o przeciwdziałaniu przemocy w rodzinie

Kategorie osób, których dane są przetwarzane

Nowelizacja wprowadza dokładną regulację wszystkich kategorii osób, których dane podlegają przetwarzaniu.

Oprócz przetwarzania danych osobowych osób:

● co do których istnieje podejrzenie, że są dotknięte przemocą w rodzinie,
● osób dotkniętych przemocą w rodzinie,
● danych osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie,
● osób stosujących przemoc w rodzinie,

przetwarzaniu, podlegają również dane:

● innych osób pozostających we wspólnym gospodarstwie z osobą, wobec której istnieje podejrzenie, że stosuje przemoc w rodzinie lub z osobą stosującą przemoc w rodzinie,
● dane osób zgłaszających podejrzenie stosowania przemocy w rodzinie,
● świadków przemocy w rodzinie.

Ocena zmian

Nowelizacja szczegółowo określiła kategorie osób objętych ustawą o przeciwdziałaniu przemocy w rodzinie. Katalog osób, których dane są przetwarzane, a co za tym idzie - chronione, został rozszerzony. Z tego względu należy uznać zmiany za pozytywne.

PODSTAWA PRAWNA:

● art. 9c ust. 1 ustawy z 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (j.t. Dz.U. z 2015 r. poz. 1390; ost.zm. Dz.U. z 2019 r. poz. 730).

Zakres przetwarzanych danych

W przepisach określono szczegółowo zakres przetwarzanych danych w powiązaniu do każdej z kategorii osób.

Osoby, co do których istnieje podejrzenie, że są dotknięte przemocą w rodzinie oraz osoby dotknięte przemocą w rodzinie:

1) imię i nazwisko,

2) imiona rodziców,

3) wiek,

4) adres miejsca zamieszkania lub pobytu,

5) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada,

6) informacje o stanie zdrowia,

7) informacje o nałogach,

8) informacje o skazaniach, orzeczeniach o ukaraniu, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym,

9) informacje o sytuacji rodzinnej,

10) informacje o sytuacji zawodowej i źródłach utrzymania,

11) informacje o sytuacji mieszkaniowej.

Inne osoby pozostające we wspólnym gospodarstwie z osobą, wobec której istnieje podejrzenie, że stosuje przemoc w rodzinie lub z osobą stosującą przemoc w rodzinie:

1) imię i nazwisko,

2) stosunek pokrewieństwa z osobą, co do której istnieje podejrzenie, że stosuje przemoc w rodzinie lub z osobą stosującą przemoc w rodzinie,

3) wiek,

4) informacje o sytuacji zawodowej i źródłach utrzymania,

5) w przypadku dzieci - dane szkoły i klasy, do której uczęszcza dziecko.

Osoby, co do których istnieje podejrzenie, że stosują przemoc w rodzinie oraz osoby stosujące przemoc w rodzinie:

1) imię i nazwisko,

2) wiek,

3) stan cywilny,

4) adres miejsca zamieszkania lub pobytu,

5) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada,

6) stosunek pokrewieństwa z osobą, co do której istnieje podejrzenie, że jest dotknięta przemocą w rodzinie lub z osobą dotkniętą przemocą w rodzinie,

7) informacje o stanie zdrowia,

8) informacje o nałogach,

9) informacje o skazaniach, orzeczeniach o ukaraniu, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym,

10) informacje o sytuacji zawodowej i źródłach utrzymania.

Osoby zgłaszające podejrzenie stosowania przemocy w rodzinie oraz świadkowie przemocy:

1) imię i nazwisko,

2) adres miejsca zamieszkania,

3) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada.

Ocena zmian

Nowelizacja szczegółowo określiła zakres przetwarzanych danych w powiązaniu do każdej z kategorii osób objętych ustawą o przeciwdziałaniu przemocy w rodzinie.

PODSTAWA PRAWNA:

● art. 9c ust. 1 ustawy z 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (j.t. Dz.U. z 2015 r. poz. 1390; ost.zm. Dz.U. z 2019 r. poz. 730).

Ograniczenie katalogu podmiotów upoważnionych do przetwarzania danych

Kierując się potrzebą ochrony osób, co do których istnieje podejrzenie, że są dotknięte przemocą w rodzinie oraz osób dotkniętych przemocą w rodzinie, zdecydowano się na ograniczenie katalogu podmiotów upoważnionych do przetwarzania danych.

Ograniczono dostęp do dokumentacji jedynie dla:

● członków zespołu interdyscyplinarnego,
● członków grup roboczych,
● osób, co do których istnieje podejrzenie, że są dotknięte przemocą w rodzinie oraz osoby dotknięte przemocą w rodzinie,
● osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie oraz osoby stosujące przemoc w rodzinie.

Wobec osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie oraz osób stosujących przemoc w rodzinie, wyłączono możliwość dostępu do dokumentacji zawierającej dane osób dotkniętych przemocą w rodzinie oraz osób zgłaszających podejrzenie stosowania przemocy w rodzinie, których udostępnienie mogłoby spowodować zagrożenie życia, zdrowia lub bezpieczeństwa osób dotkniętych przemocą w rodzinie lub osób zgłaszających podejrzenie stosowania przemocy w rodzinie.

Ocena zmian

Zmiany mają pozytywny charakter z uwagi na realizację potrzeby ochrony osób, co do których istnieje podejrzenie, że są dotknięte przemocą w rodzinie oraz osób dotkniętych przemocą w rodzinie. Nowelizacja wprowadza ograniczenie katalogu podmiotów upoważnionych do przetwarzania danych.

PODSTAWA PRAWNA:

● art. 9c ust. 4-5 ustawy z 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (j.t. Dz.U. z 2015 r. poz. 1390; ost.zm. Dz.U. z 2019 r. poz. 730).

Administrator danych osobowych

Administratorem przetwarzanych danych jest ośrodek pomocy społecznej, który zapewnia obsługę organizacyjno-techniczną zespołu interdyscyplinarnego.

Ocena zmian

Celem nowelizacji jest ustawowe wskazanie administratora przetwarzania danych. Zmianę należy uznać za pozytywną ze względu na jasne określenie podmiotu zobowiązanego.

PODSTAWA PRAWNA:

● art. 9c ust. 6 ustawy z 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (j.t. Dz.U. z 2015 r. poz. 1390; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek zabezpieczenia danych osobowych przez administratora danych

Należy zabezpieczyć dane osobowe co najmniej poprzez:

● dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
● przyjęcie pisemnych zobowiązań od osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

Jednocześnie w dotychczasowym brzmieniu pozostawia się przepis art. 9c ust. 2 określający obowiązek zachowania poufności wszelkich informacji i danych, które członkowie zespołów interdyscyplinarnych oraz grup roboczych uzyskali przy realizacji zadań. Obowiązek ten rozciąga się także na okres po ustaniu członkostwa w zespole interdyscyplinarnym oraz w grupach roboczych.

Ocena zmian

Nowelizacja precyzuje obowiązki instytucji oraz osób przetwarzających dane w zakresie ich zabezpieczenia. Celem jest wzmocnienie ochrony danych osób, do których stosuje się przepisy ustawy o przeciwdziałaniu przemocy w rodzinie, także tych wrażliwych. Z tego względu zmiany należy uznać za pozytywne, pomimo nałożenia nowych obowiązków na określone ustawowo podmioty.

PODSTAWA PRAWNA:

● art. 9c ust. 2 i 7 ustawy z 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (j.t. Dz.U. z 2015 r. poz. 1390; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o pomocy osobom uprawnionym do alimentów

Obowiązek przetwarzania danych osobowych

Ustawa o pomocy osobom uprawnionym do alimentów przewiduje przetwarzanie danych osobowych osób ubiegających się o świadczenia z funduszu alimentacyjnego, członków ich rodzin oraz dłużników alimentacyjnych.

Ustawodawca zastąpił uprawnienie przetwarzania danych osobowych gromadzonych w centralnym rejestrze prowadzonym przez ministra do spraw rodziny - które obejmują:

● dane dotyczące osób uprawnionych i członków ich rodzin,
● dane dotyczące dłużników alimentacyjnych i podejmowanych wobec nich działań

- jasnym wskazaniem, że dane te są "przetwarzane".

Ponadto w przepisach wprost zostało wskazane, że organ właściwy dłużnika oraz organ właściwy wierzyciela przetwarzają dane (a nie mogą gromadzić i przetwarzać - jak dotychczas), w zakresie określonym w ustawie.

Przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych. Aby wskazane w ustawie podmioty mogły realizować swoje zadania, niezbędne jest, aby przetwarzały dane osobowe.

Ocena zmian

Nowelizacja wprowadziła ustawowy obowiązek gromadzenia, przetwarzania i wykorzystywania danych osobowych osób uprawnionych do alimentów oraz członków ich rodzin, a także danych dłużników alimentacyjnych. Zmiany nakładają dodatkowe obowiązki na instytucje. Wzmacniają jednocześnie ochronę danych jednostki i z tego względu należy je traktować jako zmiany pozytywne.

PODSTAWA PRAWNA:

● art. 15 ust. 8b i 8cb, art. 22 ust. 1 ustawy z 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (j.t. Dz.U. z 2019 r. poz. 670; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek zabezpieczenia danych osobowych przez administratora danych

Nowelizacja wprowadza regulacje służące odpowiedniemu zabezpieczeniu danych osobowych. Jest to szczególnie istotne, gdyż do celów realizacji ustawy o pomocy osobom uprawnionym do alimentów przetwarzane są także tzw. wrażliwe dane osobowe.

Dane podlegają zabezpieczeniom zapobiegającym nadużyciom, niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

● dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych,
● pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Ocena zmian

Zmiany dookreślają obowiązki instytucji oraz osób przetwarzających dane w zakresie ich zabezpieczenia. Celem jest wzmocnienie ochrony danych osób, do których stosuje się przepisy ustawy o pomocy osobom uprawnionym do alimentów, także tych wrażliwych. Z tego względu zasadniczo zmiany należy uznać za pozytywne, pomimo nałożenia nowych obowiązków na określone ustawowo podmioty.

