Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Przepisy o ochronie danych osobowych, czyli nie tylko RODO

Ogólne rozporządzenie o ochronie danych (dalej także jako: „RODO”) to bez wątpienia najważniejszy akt prawny regulujący przetwarzanie danych osobowych. Nie jest to jednak jedyna regulacja, która dotyczy tej materii. W polskim systemie prawnym istnieje wiele ustaw, które są nie mniej istotne dla podmiotów przetwarzających dane.

Rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych (od 25 maja 2018 r.) oznaczało, że od tego dnia polskie przepisy musiały zapewniać skuteczne stosowanie przepisów RODO, nie powielając jego rozwiązań ani nie będąc z nim sprzecznymi. W tym celu konieczne było uchwalanie nowych przepisów oraz nowelizacja wielu istniejących aktów prawnych.

W ramach zmian dostosowujących do RODO, uchwalono Ustawę z dnia 10 maja 2018 r o ochronie danych osobowych oraz zmiany w przepisach sektorowych, tj. zmiany w ustawach z zakresu różnych dziedzin gospodarki, takich jak: kadry, bankowość i ubezpieczenia, oświata, ochrona zdrowia.

Należy także wspomnieć o Ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. W przeciwieństwie do wyżej wymienionych przepisów, uchwalenie tej ustawy nie miało na celu wdrożenia przepisów RODO, lecz ustanowienie reżimu prawnego dla przetwarzania danych w obszarze, który spod przepisów RODO został wyłączony, tj. w zakresie zapobiegania i zwalczania przestępczości.

Dalsza część artykułu poświęcona zostanie omówieniu, wybranych aktów prawnych, które poza RODO, regulują przetwarzanie danych osobowych. Zaprezentowane zostaną:

  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych,
  • Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy,
  • Ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych,
  • Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
  • Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne,
  • Ustawa z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych,
  • Ustawa z dnia 14 grudnia 2018 r o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Ustawa o ochronie danych osobowych

Uchwalenie Ustawy o ochronie danych osobowych (dalej także jako: „UODO”) było związane przede wszystkim z koniecznością doprecyzowania przepisów RODO oraz dostosowania ich do polskiego porządku prawnego.

W przeciwieństwie do poprzednio obowiązującej Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r., UODO nie reguluje kwestii takich jak podstawowe definicje (np. definicja „danych osobowych”, „przetwarzania”, itp.), zasady przetwarzania danych, podstawy prawne, obligatoryjne elementy obowiązku informacyjnego czy prawa przysługujące osobom, których dane dotyczą.

Te zagadnienia są opisane wyłącznie w przepisach RODO. Błędem jest więc powoływanie się na Ustawę o ochronie danych osobowych jako podstawę prawną dla przetwarzania danych, np. w klauzuli zgody na przetwarzanie danych.

Co więc jest objęte regulacją Ustawy o ochronie danych osobowych?

Z punktu widzenia administratorów, największe praktyczne znaczenie mają postanowienia mówiące o tym:

W jaki sposób wyznaczyć inspektora ochrony danych i zawiadomić o tym Prezesa Urzędu Ochrony Danych Osobowych;

Które podmioty publiczne mają obowiązek wyznaczenia inspektora ochrony danych;

rozdział 2 (art. 8-11a UODO)
Jaki jest tryb postępowania w sprawie naruszenia przepisów o ochronie danych osobowych;rozdział 7 (art. 60-74 UODO)
Jaki wygląda przebieg kontroli przestrzegania przepisów o ochronie danych osobowych prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych;rozdział 9 (art. 78-91 UODO)
Jaki jest tryb dochodzenia przez sądem roszczeń cywilnych związanych z naruszeniem przepisów o ochronie danych osobowych;rozdział 10 (art. 92-100 UODO)
Jakie są ograniczenia w wysokości administracyjnych kar pieniężnych nakładanych na podmioty publiczne;

Jakie są sankcje karne za naruszenie przepisów RODO;

rozdział 11 (art.101-108 UODO)

Ustawa o ochronie danych osobowych wprowadza także wyłączenia lub ograniczenia stosowania niektórych przepisów RODO.

