Najważniejsze zmiany od 4 maja 2019 związane z RODO – sprawdź kogo dotyczą

          Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), która weszła w życie 4 maja 2019 roku, wprowadza szereg zmian w łącznie 168 ustawach w zakresie ochrony danych osobowych, zasad ich przetwarzania a także innych obowiązków podmiotów przetwarzających dane osobowe. 

            Do najważniejszych zmian można zaliczyćz pewnościąte z zakresu praw konsumenta, ochrony zdrowia, prawa administracyjnego, branży bankowej oraz prawa pracy.

Ku większej przejrzystości postanowiłem podzielićtekst na dane obszary prawa.

Prawa konsumenta

            Niewątpliwie zyskali przedsiębiorcy prowadzący małe działalności gospodarcze, tj. zatrudniający do 10 osób lub posiadający obrót poniżej 2 milionów euro rocznie, albowiem zgodnie z nowowprowadzonym przepisem art. 4a ustawy prawa konsumenta, przedsiębiorca nie będzie jużzobowiązany do bezpośredniego informowania osób, których dane przetwarza, a jedynie będzie musiałzamieścićodpowiedniąinformacjęna swojej stronie internetowej bądźw siedzibie przedsiębiorstwa, tak by była ona dostępna dla każdego. 

            Wątpliwości jednak budzi ust. 2 ww. art., który stanowi, że jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania sięz informacjami, o których mowa w art. 13 RODO, to przepisy o umieszczeniu na stronie internetowej nie majązastosowania. Problematyczne jest w takiej sytuacji określenie kiedy osoba, której dane dotycząnie ma takiej możliwości oraz na jakiej podstawie ma wywnioskowaćto przedsiębiorca. 

Finalnie przedsiębiorcy z dalece idącej ostrożności będądalej wypełniaćobowiązek informacyjny na podstawie starych zasad. Pozostaje poczekaćna oficjalnąinterpretacjętego przepisu przez UODO, która rozwiąże wiele wątpliwości. 

Świadczenie usług drogąelektroniczną

            Zgodnie ze znowelizowanym przepisem art. 18 ustawy o świadczeniu usług drogąelektronicznąUsługodawca może przetwarzać, za zgodąusługobiorcyi dla celów reklamy, badania rynku oraz zachowańi preferencji usługobiorców z przeznaczeniem wyników tych badańna potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie sąniezbędne do świadczenia usługi drogąelektroniczną. 

Ustawodawca znacznie utrudniłfunkcjonowanie usługodawcom działającym za pomocąstron internetowych, albowiem w aktualnym stanie prawnym aby móc spersonalizowaćreklamępod użytkownika na podstawie śledzenia jego zachowania w internecie, usługodawca będzie musiałuzyskaćuprzednio jego zgodę. 

            Podobnie jak w przypadku przepisów o prawach konsumenta, tak i w tym przypadku przytoczony art. budzi wątpliwości z uwagi na sprzecznośćz art. 5 ust 1 lit c RODO (minimalizacja danych), wszakże ustawodawca wskazałw art. 18 ust. 1 ustawy o świadczeniu usług drogąelektroniczną, że w celu nawiązania, ukształtowania, zmiany lub rozwiązania stosunku prawnego, usługodawca może przetwarzaćdane usługobiorcy takie jak: nazwisko i imiona, PESEL (a jeśli nie zostałnadany to numer paszportu, dowodu os. Lub innego dokumentu), adresu zameldowania, stałego pobytu, adresu do korespondencji, dane do weryfikacji podpisu elektronicznego usługobiorcy oraz adresy e-mail

Ukłon w stronęklientów banków.

            Na gruncie nowych przepisów, osoba starająca sięo kredyt będzie teraz mogła wnioskowaćdo banku o wydanie szczegółowych informacji na temat powodów odmowy udzielenia kredytu oraz sposobu ustalenia jej zdolności kredytowej. Obowiązek ten będzie dotyczyłzarówno sytuacji, w której decyzja została podjęta indywidualnie, jak i w sposób zautomatyzowany. 