PODSTAWA PRAWNA:

● art. 22a ustawy z 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (j.t. Dz.U. z 2019 r. poz. 670; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o opiece nad dziećmi w wieku do lat 3

Obowiązek przetwarzania danych osobowych

Ustawodawca zastąpił uprawnienie przetwarzania danych osobowych przez podmioty prowadzące żłobki, kluby dziecięce lub zatrudniające dziennego opiekuna obowiązkiem ich przetwarzania. Ogólne rozporządzenie o ochronie danych stanowi bowiem, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych. Aby podmioty te mogły realizować swoje zadania ustawowe, muszą przetwarzać określone w ustawie dane osobowe. Przetwarzane są one wyłącznie w związku z rekrutacją oraz w zakresie i w celu zapewnienia dziecku prawidłowej opieki.

Dane przedstawiane przez rodzica ubiegającego się o objęcie dziecka opieką w żłobku, klubie dziecięcym albo przez dziennego opiekuna:

● imię, nazwisko, data urodzenia oraz numer PESEL dziecka,
● informacja, czy dziecko legitymuje się orzeczeniem o niepełnosprawności, a jeżeli tak, to jakim,
● imiona, nazwiska oraz numery PESEL rodziców, a w przypadku gdy nie nadano numeru PESEL - daty urodzenia,
● informacje o rodzeństwie dziecka dotyczące liczby i wieku rodzeństwa,
● adres miejsca zamieszkania rodziców i dziecka,
● adres poczty elektronicznej i numer telefonu rodziców - o ile je posiadają,
● miejsce pracy rodziców lub miejsce pobierania nauki w szkole lub szkole wyższej przez rodziców - o ile pracują lub pobierają naukę,
● dane o stanie zdrowia, stosowanej diecie i rozwoju psychofizycznym dziecka,
● dane o wysokości dochodów rodziców - w przypadku ubiegania się przez rodziców o częściowe lub całkowite zwolnienie z opłat, jeżeli zwolnienie to jest uzależnione od wysokości dochodów.

Ocena zmian

Nowelizacja wprowadziła ustawowy obowiązek gromadzenia, przetwarzania i wykorzystywania danych osobowych przez podmioty prowadzące żłobki, kluby dziecięce lub zatrudniające dziennego opiekuna. Dane mogą być przetwarzane jedynie w związku z rekrutacją oraz w zakresie i w celu zapewnienia dziecku prawidłowej opieki Zmiany dookreślają obowiązki instytucji, jednocześnie wzmacniając ochronę danych jednostki. Z tego powodu należy je traktować jako zmiany pozytywne.

PODSTAWA PRAWNA:

● art. 3a ust. 2 ustawy z 4 lutego 2011 r. o opiece nad dziećmi w wieku do lat 3 (j.t. Dz.U. z 2018 r. poz. 603; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o wspieraniu rodziny i systemie pieczy zastępczej

Obowiązek przetwarzania danych osobowych

Ustawodawca zastąpił uprawnienie przetwarzania danych osobowych przez podmioty i osoby realizujące zadania w zakresie wspierania rodziny i systemu pieczy zastępczej jasno wskazanym obowiązkiem ich przetwarzania.

W celu realizacji ustawy o wspieraniu rodziny i systemie pieczy zastępczej gromadzone są dane osobowe:

1) osób objętych wspieraniem rodziny (dotyczy to rodzin przeżywających trudności w wypełnianiu funkcji opiekuńczo-wychowawczych),

2) osób tworzących rodzinną pieczę zastępczą i dzieci umieszczonych w pieczy zastępczej,

3) osób, które chcą adoptować dziecko i dzieci kwalifikowanych do adopcji.

Ocena zmian

Nowelizacja wprowadziła ustawowy obowiązek gromadzenia, przetwarzania i wykorzystywania danych osobowych przez podmioty i osoby realizujące zadania w zakresie wspierania rodziny i systemu pieczy zastępczej. Gromadzenie danych może służyć jedynie realizacji zadań nałożonych przez ustawę. Zmiany dookreślają obowiązki instytucji, jednocześnie wzmacniając ochronę danych jednostki. Z tego powodu należy je traktować jako zmiany pozytywne.

PODSTAWA PRAWNA:

● art. 7 ust. 1 ustawy z 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej (j.t. Dz.U. z 2018 r. poz. 998; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek zabezpieczenia danych osobowych przez administratora danych

Nowelizacja wprowadza regulacje służące odpowiedniemu zabezpieczeniu wyżej wskazanych danych, zwłaszcza że przetwarzane są także tzw. wrażliwe dane osobowe. Prawidłowe zabezpieczenie polega co najmniej na:

Podmioty i osoby realizujące zadania w zakresie wspierania rodziny i systemu pieczy zastępczej są obowiązane do zachowania w tajemnicy informacji o osobach, do których stosuje się przepisy ustawy oraz członkach ich rodzin, w tym informacji o udzielonej tym osobom pomocy i świadczeniach.

Ocena zmian

Zmiany dookreślają obowiązki instytucji oraz osób przetwarzających dane w zakresie ich zabezpieczenia. Celem nowelizacji jest wzmocnienie ochrony danych osób, do których stosuje się przepisy ustawy o wspieraniu rodziny i systemie pieczy zastępczej oraz członków ich rodzin, także tych wrażliwych. Z tego względu zasadniczo zmiany należy uznać za pozytywne, pomimo nałożenia nowych obowiązków na określone ustawowo podmioty.

PODSTAWA PRAWNA:

● art. 7 ust. 3-4, art. 161 ust. 5 ustawy z 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej (j.t. Dz.U. z 2018 r. poz. 998; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Karcie Dużej Rodziny

Obowiązek przetwarzania danych osobowych

Wprowadzono obowiązek przetwarzania danych osobowych członków rodzin wielodzietnych. Zastąpiono tym samym dotychczasowe uprawnienie przynależne:

● wójtowi (burmistrzowi, prezydentowi miasta) oraz
● ministrowi właściwemu do spraw rodziny.

Ogólne rozporządzenie o ochronie danych stanowi bowiem, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych. Aby wskazane podmioty mogły realizować zadania w zakresie Karty Dużej Rodziny, muszą przetwarzać określone w ustawie dane osobowe.

Gromadzone i przetwarzane dane rodzin wielodzietnych:

1) imiona i nazwisko,

2) imiona i nazwiska rodowe rodziców dziecka,

3) data urodzenia i informacja o zgonie,

4) miejsce zamieszkania lub pobytu,

5) adres do korespondencji,

6) numer PESEL,

7) numer dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają numeru PESEL,

8) stan cywilny,

9) obywatelstwo,

10) informacje o zawarciu, rozwiązaniu przez rozwód, unieważnieniu lub stwierdzeniu przez sąd nieistnienia związku małżeńskiego,

11) stopień pokrewieństwa z członkami rodziny,

12) informacja o uczęszczaniu dziecka do szkół i placówek oświatowych, okresie uczęszczania, typie lub rodzaju instytucji oraz nazwie i adresie siedziby instytucji, do której dziecko uczęszcza,

13) informacja o uczęszczaniu dziecka do szkoły wyższej, okresie uczęszczania oraz nazwie i adresie siedziby szkoły wyższej, do której dziecko uczęszcza,

14) informacja o znacznym lub umiarkowanym stopniu niepełnosprawności, w tym informacja o okresie, na jaki zostało wydane orzeczenie o znacznym lub umiarkowanym stopniu niepełnosprawności,

15) informacja o umieszczeniu dziecka w pieczy zastępczej,

16) orzeczenie sądu o odebraniu lub ograniczeniu władzy rodzicielskiej,

17) dochody członków rodziny wielodzietnej - w przypadku złożenia wniosku, o którym mowa w art. 13 ust. 3 ustawy,

18) numer telefonu i adres poczty elektronicznej członka rodziny wielodzietnej - o ile je posiada lub o ile obowiązek ich podania wynika z ustawy.

Dane osobowe są przetwarzane przez okres 1 roku od dnia utraty prawa do korzystania z Karty Dużej Rodziny, z wyjątkiem informacji dotyczących osób, którym Karta nie została przyznana, które przetwarza się przez okres 1 roku od dnia, w którym decyzja odmawiająca prawa do Karty stała się ostateczna.

Ocena zmian

Nowelizacja wprowadziła ustawowy obowiązek gromadzenia, przetwarzania i wykorzystywania danych osobowych rodzin wielodzietnych przez właściwe organy, w celu weryfikacji i realizacji uprawnień wynikających z Karty Dużej Rodziny. Zmiany dookreślają obowiązki instytucji, jednocześnie wzmacniając ochronę danych jednostki. Z tego powodu należy je traktować jako zmiany pozytywne.

PODSTAWA PRAWNA:

● art. 21 ust. 1, 1a i 4 ustawy z 5 grudnia 2014 r. o Karcie Dużej Rodziny (Dz.U. z 2017 r. poz. 1832; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek zabezpieczenia danych osobowych przez administratora danych

Celem ustawodawcy jest odpowiednie zabezpieczenie wyżej wskazanych danych, zwłaszcza że przetwarzane są także tzw. wrażliwe dane osobowe. Prawidłowe zabezpieczenie polega co najmniej na:

Osoby przetwarzające dane osobowe są obowiązane do zachowania ich w tajemnicy.

Ocena zmian

Zmiany dookreślają obowiązki instytucji oraz osób przetwarzających dane w zakresie ich zabezpieczenia. Celem nowelizacji jest wzmocnienie ochrony danych członków rodzin wielodzietnych, także tych wrażliwych. Z tego względu zasadniczo zmiany należy uznać za pozytywne, pomimo nałożenia nowych obowiązków na określone ustawowo podmioty.

PODSTAWA PRAWNA:

● art. 21 ust. 6-7 ustawy z 5 grudnia 2014 r. o Karcie Dużej Rodziny (Dz.U. z 2017 r. poz. 1832; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o pomocy państwa w wychowywaniu dzieci

Obowiązek przetwarzania danych osobowych

Ustawodawca zastąpił uprawnienie przetwarzania danych osobowych osób ubiegających się o świadczenia wychowawcze oraz członków ich rodzin obowiązkiem ich przetwarzania.

Według ogólnego rozporządzenia o ochronie danych, przetwarzanie danych osobowych jest zgodne z prawem, jeśli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych. Aby podmioty wskazane w przepisach mogły realizować swoje zadania nałożone ustawą o pomocy państwa w wychowaniu dzieci, w tym weryfikować prawo do przyznania świadczeń lub monitorować realizację świadczeń, muszą przetwarzać dane osobowe.