Wyłączenia RODO

Wyłączenia odnoszą się do działalności prasowej, literackiej, artystycznej oraz wypowiedzi akademickiej (art. 2 UODO), a także wybranych jednostek sektora finansów publicznych (w zakresie w jakim przetwarzanie danych jest konieczne do realizacji zadań dla zapewnienia bezpieczeństwa narodowego) oraz działalności służb specjalnych (art. 6 UODO).

Ograniczenia RODO

Ograniczenia stosowania przepisów RODO dotyczą natomiast administratorów wykonujących zadania publiczne w zakresie wykonywania obowiązków informacyjnych z art. 13 oraz 14 RODO oraz realizacji prawa dostępu do danych z art. 15 RODO (art. 3-5a UODO).

UODO to bez wątpienia najważniejszy, po RODO, akt prawny dotyczący przetwarzania danych osobowych. Jego znaczenie podkreśla fakt, że zawiera postanowienia, które dotyczą wszystkich podmiotów (publicznych i prywatnych), bez względu na branżę czy sektor, w których prowadzają działalność.

Przepisy sektorowe

Aby zapewnić skuteczne stosowanie przepisów RODO, poza uchwaleniem Ustawy o ochronie danych osobowych, konieczne było także dokonanie zmian w istniejących już przepisach. Zamiany w przepisach sektorowych wprowadzone zostały przede wszystkim w ramach nowelizacji przyjętej Ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: „Ustawa sektorowa”).

Jak wskazano w uzasadnieniu do projektu Ustawy sektorowej celem tej nowelizacji było „dostosowanie polskiego porządku prawnego do RODO m.in. przez usunięcie przepisów, które są sprzeczne z RODO lub które powielają rozwiązania RODO, a (…) także dostosowanie RODO do specyfiki polskiego porządku prawnego”.

W ramach tej nowelizacji wprowadzono zmiany w ponad 160 ustawach regulujących różne branże i obszary gospodarki (m.in: administracja publiczna, oświata, kadry, rynek telekomunikacyjny, bankowość, działalność lecznicza, działalność ubezpieczeniowa, działalność prawnicza i doradcza).

Z punktu widzenia pracodawców, niewątpliwie najważniejsze były zmiany w ustawach regulujących materię prawa pracy i spraw kadrowych, takich jak Kodeks pracy oraz Ustawa o zakładowym funduszu świadczeń socjalnych.

Dla podmiotów prowadzących działania marketingowe w formie email marketingu, czy telemarketingu, istotne zmiany przyniosła nowelizacja Ustawy o świadczeniu usług drogą elektroniczną oraz Ustawy Prawo telekomunikacyjne.

Natomiast, podmioty realizujące zamówienia publiczne powinny zwrócić uwagę na nowelizację Ustawy Prawo zamówień publicznych.

Ze względu na obszerność Ustawy sektorowej nie sposób wymienić i omówić wszystkich ze zmienianych ustaw. W dalszej części artykułu przedstawię najważniejsze postanowienia, jakie znajdują się we wskazanych wyżej ustawach.

Kodeks pracy oraz Ustawa o zakładowym funduszu świadczeń socjalnych

Przepisy Kodeksu pracy (dalej jako: „KP”) oraz Ustawy o zakładowym funduszy świadczeń socjalnych (dalej jako: „Ustawa o ZFŚS”) regulują wiele istotnych dla pracodawców postanowień dotyczących przetwarzania danych osobowych kandydatów do pracy oraz pracowników. Przepisy te mówią m.in. o tym:

