The Polish Parliament passed the Act implementing the GDPR – changes in legislation
Ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO (dalej: „Projekt”) jest efektem niemal dwuletniej pracy zespołu powołanego w Ministerstwie Cyfryzacji, którego celem było dostosowanie polskiego porządku prawnego do wymogów RODO. Pierwszy projekt (jeszcze pod inną nazwą) został opublikowany we wrześniu 2017 roku i od tej pory uległ licznym zmianom.
Zmiany w prawie pracy
Do jednych z najważniejszych zmian przewidzianych w Projekcie należy nowelizacja Kodeksu Pracy. Nowe przepisy zmieniają katalog danych osobowych, które pracodawca będzie mógł pobierać od kandydatów do pracy, przy czym żądanie informacji dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu zatrudnienia możliwe będzie wyłącznie, gdy podanie tych danych jest niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
Projektowane przepisy stanowią również, że zbieranie danych osobowych kandydatów do pracy innych niż wymienione w ustawie możliwe będzie wyłącznie na podstawie udzielonej zgody, jednakże w odniesieniu do danych szczególnych kategorii (w tym danych dotyczących zdrowia) może nastąpić wyłącznie z inicjatywy kandydata. Brak zgody lub jej wycofanie nie może też skutkować niekorzystnym traktowaniem osoby kandydata, a w szczególności nie może stanowić podstawy do odmowy zatrudnienia. Projekt przewiduje nadawanie pisemnych upoważnień do przetwarzania danych osobowych pracownikom, którzy przetwarzają dane szczególnych kategorii (np. dane dotyczące zdolności do pracy, wypadków przy pracy, etc.).
Pracodawcy będą również uprawnieni do przetwarzania danych biometrycznych pracownika w sytuacji, gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, lub dostępu do pomieszczeń wymagających szczególnej ochrony, co jest spójne z dotychczasowym stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych i Państwowej Inspekcji Pracy.
Ponadto Projekt wyłącza możliwość monitorowania pomieszczeń udostępnianych organizacjom związkowym, motywując to dużym prawdopodobieństwem naruszenia zasady wolności i niezależności związków zawodowych.
Zmiany w ZFŚS
Projekt reguluje zasady udostępniania pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w tym także informacji dotyczących rodziny (jeśli ma to znaczenie dla świadczeń z ZFŚS). Przekazanie danych następować będzie w formie oświadczenia (nie będzie więc wymagana zgoda na przetwarzania danych, która pojawiła się w pierwotnej wersji projektu), a pracodawca może żądać udokumentowania tych danych w zakresie niezbędnym do ich potwierdzenia.
Podobnie jak w odniesieniu do danych zbieranych na podstawie Kodeksu Pracy, dane szczególnych kategorii (np. dane dotyczące zdrowia na potrzeby zapomóg losowych) będą mogły być przetwarzane wyłącznie na podstawie pisemnego upoważnienia.
Ponadto pracodawca został zobowiązany do nie rzadszego niż raz w roku kalendarzowym przeglądania danych osobowych w celu ustalenia niezbędności ich dalszego przechowywania.
Zmiany w ustawie o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych
Projekt wprost przewiduje, że dla celów ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych pracodawca ma prawo przetwarzać dane o stanie zdrowia w odniesieniu do pracowników oraz kandydatów pracy, przy czym przedstawienie takich dokumentów pracodawcy jest dobrowolne.
Wprowadzone zostały także przepisy dotyczące okresu przechowywania danych przez pracodawcę, zgodnie z którymi dane osobowe nie mogą być przechowywane dłużej niż jest to niezbędne i wyłącznie w zakresie koniecznym do realizacji celów przetwarzania wskazanych w ustawie. Ponadto wprowadzono obowiązek nie rzadszego niż co 5 lat weryfikowania niezbędności przechowywania danych osobowych.