Dane gromadzone są przez właściwe organy i wojewodów podczas realizacji zadań w zakresie świadczenia wychowawczego w rejestrze centralnym tworzonym przez ministra właściwego do spraw rodziny.

Zakres przetwarzanych danych dotyczących osób pobierających świadczenie wychowawcze, osób ubiegających się o świadczenie wychowawcze oraz członków ich rodzin:

1) imię i nazwisko,

2) data urodzenia,

3) adres miejsca zamieszkania, miejsce zamieszkania,

4) numer PESEL,

5) numer i seria dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają numeru PESEL,

6) stan cywilny,

7) obywatelstwo,

8) stopień pokrewieństwa z członkami rodziny,

9) orzeczenie o niepełnosprawności lub o stopniu niepełnosprawności,

10) informacja o uczęszczaniu dziecka do szkół i placówek oświatowych, okresie uczęszczania, typie lub rodzaju instytucji oraz nazwie i adresie siedziby instytucji, do której dziecko uczęszcza,

11) informacja o prawie do świadczeń opieki zdrowotnej,

12) informacja o rozliczaniu się z podatku dochodowego od osób fizycznych,

13) liczba i wysokość wypłaconych świadczeń,

14) płeć,

15) dochody,

16) organ, do którego złożono wniosek, oraz datę złożenia wniosku,

17) organ, który przyznał świadczenie, datę wydania decyzji przyznającej świadczenie oraz numer tej decyzji,

18) okres, na jaki świadczenie zostało przyznane.

Ocena zmian

Nowelizacja wprowadziła ustawowy obowiązek gromadzenia, przetwarzania i wykorzystywania danych osobowych przez właściwe organy i wojewodów podczas realizacji zadań w zakresie świadczenia wychowawczego. Dane zasilają rejestr centralny tworzony przez ministra właściwego do spraw rodziny. Zmiany dookreślają obowiązki instytucji, jednocześnie wzmacniając ochronę danych jednostki. Z tego powodu należy je traktować jako zmiany pozytywne.

PODSTAWA PRAWNA:

● art. 12 ust. 3, art. 14 ust. 2-4a, art. 24 ust. 1 ustawy z 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (j.t. Dz.U. z 2018 r. poz. 2134; ost.zm. Dz.U. z 2019 r. poz. 730).

Obowiązek zabezpieczenia danych osobowych przez administratora danych

Nowelizacja wprowadza regulacje służące odpowiedniemu zabezpieczeniu danych osobowych. Jest to szczególnie istotne, gdyż do celów realizacji ustawy o pomocy państwa w wychowywaniu dzieci przetwarzane są także tzw. wrażliwe dane osobowe.

Dane podlegają zabezpieczeniom zapobiegającym nadużyciom, niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

● dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych lub podmiot przetwarzający,
● pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

W przypadku określonym w art. 14a ustawy pisemne upoważnienie wydaje odpowiednio bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa albo Zakład Ubezpieczeń Społecznych.

Osoby przetwarzające dane osobowe są obowiązane do zachowania ich w tajemnicy.

Ocena zmian

Zmiany dookreślają obowiązki instytucji oraz osób przetwarzających dane w zakresie ich zabezpieczenia. Celem nowelizacji jest wzmocnienie ochrony danych osób pobierających świadczenie wychowawcze, osób ubiegających się o świadczenie wychowawcze oraz członków ich rodzin, także tych wrażliwych. Z tego względu zmiany należy uznać za pozytywne, pomimo nałożenia nowych obowiązków na instytucje.

PODSTAWA PRAWNA:

● art. 24 ust. 1a-1c ustawy z 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (j.t. Dz.U. z 2018 r. poz. 2134; ost.zm. Dz.U. z 2019 r. poz. 730).

Zabezpieczenie danych osobowych wnioskodawców składających wnioski o świadczenie z Programu "Rodzina 500+" za pomocą systemów teleinformatycznych

Nowelizacja reguluje także kwestie związane z przetwarzaniem danych osobowych wnioskodawców (i członków ich rodzin) składających wnioski o świadczenie z Programu "Rodzina 500+".

Przepisy nowo dodanego art. 14a stanowią o zabezpieczeniach danych osobowych zawartych we wnioskach o świadczenie wychowawcze składanych drogą elektroniczną za pomocą systemu teleinformatycznego:

● banku krajowego,
● spółdzielczej kasy oszczędnościowo-kredytowej,
● Zakładu Ubezpieczeń Społecznych.

W przypadku gdy bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa lub Zakład Ubezpieczeń Społecznych w celu umożliwienia złożenia wniosku i załączników do wniosku korzystają z usług innego podmiotu, który będzie przetwarzał dane osobowe, podmiot ten przetwarza dane osobowe w imieniu organu właściwego.

Ocena zmian

Zmiany precyzują zakres zabezpieczenia przetwarzanych danych osobowych, nakładając na instytucje nowe obowiązki. Z uwagi jednak na cel nowelizacji, jakim jest ochrona danych wnioskodawców oraz członków rodzin osób składających wnioski o świadczenie z Programu "Rodzina 500+", zasadniczo zmiany należy uznać za pozytywne.

PODSTAWA PRAWNA:

● art. 14a ustawy z 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (j.t. Dz.U. z 2018 r. poz. 2134; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o ochronie zdrowia psychicznego

Ochrona praw pacjentów chorych psychicznie

Ustawodawca przesądził jednoznacznie, że organem właściwym ds. ochrony praw pacjentów chorych psychicznie jest Rzecznik Praw Pacjenta, a nie jak dotychczas, Rzecznicy Praw Pacjenta Szpitala Psychiatrycznego. Rolą Rzeczników Praw Pacjenta Szpitala Psychiatrycznego jako pracowników Biura Rzecznika Praw Pacjenta jest pomoc w realizacji jego ustawowych zadań. Rzecznik Praw Pacjenta Szpitala Psychiatrycznego uzyskał również prawo dostępu do dokumentacji medycznej pacjentów szpitala psychiatrycznego, przed zmianą miał jedynie prawo wglądu w dokumentację medyczną. Dodatkowym wymogiem była zgoda pacjenta, jego przedstawiciela ustawowego, opiekuna prawnego lub faktycznego.

Ocena zmian

Celem zmiany jest doprowadzenie do systemowej spójności przepisów ustawy z 19 sierpnia 1994 r. o ochronie zdrowia psychicznego oraz ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, tak, by sprawami praw pacjentów, w tym również pacjentów korzystających ze świadczeń zdrowotnych udzielanych przez szpital psychiatryczny, zajmował się jeden organ centralny - Rzecznik Praw Pacjenta.

PODSTAWA PRAWNA:

● art. 10b ust. 1 i ust. 4 pkt 3 ustawy z 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (j.t. Dz.U. z 2018 r. poz. 1878; ost.zm. Dz.U. z 2019 r. poz. 730).

Osoby upoważnione do przetwarzania danych z monitoringu

Doprecyzowano przepisy o tzw. monitoringu wizyjnym pomieszczeń przeznaczonych do izolacji osób zaburzonych psychicznie poprzez wprowadzenie wymogu posiadania pisemnego upoważnienia dla osób przetwarzających dane utrwalone za pomocą monitoringu, wydawanego przez administratora danych. Osoby posiadające pisemne upoważnienie są zobowiązane do zachowania tych danych w tajemnicy.

Ocena zmian

Zmianę należy ocenić pozytywnie, gdyż wpływa na poprawę ochrony danych utrwalonych za pomocą urządzeń monitorujących.

PODSTAWA PRAWNA:

● art. 18e ust. 5 ustawy z 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (j.t. Dz.U. z 2018 r. poz. 1878; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zawodach lekarza i lekarza dentysty

Ochrona danych lekarzy i lekarzy dentystów związanych z realizacją stażu podyplomowego

Ustawodawca wskazał, jakie dane lekarzy i lekarzy dentystów związane z realizacją stażu podyplomowego lekarzy i lekarzy dentystów oraz przez kogo mogą być przetwarzane.

W celu realizacji stażu podyplomowego lekarze i lekarze dentyści zobowiązani są podać:

● stopień żołnierza w służbie czynnej;
● imię i nazwisko;
● numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;
● datę urodzenia;
● adres miejsca zamieszkania;
● numer prawa wykonywania zawodu;
● posiadane specjalizacje;
● powody i okresy absencji w pracy;
● przewidywany i faktyczny termin porodu;
● informację o orzeczonej niepełnosprawności;
● informację o trybie rozwiązania umowy o pracę.

Dane dotyczące stanu zdrowia oraz informacji o trybie rozwiązania umowy o pracę nie mogą być przetwarzane w celu innym niż finansowanie stażu podyplomowego, przedłużenie stażu podyplomowego i nadzór nad odbywaniem stażu podyplomowego, a dostęp do nich mogą mieć wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania tych danych. Osoby posiadające takie upoważnienie są zobowiązane do zachowania tych danych w poufności.

Organami uprawnionymi do przetwarzania powyższych danych oraz do wydawania pisemnych upoważnień do przetwarzania tych danych są marszałek województwa oraz Minister Obrony Narodowej (są to organy, które organizują, finansują oraz zapewniają warunki odbywania stażu podyplomowego przez absolwentów studiów lekarskich i lekarsko-dentystycznych) oraz wojewoda (sprawuje nadzór nad odbywaniem stażu podyplomowego lekarzy).

Analogiczne przepisy dotyczą szkoleń specjalizacyjnych lekarzy.

Ocena zmian

Zmiany w ustawie o zawodach lekarza i lekarza dentysty dotyczące realizacji stażu podyplomowego i szkoleń specjalizacyjnych wiążą się z koniecznością dostosowania jej przepisów do RODO. Co do zasady, art. 9 RODO zabrania przetwarzania danych osobowych dotyczących zdrowia. Natomiast w drodze wyjątku zakaz ten nie ma zastosowania w sytuacji, gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. g RODO).

PODSTAWA PRAWNA:

● art. 15 ust. 11 i 12, art. 16h ust. 10 i 11 ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (j.t. Dz.U. z 2019 r. poz. 537; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o publicznej służbie krwi

Administrator danych gromadzonych w systemie e-krew

W przepisie dotyczącym administratora danych gromadzonych w systemie e-krew usunięto odesłanie do art. 7 pkt 4 ustawy o ochronie danych osobowych (definicja administratora danych). Administratorem systemu e-krew pozostaje nadal minister właściwy do spraw zdrowia.