Ubezpieczyciele mająłatwiej

            Ustawa o działalności ubezpieczeniowej i reasekuracyjnej wprowadza przepisy pozwalające ubezpieczycielom na przekazywanie, za zgodąosoby, której dane dotyczą, danych osobowych na żądanie innego zakładu ubezpieczeniowegow zakresie potrzebnym do oceny ryzyka ubezpieczeniowego i weryfikacji danych podanych przez ubezpieczającego ustalenia prawa ubezpieczonego do świadczenia z zawartej umowy ubezpieczenia i wysokości tego świadczenia, a także do udzielenia posiadanych przez siebie informacji o przyczynie śmierci ubezpieczonego lub informacji niezbędnych do ustalenia prawa uprawnionego z umowy ubezpieczenia do świadczenia i jego wysokości

Ponadto zakład ubezpieczeń przetwarza dane, o których mowa w art 9. rozporządzenia 2016/679, dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.

Zakład ubezpieczeńmoże podejmowaćdecyzje w indywidualnych przypadkach, opierając sięwyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu dokonania oceny ryzyka ubezpieczeniowego oraz wykonania czynności ubezpieczeniowych. W związku ze zautomatyzowanym przetwarzaniem Zakład może przetwarzaćznacznąilośćinformacji: imiona, nazwiska, wiek, płeć, obywatelstwo, PESEL, NIP, nr i serie dowodu osobistego lub innego dokumentu tożsamości, charakter wykonywanej pracy, miejsce zamieszkania, okres ubezpieczenia, przebieg ubezpieczenia, sumęubezpieczenia, stan cywilny, stan zdrowia, sytuacjęfinansową, dane dotyczące szkód ubezpieczonego, jego ubezpieczyciela oraz dane identyfikujące przedmiot ubezpieczenia. 

Pracodawca z nowymi uprawnieniami

            Od 4 maja pracodawcy mogąpobieraći przetwarzaćod pracowników dane biometryczne w celu ochrony szczególnie ważnych informacji lub pomieszczeńw firmie, które musząznajdowaćsiępod stałąkontroląz uwagi na możliwośćwystąpienia szkody na rzecz pracodawcy. 

Uniemożliwiono za to monitorowanie pomieszczeń zakładowych organizacji związkowych oraz zobowiązano pracodawcędo uzyskania zgody od organizacji lub w przypadku jej braku, przedstawiciela pracowników do monitorowania pomieszczeńsanitarnych.

Dokumentacja medyczna pierwszy raz uzyskasz ją za darmo

            W art. 28 ust 2a ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wprowadzono przepis, który stanowi, że pacjent albo jego przedstawiciel ustawowy nie poniesie opłaty za pierwsze udostępnienie przez placówkęmedyczną, dokumentacji medycznej dotyczącej jego zdrowia.

Prawo oświatowe dane uczniów pod szczególnąochroną

            Pracownicy szkoły szczególne dane będąmogli przekazywaćtylko w wyjątkowych sytuacjach. Ustawodawca zobowiązałnauczycieli do zachowania tajemnicy informacji pozyskiwanych w ramach wykonywania zawodu. Dane dotyczące zdrowia, możliwości psychofizycznych, seksualności, potrzeb rozwojowych i edukacyjnych, poglądów politycznych, orientacji seksualnej, pochodzenia rasowego lub etnicznego, przekonańreligijnych lub światopoglądowych uczniów będąmogły byćprzekazywane tylko w wyjątkowych sytuacjach. Dyrektor szkoły zobowiązany będzie natomiast do wdrażania tych przepisów w życie zarówno pod względem technicznym jak i organizacyjnym. 

Administracja publiczna

Ustawodawca w art. 122h uregulowałjak działaćmająorgany administracji publicznej w sprawie obowiązku informacyjnego wynikającego z art. 13 RODO. W świetle nowych przepisów organ musi spełnićobowiązek informacyjny przy pierwszej czynności skierowanej do strony postępowania, natomiast jeżeli organ załatwia sprawęmilcząco, to spełnia obowiązek za pomocąpublikacji tej informacji w Biuletynie Informacji Publicznej.