Zmiany w Prawie Zamówień Publicznych
Obszerne zmiany zostały wprowadzone również w regulacji dotyczącej zamówień publicznych (dalej Ustawa pzp). W pierwszej kolejności uregulowano dostępność danych osobowych pochodzących z Krajowego Rejestru Karnego żądanych przez zamawiającego celem potwierdzenia braku podstaw wykluczenia z postępowania. Dodawane do art. 8 Ustawy pzp postanowienia ograniczają zasadę jawności w zamówieniach publicznych w przypadku przetwarzania danych osobowych dotyczących wyroków skazujących oraz popełnionych czynów zabronionych. Takie dane zamawiający będzie udostępniać wyłącznie osobom uprawnionym i wyłącznie w celu umożliwienia skorzystania przez nie ze środków ochrony prawnej, które zostały przewidziane w Ustawie pzp. Przetwarzanie wskazanych wyżej danych osobowych możliwe będzie wyłącznie przez osoby posiadające pisemne upoważnienie, które jednocześnie musi zobowiązywać do zachowania poufności. Po upływie terminów na skorzystanie ze środków ochrony prawnej dane dotyczące wyroków skazujących oraz czynów zabronionych albo dane osób nie widniejących w rejestrze będą mogły być przekazywane przez zamawiającego wyłącznie po ich wcześniejszym spseudonimizowaniu.
Projekt przewiduje, że skorzystanie przez osobę, której dane dotyczą z prawa do sprostowania lub uzupełnienia danych nie może powodować zmiany wyniku postępowania lub też zmiany postanowień umowy w zakresie niezgodnym z ustawą o zamówieniach publicznych. Tym samym RODO nie będzie mogło stać się swoistą furtką do dokonywania uzupełnień w dokumentacji przetargowej po terminie jej składania.
Doprecyzowaniu uległa również zasada jawności, która będzie miała zastosowanie do wszystkich danych osobowych, z wyjątkiem kategorii szczególnych (wrażliwych) danych wskazanych w art. 9 RODO. Oznacza to, że wykonawcy powinni przekazywać wyłącznie te kategorie danych i wyłącznie w takim zakresie, jaki jest niezbędny dla celów postępowania.
Wprowadzone zmiany doprowadzą również do wyeliminowania wątpliwości związanych z przetwarzaniem danych osobowych przekazywanych w celu weryfikacji zatrudnienia w oparciu o umowę o pracę osób wykonujących wskazane przez zamawiającego czynności. Znowelizowane przepisy jasno przesądzają o uprawnieniu zamawiającego do zamieszczania w postanowieniach umowy wymogu przedstawienia przez wykonawcę lub podwykonawcę:
- Oświadczenia o zatrudnieniu pracownika na podstawie umowy o pracę,
- Poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika,
- Innych dokumentów zawierających informacje, w tym dane osobowe niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę oraz zakres obowiązków pracownika.
Zmiany w ustawie o ochronie danych osobowych
W ustawie o ochronie danych osobowych wprowadzono przepis rozwiewający pojawiające się w praktyce wątpliwości dotyczące możliwości wyznaczenia osoby zastępującej inspektora ochrony danych osobowych. Po wejściu w życie nowych przepisów, podmiot który wyznaczył IOD może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności z uwzględnieniem wszystkich kryteriów wymaganych przez RODO.
Podsumowanie
Powyższe omówienie dotyczy wyłącznie wybranych ustaw i aspektów, które od wejścia w życie nowych przepisów wprowadzały wątpliwości interpretacyjne wśród zarówno Inspektorów Ochrony Danych, jak i przedsiębiorców.
Projekt ustawy trafił do Senatu, a następnie będzie oczekiwać na podpis Prezydenta i z drobnymi wyjątkami wejdzie w życie w terminie 14 dni od ogłoszenia.
KONTAKT
E: magdalena.patryas@pl.Andersen.com
T: +48 32 731 68 84
M: +48 502 392 419