Ocena zmian

Zmiana ma charakter techniczny - dostosowuje przepisy ustawy o publicznej służbie krwi do RODO.

PODSTAWA PRAWNA:

● art. 17 ust. 3 ustawy z 22 sierpnia 1997 r. o publicznej służbie krwi (j.t. Dz.U. z 2017 r. poz. 1371; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych

Przetwarzanie danych osobowych przez NFZ

W związku z wejściem w życie RODO w ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych wprowadzono dodatkowe regulacje w odniesieniu do przetwarzania danych osobowych przez Narodowy Fundusz Zdrowia.

W ustawie dodano m.in., że dane osobowe ubezpieczonych mogą być przetwarzane przez Fundusz także w celu prowadzenia prac analitycznych i prognostycznych związanych z realizacją świadczeń opieki zdrowotnej.

Należy zauważyć, że NFZ pozyskuje dane osobowe na zasadzie tzw. wtórnego zbierania danych. W takim przypadku, co do zasady, administrator danych jest zobowiązany do dopełnienia obowiązków informacyjnych wobec osoby, której dane dotyczą (art. 14 ust. 1-4 RODO).

Administrator danych jest jednak zwolniony z obowiązku informacyjnego, jeżeli pozyskiwanie lub ujawnianie danych osobowych jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą (art. 14 ust. 5 lit. c RODO). Z tego wyjątku korzysta NFZ, który przetwarza dane osobowe zgodnie z przepisami o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz są zapewnione odpowiednie środki chroniące interesy osób, których dane Narodowy Fundusz Zdrowia przetwarza.

Ocena zmian

Zmiany mają charakter techniczny - dostosowują przepisy ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych do RODO.

Zgodnie z art. 6 ust. 1 lit. c RODO, w art. 188 ust. 1, 2-2c, 3, 4, w art. 188a, art. 188b, art. 188ba, art. 188c ust. 6 oraz w art. 188d ustawy o świadczeniach opieki zdrowotnej, wskazano obowiązek przetwarzania danych przez NFZ (a nie jak dotychczas uprawnienie), ministra właściwego do spraw zdrowia i jednostki samorządu terytorialnego.

PODSTAWA PRAWNA:

● art. 188 ust. 1 pkt 10a, ust. 1a, 1b, 2, 2a, 2b, 2c, 3 i 4, art. 188a, art. 188b, art. 188ba ust. 1 i 2, art. 188c ust. 6, art. 188d, art. 191, ust. 1, 2, 2a, 3 i 4 ustawy z 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (j.t. Dz.U. z 2018 r. poz. 1510; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Państwowym Ratownictwie Medycznym

Administrator i współadministratorzy danych SWD PRM

SWD PRM jest systemem teleinformatycznym, który - oprócz swych podstawowych funkcji związanych z obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach - zapewnia także takie funkcje, jak: prowadzenie i przetwarzanie dokumentacji medycznej, archiwizację zgłoszeń, sporządzanie raportów z działalności dyspozytorni medycznych i zespołów ratownictwa medycznego, układanie grafików pracy.

SWD PRM administruje dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia.

Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego są współadministratorami danych w SWD PRM oraz innych danych uzyskanych w związku z przyjmowaniem oraz obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach z wykorzystaniem SWD PRM.

Ocena zmian

Zmiany w ustawie mają na celu dostosowanie zasad funkcjonowania Systemu Wspomagania Dowodzenia Państwowego Ratownictwa Medycznego (SWD PRM), administratora i współadministratorów tego systemu do wymagań RODO.

PODSTAWA PRAWNA:

● art. 24b ust. 1 i 2, art. 24c, art. 24e ust. 2, 3 i 4 ustawy z 8 września 2006 r. o Państwowym Ratownictwie Medycznym (j.t. Dz.U. z 2017 r. poz. 2195; ost.zm. Dz.U. z 2019 r. poz. 730).

Realizacja obowiązków związanych z RODO

SWD PRM i podmioty realizujące zadania w tym systemie działają w oparciu o obowiązujące przepisy. W związku z tym nie znajdują zastosowania przepisy art. 14, art. 17-18, art. 21 i art. 22 RODO.

Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego i dysponenci zespołów ratownictwa medycznego realizują obowiązek informacyjny, o którym mowa w art. 13 ust. 1 i 2 RODO, w związku z przetwarzaniem danych osobowych w SWD PRM, przez udostępnienie informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.

Jednocześnie stosowanie art. 15 RODO zostało obwarowane dodatkowymi warunkami przez nałożenie na podmiot wnioskujący obowiązku doprecyzowania okoliczności związanych ze zdarzeniem, tj. informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu. Takie rozwiązanie umożliwia identyfikację zdarzenia, którego dotyczy wniosek, oraz ogranicza nadmierne żądania osób wnioskujących.

Wykonywanie zadań związanych z prawem do sprostowania danych (art. 16 RODO) jest możliwe wyłącznie przez podmioty, które wytwarzają stosowną dokumentację. W przypadku dokumentacji medycznej będą to dysponenci zespołów ratownictwa medycznego, w tym lotniczych. Natomiast w przypadku dokumentacji dyspozytorów medycznych realizacja tego obowiązku będzie zadaniem wojewody.

Zadanie określone w art. 19 RODO dotyczące obowiązku informowania o sprostowaniu lub usunięciu danych osobowych lub ograniczenia przetwarzania wykonuje minister właściwy do spraw zdrowia, wojewodowie oraz dysponenci zespołów ratownictwa medycznego, w tym lotniczych. Podobnie wygląda realizacja obowiązku wynikającego z art. 34 RODO.

Ocena zmian

Zmiany dostosowują przepisy ustawy o Państwowym Ratownictwie Medycznym do wymagań RODO.

PODSTAWA PRAWNA:

● art. 24c, art. 24e ust. 2, 3 i 4 ustawy z 8 września 2006 r. o Państwowym Ratownictwie Medycznym (j.t. Dz.U. z 2017 r. poz. 2195; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta

+/-

Pierwsza kopia dokumentacji medycznej za darmo

Zasadnicza zmiana ustawy dotyczy zasad udostępniania dokumentacji medycznej. Interpretacja przepisów RODO w tej kwestii nie była jasna.

W tym zakresie zostały wydane sprzeczne względem siebie stanowiska Rzecznika Praw Pacjenta oraz Prezesa Urzędu Ochrony Danych Osobowych.

Rzecznik Praw Pacjenta w swoim stanowisku z 25 maja 2018 r. wskazywał, że pacjenci na kanwie RODO mają między innymi prawo dostępu do swoich danych osobowych, które mogą zrealizować również poprzez zażądanie ich kopii. Placówki medyczne przetwarzają dane osobowe dotyczące zdrowia pacjentów, w szczególności w prowadzonej dokumentacji medycznej. Realizując zatem ww. obowiązek, będą zobowiązane do bezpłatnego udostępnienia pierwszej kopii dokumentacji medycznej.

Tymczasem Prezes UODO w stanowisku z 27 lipca 2018 r. wskazywał, że udostępnienie kopii danych zawartych w dokumentacji medycznej, zgodnie z art. 15 ust. 3 RODO, nie jest równoznaczne z obowiązkiem udostępnienia danych w formie i strukturze właściwych dla udostępnienia dokumentacji medycznej.

Ustawodawca rozstrzygnął ostatecznie, że pierwsza kopia dokumentacji medycznej powinna być wydana pacjentowi albo jego przedstawicielowi ustawowemu za darmo. Uzyskanie dokumentacji medycznej przez pacjenta wyłącza w tym zakresie możliwość wystąpienia z takim żądaniem przez przedstawiciela ustawowego (i odwrotnie).

Ocena zmian

Nowelizacja ustawy wprowadza duże udogodnienie dla pacjentów, którzy będą mogli otrzymać pierwszą kopię dokumentacji bezpłatnie. Z drugiej jednak strony, dla placówek leczniczych oznacza to dodatkowe koszty.

PODSTAWA PRAWNA:

● art. 28 ust. 2a ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (j.t. Dz.U. z 2017 r. poz. 1318; ost.zm. Dz.U. z 2019 r. poz. 730).

Umowa powierzenia przetwarzania danych

W ustawie uchylono art. 24 ust. 4 z uwagi na fakt, że kwestie umowy powierzania przetwarzania danych reguluje RODO. Umowa taka powinna spełniać wymagania, o których mowa w art. 28 ust. 3 RODO. Konsekwencją uchylenia ust. 4 była konieczność dokonania zmian w art. 24 ust. 5 i 6, które zawierały odwołanie do tego ustępu. Z tych samych względów uchylono art. 30a ust. 10. Ponadto doprecyzowano, że osoby, którym powierzono w drodze umowy przetwarzanie danych osobowych, zobowiązane są do zachowania ich w tajemnicy także po śmierci pacjenta.

Ocena zmian

Zmiana ma charakter techniczny - dostosowuje przepisy ustawy dotyczące umowy powierzenia przetwarzania danych do RODO.

PODSTAWA PRAWNA:

● art. 24 ust. 4, 5 i 6, art. 30a ust. 10 i 11 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (j.t. Dz.U. z 2017 r. poz. 1318; ost.zm. Dz.U. z 2019 r. poz. 730).

Rozszerzenie kompetencji Rzecznika Praw Pacjenta

Ustawa także rozszerza kompetencje Rzecznika Praw Pacjenta. Rzecznik może przetwarzać wszelkie informacje, w tym dane osobowe niezbędne do realizacji swoich ustawowych zadań.

W ustawie doprecyzowano także zabezpieczenia, jakie powinny być stosowane przez Rzecznika Praw Pacjenta jako administratora danych osobowych, polegające na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób pisemnie do tego upoważnionych;

2) pisemnym zobowiązaniu się osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych.

Ponadto w katalogu podmiotów uprawnionych do dostępu do dokumentacji medycznej oprócz Rzecznika Praw Pacjenta uwzględniono Rzecznika Praw Pacjenta Szpitala Psychiatrycznego.

Ocena zmian

Nowelizacja ustawy pozwoli na stworzenie gwarancji bezpieczeństwa danych osobowych przetwarzanych przez Rzecznika Praw Pacjenta. Celem zmian jest także doprowadzenie do systemowej spójności przepisów ustawy z 19 sierpnia 1994 r. o ochronie zdrowia psychicznego oraz ustawy 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.