Jaki jest zakres danych osobowych jakie pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie oraz od pracownika;art.221 KP
W jakich sytuacjach oraz na jakich warunkach pracodawca może stosować zgodę na przetwarzanie danych od kandydatów do pracy oraz pracowników, a także przetwarzać ich dane biometryczne;art. 221a i 221b KP
W jaki sposób pracodawca powinien dopuścić pracowników do przetwarzania danych szczególnych kategorii;art. 221b KP oraz art. 8 ust. 1b, Ustawy o ZFŚS
Jakie są warunki stosowania w zakładzie pracy monitoringu wizyjnego, monitoringu poczty elektronicznej pracowników oraz innych form monitorowania aktywności pracowników;art. 222 i 223 KP
W jaki sposób pracodawca powinien zbierać i dokumentować dane osobowe osób ubiegających się o udzielenie świadczenia z zakładowego funduszu świadczeń socjalnych, a także jaki jest okres przechowywania takich danych;art. 8 ust. 1a, 1c i 1d Ustawy o ZFŚS

Nie ulega wątpliwości, że każdy pracodawca powinien znać wskazane powyżej postanowienia. Bez znajomości tych przepisów nie jest bowiem możliwe prawidłowe i legalne przetwarzanie danych osobowych w działach HR i kadrach.

Należy również podkreślić, że Kodeks pracy zawiera także szereg innych przepisów, które nie były objęte regulacją Ustawy sektorowej, a dotyczą przetwarzania danych osobowych. Przepisem takim jest np. art. 94 pkt 9a i 9b KP, który mówi o sposobie prowadzenia i przechowywania dokumentacji pracowniczej oraz ustala okres jej przechowywania.

e-learning RODO w kadrach

Jak przetwarzać dane osobowe w zgodzie z KP?

Z e-szkolenia dowiesz się jak sprawnie i zgodnie z RODO: rekrutować, zatrudniać, gromadzić i usuwać dane, wykorzystywać wizerunek oraz monitoring wizyjny i poczty elektronicznej, udostępniać spółkom z grupy kapitałowej, placówkom medycznym i dostawcom benefitów.

Sprawdź jak przetwarzać dane osobowe pracowników i kandydatów do pracy.

Sprawdź

Ustawa o świadczeniu usług drogą elektroniczną oraz Ustawa Prawo telekomunikacyjne

Ustawa o świadczeniu usług drogą elektroniczną (dalej jako: „Uśude”) oraz Ustawa Prawo telekomunikacyjne (dalej: „Pr. Telekom”) to dwa niezwykle istotne akty prawne dla branży marketingowej. Wprowadzają one wymóg uzyskania zgody adresata na przesłanie treści marketingowych za pośrednictwem narzędzi komunikacji takich jak, np. email, sms, mms oraz połączeń telefonicznych (art. 10 ust. 1-2 Uśude, art. 172 ust. 1 Pr. Telekom). Szczegółowo na temat zgód marketingowych z Uśude i Pr. Telekom pisaliśmy w jednym z wcześniejszych artykułów na blogu.

Ustawa sektorowa wprowadziła istotną zmianą do obu ww. aktów prawnych – tj. konieczność stosowania przepisów o ochronie danych osobowych do uzyskania zgody marketingowej (art. 5 Uśude oraz art. 174 Pr. Telekom). Oznacza to, że zgody zbierane na podstawie Uśude i Pr. Telekom muszą spełniać wymagania określone w przepisach RODO, w szczególności w art. 4 pkt. 11 (definicja zgody) oraz art. 7 (warunki wyrażenia zgody) RODO.

W tym miejscu warto zwrócić uwagę na złożony problem zgód marketingowych. Wśród części administratorów, powszechną praktyką jest stosowanie zgody jako podstawy prawnej do przetwarzania danych osobowych w celach marketingowych. Należy jednak pamiętać, że taka zgoda nie zastąpi zgód wymaganych na podstawie przepisów Uśude i Pr. Telekom.

Jeśli przetwarzanie danych osobowych będzie związane np. z przesyłaniem materiałów marketingowych na adresy email lub wykonywaniem połączeń telefonicznych, to niezależnie od „zgody z RODO” w takim przypadku konieczne będzie także zebranie dodatkowych zgód na podstawie przepisów Uśude i/lub Pr. Telekom.

