Od 25 maja 2018 r. obowiązuje nowa ustawa o ochronie danych osobowych, której celem jest zapewnienie stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej RODO.
Z uwagi na fakt, iż przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawierały regulacje odmienne od tych zawartych w RODO oraz przepisy nieprzewidziane w RODO, ustawodawca musiał przygotować nowe rozwiązania prawne w zakresie ochrony danych osobowych, która odpowiadają przepisom i standardom ochrony danych osobowych przyjętym na poziomie Unii Europejskiej.
Przypomnijmy, że RODO posiada zasięg ogólny, wiąże w całości, co do wszystkich zawartych w nim postanowień i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W konsekwencji staje się ono częścią krajowych systemów prawnych bez potrzeby dokonywania jakichkolwiek czynności transpozycyjnych i wywiera skutki bezpośrednie w stosunku do jednostek. Jednakże, w pewnym zakresie, RODO przewiduje uzupełnienie własnych regulacji przepisami krajowymi. Zawarte odesłania do prawa krajowego mają na celu przede wszystkim doprecyzowanie lub ograniczenie stosowania w tymże prawie krajowym przepisów RODO. Do grupy obligatoryjnych przepisów krajowych, uchwalonych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, zaliczyć można przepisy dotyczące organu nadzorczego, środków ochrony prawnej, odpowiedzialności i sankcji, zagadnień proceduralnych, a także przepisy odnoszące się do certyfikacji i akredytacji w zakresie ochrony danych osobowych.
Kogo obejmują postanowienia nowej ustawy
Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) ma zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w Rozporządzeniu, co oznacza, że będzie miała zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych.
Uwzględniając fakt, że ww. akt prawny służy zapewnieniu skutecznego stosowania w polskiej przestrzeni prawnej RODO, należy go stosować:
- do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w UE, niezależnie od tego, czy przetwarzanie odbywa się w Unii,
- do przetwarzania danych osób przebywających w Unii, przez administratora lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty, lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii,
- do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.
Polski prawodawca zdecydował się wprowadzić do omawianej ustawy regulację wyłączającą stosowanie RODO do przetwarzania danych przez niektóre jednostki sektora finansów publicznych (organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej oraz inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, o ile przewidziane są niezbędne środki ochrony praw i wolności osoby, której dane dotyczą.
Ponadto wyłączono stosowanie niektórych przepisów RODO do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, wypowiedzi w ramach działalności literackiej, wypowiedzi w ramach działalności artystycznej oraz wypowiedzi akademickiej.
Nowy organ właściwy w sprawie ochrony danych osobowych
Przedmiotowa ustawa z 10 maja 2018 r. ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych. Od 25 maja 2018 r. GIODO stał się Prezesem Urzędu, Biuro Generalnego Inspektora Ochrony Danych Osobowych staje się Urzędem Ochrony Danych Osobowych, a pracownicy zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych stają się pracownikami tego Urzędu.
Prezes Urzędu Ochrony Danych Osobowych jest organem kadencyjnym, odwołalnym w wyjątkowych, wynikających z RODO przypadkach. Kadencja trwa 4 lata, licząc od dnia złożenia ślubowania. Nową instytucją powoływaną przez Prezesa Urzędu będzie Rada do Spraw Ochrony Danych Osobowych. Rada stanowić będzie organ opiniodawczo-doradczy, składający się z 8 członków.
Postępowanie i odpowiedzialność w sprawach o naruszenie przepisów o ochronie danych
Ustawodawca, mając na względzie sprawność działania systemu ochrony danych osobowych postanowił, iż do kontroli wszczętych na podstawie dotychczasowej ustawy o ochronie danych osobowych i niezakończonych przed dniem wejścia w życie nowej ustawy zastosowanie będą miały przepisy dotychczasowe. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone będą przez Prezesa Urzędu.
W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, właściwy jest sąd okręgowy.
Miejmy na uwadze, że opisywana ustawa z 10 maja 2018 r.:
- nadaje Prezesowi Urzędu uprawnienie do opiniowania założeń i projektów aktów prawnych dotyczących danych osobowych. Prezes Urzędu może również kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów, wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Ponadto, jest on uprawniony do występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Wzmocnieniu pozycji organu nadzorczego służyć mają takie instrumenty jak przyznanie organowi prawa do przeprowadzania kontroli naruszenia zasad ochrony danych osobowych czy możliwość korzystania z pomocy funkcjonariuszy Policji w toku przeprowadzanej kontroli;
- reguluje również sposób postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Postępowanie jest prowadzone przez Prezesa Urzędu jako organ właściwy w sprawie ochrony danych osobowych. Ustawodawca przewidział jednoinstancyjność postępowania administracyjnego. Rozstrzygnięcia wydawane przez Prezesa Urzędu będą jednak podlegały zaskarżeniu do sądu administracyjnego i skargi w tych sprawach będą podlegały dwuinstancyjnemu postępowaniu sądowoadministracyjnemu. Wniesienie przez stronę skargi do sądu administracyjnego wstrzyma wykonanie decyzji w zakresie administracyjnej kary pieniężnej;
- odnosi się do odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych, w zakresie nieuregulowanym przez RODO. Zgodnie z przyjętymi regulacjami, do roszczeń oraz postępowań z tytułu naruszenia przepisów o ochronie danych osobowych, stosuje się przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny oraz przepisy ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego;
- wskazuje także, które organy i podmioty publiczne mają wyznaczyć inspektora ochrony danych oraz określa zasady zawiadamiania Prezesa Urzędu o jego wyznaczeniu;
- reguluje również kwestie uzyskiwania certyfikacji i akredytacji. W nowych przepisach uregulowano też monitoring wizyjny stosowany przez pracodawców i samorządy;
- zawiera przepisy odnoszące się do kontroli przestrzegania przepisów o ochronie danych osobowych oraz regulacje o administracyjnych karach pieniężnych i przepisy karne za nieprzestrzeganie RODO.
Modyfikacje Kodeksu pracy
Ustawa z 10 maja 2018 r. nowelizuje dodatkowo Kodeks pracy, wprowadzając do niego nowe przepisy w zakresie monitoringu pracowniczego (w szczególności monitoringu wizyjnego i monitoringu służbowej poczty elektronicznej). Wskutek tego, od 25 maja 2018 r. jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring).
Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba, że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji wskazanego wyżej celu i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.
Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania.
W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin 3-miesięczny ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.
Po upływie ww. okresów, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe, podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.
Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.
Pracodawca:
- informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem.
- przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje o celach, zakresie oraz sposobie zastosowania monitoringu.
W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.
Ponadto, od 25 maja br. funkcjonuje w Kodeksie pracy przepis mówiący o tym, że gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika – monitoring poczty elektronicznej. Przy czym monitoring ten nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.
Do zasad wprowadzenia monitoringu poczty elektronicznej oraz obowiązków dotykających tego zagadnienia (w szczególności w zakresie obowiązków informacyjnych), odpowiednie zastosowanie mają przepisy dotyczące monitoringu wizyjnego.