PODSTAWA PRAWNA:

● art. 26 ust. 3 pkt 2, art. 47 ust. 1 pkt 3a, ust. 1a, art. 47a ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (j.t. Dz.U. z 2017 r. poz. 1318; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o działalności leczniczej

Monitoring w placówkach medycznych

Monitoring pomieszczeń ogólnodostępnych jest dozwolony, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników podmiotu wykonującego działalność leczniczą. Natomiast w pomieszczeniach, w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności w pokojach łóżkowych, w pomieszczeniach higieniczno-sanitarnych, przebieralniach, szatniach, z wyjątkiem przypadków określonych w przepisach odrębnych, monitoring jest zakazany. Powyższy zakaz wynika z konieczności zagwarantowania prawa pacjenta do poszanowania intymności i godności pacjenta, w szczególności w trakcie udzielanych mu świadczeń zdrowotnych. Kierownik podmiotu wykonującego działalność leczniczą określa w regulaminie organizacyjnym sposób obserwacji pomieszczeń zakładu leczniczego.

Nagrania obrazu zawierające dane osobowe pacjentów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować, podmiot wykonujący działalność leczniczą przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nie dłuższy niż 3 miesiące od dnia nagrania. Po upływie tego okresu uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe pacjentów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować, podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

Informację o stosowaniu monitoringu podaje się do wiadomości pacjentów przez wywieszenie jej w widoczny sposób w miejscu udzielania świadczeń oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i w Biuletynie Informacji Publicznej, w przypadku podmiotu obowiązanego do jego prowadzenia.

Ocena zmian

Obecnie coraz więcej podmiotów leczniczych stosuje obserwację swoich pomieszczeń, najczęściej w celu zapewnienia bezpieczeństwa, a brak było regulacji prawnych w tym zakresie. Używanie systemów rejestrujących, np. w poczekalniach czy na korytarzach, budziło duże wątpliwości tak wśród właścicieli placówek, jak i samych pacjentów. Zmiany w ustawie mają więc na celu uregulowanie monitoringu wizyjnego w pomieszczeniach podmiotów wykonujących działalność leczniczą.

PODSTAWA PRAWNA:

● art. 23 ust. 2, art. 23a, art. 24 ust. 2 ustawy z 15 kwietnia 2011 r. o działalności leczniczej (j.t. Dz.U. z 2018 r. poz. 2190; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o systemie informacji w ochronie zdrowia

Realizacja obowiązków związanych z RODO

W art. 2 pkt 1 ustawy w celu ujednolicenia terminologii z RODO zaproponowano nowe brzmienie definicji administratora danych, odsyłającej nie jak dotychczas do art. 7 pkt 4 nieobowiązującej już ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, ale do definicji zawartej w art. 4 pkt 7 RODO.

W art. 19 uchylono ust. 5 odnoszący się do obowiązku administratora danych usunięcia z rejestru medycznego wszelkich danych umożliwiających identyfikację osoby, której dane są przetwarzane w rejestrze, w przypadku wniesienia przez tę osobę sprzeciwu wobec przetwarzania jej danych osobowych regulacja w tym zakresie znajduje się w art. 21 RODO.

W art. 19 ust. 7 ujednolicono terminologię z RODO przez zastąpienie pojęcia "cele naukowo-badawcze" na "w celu prowadzenia badań naukowych". Ponadto uchylono ust. 9 tego artykułu, który dotyczył obowiązku informacyjnego nałożonego na podmiot prowadzący rejestr medyczny w stosunku do osób, których dane dotyczą, i są przetwarzane w rejestrze.

Zgodnie z art. 14 ust. 5 lit. b RODO, obowiązek informacyjny administratora danych osobowych nie ma zastosowania, jeżeli udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile ten obowiązek może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania.

W art. 9a ust. 2 i w art. 19 w ust. 15 ustawy uchylono zdanie drugie odnoszące się do poziomu zabezpieczenia danych osobowych, o którym mowa w art. 39a nieobowiązującej już ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Problematyka zabezpieczenia danych osobowych została uregulowana w art. 32 RODO.

Ocena zmian

Zmiany w ustawie mają na celu usunięcie przepisów, które są sprzeczne z RODO lub powielają rozwiązania w nim zawarte.

PODSTAWA PRAWNA:

● art. 2 pkt 1, art. 9a ust. 2, art. 19 ust. 5, 7, 9 i 15 ustawy z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (j.t. Dz.U. z 2019 r. poz. 408; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o leczeniu niepłodności

Ochrona danych osobowych pacjentów

W ustawie uchylono przepisy, które odsyłały do ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Chodzi o dane gromadzone w rejestrze dawców komórek rozrodczych i zarodków oraz przetwarzane przez ośrodek medycznie wspomaganej prokreacji oraz bank komórek rozrodczych i zarodków. Przepisy te zostały usunięte również dlatego, że powtarzają regulacje zawarte w RODO.

Ocena zmian

Zmiana ma charakter techniczny - dostosowuje przepisy ustawy o leczeniu niepłodności do RODO.

PODSTAWA PRAWNA:

● art. 37 ust. 8, art. 47 ust. 3 ustawy z 25 czerwca 2015 r. o leczeniu niepłodności (j.t. Dz.U. z 2017 r. poz. 865; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zwalczaniu dopingu w sporcie

Prowadzenie czynności wyjaśniających

Do katalogu zadań Polskiej Agencji Antydopingowej (POLADA) dodano prowadzenie czynności wyjaśniających zmierzających do ustalenia odpowiedzialności dyscyplinarnej za doping w sporcie:

1) zawodnika;

2) osoby pomagającej w przygotowaniu do współzawodnictwa sportowego w przypadku:

● manipulowania lub usiłowania manipulowania jakąkolwiek częścią kontroli antydopingowej;
● posiadania substancji zabronionej lub przyrządów umożliwiających użycie metody zabronionej;
● wprowadzenia do obrotu lub usiłowania wprowadzenia do obrotu substancji zabronionej lub przyrządów umożliwiających użycie metody zabronionej;
● podania lub usiłowania podania zawodnikowi w okresie podczas zawodów substancji zabronionej lub metody zabronionej albo podanie lub usiłowanie podania zawodnikowi w okresie poza zawodami substancji zabronionej lub metody zabronionej w okresie poza zawodami;
● pomocnictwa, podżegania lub każdego innego rodzaju świadomego współdziałania wiążącego się z zachowaniem uznawanym za doping w sporcie lub usiłowaniem takiego zachowania lub naruszeniem warunków kary dyskwalifikacji przez inną osobę.

Agencja, przeprowadzając kontrolę antydopingową w okresie podczas zawodów lub w okresie poza nimi, wykonuje zadanie realizowane w interesie publicznym, którego celem jest zapewnienie uczciwości współzawodnictwa sportowego, ujawnienie przestępstw, o których mowa w art. 48 ust. 1 i art. 49, oraz ochrona zdrowia zawodników.

Ocena zmian

Celem zmian jest ograniczenie stosowania art. 14 RODO w stosunku do przetwarzania danych uzyskanych w toku czynności wyjaśniających zmierzających do ustalenia odpowiedzialności dyscyplinarnej za doping w sporcie, na podstawie art. 4 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.).

PODSTAWA PRAWNA:

● art. 5 ust. 1 pkt 3a ustawy z 21 kwietnia 2017 r. o zwalczaniu dopingu w sporcie (Dz.U. z 2017 r. poz. 1051; ost.zm. Dz.U. z 2019 r. poz. 730).

Przetwarzanie danych kontrolerów i zawodników

Proces planowania i realizacji kontroli antydopingowej wymaga przetwarzania danych kontrolerów antydopingowych przez POLADA. Dlatego przepis art. 27a ustawy przewiduje możliwość przetwarzania przez Agencję danych osobowych kontrolerów, w związku z planowaniem i przeprowadzaniem kontroli antydopingowej w okresie podczas zawodów oraz w okresie poza nimi. Katalog danych podlegających na tej podstawie przetwarzaniu obejmuje wyłącznie dane konieczne do realizacji zadań Agencji w tym zakresie.

Polska Agencja Antydopingowa przetwarza dane osobowe zawodników na potrzeby realizowanej kontroli antydopingowej. Ustawa wprowadza następujące zmiany w art. 29 ustawy:

1) pojęcia "dobra publicznego" zastąpiono pojęciem "interesu publicznego", zgodnego z RODO, a także uchylono przepis, na podstawie którego pojęcie to wprowadzono do ustawy o zwalczaniu dopingu w sporcie, tj. art. 23 ust. 1 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych;

2) dodano ust. 3a dotyczący zabezpieczeń, jakim w toku przetwarzania podlegają dane osobowe zawodników;

3) dokonano ujednolicenia terminologicznego i korekty redakcyjnej ust. 4 oraz ust. 5-8.

Ocena zmian

Zmiany wprowadzone w ustawie należy ocenić pozytywnie. Doprecyzowano, jakie dane podlegają przetwarzaniu oraz wprowadzono zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu danych.

PODSTAWA PRAWNA:

● art. 27a, art. 29 ust 1, 3a, 4-8 ustawy z 21 kwietnia 2017 r. o zwalczaniu dopingu w sporcie (Dz.U. z 2017 r. poz. 1051; ost.zm. Dz.U. z 2019 r. poz. 730).

Żądanie ograniczenia przetwarzania danych

Polska Agencja Antydopingowa realizuje, w ramach kontroli antydopingowej, postępowania wyjaśniające oraz zaangażowana jest jako strona skarżąca w postępowania dyscyplinarne przed Panelem Dyscyplinarnym przy Polskiej Agencji Antydopingowej. Przepis art. 18 ust. 2 RODO rodzi realne niebezpieczeństwo pojawienia się prób wpływania na przebieg wskazanych postępowań, a zwłaszcza na szybkość ich realizacji. Żądanie ograniczenia przetwarzania danych, w szczególności kwestionowania prawidłowości danych przez osobę, której one dotyczą, prowadziłoby do wstrzymywania realizacji postępowań.

Ocena zmian

Nowelizacja przepisów ma na celu uniemożliwienie wykorzystywania prawa do ograniczenia przetwarzania danych do przedłużania lub blokowania działań Polskiej Agencji Antydopingowej w zakresie realizacji zadań wskazanych w ustawie.