Nie każda więc zgoda to efekt RODO. Formalizm związany ze zbieraniem zgód marketingowych w wielu przypadkach będzie bowiem wynikał z konieczności spełnienia wymagań krajowych przepisów.

Ustawa Prawo zamówień publicznych

W Prawie zamówień publicznych (dalej jako: „PZP”) również znajduje się wiele ważnych postanowień dotyczących przetwarzania danych osobowych. Podmioty realizujące zamówienia publiczne powinny zwrócić uwagę w szczególności, na przepisy, które określają:

W jaki sposób powinien być spełniony obowiązek informacyjny;art. 8a ust. 1-7 PZP
W jaki sposób zrealizować prawo dostępu do danych z art. 15 RODO, prawo do sprostowania lub uzupełnienia danych z art.16 RODO, prawo do ograniczenia przetwarzania danych z art. 18 RODO;

Jak poinformować osoby o ograniczeniach związanych z realizacją praw z art. 15 oraz 18 RODO;

W jaki sposób zapewnić dostęp do danych dotyczących wyroków skazujących lub czynów zarobionych, o których mowa w art. 10 RODO;
Jakie kategorie danych są wyłączone z zasady jawności protokołu postępowania;art. 96 ust. 3a PZP
Jak realizować prawo do ograniczenia przetwarzania danych z art. 18 RODO w odniesieniu do danych zgromadzonych w protokole postępowania oraz jego załącznikach;rt.. 96 ust. 3b PZP
Jakie są zasady realizacji prawa dostępu do danych z art. 15 RODO oraz prawa do sprostowania lub uzupełnienia danych z art. 16 RODO w odniesieniu do danych zgromadzonych w protokole postępowania oraz jego załącznikach;art. 97 ust. 1a i 1b PZP
Jakich dokumentów można żądać od wykonawców potwierdzających zatrudnienie na podstawie umowy o pracę osób wykonujących czynności w zakresie realizacji zamówienia;art. 143e PZP

Powyższe zestawienie pokazuje, jak wiele ważnych obowiązków wynikających z RODO (takich jak np. obowiązek informacyjny czy realizacja praw osób) zostało doprecyzowanych na poziomie przepisów PZP. Znajomość tych przepisów jest więc kluczowa dla prawidłowego stosowania wymagań RODO przez podmioty realizujące zamówienia publiczne.

Podobnie jak w przypadku przepisów Kodeksu pracy, również w przepisach PZP znajdują się postanowienia regulujące przetwarzanie danych osobowych, które nie zostały wprowadzone do Ustawy sektorowej. Przykładem takiego przepisu jest np. art. 97 ust. 1 PZP, który określa okres przechowywania protokołu z przebiegu postępowania o udzielenie zamówienia oraz jego załączników.

kurs IOD

Osiągnij zgodność z RODO. Zapraszamy na praktyczny kurs

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.

Sprawdź terminy:

Sprawdź

Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej: „DODO”) to drugi obok RODO akt prawny obowiązujący w Polsce, który reguluje warunki i zasady przetwarzania danych osobowych. Sama już nazwa aktu prawnego DODO sugeruje, że zakres jego zastosowania (przedmiotowy i podmiotowy) istotnie różni się od RODO.

Przepisy DODO są bowiem stosowane wyłącznie do przetwarzania danych „przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych” (art. 1 pkt. 1 DODO).

Organami zobowiązanymi do stosowania DODO będą więc, w szczególności Sądy, Prokuratura, Policja, Straż Graniczna, Żandarmeria Wojskowa, Służba Więzienna, Państwowa Straż Rybacka, Inspekcja Ochrony Środowiska, ale także komornik egzekwujący kary zasądzone w postępowaniu karnym.