PODSTAWA PRAWNA:

● art. 29 ust. 1 i 9 ustawy z 21 kwietnia 2017 r. o zwalczaniu dopingu w sporcie (Dz.U. z 2017 r. poz. 1051; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o podstawowej opiece zdrowotnej

Ochrona danych osobowych pacjentów

W ustawie wprowadzono zmianę polegającą na usunięciu przepisu odsyłającego do nieobowiązującej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.

Ocena zmian

Zmiana ma charakter techniczny - dostosowuje przepisy ustawy o podstawowej opiece zdrowotnej do RODO.

PODSTAWA PRAWNA:

● art. 20 ustawy z 27 października 2017 r. o podstawowej opiece zdrowotnej (j.t. Dz.U. z 2019 r. poz. 357; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Żandarmerii Wojskowej i wojskowych organach porządkowych

Przetwarzanie danych osobowych w postępowaniu kwalifikacyjnym dla osób ubiegających się o przyjęcie do służby albo pracy w Żandarmerii Wojskowej

Zmiany w ustawie o Żandarmerii Wojskowej i wojskowych organach porządkowych mają na celu podniesienie do rangi ustawowej przepisów dotyczących gromadzenia danych osobowych w ramach prowadzonych postępowań kwalifikacyjnych do służb i pracy w Żandarmerii Wojskowej, dla zagwarantowania im należytej ochrony prawnej.

Dotychczas kwestie te były uregulowane w decyzji nr 65/MON Ministra Obrony Narodowej z 4 marca 2009 r. w sprawie postępowania kwalifikacyjnego wobec kandydatów do służby i pracy w Żandarmerii Wojskowej (Dz.Urz. Min. Obr. Nar. poz. 57 ze zm.). W myśl RODO, ranga tego aktu prawa wewnętrznego była niewystarczająca, stąd nowe regulacje wypełniają obowiązek narzucony przez prawodawcę unijnego.

Dodane regulacje przewidują przetwarzanie, w ramach postępowania kwalifikacyjnego, informacji, w tym danych osobowych osób ubiegających się o przyjęcie do służby lub pracy w Żandarmerii Wojskowej. Umożliwiają również przetwarzanie danych osobowych żołnierza i pracownika podczas trwania odpowiednio stosunku służby i pracy. Przetwarzanie będzie dotyczyło także danych dotyczących zdrowia, w związku z przeprowadzeniem wobec kandydatów badań psychologicznych.

Nowe przepisy wskazują również okresy przetwarzania informacji. W przypadku informacji wskazanych w ust. 9 dodanego artykułu 8a będzie to okres niezbędny do prowadzenia postępowania kwalifikacyjnego oraz pełnienia służby albo pracy w Żandarmerii Wojskowej, a także wykonywania ustawowych zadań przez Żandarmerię Wojskową. Natomiast w sytuacji zakończenia postępowania kwalifikacyjnego wynikiem negatywnym informacje te przetwarza się przez okres 5 lat, licząc od dnia zakończenia tego postępowania.

Ocena zmian

Dane osobowe przetwarzane w ramach prowadzonych kwalifikacji do służby i pracy w Żandarmerii Wojskowej podlegają zabezpieczeniom, które mają zapobiec nadużyciom ich przetwarzania. Wskazane zabezpieczenia polegają co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie nadane przez administratora danych.

Zmianę należy ocenić pozytywnie, gdyż dzięki uregulowaniu w ustawie przepisów dotyczących gromadzenia danych osobowych w ramach prowadzonych postępowań kwalifikacyjnych do służb i pracy w Żandarmerii Wojskowej zagwarantowana zostanie należyta ochrona prawna tych danych.

PODSTAWA PRAWNA:

● art. 8a ustawy z 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych (j.t. Dz.U. z 2018 r. poz. 518; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o służbie wojskowej żołnierzy zawodowych

+/-

Informacje i dane osobowe zawarte w oświadczeniu majątkowym składanym przez oficerów zawodowych

W celu spełnienia postanowień RODO ustawodawca szczegółowo wskazał katalog informacji, w tym danych osobowych zawartych w oświadczeniu majątkowym składanym przez oficerów zawodowych.

Do art. 58 dodano ust. 1a, który wymienia informacje, w tym dane osobowe zawarte w oświadczeniu majątkowym, składanym przez oficerów zawodowych, z wyjątkiem oficerów zajmujących stanowiska służbowe sędziów sądów wojskowych oraz stanowiska służbowe prokuratorów do spraw wojskowych, oraz przez podoficerów pełniących zawodową służbę wojskową w organach finansowych i logistycznych. Do przetwarzania tych informacji uprawniony jest Komendant Główny Żandarmerii Wojskowej, który dokonuje analizy oświadczeń.

Ocena zmian

Zmiana ma charakter wyłącznie dostosowujący.

PODSTAWA PRAWNA:

● art. 58 ustawy z 11 września 2003 r. o służbie wojskowej żołnierzy zawodowych (j.t. Dz.U. z 2018 r. poz. 330; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o weteranach działań poza granicami państwa

Przetwarzanie danych gromadzonych w bazie weteranów i weteranów poszkodowanych

Zmiana polega na dodaniu nowego art. 38a, który wskazuje katalog danych gromadzonych w bazie weteranów i weteranów poszkodowanych. Dane te mogą być przetwarzane przez Ministra Obrony Narodowej w celu realizacji uprawnień tych osób wynikających z ustawy o weteranach działań poza granicami państwa.

Zgodnie z nowymi przepisami, dane dotyczące daty i miejsca urodzenia, adresu zamieszkania lub adresu do korespondencji oraz numeru telefonu kontaktowego będą gromadzone na podstawie informacji zawartej we wniosku o przyznanie statusu weterana lub weterana poszkodowanego.

Ponadto wszystkie dane gromadzone w bazie weteranów i weteranów poszkodowanych będą podlegały zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu, polegającym co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie nadane przez administratora danych.

Ocena zmian

Zmiana ma na celu ujednolicenie przepisów dotyczących danych przetwarzanych w zakresie uprawnień przysługujących weteranom i weteranom poszkodowanym w Ministerstwie Obrony Narodowej na podstawie przepisów ustawy o weteranach działań poza granicami państwa. Dane te były dotychczas przetwarzane w systemie SI WETERAN na podstawie decyzji Nr 6/MON Ministra Obrony Narodowej z dnia 14 stycznia 2015 r. w sprawie wdrożenia do eksploatacji użytkowej systemu ewidencji weteranów, weteranów poszkodowanych, zmarłych żołnierzy i pracowników wojska oraz poszkodowanych żołnierzy i pracowników wojska "WETERAN" (Dz.Urz. MON poz. 7). W związku z RODO konieczne stało się uregulowanie w ustawie uprawnień do prowadzenia bazy weteranów i weteranów poszkodowanych w systemie teleinformatycznym.

Zmianę należy ocenić pozytywnie, gdyż dzięki uregulowaniu w ustawie przepisów dotyczących gromadzenia danych w bazie weteranów i weteranów poszkodowanych będzie zagwarantowana ich należyta ochrona prawna.

PODSTAWA PRAWNA:

● art. 38a ustawy z 19 sierpnia 2011 r. o weteranach działań poza granicami państwa (j.t. Dz.U. z 2018 r. poz. 937; ost.zm. Dz.U. z 2019 r. poz. 730).

Kodeks karny

Nowe pojęcie "groźby karalnej"

Rozszerzono definicję groźby karalnej o postępowanie inne niż karne, jeśli w jego wyniku może zostać nałożona administracyjna kara pieniężna, chyba że zapowiedź spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem lub zachowaniem zagrożonym administracyjną karą pieniężną.

Ocena zmian

Przepis chroni podmioty przetwarzające dane osobowe przed ewentualnym szantażem innych osób, że w przypadku niespełnienia ich żądań zgłoszą naruszenie przepisów w zakresie RODO, w sytuacji gdy tych naruszeń w rzeczywistości nie ma.

PODSTAWA PRAWNA:

● art. 115 § 12 ustawy z 6 czerwca 1997 r. - Kodeks karny (j.t. Dz.U. z 2018 r. poz. 1600; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Krajowym Rejestrze Karnym

+/-

Krajowy Rejestr Karny

Administratorem danych zawartych w tym rejestrze jest Minister Sprawiedliwości.

Ocena zmian

Nowelizacja nie wprowadza zmian, które wpływałyby na prawa i obowiązki osób, których dane ujawnione są w rejestrze.

PODSTAWA PRAWNA:

● art. 50 ustawy z 24 maja 2000 r. o Krajowym Rejestrze Karnym (j.t. Dz.U. z 2018 r. poz. 1218; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym

+/-

Rejestr Sprawców Przestępstw na Tle Seksualnym

Administratorem danych zawartych w Rejestrze Sprawców Przestępstw na Tle Seksualnym jest Minister Sprawiedliwości.

Ocena zmian

Nowelizacja nie wprowadza zmian, które wpływałyby na prawa i obowiązki osób, których dane ujawnione są w rejestrze.

PODSTAWA PRAWNA:

● art. 5 ustawy z 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym (j.t. Dz.U. z 2018 r. poz. 405; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o kuratorach sądowych

+/-

Przetwarzanie danych przez kuratorów sądowych

Zarówno kurator sądowy zawodowy, jak i społeczny może przetwarzać dane osób, których dotyczy postępowanie, obejmujące:

1) imię i nazwisko;

2) datę urodzenia;

3) nazwisko rodowe;

4) numer PESEL oraz numer i serię dokumentu potwierdzającego tożsamość;

5) czynniki określające fizyczną, fizjologiczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, a w szczególności dotyczące osobistej postawy, zachowania, zainteresowań, zdrowia i usług opieki zdrowotnej, majątku, sytuacji materialnej i bytowej, zatrudnienia, wykształcenia, edukacji, nauki, oddziaływań wychowawczych, życia rodzinnego, funkcjonowania w środowisku, sposobu spędzania czasu wolnego, uzależnień, dysfunkcji i lokalizacji;

6) dane adresowe i kontaktowe;

7) biometryczne cechy fizyczne;

8) informacje o przestrzeganiu porządku prawnego, zarzutach i okolicznościach naruszeń prawa, wykonaniu obowiązków, prowadzonych postępowaniach sądowych i administracyjnych, skazaniach, ukaraniach i rozstrzygnięciach w postępowaniu sądowym lub administracyjnym.

Ponadto administrator danych osób, których dotyczy postępowanie, w tym Policja, Straż Graniczna, inne organy lub instytucje państwowe, organy samorządu terytorialnego, stowarzyszenia i inne organizacje społeczne, organy sądowych postępowań wykonawczych, instytucje pomocy społecznej i pieczy zastępczej, podmioty lecznicze, jednostki organizacyjne, o których mowa w art. 2 pkt 1-8 Prawa oświatowego oraz publiczne i niepubliczne uczelnie w rozumieniu ustawy Prawo o szkolnictwie wyższym i nauce są obowiązane udostępnić kuratorowi zawodowemu, kierownikowi zespołu kuratorskiej służby sądowej, kuratorowi okręgowemu, w zakresie niezbędnym do wykonywania ich ustawowych zadań, dane osobowe.

Ocena zmian

Kurator sądowy jako jeden z nielicznych podmiotów ma prawo gromadzenia danych wrażliwych, np. o stanie zdrowia, danych biometrycznych bez zgody zainteresowanej osoby, gdy związane są one z realizowaniem zadań zawodowych kuratora. Kurator może wystąpić o dane osobowe także do administratorów organów państwowych i innych wskazanych podmiotów, a te nie mogą odmówić ich udostępnienia.

PODSTAWA PRAWNA:

● art. 9a, art. 9b, art. 87 ust. 3 ustawy z 27 lipca 2001 r. o kuratorach sądowych (j t. Dz.U. z 2018 r. poz. 1014; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o księgach wieczystych i hipotece

+/-

Dane osobowe ujawnione w księgach wieczystych

W księgach wieczystych możliwe jest zawarcie ostrzeżenia, że wobec właściciela nieruchomości osoba trzecia ma pewne prawa lub każdorazowy właściciel danej nieruchomości ma pewne obowiązki, które jeszcze formalnie nie zostały ujawnione w księdze. Obecnie w takim ostrzeżeniu wskazuje się imię i nazwisko osoby uprawnionej i jej PESEL.

Ocena zmian

Zakres ujawnionych danych osobowych jest kompromisem pomiędzy ochroną danych osoby fizycznej wpisanej do księgi i zasady, że prawo jawne z księgi wieczystej jest wpisane zgodnie z rzeczywistym stanem prawnym, a prawo wykreślone nie istnieje.

PODSTAWA PRAWNA:

● art. 25 ust. 4, art. 68² ust. 5¹ ustawy z 6 lipca 1982 r. o księgach wieczystych i hipotece (j.t. Dz.U. z 2018 r. poz. 1916; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Krajowej Radzie Sądownictwa

+/-

Zakres nadzoru Krajowej Rady Sądownictwa

Ustawodawca nadał Krajowej Radzie Sądownictwa uprawnienia nadzorcze nad przetwarzaniem danych osobowych przez Trybunał Konstytucyjny, Trybunał Stanu, Sąd Najwyższy, Naczelny Sąd Administracyjny oraz sądy apelacyjne, w ramach prowadzonych przez nie postępowań.

Ocena zmian

Zmiana ma charakter porządkujący, nie ma wpływu na sytuację prawną zainteresowanych podmiotów.

PODSTAWA PRAWNA:

● art. 3, art. 20 ustawy z 12 maja 2011 r. o Krajowej Radzie Sądownictwa (j.t. Dz.U. z 2019 r. poz. 84; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Krajowej Szkole Sądownictwa i Prokuratury

+/-

Przetwarzanie danych przez Krajową Szkołę Sądownictwa i Prokuratury

Wskazano, że szkoła jest administratorem danych aplikantów, kandydatów na aplikantów, wykładowców oraz osób przystępujących do egzaminu. Ponadto wskazano, że administratorem tych danych jest ponadto Minister Sprawiedliwości w zakresie niezbędnym do realizacji jego praw i obowiązków ustawowych.

Ocena zmian

Zmiana ma charakter porządkujący, nie ma wpływu na sytuację prawną zainteresowanych podmiotów.

PODSTAWA PRAWNA:

● art. 56 ustawy z 23 stycznia 2009 r. o Krajowej Szkole Sądownictwa i Prokuratury (j.t. Dz.U. z 2018 r. poz. 624; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Prokuratorii Generalnej Rzeczypospolitej Polskiej

Przetwarzanie danych przez Prokuratorię Generalną

Prokuratoria Generalna ma prawo przetwarzania danych wrażliwych np. biometrycznych czy genetycznych, oraz informacji o skazaniach i czynach zabronionych. Żądanie osoby, której dane są przetwarzane, ograniczenia przetwarzania, nie wpływa na czynności Prokuratorii. Wprowadzono obowiązek okresowego przeglądu posiadanych baz danych.

Ocena zmian

Nowelizacja pozwala ograniczyć działanie RODO w związku z zadaniami wykonywanymi przez tę instytucję.

PODSTAWA PRAWNA:

● art. 6a ustawy z 15 grudnia 2016 r. o Prokuratorii Generalnej Rzeczypospolitej Polskiej (j.t. Dz.U. z 2016 r. poz. 2261; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Rzeczniku Praw Obywatelskich

Przetwarzanie danych przez Rzecznika Praw Obywatelskich

Rzecznik ma prawo przetwarzać wszelkie informacje, w tym dane osobowe, niezbędne do realizacji swoich ustawowych zadań. Należy podkreślić, że przetwarzanie to jest dopuszczone wyłącznie w celu ochrony wolności i praw człowieka i obywatela przy realizacji swoich ustawowych zadań.

Ocena zmian

Zmiana wskazuje, w jakim celu RPO może gromadzić i przetwarzać dane osób, w imieniu i na rzecz których występuje wobec organów publicznych.

PODSTAWA PRAWNA:

● art. 17c ustawy z 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich (j.t. Dz.U. z 2018 r. poz. 2179; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Rzeczniku Praw Dziecka

Przetwarzanie danych przez Rzecznika Praw Dziecka

Ten podmiot może przetwarzać wszelkie informacje, w tym dane osobowe, niezbędne do realizacji swoich ustawowych zadań. Rzecznik przetwarza i gromadzi dane osobowe wyłącznie w celu ochrony wolności i praw człowieka i obywatela przy realizacji swoich ustawowych zadań.

Ocena zmian

Ustawodawca zabezpiecza ochronę danych, przede wszystkim dzieci, a więc osób, które nie mają ukończonych 18 lat i jednocześnie ułatwia działanie organu powołanego do ochrony ich praw.

PODSTAWA PRAWNA:

● art. 10c ustawy z 6 stycznia 2000 r. o Rzeczniku Praw Dziecka (j.t. Dz.U. z 2017 r. poz. 922; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o rybactwie śródlądowym

+/-

Obowiązki dyrektora regionalnego

Zgodnie z art. 25a przedmiotowej ustawy, dyrektor regionalnego zarządu gospodarki wodnej Państwowego Gospodarstwa Wodnego Wody Polskie zamieszcza i aktualizuje na swojej stronie internetowej:

1) wykaz obwodów rybackich;

2) imię i nazwisko albo nazwę uprawnionego do rybactwa w obwodzie rybackim;

3) wskazane przez uprawnionego do rybactwa dane kontaktowe uprawnionego;

4) okres obowiązywania umów użytkowania obwodu rybackiego.

Ocena zmian

Przepisy mają jedynie charakter porządkujący i informują, kto jest uprawniony do połowów w danym obwodzie rybackim.

PODSTAWA PRAWNA:

● art. 25a ustawy z 18 kwietnia 1985 r. o rybactwie śródlądowym (j.t. Dz.U. z 2018 r. poz. 1476; ost.zm. Dz.U. z 2019 r. poz. 730).

Prawo o ruchu drogowym

Ewidencje kierowców, pojazdów i kart parkingowych

Administrator ma obecnie obowiązek informowania o przetwarzaniu danych gromadzonych w ewidencjach kierowców, pojazdów, kart parkingowych.

Ocena zmian

Zmiana zapewnia właścicielom pojazdów i kierowcom informację, że ich dane osobowe są przetwarzane.

PODSTAWA PRAWNA:

● art. 129 h ust. 4, art. 140o ustawy z 20 czerwca 1997 r. - Prawo o ruchu drogowym (j.t. Dz.U. z 2018 r. poz. 1990; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o ochronie przeciwpożarowej

+/-

Przetwarzanie danych przez Straż Pożarną

Nowelizacja ustawy polega na określeniu, w jakim rozmiarze Straż Pożarna może przetwarzać dane osobowe. W celu wykonywania swych zadań Komendant Główny Straży Pożarnej prowadzi System Wspomagania Decyzji Państwowej Straży Pożarnej, w którym gromadzone są dane. Państwowa Straż Pożarna przetwarza dane osobowe w SWD PSP w celu ochrony życia, zdrowia, mienia lub środowiska przed pożarem, klęską żywiołową lub innym miejscowym zagrożeniem, w zakresie niezbędnym do realizacji zadań wynikających z ustawy, uzyskane w związku z prowadzeniem działań ratowniczych oraz obsługą zgłoszeń alarmowych. Ustawodawca wskazuje, że osoba ma prawo do dostępu do swoich danych przetwarzanych przez Straż Pożarną, ale wówczas obowiązana jest do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu. Ponadto wskazano, jak powinny być zabezpieczone pozyskane dane osobowe.

Ocena zmian

Przepisy zawierają gwarancję, że dane osobowe gromadzone przez Straż Pożarną będą odpowiednio chronione.

PODSTAWA PRAWNA:

● art. 14g, art. 14h, art. 14ha ustawy z 24 sierpnia 1991 r. o ochronie przeciwpożarowej (j.t. Dz.U. z 2018 r. poz. 620; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Państwowej Straży Pożarnej

+/-

Ochrona danych w postępowaniu kwalifikacyjnym i w trakcie służby w Państwowej Straży Pożarnej

Państwowa Straż Pożarna może przetwarzać dane w celu prowadzenia postępowań kwalifikacyjnych do służby w Państwowej Straży Pożarnej, przenoszenia do służby w Państwowej Straży Pożarnej oraz w zakresie wynikającym z przebiegu stosunku służbowego strażaków. Przepisy nakazują administratorom przegląd posiadanych danych nie rzadziej niż co 10 lat.

Ocena zmian

Rozwiązanie ma przede wszystkim na celu ochronę danych osób, które ubiegają się o przyjęcie do Straży Pożarnej lub w niej służą.