Zasady przetwarzania danych przyjęte na gruncie DODO są podobne do tych jakie wynikają z RODO (dotyczy to np. definiowania pojęć, które są identyczne lub niemal identyczne). Jest jednak kilka wartych podkreślenia różnić. Najważniejsze wśród nich to:

Inne podstawy prawne dla przetwarzania danych osobowych zwykłych oraz danych wrażliwych;art. 13 i 14 DODO
Odmienny katalog praw przysługujący osobom, których dane dotyczą;art. 22 -25 DODO
Obowiązek opracowania i wdrożenia Polityki ochrony danych osobowych;art. 31 ust. 4 DODO
Bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania (odpowiednik RCP na gruncie RODO);art. 35 ust. 1 DODO
Bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania dokonywanych w imieniu administratora (odpowiednik RKCP na gruncie RODO);art. 35 ust. 3 DODO
Obowiązek ewidencjonowania operacji przetwarzania prowadzonych w systemach zautomatyzowanych;art. 36 DODO
Obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danychart. 42 RODO
Obowiązek wyznaczenia inspektora ochrony danychart. 46 DODO

Warto zwrócić uwagę, że podmioty zobowiązane do stosowania przepisów DODO, w praktyce będą stosowały także przepisy RODO. Tak będzie w odniesieniu do przetwarzania danych w celach innych niż związane rozpoznawaniem, zapobieganiem, wykrywaniem i zwalczaniem przestępstw lub wykroczeń np. w przypadku przetwarzania danych osobowych w związku z rekrutacją pracowników czy prowadzeniem spraw kadrowych.

Małgorzata Zdunek, ekspert ds. ochrony danych osobowych

Ochrona danych osobowych to nie tylko RODO. To również cały system przepisów szczegółowych, regulujących, w większym lub mniejszym zakresie, sposoby i zasady przetwarzania informacji dotyczących osób fizycznych. Na ochronę danych musimy zatem patrzeć kompleksowo, uwzględniając przy tym charakter i podstawy działalności naszej organizacji. Może okazać się, że lista aktów regulujących te aspekty będzie długa, zbyt długa jak na nasze możliwości. Nie bójmy się wówczas korzystać ze wsparcia specjalistów, którzy na bieżąco monitorują zachodzące w przepisach zmiany oraz ich interpretację dokonywaną przez właściwe organy.

Podsumowanie

Wdrożenie w organizacji wymogów wynikających z przepisów RODO nie kończy procesu związanego z zapewnieniem zgodności z przepisami o ochronie danych osobowych. W polskim systemie prawnym funkcjonuje bowiem szereg aktów prawnych, które uzupełniają Ogólne rozporządzenie o ochronie danych. Szczególne znacznie posiada Ustawa o ochronie danych osobowych. Nie mniej istotne są przepisy sektorowe, które regulują przetwarzanie danych w określonych branżach. Pewna grupa administratorów musi też pamiętać o stosowaniu przepisów DODO.

W polskiej rzeczywistości ustawodawczej przepisy prawne podlegają nieustannym zmianom. Dotyczy to także postanowień o przetwarzaniu danych osobowych. Dla zapewnienia zgodności z przepisami o ochronie danych osobowych niezbędne jest więc bieżące śledzenie krajowych zmian legislacyjnych, a następnie dostosowywanie do nich prowadzonych procesów przetwarzania danych osobowych. W przypadku niektórych administratorów, może się to okazać sporym wysiłkiem organizacyjnym i wiązać się z dużym nakładem czasu i pracy. Szczególnie w takich sytuacjach, warto rozważyć powołanie inspektora ochrony danych lub innej osoby, która będzie odpowiedzialna za zgodność z RODO oraz innymi przepisami o ochronie danych osobowych.

Pobierz artykuł

Pobierz artykuł w PDF

Źródła:

Powiązane artykuły

Agencja Rekrutacyjna a RODO
Urząd Ochrony Danych Osobowych (UODO) i europejskie organy nadzoru
5 filarów RODO
RODO w praktyce, czyli jak zrozumieć RODO w 15 minut
Współadministrowanie danymi osobowymi

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.