PODSTAWA PRAWNA:

● art. 28b ustawy z 24 sierpnia 1991 r. o Państwowej Straży Pożarnej (j.t. Dz.U. z 2018 r. poz. 1313; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zmianie ustawy - Prawo o ruchu drogowym oraz niektórych innych ustaw

+/-

Prawo zatrzymania prawa jazdy

Do dnia uruchomienia odpowiedniego sytemu komputerowego (wdrożenia rozwiązań technicznych) policjant ma obowiązek zatrzymania prawa jazdy za pokwitowaniem w razie przekroczenia przez kierującego pojazdem liczby 24 punktów otrzymanych za naruszenia przepisów ruchu drogowego.

Ocena zmian

Zmiana nie wpływa na prawa i obowiązki kierowców.

PODSTAWA PRAWNA:

● art. 16a, art. 45 ust. 2a ustawy z 9 maja 2018 r. o zmianie ustawy - Prawo o ruchu drogowym oraz niektórych innych ustaw (Dz.U. z 2018 r. poz. 957; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o zarządzaniu kryzysowym

Informacja o karalności pracownika

W przypadku pracownika zatrudnionego na stanowisku umożliwiającym dostęp do informacji o bezpieczeństwie obiektu infrastruktury krytycznej i osoby ubiegającej się o zatrudnienie na tym stanowisku operator infrastruktury krytycznej żąda od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji, czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym (art. 6d. ust. 1 ustawy).

Ocena zmian

W celu zapewnienia skutecznej ochrony infrastruktury krytycznej konieczna jest weryfikacja niekaralności kadr zatrudnionych w obiektach infrastruktury krytycznej. Przedłożenie informacji dotyczących karalności jest jedną z podstawowych technik w obszarze osobowym. Ponadto przepisy wskazują, że dane gromadzone na podstawie art. 6d ust. 1 są przechowywane przez operatora infrastruktury krytycznej wyłącznie przez okres zatrudnienia pracownika, którego te dane dotyczą.

PODSTAWA PRAWNA:

● art. 6d ust. 1 ustawy z 26 kwietnia 2007 r. o zarządzaniu kryzysowym (j.t. Dz.U. z 2018 r. poz. 1401; ost.zm. Dz.U. z 2019 r. poz. 730).

Ochrona obiektów infrastruktury krytycznej

Operator infrastruktury krytycznej żąda od pracownika danych biometrycznych w postaci odcisków palców, głosu, obrazu rogówki lub sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do informacji o bezpieczeństwie obiektu infrastruktury krytycznej i pomieszczeń (art. 6d ust. 2).

Ocena zmian

Art. 6d ust. 2 ustawy zezwala operatorom obiektów infrastruktury krytycznej na pobranie i użytkowanie identyfikatorów biometrycznych pracowników (np. w postaci odcisków palców, głosu, obrazu rogówki lub sieci żył palców). Jest to w pełni uzasadnione koniecznością ochrony obiektów infrastruktury krytycznej. Ponadto przepisy wskazują, że dane gromadzone na podstawie art. 6d ust. 2 są przechowywane przez operatora infrastruktury krytycznej wyłącznie przez okres zatrudnienia pracownika, którego te dane dotyczą.

PODSTAWA PRAWNA:

● art. 6d ust. 2 ustawy z 26 kwietnia 2007 r. o zarządzaniu kryzysowym (j.t. Dz.U. z 2018 r. poz. 1401; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o bezpieczeństwie i ratownictwie w górach i na zorganizowanych terenach narciarskich

Upoważnienie do przetwarzania danych osobowych

Dodanie przepisów zawierających podstawę prawną do przetwarzania danych osobowych o ratownikach oraz o osobach, którym udzielono pomocy.

Ocena zmian

Przetwarzanie danych osobowych w ramach realizowanych przez ministra właściwego do spraw wewnętrznych zadań wynikających z przepisów ww. ustawy następuje w celu wydawania i cofania zgód na wykonywanie ratownictwa górskiego (art. 5 ust. 2 i ust. 4 ustawy). Zmiana doprecyzowuje także zakres danych osobowych przetwarzanych przez ministra właściwego do spraw wewnętrznych w celu realizacji ww. zadań ustawowych, w tym daje podstawę do przetwarzania danych wrażliwych dotyczących stanu zdrowia, zgromadzonych w rejestrze działań ratowniczych przy realizacji zadań związanych z nadzorem nad ratownictwem górskim.

PODSTAWA PRAWNA:

● art. 5 ust. 2 i ust. 4 ustawy z 18 sierpnia 2011 r. o bezpieczeństwie i ratownictwie w górach i na zorganizowanych terenach narciarskich (Dz.U. z 2011 r. Nr 208, poz. 1241; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o bezpieczeństwie osób przebywających na obszarach wodnych

Upoważnienie do przetwarzania danych osobowych

Nowelizacja dodaje przepisy stanowiące, że przetwarzanie danych osobowych w ramach realizowanych przez ministra właściwego do spraw wewnętrznych zadań wynikających z przepisów ww. ustawy następuje w celu wydawania i cofania zgód na wykonywanie ratownictwa wodnego.

Ocena zmian

Zmiana doprecyzowuje zakres danych osobowych przetwarzanych przez ministra właściwego do spraw wewnętrznych w celu realizacji ww. zadań ustawowych, w tym daje podstawę do przetwarzania danych wrażliwych dotyczących stanu zdrowia, zgromadzonych w rejestrze działań ratowniczych przy realizacji zadań związanych z nadzorem nad ratownictwem wodnym.

Zmiany określają również środki ochrony praw podstawowych i interesów osób, których dane osobowe, w tym dane dotyczące stanu zdrowia, przetwarzane są w rejestrze działań ratowniczych.

PODSTAWA PRAWNA:

● art. 12, art. 14, art. 25 ustawy z 18 sierpnia 2011 r. o bezpieczeństwie osób przebywających na obszarach wodnych (j.t. Dz.U. z 2018 r. poz. 1482; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o Państwowej Komisji Badania Wypadków Morskich

Obowiązki administratora danych osobowych

Nowelizacja precyzuje, że obowiązki informacyjne, o których mowa art. 13 ust. 1 i 2 RODO - będą realizowane przez Państwową Komisję Badania Wypadków Morskich.

Ocena zmian

Art. 34a ustawy o Państwowej Komisji Badania Wypadków Morskich określać będzie sposób realizacji obowiązków informacyjnych wynikających z art. 13 ust. 1 i 2 RODO. Nowelizacja wskazuje, że będą one realizowane przez Państwową Komisję Badania Wypadków Morskich przy pierwszej czynności skierowanej do osoby. Pozwoli to na zrealizowanie celów RODO, a jednocześnie nie będzie wiązało się z nadmiernymi obowiązkami dla Państwowej Komisji Badania Wypadków Morskich. Zaproponowane rozwiązanie jest niezbędne i proporcjonalne, ponieważ przy jego wprowadzaniu należycie wyważono interes publiczny, rozumiany jako zaspokajanie potrzeb obywateli jako ogółu, oraz interes indywidualny, przejawiający się w korzystaniu z pełni praw wskazanych w RODO, nie naruszając istoty podstawowych praw i wolności.

PODSTAWA PRAWNA:

● art. 34a ustawy z 31 sierpnia 2012 r. o Państwowej Komisji Badania Wypadków Morskich (j.t. Dz.U. z 2018 r. poz. 925; ost.zm. Dz.U. z 2019 r. poz. 730).

Ustawa o systemie powiadamiania ratunkowego

Zasady przetwarzania danych osobowych w systemach teleinformatycznych powiadamiania ratunkowego

Nowelizacja wskazuje podmioty odpowiedzialne za prawidłowe przetwarzanie danych osobowych. Wskazuje, że i ewidencjonowanie w systemie danych dotyczących treści zgłoszeń alarmowych, obejmuje także nagrania rozmów telefonicznych stanowiących całość zgłoszenia alarmowego, a więc także danych osób zgłaszających i innych osób wskazanych w trakcie przyjmowania zgłoszenia, pozycji geograficznych, informacji o miejscu zdarzenia i jego rodzaju oraz skróconego opisu zdarzenia. Nowelizacja precyzuje ponadto, że dane związane z obsługą zgłoszeń alarmowych są przechowywane w systemie teleinformatycznym przez 3 lata. Po tym czasie minister właściwy do spraw administracji publicznej jest zobowiązany do ich zniszczenia.

Ocena zmian

Na mocy ustawy o systemie powiadamiania ratunkowego (dalej: SPR) wojewoda może - w drodze porozumienia - powierzyć organizowanie i prowadzenie centrum powiadomienia ratunkowego staroście lub prezydentowi miasta na prawach powiatu, służbie, inspekcji lub straży wchodzącej w skład zespolonej administracji wojewódzkiej. Porozumienie określa prawa i obowiązki stron oraz zasady organizowania, prowadzenia, utrzymania centrum, a także zasady zatrudniania pracowników centrum. Podmioty te są współadministratorami systemu teleinformatycznego. W celu zapobiegania nadużyciom i niezgodnemu z prawem dostępowi lub przekazywaniu danych, wojewodowie lub starostowie lub prezydenci miast na prawach powiatu, służby, inspekcje lub straż wchodząca w skład zespolonej administracji wojewódzkiej, pisemnie upoważniają osoby dopuszczone do przetwarzania danych osobowych oraz zobowiązują te osoby do zachowania poufności przetwarzanych danych.

PODSTAWA PRAWNA:

● art. 8, art. 10 ustawy z 22 listopada 2013 r. o systemie powiadamiania ratunkowego (j.t. Dz.U. z 2018 r. poz. 867; ost.zm. Dz.U. z 2019 r. poz. 730).

Pozostało 99% treści

Chcesz uzyskać dostęp? Skorzystaj z bezpłatnego abonamentu

TESTUJ INFORLEX przez 5 dni za darmo!

Zyskasz:

aktualności i zmiany przepisów z zakresu, m.in. podatków, rachunkowości, kadr, płac i ZUS
Dziennik Gazetę Prawną, szkolenia, książki i komentarze ekspertów
czasopisma INFOR m.in. Monitor księgowego, Biuletyn VAT oraz MONITOR prawa pracy i ubezpieczeń

Jeśli już masz abonament Inforlex Zaloguj się

Zobacz także